Практика соблюдения требований ФЗ-152: обзор требований и типичных ошибок

Основные требования ФЗ 152-ФЗ

Федеральный закон 152-ФЗ «О персональных данных» устанавливает строгие правила для защиты информации о физлицах. Ключевые принципы обработки закреплены в статье 5:

1. Законность и добросовестность. Обработка возможна только при наличии основания: согласия субъекта, договора или прямого указания иного федерального закона. В отдельных случаях, перечисленных в статье 6 ФЗ 152-ФЗ, обработка допускается и без согласия.
2. Целевое ограничение. Данные можно собирать и использовать только для конкретных, заранее объявленных целей. Сбор «про запас» нарушает закон.
3. Минимизация данных. Нельзя запрашивать избыточные сведения. Объем информации должен строго соответствовать заявленным целям обработки.
4. Ограничение хранения. Персональные данные (ПДн) хранят только в течение срока, необходимого для достижения цели. После этого их необходимо уничтожить или обезличить.
5. Конфиденциальность. Оператор не может распространять ПДн без согласия человека, если нет законных оснований.
6. Безопасность. Оператор обязан обеспечить защиту персональных данных, внедрив технические и организационные меры. Это центральное требование для ИБ-специалистов и руководителей.
7. Информационная открытость. Оператор должен предоставить гражданину (субъекту данных) информацию о своей политике и практике обработки.

Соблюдение этих принципов — база для выполнения всех остальных требований Закона 152-ФЗ.

Требования к защите информации 

Нельзя соблюдать вышеуказанные принципы и защищать ПДн без внедрения конкретных мер. Основные требования 152-ФЗ в части безопасности обязывают оператора реализовать комплекс организационных и технических мер, чтобы предотвратить утечки и несанкционированный доступ. 

Организационные меры закрепляются во внутренних документах. В этот набор входят распорядительные документы и локальные акты по обработке и защите персональных данных:

• Политика в отношении обработки ПДн;
• Положение об обработке и защите данных;
• приказ о назначении ответственного за организацию обработки;
• модель угроз безопасности информации;
• инструкции для пользователей и администраторов информационных систем, и т.д.

Технические меры зависят от типа обрабатываемых данных и модели угроз, но их ядро всегда составляют:

1. Настройка резервного копирования и восстановления.
2. Использование средств защиты информации: межсетевых экранов, антивирусов, систем обнаружения вторжений и т.д.
3. Регистрация и учет действий в информационной системе.
4. Применение средств шифрования (криптографической защиты информации) при передаче данных или хранении на мобильных носителях.

Помните про штрафы за утечку

Если не соблюдать требования Федерального закона «О персональных данных», вы рискуете допустить утечку из-за нарушения правил защиты и получить штраф по ст.13.11 КоАП РФ. Размер штрафа теперь прямо привязан к количеству скомпрометированных ПДн:

1. От 1 000 до 10 000 субъектов: штраф от 3 до 5 млн рублей.
2. От 10 000 до 100 000 субъектов: от 5 до 10 млн рублей.
3. Более 100 000 субъектов: от 10 до 15 млн рублей.

Самые серьезные штрафы предусмотрены за утечку спецкатегорий ПДн или биометрии. В первом случае штраф может достигать 15 млн рублей, во втором — 20 млн рублей. 

Повторное нарушение влечет катастрофические последствия. Штраф может составить до 3% годовой выручки компании, но не менее 20-25 млн рублей. Важно учитывать, что ИП несут ответственность как юридические лица.

Распространенные ошибки ИБ-специалистов

Ошибки при работе с нейросетями

Главная проблема — склонность переоценивать системы ИИ и недооценивать специфические риски. Нейросети внедряют как «волшебное» решение без анализа их реального воздействия на инфраструктуру безопасности.

Типичные ошибки:

1. Несанкционированная передача данных в публичные сервисы. Сотрудники используют открытые нейросетевые чат-боты для работы, случайно или намеренно загружая в них конфиденциальные сведения. Это прямая утечка.
2. Отсутствие валидации и аудита. Результаты генеративного ИИ часто принимают на веру. Без механизмов проверки «галлюцинации» или вредоносные инструкции нейросети могут привести к инцидентам.
3. Игнорирование ИИ-инфраструктуры в модели угроз. Нейросеть и ее окружение — новая поверхность для атаки. Prompt-инжекция, искажение обучающих данных и другие векторы остаются вне поля зрения многих ИБ-команд.

Не настроено резервное копирование и восстановление

Это критическая ошибка многих инженеров по информационной безопасности. Некоторые воспринимают эту процедуру как избыточную до момента реальной потери данных. Если нет актуальных копий, это может привести, например, к безвозвратной утрате бухгалтерской отчетности, клиентских баз и внутренней документации при сбое или кибератаке.

Вторая распространенная проблема — отсутствие регулярных проверок восстановления. Создание резервной копии не гарантирует ее работоспособность. Без тестовых процедур в момент кризиса может выясниться, что данные повреждены, не читаются или процесс занимает слишком много времени. Резервное копирование эффективно только вместе с правильно настроенным восстановлением.

Отсутствие плана реагирования на инциденты

Это довольно серьезное упущение. Многие компании начинают разработку плана уже после утечки данных, что приводит к хаосу и потерям.

Почему этот документ так важен:

1. Без четкого регламента сотрудники не понимают, кому, как и в какие сроки сообщить об инциденте, какие первые действия предпринять для локализации. 
2. Это приводит к критическому затягиванию времени, усугублению последствий и нарушению срока уведомления Роскомнадзора: в течение 24 часов с момента выявления инцидента уведомление нужно отправить в РКН, а также в течение 72 часов — отчитаться о результатах расследования.

Если у в компании нет плана реагирования на инциденты и сотрудники пропустят срок уведомления,  оператора могут оштрафовать по ч.11 ст.13.11 КоАП РФ на сумму от 1 до 3 млн рублей. 

Нет обучения сотрудников

Человеческий фактор остается одним из главных рисков. Сотрудники, не прошедшие инструктаж, не способны распознать, например, письмо с фишинговой ссылкой. Одно нажатие на вредоносную ссылку может открыть злоумышленникам доступ к персональным данным.

Законодательство Российской Федерации прямо обязывает операторов проводить обучение (п.6 ч.1 ст.18.1 ФЗ 152-ФЗ). Без регулярного инструктажа персонал не будет знать базовых правил: какие письма опасны, куда передавать пароли запрещено, как действовать при подозрительных запросах. Например, письмо от якобы «банка» с просьбой «подтвердить данные» часто приводит к утечке.

Ошибки при интеграции ИБ в DevOps

Интеграция безопасности в процессы разработки (DevSecOps) часто страдает от двух системных ошибок, сводящих на нет защиту:

1. Использование общих учетных записей. Когда разные люди или сервисы используют для доступа к системам один логин и пароль, исчезает принцип индивидуальной ответственности. Взлом такой учетной записи дает злоумышленнику неконтролируемый доступ ко всем связанным ресурсам и данным.
2. Отсутствие сегментации и избыточные права. Для ускорения работы сотрудникам и службам часто выдают права доступа, превышающие необходимый минимум. Разработчик с правами администратора в production-среде — классический пример. Это нарушает базовый принцип минимальных привилегий и многократно увеличивает потенциальный ущерб от инцидента.

Неправильная расстановка приоритетов

Типичная ошибка — концентрация ресурсов на защите одного сегмента при полном игнорировании других. Часто это выражается в построении мощного межсетевого экрана при отсутствии базовых средств защиты на рабочих станциях, серверах или в процессах управления доступом.

Такой подход создает иллюзию безопасности. Компания превращается в «крепость с бумажными стенами»: внешний периметр может быть укреплен, но внутренняя сеть остается беззащитной перед злоумышленником, преодолевшим первый рубеж.

Правильная расстановка приоритетов в защите персональных данных не означает, что меры нужно внедрять выборочно. Она предполагает поэтапное, но системное применение защиты ко всем элементам: оборудованию, каналам связи, процессам и персоналу. Цель — не создать «самую сильную точку», а исключить слабые звенья в цепочке.

Нерегулярное проведение аудита

Частой ошибкой является проведение аудита защиты персональных данных исключительно «для галочки» или при подготовке к проверке. Требования ФЗ 152-ФЗ «О персональных данных» (ст. 18.1, 19) прямо обязывают оператора регулярно оценивать эффективность принимаемых мер.

Проведение внутреннего аудита — это обязанность. Оператор может выполнять его силами штатных специалистов или привлекать аккредитованную организацию. Ключевая задача — системная проверка:

1. Актуальности документов (Политики, модели угроз, инструкций и т.д.).
2. Соответствия технических мер установленным требованиям.
3. Выполнения регламентов сотрудниками.

Законодательство и технологический ландшафт меняются. Без регулярного аудита принятая год назад модель угроз или набор защитных мер быстро устаревают, создавая слепые зоны для потенциальных нарушений.

Ошибки при категорировании персональных данных: присвоение не той категории

Для объектов критической информационной инфраструктуры (КИИ) категорирование — обязательная процедура (ст.7 ФЗ от 26.07.2017 187-ФЗ). Значимость объекта КИИ определяется по пяти критериям: социальной, политической, экономической, экологической значимости и важности для обороны страны. Закон выделяет три категории значимости:

1. Первая — наивысшая значимость.
2. Вторая — средняя значимость.
3. Третья — наименьшая значимость. 

Последствия неправильного категорирования могут быть плачевными: недооценка угроз, избыточные расходы, некорректное определение границ информационной системы. Кроме того, это может привести к утечке информации. 

Другие ошибки

Помимо перечисленных, инженеры по информационной безопасности и руководители часто допускают следующие упущения:

1. Игнорирование физической безопасности. Недостаточный контроль доступа в серверные помещения, к рабочим станциям или носителям информации сводит на нет все технические меры защиты.
2. Работа с устаревшим программным обеспечением. Несвоевременное обновление операционных систем и прикладных программ, особенно после выхода критических патчей, является прямой причиной успешных кибератак.
3. Слабая политика паролей и отсутствие многофакторной аутентификации. Простые пароли и их повторное использование на разных сервисах — самый частый вектор компрометации. MFA критически важна для доступа к ключевым системам.
4. Недооценка рисков третьих сторон. Передача персональных данных субподрядчику или облачному провайдеру без должной правовой и технической оценки их уровня защиты создает неуправляемые угрозы.

Как выстроить безопасную работу с ПДн: чек-лист для руководителей и инженеров ИБ

Системный подход — основа соблюдения требований ФЗ 152-ФЗ. Мы подготовили рекомендации, которые помогут вам сократить риски:

1. Назначьте ответственного за организацию обработки ПДн. Издайте соответствующий приказ.
2. Разработайте и утвердите полный комплект организационно-распорядительной документации: Политику, перечень ПДн, модель угроз, инструкции и т.д.
3. Определите актуальный состав информационных систем ПДн и проведите их категорирование.
4. На основе модели угроз выберите и внедрите необходимый комплекс технических мер защиты (СЗПДн). Составьте и утвердите акт о их применении.
5. Реализуйте регулярное обучение и инструктаж сотрудников, работающих с персональными данными.
6. Разработайте и утвердите Регламент по реагированию на инциденты. Проведите учения.
7. Организуйте безопасный документооборот: от регламента уничтожения бумажных носителей до использования шифрования для электронной переписки с данными.
8. Внедрите процедуру регулярного внутреннего аудита для проверки всех процессов и документов — не реже одного раза в год.
9. Отслеживайте изменения в законодательстве и вовремя обновляйте документы по ПДн и ИБ.
10. Тщательно проверяйте процессы оценки безопасности при передаче данных третьим лицам (обработчикам).

Безопасность персональных данных по требованиям Федерального закона 152— это непрерывный цикл, а не разовое мероприятие. Реализуйте эти шаги, регулярно пересматривайте и улучшайте каждый процесс. Помните, что в 2025-2026 годах регулятор уделяет особое внимание не только наличию документов, но и доказательной практике их применения.