Персональные данные: риски и способы защиты

Частная информация о клиентах, сотрудниках или партнерах компании — это персональные данные (ПДн), за сохранность которых бизнес несет прямую ответственность. Их утечка может привести к репутационным рискам и санкциям со стороны регуляторов. В последние годы количество инцидентов с ПДн и размеры штрафов растут. Только в 2025 году в России зафиксировано более 200 утечек. Они произошли потому, что многие операторы персональных данных не в полной мере выполняли свои обязанности, не осознавая рисков. Рассказываем, как обращаться с ПДн и выстраивать защиту, чтобы снизить вероятность утечек.

Что такое персональные данные

Согласно № 152-ФЗ, ПДн — любая информация, которая прямо или косвенно относится к определенному физическому лицу и помогает его идентифицировать.

Персональные данные — не абстрактная юридическая формулировка, а реальные люди. За каждой записью в базе ПДн стоит чья-то личная информация, за сохранность которой отвечает компания.

Калиш Дарья

юрист по работе с персональными данными ГК «Солар»

Какие бывают персональные данные согласно классификации их в информационных системах (постановление Правительства РФ от 01.11.2012 г. № 1119):

В действующем сегодня законе № 152-ФЗ дана несколько иная классификация: с 2020 года на смену категории общедоступных ПДн пришла категория ПДн, разрешенных субъектом для распространения. К таким данным теперь могут относиться любые сведения, которые сам человек позволил оператору раскрыть неопределенному кругу лиц на основании специального, отдельно полученного согласия по утвержденной Роскомнадзором форме. К таким ПДн может относиться в том числе биометрия и специальные категории ПДн.

В процессе обработки любых персональных данных участвуют две стороны. Это оператор (компания, госорган или физическое лицо) и субъект ПДн — человек, которому принадлежит информация. В установленных законом случаях субъект должен дать оператору согласие на обработку своих данных. В свою очередь, оператор обязан обрабатывать сведения в соответствии с законом.

152-ФЗ: обязанности оператора ПДн и угроза штрафов

Закон № 152-ФЗ гласит, что защиту персональных данных осуществляет оператор. Компании обязаны собирать и применять ПДн исключительно для оговоренных законных целей и обеспечивать их конфиденциальность с момента сбора до удаления из базы.

Оператор должен приниматьб организационные и технические меры защиты. В законе сказано, что компании обязаны повышать уровень кибергигиены в команде (в том числе знакомить своих работников с локальными нормативными актами по обработке ПДн, а также обучать их правилам обращения с такой информацией) и применять системы для контроля доступа, мониторинга действий пользователей и предотвращения утечек.

За нарушение требований предусмотрена административная ответственность. Согласно статье 13.11 КоАП РФ, штрафы для юрлиц за неправомерную обработку ПДн могут доходить до 700 тысяч рублей (например, если компания не получила письменного согласия на обработку ПДн, хотя должна была это инициировать). При повторных нарушениях, некоторых других отклонениях и крупных утечках санкции еще серьезнее. Помимо штрафов есть риск внеплановых проверок Роскомнадзора и блокировки сайтов компаний, которые ненадлежащим образом обрабатывают персональные данные.

Права субъектов персональных данных

Закон о ПДн направлен прежде всего на защиту интересов человека. Каждый гражданин имеет право знать, кто, зачем и как использует его персональные данные. Это позволяет ему контролировать обращение с его личной информацией и защищать себя от негативных последствий. На что субъект ПДн имеет право:

• Быть в курсе процесса обработки данных — получать информацию о том, какие персональные данные собирает компания и с какой целью, в том числе до начала такой обработки.
• Получать доступ к своим данным — запрашивать сведения о действиях с информацией.
• Требовать уточнений — вносить изменения, если данные устарели или были неполными.
• Отозвать согласие и требовать удаления ПДн из базы — настаивать на прекращении обработки ПДн. Однако иногда компания может продолжить обработку личной информации, если у нее есть для этого основания (к примеру, если оператор должен исполнить требование законодательства).
• Обжаловать действия оператора и защищать свои интересы — требовать возмещения ущерба, компенсации морального вреда или прекращения нарушения прав субъекта при нарушении правил обработки ПДн, в т. ч. утечках.

Права субъекта действуют независимо от способа обработки ПДн — как в «бумажном виде», так и в цифровой среде.

Угрозы и последствия утечки персональных данных

Утечка персональных данных — не абстрактный риск, а реальная угроза для бизнеса и субъектов ПДн. Даже один инцидент может привести к цепочке негативных последствий, которые несут репутационный и финансовый ущерб, подрывают доверие со стороны клиентов и партнеров.

Для компаний утечка может обернуться штрафами со стороны регуляторов, внеплановыми проверками, судебными исками от клиентов и партнеров. Пострадает деловая репутация — партнеры и клиенты вряд ли захотят дальше сотрудничать после инцидента. Это приведет к прямым финансовым убыткам.

Для субъектов утечка персональных данных означает вероятность столкнуться с мошенниками. Злоумышленники могут использовать информацию для атак методами социальной инженерии, фишинга и спама, оформления кредитов и заключения иных договоров от лица жертвы и даже шантажа.

ПДн могут утечь по разным каналам, например:

• Электронная почта.
• Мессенджеры.
• Облачные хранилища.
• Съемные носители.
• Небезопасная печать.

Часто причиной утечки становятся не хакеры, а сотрудники. Иногда источником угрозы становится человеческий фактор, например, если работник по ошибке отправляет данные не тому адресату, теряет распечатанные документы, загружает файлы в общедоступное облако. Есть и намеренные утечки, когда сотрудники-нарушители сознательно крадут информацию.

Меры защиты ПДн: от организационных до технических

Защита персональных данных должна быть комплексной — включать организационные и технические меры. Вот основные:

DLP-система — основа технической защиты персональных данных. Она работает на последнем рубеже — контролирует действия сотрудников, которые непосредственно участвуют в процессе обработки ПДн. Система позволяет предотвращать намеренные и случайные утечки, корпоративное мошенничество.

DLP-система Solar Dozor обеспечивает полный контроль основных каналов утечек — от корпоративной почты (200 Гбит/час) до сетевого трафика (600 Мбит/сек), блокируя все попытки переслать базу клиентов или паспортные данные.

Особенности защиты персональных данных с помощью DLP-системы

Система работает в несколько этапов. Сначала она определяет, какие данные являются персональными, ля этого использует цифровые отпечатки, шаблоны, ключевые слова и контекстный анализ.

Второй шаг — непрерывный мониторинг действий пользователей, которые работают с персональными данными. Система контролирует операции на рабочих станциях и сетевой трафик, анализирует контекст событий. Она «видит», кто выполняет действия, с какого устройства и соответствуют ли эти действия политикам безопасности.

Третий шаг защиты — реагирование. DLP-система замечает нарушение, блокирует подозрительное действие, сохраняет доказательства либо отправляет уведомления. Сценарий реагирования можно настроить заранее. Например, DLP-система замечает, что сотрудник пытается скопировать данные на USB-накопитель. Она может отправить ему уведомление о нарушении политик безопасности либо запретить копирование. Система принимает решение мгновенно без участия человека, позволяя предотвратить утечку.

Четвертый шаг — фиксирование всех событий, связанных с персональными данными. DLP-система формирует единый централизованный архив, куда попадают все действия пользователей, содержимое сообщений, временные метки. Информация поможет в служебных расследованиях и аудите.

Специальные категории ПДн и их защита

Операторы должны уделить особое внимание защите специальных персональных данных, поскольку эти сведения являются чувствительными их утечка может нанести значительный ущерб субъектам. Законодательство устанавливает более строгие требования к работе с такой информацией. Особенности защиты специальных категорий персональных данных с помощью DLP-системы:

• Сверхстрогие политики безопасности — настройка отдельных правил, которые позволяют полностью запрещать передачу данных специальных категорий по любым каналам либо разрешать только для конкретных пользователей, которым доступ к таким сведениям нужен для исполнения их должностных обязанностей.
• Контроль доступа к специальным ПДн — DLP-система отслеживает не только попытки передачи и копирования информации, но и любые действия, например открытие и просмотр файлов.
• Контекстный анализ — при мониторинге действий система учитывает цель доступа, роль сотрудников в компании и другие объективные факторы.

В Solar Dozor реализованы модуль Dozor Detective и универсальный плеер 4D. Они позволяют при расследовании инцидента с ПДн специальных категорий восстановить полную картину: кто, когда, с какого компьютера и куда пытался передать конфиденциальную информацию субъектов. Например, пациентов медицинской организации или работников с инвалидностью.

Защита ПДн в распределенных компаниях и филиалах

Многие компании имеют распределенную инфраструктуру, что осложняет выстраивание защиты. В основном проблема с применением политик безопасности, поскольку в филиалах они бывают разные. Из этого вытекают следующие риски:

• Разные настройки СЗИ в филиалах.
• Отсутствие единой процедуры контроля действий сотрудников.
• Сложности при расследовании инцидентов, которые затрагивают несколько филиалов.

Во всех филиалах должны действовать единые правила, кому можно предоставлять персональные данные и как с ними работать. DLP-система позволит внедрить везде одинаковые политики и контролировать выполнение.

В Solar Dozor есть специальный модуль MultiDozor. Он обеспечивает сквозной мониторинг и упрощает проведение расследований по всем филиалам с централизованным управлением, но с возможностью локального хранения данных и разграничения прав для офицеров ИБ в регионах.

Профилактика утечек ПДн с помощью анализа поведения (UBA)

Иногда сотрудники ведут себя нетипично, но явно не нарушают правила, поэтому никто не подозревает в них инсайдеров (тултип — внутренних нарушителей, из-за которых происходят инциденты ИБ). Например, работник перед увольнением может в большом объеме копировать файлы или распечатывать документы. Технология UBA (User Behaviour Analytics) позволит обнаружить такие действия и отнести сотрудника к группе риска, чтобы внимательно за ним наблюдать.

Solar Dozor — первая российская DLP со встроенным UBA-модулем. Система строит профили поведения и автоматически выявляет аномалии по 20+ паттернам, таким как «Признаки увольнения» или «Потенциальные инсайдеры». Таким образом, она помогает предотвратить утечку до того, как она произойдет.

UBA-модуль собирает события, связанные с конкретными пользователями и позволяет выявить отклонения от их нормального поведения. Эта информация помогает сделать предположение, кто из сотрудников несет угрозу компании, и принять проактивные меры.

Расследование инцидентов с утечкой персональных данных

Если инцидент с ПДн произошел, компания обязана определить его масштаб, найти виновных и уведомить Роскомнадзор. Чтобы разобраться в ситуации, необходимо предоставить доказательства. Без DLP-системы их собрать практически невозможно, а с ее помощью процесс можно автоматизировать. Система будет сама искать доказательства в архиве коммуникаций по ФИО, паспортными данным, содержимым сообщений.

Таким образом, все действия пользователей с персональными данными будут фиксироваться, из-за чего станет проще создать отчеты для регуляторов. С помощью собранных данных можно полностью восстановить картину инцидента и обнаружить виновных.

В Solar Dozor есть функция ретроспективного анализа. Система позволяет расследовать инциденты, которые произошли до ее внедрения. Можно восстановить архив событий с рабочих станций и постфактум найти источник утечки персональных данных.

Требования ФСТЭК и выбор DLP-системы

В информационных системах обработки персональных данных DLP должна быть сертифицирована ФСТЭК России ФСТЭК России — контролирующий орган, регламентирующий использование СЗИ. Это требование распространяется на государственные информационные системы и критически важные инфраструктуры. Для большинства коммерческих операторов ПДн достаточно сертификации по 4 уровню доверия.

В связи с требованием импортозамещения важно, чтобы DLP-система была отечественной. Это обеспечивает независимость от импортного ПО, минимизирует риски санкций и повышает безопасность инфраструктуры. Нужно учитывать и другие факторы — зрелость, масштабируемость, готовность к задачам крупных компаний и другие. В помощь — подробный чек-лист по выбору DLP-системы.

Solar Dozor — DLP-система, которая присутствует в реестре отечественного ПО. Она сертифицирована ФСТЭК России по 4-му уровню доверия и полностью соответствует требованиям регуляторов для защиты ПДн. Система работает на российских ОС (Astra Linux, РЕД ОС), совместима с отечественными СУБД.

Защитите персональные данные ваших клиентов.

Протестируйте бесплатно

Как защитить персональные данные и избежать штрафов

Защита ПДн — не просто формальность, а комплексная задача по соблюдению закона, внедрению технологий и контролю сотрудников. Выполнить требования закона № 152-ФЗ поможет надежная, высокопроизводительная и сертифицированная DLP-система Solar Dozor. Она предотвращает утечки персональных данных, автоматизирует расследования и помогает собрать доказательства для представления регуляторам. Это выбор компаний, которые обрабатывают огромные объемы информации и ценят свою репутацию.

Узнайте, как Solar Dozor будет защищать персональные данные в вашей компании. Отправьте заявку и получите консультацию по соответствию нормам закона № 152-ФЗ.

FAQ