Оборотные штрафы за утечку персональных данных: как минимизировать риски

В мае 2025 г. вступили в силу поправки в КоАП РФ, которые ужесточили ответственность за утечки и неправомерное использование персональных данных. За правонарушения компаниям грозят крупные оборотные штрафы, однако судебная практика в этой сфере только формируется. Рассмотрим подробнее вопросы ответственности за утечки и смягчающих обстоятельствах, а также ошибки, которые допускают операторы данных. В статье вы найдете пошаговый план и чек-лист, которые помогут вам создать систему защиты.

Автор: Андрей Быков, руководитель центра консалтинга в области защиты данных, BI.ZONE

В прошлом году Госдума приняла Федеральный закон от 30.11.2024 № 420-ФЗ, некоторые части которого вступили в силу 30 мая 2025 г. и впервые ввели оборотные штрафы за утечки персональных данных. В документе установлены новые штрафы, определены смягчающие обстоятельства, предусмотрен термин "идентификатор". Так назвали уникальное обозначение сведений о физическом лице, которые содержатся в информационной системе персональных данных оператора.

В чем особенность закона?

Обнуление старых утечек

Закон не имеет обратной силы. Если утечка произошла до 30 мая 2025 г., то наступит ответственность, действовавшая на момент правонарушения. Если первичная утечка была до 30 мая, то за повторную ответственность применяться не будет.

Однако если утечка случилась до 30 мая, а инцидент зафиксирован и обнародован после, будет сложно доказать, что он произошел раньше. Но и такой случай в законе отдельно обговорен, ведь необходимо доказать сам факт новой утечки.

Требования и ответственность

Кратно увеличились штрафы за незаконную обработку персональных данных. Добавились штрафы, если не уведомить Роскомнадзор о намерении обрабатывать ПДн и об утечках.

На то, чтобы сообщить об инциденте и его предполагаемых причинах, отведено 24 часа. На уведомление о результатах внутреннего расследования (что привело к утечке, как организация обеспечила безопасность) – не более 72 часов.

Предусмотрены смягчающие обстоятельства

Размер штрафа зависит от различных факторов, среди которых категории ПДн, количество субъектов, данные которых попали в открытый доступ. Сумма штрафа варьируется от 500 тыс. руб. до 20 млн руб.

При выполнении некоторых условий размер оборотного штрафа составит 0,1 минимального размера административного штрафа. Если у компании серьезные обороты, и назначенный штраф составляет, например, 300 млн руб., то при соблюдении смягчающих условий он снизится до 30 млн руб.

При всей строгости новых оборотных штрафов закон вводит смягчающие обстоятельства в случае повторных утечек. Законодатели определили три условия, которые должны выполняться одновременно.

Обстоятельства	Меры соблюдения
Инвестирование в кибербезопасность не менее 0,1% от выручки (или размера капитала) ежегодно в течение последних 3 лет	Закупить у лицензиатов ФСТЭК России или ФСБ России товары, работы или услуги в сфере кибербезопасности: консалтинговые, интеграционные услуги; сервисы кибербезопасности (SOC, пентесты и другие); оценки соответствия требованиям кибербезопасности. Если организация является лицензиатом ФСБ России или ФСТЭК России, она может организовать кибербезопасность собственными ресурсами, учитывая требования к размеру расходов
Документы, подтверждающие, что организация соблюдала требования по защите ПДн в течение 1 года до утечки	Ежегодно оценивать соответствие требованиям по защите ПДн с привлечением лицензиата ФСТЭК России и обязательным изданием подтверждающего документа в одной из следующих форм: оценка соответствия требованиям по защите ПДн; оценка эффективности реализованных мер по защите ПДн; аттестация ИСПДн на соответствие требованиям по защите ПДн
Отсутствие отягчающих обстоятельств	Исключить противоправное поведение. Если человек на момент нарушения (или когда выносится постановление) уже был наказан за нарушения, связанные с обработкой персональных данных (по статьям 13.11, 13.6 или 13.12 КоАП РФ), то это будет учитываться как повторное правонарушение

Нелегальный сбор и использование персональных данных

В Уголовный кодекс РФ добавили новую статью 272.1, которая касается незаконного обращения с компьютерной информацией.

Есть несколько вариантов наказаний за неправомерную обработку компьютерной информации, содержащей ПДн:

Штраф в размере 300 тыс. руб., или в размере зарплаты, или иного дохода за период до одного года.
Принудительные работы на срок до 4 лет или лишение свободы на тот же срок.

Незаконная обработка специальных, биометрических ПДн, данных несовершеннолетних лиц может обернуться штрафом в сумме до 700 тыс. руб. или лишением свободы на срок до 5 лет.

Всего в статье шесть частей, которые предусматривают ответственность за деяния:

совершенные из корыстной заинтересованности,
с причинением крупного ущерба,
группой лиц по предварительному сговору,
с использованием своего служебного положения.

Другие меры ответственности: 3 млн руб. штрафа, 10 лет лишения свободы, запрет занимать определенные должности до 5 лет.

Как избежать ошибок при обработке и защите ПДн: чек-лист

Чтобы минимизировать риски, необходимо:

Назначить ответственного за обработку и защиту ПДн.
Определить перечень, состав субъектов и процессы обработки ПДн.
Обеспечить контроль сроков и способов обработки, хранения, а также уничтожения ПДн.
Уведомить Роскомнадзор о текущих процессах обработки ПДн.
Зафиксировать информационные системы, участвующие в обработке ПДн.
Разработать комплект ОРД, включая типовые формы согласий на обработку.
Опубликовать документ, определяющий политику обработки ПДн в организации.
Заключить договор по обработке и защите ПДн с контрагентами.
Оценить вред, который может быть причинен субъектам ПДн.
Провести моделирование угроз безопасности в ИСПДн.
Внедрить средства защиты ПДн, соответствующие требованиям регуляторов.
Обеспечить взаимодействие с ГосСОПКА и регуляторами.
Организовать обработку обращений субъектов ПДн.
Обучать сотрудников работе с данными и регулярно повышать осведомленность клиентов.
Проводить периодический аудит соответствия требованиям в области обработки и защиты ПДн.
Следить за изменениями в законодательстве и своевременно обновлять документы.

Еще один актуальный вопрос: как определить, насколько хорошо защищены персональные данные? На уровень защищенности влияют следующие факторы:

категории ПДн (специальные, биометрические, общедоступные, иные),
количество субъектов, данные которых обрабатываются в системе (более или менее 100 тыс.),
типы субъектов ПДн (работники или агенты, контрагенты, клиенты и т. д.),
типы актуальных угроз безопасности ПДн.

15 групп мер защиты персональных данных регулируются приказом ФСТЭК России № 21. Согласно ему, обеспечивать безопасность ПДн должны средства, которые прошли процедуру оценки соответствия (получен сертификат, проведены приемка или испытания). Состав мер определяется согласно уровню защищенности ПДн, подлежит адаптации, уточнению на основе реализованных в системе технических средств и актуальных угроз.

Как моделировать угрозы?

Согласно Постановлению Правительства РФ от 1 ноября 2012 г. № 1119, существует три типа актуальных угроз безопасности ПДн:

Первый — есть недокументированные возможности в системном ПО.
Второй — есть недокументированные возможности в прикладном ПО.
Третий — другие угрозы.
Меры по управлению инцидентами обязательны для систем второго уровня защищенности и выше.

ris1-Oct-16-2025-04-04-55-7506-PM
Рис. Определение уровня защищенности ПДн

Распространенные ошибки при построении системы защиты ПДн связаны с использованием ресурсов центра обработки данных (ЦОД). Считается, если система размещена в аттестованном дата-центре, она автоматически защищена.

При оценке дата-центра смотрят на физическую и сетевую безопасность, защиту периметра на уровне платформ виртуализации. Даже если ЦОД соответствует этим требованиям, то на уровне конкретных виртуальных машин все не так однозначно. Требования к безопасности определяют конкретные договоры. И, как правило, положение об обеспечении безопасности не входит в договор по умолчанию. Поэтому важно определить зоны ответственности в кибербезопасности между поставщиком услуг ЦОД и клиентом.

Еще одна рекомендация — провести мероприятия по защите виртуальных машин, систем. Это можно сделать самостоятельно, привлечь оператора услуг дата-центра или третьих лиц. В таблице ниже представлен типовой вариант распределения ответственности за безопасность персональных данных в ЦОД.

Направление	Модели облачных услуг
	Colocation	IaaS	PaaS	SaaS
Управление доступа к данным	−	−	−	−
Резервирование данных	−	−	−	+
Безопасность приложений	−	−	−	+
Безопасность ОС	−	−	+	+
Логирование событий	−	+ / −	+ / −	+
Шифрование каналов связи	−	+ /−	+ / −	+ / −
Защита платформы виртуализации	−	+	+	+
Периметровая сетевая безопасность	−	+	+	+
Резервирование компонентов инфраструктуры	−	+	+	+
Физическая безопасность	+	+	+	+

− зона ответственности клиента
+ зона ответственности поставщика услуг ЦОДа

Из чего состоят меры по защите ПДн?

В таблице ниже представлены меры защиты ПДн в соответствии с требованиями приказа ФСТЭК России №21 и средства, которые позволят их реализовать.

Меры защиты	Средства реализации
Идентификация и аутентификация субъектов и объектов доступа (ИАФ)	Встроенные средства операционной системы (ОС), прикладного программного обеспечения (ПО) и систем управления базами данных (СУБД) Средства защиты от несанкционированного доступа (НСД)
Управление доступом субъектов доступа к объектам доступа (УПД)	Встроенные средства ОС, прикладного ПО и СУБД Средства защиты от НСД Криптошлюз Организационные меры
Ограничение программной среды (ОПС)	Встроенные средства ОС Средства защиты от НСД Организационные меры
Защита машинных носителей персональных данных (ЗНИ)	Встроенные средства ОС Средства защиты от НСД Организационные меры
Регистрация событий безопасности (РСБ)	Встроенные средства ОС, прикладного ПО, СУБД SIEM
Антивирусная защита (АВЗ)	Средство антивирусной защиты
Обнаружение вторжений (СОВ)	Средство обнаружения вторжений (IDS/IPS)
Контроль (анализ) защищенности персональных данных (АНЗ)	Средство анализа защищенности (выявления уязвимостей)
Обеспечение целостности информационной системы и персональных данных (ОЦЛ)	Встроенные средства ОС, прикладного ПО и СУБД Средства защиты от НСД
Обеспечение доступности персональных данных (ОДТ)	Средства резервного копирования Организационные меры
Защита среды виртуализации (ЗСВ)	Встроенные средства платформы виртуализации Наложенные средства защиты среды виртуализации
Защита технических средств (ЗТС)	Организационные меры
Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)	Межсетевые экраны, криптошлюзы Встроенные средства ОС Средства защиты от НСД Организационные меры
Выявление инцидентов и реагирование на них (ИНЦ)	Организационные меры
Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)	Организационные меры

Как организовать системный подход

Системный подход к организации процесса обработки персональных данных можно представить в виде плана из семи шагов.

Шаг первый. Провести аудит процессов обработки ПДн и применяемых ИСПДн.
Шаг второй. Составить документацию: положения, политики, регламенты, реестры. Описать в них, как работать с ПДн.
Шаг третий. Сформировать требования к системе защиты ПДн: моделирование угроз, разработка ТЗ для системы защиты.
Шаг четвертый. Спроектировать систему защиты ПДн: оформить проектную, рабочую и эксплуатационную документацию.
Шаг пятый. Внедрить систему защиты: закупить оборудование и ПО, установить их, настроить средства защиты, провести предварительные испытания.
Шаг шестой. Разработать ОРД (регламенты, правила и процедуры) по обеспечению безопасности. Например, регламент, в котором установлен порядок коммуникаций при уведомлении регуляторов и СМИ о выявленных инцидентах, определены ответственные за это.
Шаг седьмой. Оценить соответствие внедренной системы защиты всем требованиям и подтвердить это соответствующими документами.

Проект системы защиты выглядит масштабным. Но после его реализации компания сможет системно управлять процессами обработки и защиты ПДн, получит документацию для проверок регуляторами и документальное подтверждение, что требования по защите персональных данных соблюдены — это необходимо для смягчения наказания. Тем более все это снизит риски успешных атак.

В то же время такой проект — это не финал, а начало пути, ведь обеспечивать безопасность нужно постоянно. Во время эксплуатации системы защиты потребуются:

непрерывное управление активами, доступом, уязвимостями и инцидентами кибербезопасности,
оптимизация средств защиты,
периодический контроль защищенности,
повышение осведомленности в области кибербезопасности,
поддержание системы процессов в актуальном состоянии и т. д.

Как автоматизировать защиту и обеспечить соответствие требованиям

Для комплексного управления обработкой и защитой персональных данных, оптимизации ресурсов, снижения рисков человеческих ошибок и сокращения времени на рутинные операции рекомендуется использовать системы класса GRC.

Среди ключевых возможностей GRC-решений для защиты ПДн:

Сбор информации о процессах обработки персональных данных и ведение реестра.
Составление модели угроз и ее самоактуализация при изменении архитектуры систем.
Разработка документации по ПДн.
Автоматическое обновление материалов при изменении законодательства, инфраструктуры или процессов компании.
Автоматизация технического проектирования системы защиты для ГИС.
Автоматизация разработки всех документов по приказу ФСТЭК России № 77, включая техническое задание, пояснительную записку и модель угроз.

Такие системы позволяют контролировать ключевые процессы кибербезопасности, автоматизировать выполнение требований по защите ПДн, ГИС и КИИ, просто управлять ИТ-активами, уязвимостями и угрозами, а также проводить аудиты. Это особенно актуально для крупных компаний и холдингов, которые обрабатывают большие объемы персональных данных и должны соблюдать требования ФСТЭК России, Роскомнадзора, других регулирующих органов.