Журнал "Information Security/ Информационная безопасность" #1, 2026

С 1 сентября 2025 г. согласие на обработку ПДн физически и по смыслу должно быть оформлено как отдельный документ, а не спрятано внутри догово- ра или пользовательского соглашения. Это радикально повышает требования к прозрачности и проверке корректности согласий. Функция контроля теперь включает анализ форм согласия, их содержания и процесса получения, а также проверку наличия конкретного, информированного и недвусмысленного волеизъявления субъекта. Уточнены и расширены правила рабо- ты с биометрическими и обезличенными данными, включая передачу в государст- венные информационные системы и запрет передачи ряда категорий дан- ных иностранным субъектам, что услож- няет контроль за соблюдением маршру- тов обработки и передачи. Федеральный закон № 420-ФЗ и его последующие изменения с 30 мая 2025 г. ввели градуированные штрафы за утеч- ки и нарушения при обработке ПДн. Это превратило внутренний контроль в важнейшую меру управления ком- плаенс-рисками: руководству выгоднее инвестировать в проверку процессов и защиту, чем сталкиваться с послед- ствиями крупных инцидентов. Не заста- вила себя ждать и судебная практика. Так, 16 февраля 2026 г. было отменено решение о взыскании с ОАО "РЖД" штрафа за утечку ПДн, поскольку не было доказано, что в организации не были приняты все зависящие от него меры по соблюдению правил и норм действующего законодательства по ПДн 1 . Помимо административной, усилива- ется и уголовная ответственность за грубые нарушения и незаконное исполь- зование ПДн, что дополнительно повы- шает значимость внутреннего и внеш- него контроля для руководителей и должностных лиц. Внутренний и внешний контроль Функция контроля в организациях меняется под влиянием реформ госу- дарственного надзора: обновлен рег- ламент федерального госконтроля за обработкой ПДн, уточнены подходы к плановым и внеплановым проверкам, перечень проверяемых документов и критерии оценки соблюдения требо- ваний. Внутренний контроль теперь фактически ориентируется на подго- товку к таким проверкам, объявления предостережений, обеспечивая нали- чие доказательств соблюдения зако- нодательства и исполнения предписа- ний. Важным подспорьем при прове- дении внутреннего контроля становится форма проверочного листа, утвержден- ная приказом РКН № 253 от 24.12.2021 и дополненная изменениями от 10.01.2023 г. Особую роль играет технический конт- роль ФСТЭК России, которая запраши- вает отчеты по защищенности и соблю- дению условий лицензий, что стимули- рует компании системно выстраивать внутренний контроль за обработкой и защитой ПДн. Обязанность оператора принимать необходимые организационные и тех- нические меры к защите ПДн теперь наполняется более конкретным содер- жанием: контроль охватывает и исполь- зование криптографических средств, систем разграничения доступа, средств защиты от утечек и мониторинга инци- дентов. Проверяется корректность клас- сификации информационных систем, наличие моделей угроз и соответствие принятых мер установленным требова- ниям по уровням защищенности. Рынок демонстрирует рост решений для автоматизации контроля обработки ПДн. Например, весьма востребован- ными стали внутренние платформы управления согласиями, обеспечиваю- щие автоматизированный сбор, хране- ние, обновление и отзыв согласий субъ- ектов ПДн с интеграцией в цифровые каналы взаимодействия. Существенно изменилось содержание контроля за реагированием на инци- денты с ПДн: организации обязаны иметь процедуры выявления утечек, фиксации инцидентов и немедленного уведомления Роскомнадзора и иных уполномоченных органов в установлен- ные сроки. Несвоевременное или непол- ное уведомление теперь само по себе является отдельным правонарушением с существенно более строгими санк- циями. Контроль предусматривает анализ причин инцидентов, оценку ущерба субъектам, оперативное информиро- вание субъектов ПДн, разработку и реализацию корректирующих меро- приятий, что сближает функцию конт- роля с практиками управленческого и ИБ-аудита. Отдельным направлением стало регу- лирование биометрических и обезли- ченных данных: предусмотрена центра- лизация биометрии в Единой биомет- рической системе и обязанность опе- раторов удалять локальные копии дан- ных в установленные сроки. Контроль в организациях должен обеспечивать, чтобы биометрические данные не хра- нились неоправданно долго и не пере- давались неуполномоченным лицам, в том числе иностранным субъектам. Для обезличенных данных вводится обязательная передача определенных массивов в государственные информа- ционные системы и ужесточаются тре- бования к их защите, что требует допол- нительного мониторинга каналов пере- дачи и применяемых методов обез- личивания. Практические последствия Организации вынуждены проводить неформальный и регулярный аудит про- цессов обработки ПДн, приводить локальные документы в соответствие с изменяющимся законодательством и повышать уровень технической защи- ты ПДн. Существенно выросла потреб- ность в обучении персонала, создании или усилении подразделений по ком- плаенсу и информационной безопасно- сти, а также во внедрении специализи- рованных решений для мониторинга и предотвращения утечек. Наш практический опыт показывает, что для успешной адаптации к новым требованиям контроля обработки ПДн необходимо: 1. Пересмотреть вовлеченность пер- вых лиц компании в процессы защиты информационных ресурсов, когда их решения значимы как для бизнеса в целом, так и репутации компании, а личное действие или бездействие могут привести к инцидентам. 2. Назначить ответственного за обра- ботку ПДн, обучить его по программе профессиональной переподготовки, провести аудит текущих процессов обработки ПДн с фокусом на выявлении точек, где требования законодательства замедляют бизнес-процессы. 3. Обеспечить вовлечение ответствен- ного за организацию обработки персо- нальных данных и ответственного за защиту ПДн в проектные группы на ранних этапах использования и (или) разработки цифровых продуктов. Даже минимальное участие на стадии фор- мирования технического задания поз- воляет избежать значительных затрат на переделку решений впоследствии. 4. Рассмотреть возможности поэтап- ной автоматизации наиболее трудоем- ких контрольных процедур, начиная с управления согласиями или обработки запросов субъектов данных. Современ- ные решения российских вендоров доступны организациям различного мас- штаба и позволяют получить ощутимый эффект уже на начальных этапах внед- рения. 5. Принять все разумные меры по защите ПДн согласно действующему законодательству: обучение сотрудни- ков, тесты защищенности, аудиты, минимизация сбора данных и др. Это то, что демонстрирует добросовестность оператора ПДн и служит смягчающим обстоятельством по чч. 15 и 18 ст. 13.11 КоАП РФ при утечках данных. Доку- ментальное подтверждение мер защиты ПДн как смягчающее обстоятельство закрепляет Федеральный закон от 30.11.2024 № 420-ФЗ. Ст. 4.1 КоАП, дополненная ч. 3.4-2 вступила в силу с 30 мая 2025 г. l • 67 УПРАВЛЕНИЕ www.itsec.ru 1 https://kad.arbitr.ru/Card/9be32091-3795-49af-8469-e0b016c8f271 Ваше мнение и вопросы присылайте по адресу is@groteck.ru