Защита персональных данных: организационные и технические меры по закону № 152-ФЗ

Вы когда-нибудь задумывались, что происходит с вашими данными, когда вы регистрируетесь на сайте, оформляете кредит или даже просто оставляете номер телефона в службе поддержки? В России за это отвечает Федеральный закон № 152-ФЗ - он не просто требует соблюдать правила, он обязывает компании защищать ваши личные сведения так, чтобы их нельзя было украсть, изменить или использовать без разрешения. И если ваша организация обрабатывает даже один номер телефона - она уже попадает под этот закон. Не соблюдать его - значит рисковать штрафами до 157 500 рублей за юридическое лицо и потерей репутации. Но как именно это делать - организационно и технически - разберём по шагам.

Что такое организационные меры защиты персональных данных

Организационные меры - это не программы и не серверы. Это правила, которые живут в документах и в головах сотрудников. Без них никакие технические средства не спасут. Представьте, что у вас есть сейф с дорогими вещами, но вы оставили ключ на табличке на двери. Техника есть - а защита нет.

Вот что реально нужно сделать:

• Создать Политику обработки персональных данных - это основной документ, где прописано, кто, когда и зачем получает доступ к данным. Без него Роскомнадзор сразу выписывает предписание.
• Назначить ответственного за ПДн - человека, который отслеживает соблюдение требований, ведёт журналы, проводит инструктажи и отчитывается перед контролирующими органами.
• Разработать инструкции по работе с данными - как передавать файлы, как хранить бумажные анкеты, как уничтожать старые записи. Это не просто формальность - на проверке спрашивают: «А вы действительно делаете так, как написано?»
• Проводить обучение сотрудников минимум раз в год. Не просто «поставить галочку», а проверить, что человек понял: нельзя отправлять списки клиентов по почте без шифрования, нельзя оставлять ноутбук с базой данных на рабочем столе.
• Вести внутренний аудит - раз в год проверять, всё ли работает. Не просто «есть документы», а «работают ли они на практике». Роскомнадзор не верит бумажкам - он смотрит, как всё происходит в реальности.

Именно эти меры устраняют 68% всех нарушений, которые выявляют проверки. Большинство компаний думают, что достаточно купить программу - и всё. Но если сотрудник может просто скопировать базу на флешку и уйти - техника не поможет. Тут нужен контроль, культура, ответственность.

Что включают технические меры защиты

Технические меры - это то, что делает работу за вас. Они не зависят от человеческого фактора. Это программы, системы, устройства, которые автоматически блокируют угрозы.

По приказу ФСТЭК № 21 от 2013 года, технические средства должны обеспечивать:

• Контроль доступа - только те, кто имеет право, могут войти в систему. Это не просто пароль, а двухфакторная аутентификация, логины с привязкой к роли (например, бухгалтер не может смотреть медицинские данные).
• Шифрование - данные должны быть зашифрованы и при хранении, и при передаче. Если вы отправляете список клиентов по электронной почте - это не просто «вложение». Это должен быть зашифрованный архив с паролем, переданным отдельно.
• Антивирусы и защита от вредоносного ПО - 78% российских компаний сталкивались с попытками взлома за последние три года. В 42% случаев атаки прошли успешно - потому что не было обновлений, не было сканера.
• Резервное копирование - если сервер упал, или его взломали, данные должны быть восстановлены. Не «мы думали, что всё сохранится». А «мы делаем бэкап каждый день и проверяем, что его можно открыть».
• Аудит событий - система должна записывать, кто, когда и что делал с данными. Это не просто «журнал логов». Это ваша защита в случае обвинения. Если кто-то скопировал базу - вы сможете показать, кто именно и когда.
• Защита сети - брандмауэры, сегментация, ограничение доступа к серверам с ПДн. Не все сотрудники должны иметь доступ к базе клиентов. Даже если они в одной компании.

Эти меры не опциональны. Они требуются по уровню защищённости, который определяется количеством данных и их чувствительностью. Если вы храните данные 1000 человек - вам нужен средний уровень. Если 10 000 - высокий. А если это биометрия или здоровье - то максимальный. В 2025 году это будет ещё строже.

Почему организационные и технические меры - это одна система

Многие ошибаются, думая, что можно выбрать что-то одно. Нет. Организационные меры без технических - это как запереть дверь, но оставить ключ в замке. Технические без организационных - как поставить камеру, но не обучать сотрудников не трогать кнопку «удалить».

Вот как они работают вместе:

• Вы назначаете ответственного - он настраивает систему доступа.
• Вы обучаете сотрудников - они не отправляют базы в WhatsApp.
• Вы внедряете шифрование - даже если кто-то украдет файл, он не откроется.
• Вы ведёте журналы - вы можете доказать, что никто не трогал данные без разрешения.

Без этого комплекса - вы не пройдёте проверку. Роскомнадзор не ищет «есть ли у вас антивирус». Он ищет: «есть ли документ, который говорит, что антивирус должен быть включен, кто его проверяет, и как часто». Если хоть один элемент отсутствует - это нарушение.

Что проверяют в Роскомнадзоре

С 2023 года количество проверок выросло на 37%, а штрафов - на 28%. И вот что они ищут:

• Политика обработки ПДн - есть ли? Есть ли подписи руководства и ответственного?
• Инструкции - написаны ли для всех ключевых процессов? Есть ли они в доступе у сотрудников?
• Журналы обучения - кто прошёл, когда, и подтверждение (подписи, тесты)?
• Аудит - проводился ли за последний год? Есть ли акт с выводами и действиями?
• Технические средства - работает ли шифрование? Есть ли резервные копии? Как часто они проверяются?
• Ответственный за ПДн - кто это? Как он назначен? Есть ли приказ?

Они не спрашивают «у вас есть антивирус?». Они спрашивают: «Кто отвечает за его обновление? Когда он последний раз проверялся? Кто это фиксировал?»

Сколько это стоит и как начать

Внедрение системы защиты - это не разовая покупка. Это процесс. Для компании до 50 человек - от 150 000 до 300 000 рублей. Для 50-200 - от 300 000 до 600 000. Это включает:

• Разработку политики и инструкций
• Назначение ответственного и обучение персонала
• Настройку технических средств (антивирус, шифрование, доступ)
• Проведение внутреннего аудита

Самые востребованные услуги - разработка политики (85% компаний), аудит (72%), обучение (65%), внедрение техники (58%).

Начать можно с трёх шагов:

1. Назначьте ответственного за ПДн - даже если это вы. Напишите приказ.
2. Создайте простую политику: что вы делаете с данными, кто имеет доступ, как храните, как уничтожаете.
3. Установите антивирус и включите шифрование на всех устройствах, где есть базы клиентов.

Потом - обучите сотрудников. Потом - проведите аудит. Это не один день. Это система. И она работает. По данным за 2024 год, компании, которые внедрили полный комплекс, снижают риски утечек на 65-80%.

Что изменится в 2025-2026 годах

Закон не стоит на месте. С 2024 года все операторы обязаны проводить оценку воздействия на персональные данные и публиковать отчёты. Это значит: если вы собираете данные о здоровье, биометрии, детях - вы должны доказать, что риски минимизированы.

В 2025 году ожидается:

• Ужесточение требований к биометрическим данным - хранить их станет сложнее, чем сейчас.
• Больше штрафов за утечки - возможно, до 5% от выручки.
• Обязательная сертификация систем защиты - не просто «у нас есть», а «у нас есть сертификат ФСТЭК».

Те, кто сейчас игнорирует эти меры, будут вынуждены платить не только штрафы, но и деньги на восстановление репутации. А те, кто действует - получают доверие клиентов, устойчивость к проверкам и спокойствие.