Защита персональных данных в 2026 году: требования, риски и новые подходы к построению системы защиты ПДн

В 2025 году произошло много изменений в законодательстве в сфере обработки и защиты персональных данных (далее – ПДн), самые актуальные из них:
Появление оборотных штрафов, размеры которых стали внушительными (до 3% совокупного размера выручки за год). 

• Уголовная ответственность за утечку ПДн (введена в конце 2024 года). 
• Рост штрафов по административным правонарушениям. 
• Изменения в порядке обезличивания.
• Возврат очных проверок/проверок при утечках и многое другое.

Мы уже разбирали изменения законодательства в части обработки ПДн за 2025 год на вебинаре, настоятельно рекомендуем к просмотру:

Как избежать штрафов за утечку персональных данных: секреты успешного аудита

Но что же произойдет в ближайшем будущем в сфере обработки ПДн и что организациям с этим делать? Поговорим об этом в статье.  

Почему требования к защите ПДн усиливаются именно сейчас

Многие факторы способствуют тому, что требования к обработке и защите ПДн становятся строже. Сейчас, в условиях роста цифровых технологий, все больше данных собирается и обрабатывается организациями в электронном виде, растет объем информации, которая составляет ценность для нарушителей. Растет число кибератак на организации, как на маленькие, так и на более крупные. У людей повышается грамотность в вопросах обработки ПДн, особое внимание уделяется соблюдению конфиденциальности личной информации.

Рост количества утечек и увеличение штрафов от Роскомнадзора

Тема утечки ПДн является одной из актуальных. Статистика подтверждает: по данным исследований 17% от общего объема украденной информации в 1 квартале 2025 г. составляют персональные данные. Также ПДн в тройке самых желаемых типов информации среди злоумышленников.

Подобные инциденты в сфере обработки ПДн ведут к тому, что штрафы и ответственность ужесточаются. В этом мы убедились в 2025 году. Введены новые оборотные штрафы за повторные утечки персональных данных, суммы которых могут достигать нескольких миллионов рублей. Также кратно выросли суммы штрафов по ранее существовавшим статьям КоАП РФ за нарушения законодательства в области ПДн.

К примеру, выросла сумма штрафа за несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных: ранее штраф для юридического лица составлял от 3 до 5 тыс. рублей, а сейчас от 100 до 300 тыс. рублей. 

С начала года уже несколько организаций из разных областей экономики были привлечены к ответственности за нарушения законодательства в области ПДн:

• За нарушение требований о локализации баз данных при обработке ПДн (ч. 8 ст. 13.11 КоАП РФ), оштрафованы обучающая платформа «Дуолинго, Инк.» (Duolingo, Inc.), а также регистратор доменных имен «еНом ЛЛС.» (eNom LLC.). Штрафы составили по 2 млн руб. на каждую организацию (тексты постановлений о назначении административного наказания готовятся к публикации).
• Детская онлайн-школа «ЮКИДС» была оштрафована на 400 тыс. руб. за утечку ПДн по ч.14 ст.13.11 КоАП РФ, в то время как штраф за данный состав правонарушения для юридических лиц составляет от 10 млн руб. до 15 млн руб.. При назначении наказания суд учел факт отнесения общества к категории «Микропредприятие». Информация подготовлена согласно решению Арбитражного суда г.Москвы от 5 марта 2026 г. по делу N А40-351064/2025.
• На Министерство труда РФ также был наложен штраф по ч.1 ст.13.11 КоАП в размере 100 тыс. руб. за утечку ПДн своих работников и их родственников в 2023 году через подрядную организацию (согласно Постановлению Мирового судьи судебного участка № 370 г. Москва от 7.08.2024 №5-776/24). При этом несмотря на установленную причину утечки ПДн, суд сделал однозначный вывод, что ответственность все равно несет оператор, который не обеспечил надлежащую защиту своих информационных систем и контроля за обеспечением такой защиты у подрядной организации.

Полагаем, что, несмотря на относительную лояльность судов при назначении наказания, их выводы, а также обстоятельства, которые принимаются ими во внимание, заставляют задуматься каждого оператора не только о важности и необходимости защиты персональных данных, обрабатываемых им, но и в принятии конкретных мер по защите ПДн.

Новые инициативы регуляторов 

Многим уже известно, что до 2030 года действует мораторий на плановые проверки Роскомнадзора операторов персональных данных. Однако, не стоит думать, что вы как оператор можете остаться в стороне. 

1. Мониторинг сайтов на соответствие требованиям обработки ПДн

Роскомнадзор идет в ногу со временем и использует новые технологии для анализа сайтов и выявления нарушений в сфере обработки персональных данных. Данная система регулятора без уведомления операторов ПДн автоматически проверяет сайты компаний по определенным критериям:

1. Наличие политики в отношении обработки персональных данных. 
2. Сбор согласий на обработку персональных данных в необходимых формах.
3. Использование инструментов для сбора метрических данных и корректность работы cookie-баннеров.
4. Наличие и актуальность данных по обработке ПДн в реестре операторов Роскомнадзора. 

Например, по информации за первое полугодие 2025 года, Роскомнадзор провёл около 27 тыс. дистанционных автоматических проверок сайтов, нарушения законодательства о ПДн зафиксированы в 82% случаев.

Что делать сейчас 

Для того, чтобы успешно пройти такую проверку и не нарушать требования законодательства в области ПДн, рекомендуем провести аудит сайта и привести его в порядок. Мы подготовили чек-лист по работе с сайтом, где расписали необходимые шаги по обеспечению защиты ПДн:

Забрать чек-лист по работе с сайтом

2. Новые отраслевые стандарты работы с персональными данными 

В ближайшие несколько лет планируется ряд возможных изменений в законодательстве в сфере обработки ПДн. Поговорим о наиболее значимых, на наш взгляд.

Согласно опубликованному Плану мероприятий по реализации Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий, утвержденному Распоряжением Правительства Российской Федерации от 14.08.2025 № 2207-р, Правительство РФ планирует в IV квартале 2026 года представить отраслевые стандарты работы с ПДн.

Стандарты планируется разработать для каждой сферы в отдельности, все они будут содержать:

• объем и сроки обработки ПДн; 
• цели обработки ПДн; 
• правовые основания работы с ПДн; 
• порядок уничтожения;
• порядок взаимодействия с субъектом.

Первые вероятные отраслевые стандарты могут быть разработаны в сферах образования, жилищно-коммунального хозяйства (ЖКХ), туризма и здравоохранения. Компании будут обязаны строго соблюдать принцип минимизации объема собираемых персональных данных при предоставлении услуг.

Чтобы встретить эти изменения во всеоружии, мы рекомендуем уже сейчас предпринять несколько шагов. Они помогут подготовиться к будущим требованиям и оптимизировать текущие процессы обработки ПДн.

Что делать сейчас

1. Провести аудит бизнес-процессов, выявить цели и состав обрабатываемых персональных данных в вашей организации. 
2. Проверить, не избыточны ли сведения, которые вы собираете.
3. Узнать, есть ли правовые основания собирать те или иные персональные данные. 
4. Выяснить, своевременно ли уничтожаются персональные данные.

Результаты аудита помогут организации разобраться в том, как сейчас протекают процессы обработки ПДн, и понять, что с этим делать дальше, какие мероприятия необходимо провести, чтобы соответствовать новым требованиям. Как эффективно провести аудит информационных систем, рассказали в статье:

Как провести идеальный аудит

3. Повышение ответственности за нарушения в области ПДн 

Также согласно опубликованному Плану мероприятий по реализации Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий, утвержденному Распоряжением Правительства Российской Федерации от 14.08.2025 № 2207-р, Правительство РФ в III квартале 2027 года планирует повысить ответственность за нарушения законодательства в области персональных данных.  Предлагается увеличить срок давности привлечения к административной ответственности за правонарушения в сфере персональных данных.

Что делать сейчас 

Провести полный аудит по обработке персональных данных в организации, чтобы не попасть под нарушения. 

4. В Госуслугах появятся новые сервисы, связанные с обработкой ПДн

Госуслуги станут частью цепочки взаимодействия субъекта персональных данных, оператора, регуляторов. Примерно в 2028 году планируется вступление в силу законопроекта, который будет направлен на использование сервиса «Госуслуги» по различным направлениям:

1. Будет сформирован Госреестр согласий, который позволит людям подавать и отзывать согласия на обработку ПДн централизованно, отслеживать информацию об уже поданных ранее согласиях. Сейчас компаниям важно заранее проверить корректность существующих форм согласий на обработку ПДн, так как в будущем все организации будут обязаны разместить данные формы в новом реестре. 
2. Планируется вести централизованный учет операций с ПДн: компании будут обязаны передавать информацию о фактах обработки ПДн в централизованную систему, чтобы граждане, как субъекты ПДн, могли видеть, кому они давали согласие, и отслеживать «движение» своих личных данных. В будущем граждане смогут через Госуслуги запрашивать информацию о том, кто обрабатывал их персональные данные, а также передавать информацию о нарушениях в деятельности оператора персональных данных.
   
   
   

5. Увеличение требований к информационным системам ПДн и организациям, которые хранят большие массивы данных

1 сентября 2025 года произошли изменения в законодательстве о персональных данных, касающиеся обезличивания. Новые требования включают обязательную передачу обезличенных данных по требованию Минцифры РФ в государственную информационную систему – Единую информационную платформу национальной системы управления данными (ЕИП НСУД). В большей степени это касается крупных организаций, в которых обрабатывается большой объем данных граждан, например, операторы связи, транспортные компании, городские системы. Для Правительства РФ данные сведения нужны в статистических целях, для анализа.

Что делать сейчас

Если вы еще не выполнили мероприятия по обезличиванию ПДн, рекомендуем задуматься об этом и исполнить все требования законодательства. Ведь в случае поступления запроса от Минцифры РФ на предоставление данные в ЕИП НСУД дается от 5 до 30 рабочих дней. 

Основные требования к защите персональных данных в 2026 году

Меры по обеспечению безопасности ПДн

Меры по обеспечению безопасности персональных данных включают в себя проведение следующих мероприятий: 

• аудит; 
• разработка документов; 
• планирование мероприятий; 
• проектирование системы защиты ПДн; 
• внедрение системы защиты ПДн; 
• дальнейшая непрерывная поддержка системы защиты в актуальном состоянии.
  
  
  

Организационные меры 

Организационные меры по защите ПДн, в первую очередь, состоят из разработки документов, таких как политика в отношении обработки персональных данных, приказы о назначении ответственных, акты, порядки, положения и так далее. 

Законодательством не определен перечень документов, который необходимо утвердить в организации, вся документация разрабатывается, исходя из требований нормативно-правовых актов в области обработки ПДн.

Также в организационные меры входит внутренний контроль. Он включает в себя проведение периодических мероприятий в области обработки персональных данных, обеспечение безопасности помещений, материальных носителей персональных данных, обучение работников и так далее. 

Технические меры 

Техническая защита ПДн подразумевает комплекс мер, который можно разделить на две группы:
1. Меры физической защиты, направленные на предотвращение несанкционированного доступа к объектам информатизации:

• установка замков, решеток на окна, ограждение территории;
• организация контрольно-пропускного режима (турникеты, электронные замки с системой контроля и управления доступом).

2. Программно-аппаратные средства защиты информации (далее – СрЗИ), которые внедряются непосредственно в информационные системы персональных данных (далее – ИСПДн):

• средства криптографической защиты информации;
• средства антивирусной защиты;
• межсетевые экраны;
• системы обнаружения и предотвращения вторжений и прочее.

Подробнее о применении этих мер по защите ПДн поговорим далее. 

Как выстроить современную систему защиты персональных данных

Связка ПДн – ГИС – КИИ: когда требуется комплексный анализ

Эксперты уверены: анализ должен быть комплексным всегда. ПДн обрабатываются практически в любой организации, в 99 случаях из 100. В том числе ПДн часто встречаются в ГИС и реже в объектах КИИ, поэтому при анализе требований к системе защиты необходимо проанализировать применимость требований к ГИС и КИИ.  

В случае с ГИС все выглядит более-менее просто – госорганы, как правило, являются владельцами и операторами ГИС.

В случае с определением объектов КИИ немного сложнее:

1. Надо определить, является ли обследуемая организация субъектом КИИ. Для этого нужно понять, есть ли в организации ИС, АСУ, информационно-телекоммуникационные сети, функционирующие в сферах, которые определены в 187-ФЗ. 
2. Надо выявить ИС, АСУ и информационно-телекоммуникационные сети, соответствующие типовым объектам КИИ, включенным в перечень типовых отраслевых объектов КИИ.

На практике встречаются такие системы, которые являются одновременно ГИС, ИСПДн, КИИ. Чаще в области здравоохранения или транспорта.

Особые требования к защите ПДн в государственных информационных системах 

Защита персональных данных в государственных информационных системах (далее – ГИС) регулируется комплексом нормативных актов:

• Федеральным законом № 152-ФЗ «О персональных данных»,
• Постановлением Правительства № 1119,
• Приказом ФСТЭК России № 117, вступившим в силу 1 марта 2026 года.

Государственные информационные системы в обязательном порядке должны проходить процедуру аттестации.
С выходом Приказа ФСТЭК России № 117 повысились требования к информационным системам государственных органов, учреждений и унитарных предприятий, в которые входят не только ГИС, но и обычные ИСПДн. Основное изменение — переход от формального подхода к непрерывной и практической защите. Также приказ содержит важные требования:

• Не менее 30% сотрудников подразделения по информационной безопасности должны иметь профильное образование или пройти переподготовку. 
• Установлены сроки устранения уязвимостей: для критических – 24 часа, для уязвимостей высокой степени опасности – 7 календарных дней. 
• Непрерывный мониторинг ИБ и управление уязвимостями, взаимодействие с ГосСОПКА, периодический анализ защищенности с оценкой показателей (КЗИ – 1 раз в полгода, ПЗИ – 1 раз в 2 года), защита удаленного доступа, технологий ИИ, интернета вещей (IoT) и другие. 
  
  

Требования к импортозамещению в ИСПДн для ОКИИ

В случае, если ИСПДн является объектом КИИ, необходимо учесть требования по импортозамещению. Основные нормативные правовые акты, регулирующие вопросы безопасности КИИ и перехода на отечественное ПО:

• Указ Президента РФ № 166 от 30.03.2022.
• Постановление Правительства РФ № 1912 от 14.11.2023.
• Приказ ФСТЭК России № 239 от 25.12.2017.

В соответствии с Указом Президента РФ от 30.03.2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»:

• введен запрет на использование иностранного программного обеспечения (далее – ПО) на объектах КИИ; 
• изначально установленный срок перехода на отечественное ПО – 1 января 2025 г.,
• перенесен на 1 января 2028 г. с возможностью продления до 1 декабря 2030 г..

Постановление Правительства РФ от 14.11.2023 г. № 1912 регламентирует переход значимых объектов КИИ на доверенные программно-аппаратные комплексы: окончательный срок завершения перехода – 1 января 2030 г..

Требования к оборудованию и ПО

Требования для реестров ПО: программное обеспечение должно быть включено в Единый реестр российского ПО либо в Реестр евразийского ПО. 
Требования для средств защиты информации: для защиты значимых объектов КИИ (в том числе ИСПДн) допускается использование только СрЗИ, прошедших сертификацию ФСТЭК России или ФСБ России.

Общий порядок действий при построении системы защиты ПДн по ГОСТ Р 51583-2014: 

1. Проведение обследования объекта информатизации, то есть аудита информационных систем, в которых обрабатываются ПДн. На этом этапе необходимо выявить программное обеспечение, в котором содержатся ПДн, определить цели обработки ПДн, категории субъектов ПДн, объем и перечень обрабатываемых ПДн. В этот же этап входит определение уровня защищенности и оценка актуальных угроз безопасности информации. 
2. Следующий этап – формирование требований к системе защиты ИСПДн, результатом которого становится техническое задание на создание системы защиты ИСПДн.
3. По утвержденному техническому заданию выполняется проектирование системы защиты. При проектировании также выполняется макетирование и тестирование будущей системы защиты ИСПДн.
4. В соответствии с проектным решением производится закупка, установка и настройка необходимых средств защиты информации. 
5. После того, как все необходимые СрЗИ внедрены, проводится оценка выполненных мер по защите ПДн, часто в форме аттестации.
6. Заключительный этап – обеспечение безопасности ПДн в ходе эксплуатации ИСПДн. Данный этап продолжается, пока не будет прекращена обработка ПДн.
   
   
   

Определение уровня защищенности ПДн

С одной стороны, определение уровня защищенности ПДн – действие организационного характера. Но именно здесь организационная часть защиты ПДн перетекает в техническую. 
Определение уровня защищенности означает выявление того уровня защиты, которому необходимо соответствовать при дальнейшем построении системы защиты ПДн. 

От установленного уровня защищенности будут зависеть актуальные нарушители в модели угроз, принимаемые меры по защите ПДн из Приказа ФСТЭК России № 21, а также будут предъявляться требования к классам СрЗИ.

Моделирование угроз

Отдельное место в организации защиты ПДн занимает моделирование угроз. ФСТЭК России регулирует этот процесс отдельным методическим документом по оценке актуальных угроз. Существует также отдельная методика по моделированию угроз и от ФСБ России, направленная на оценку действий нарушителя и определение необходимого класса средств криптографической защиты информации (СКЗИ) для защиты ПДн. 


Этапы моделирования угроз:

1. Определение негативных последствий в целом для организации. Необходимо понять, наступление каких событий нежелательно. 
2. Инвентаризация информационных систем и сетей, технических средств, на которых происходит обработка ПДн. Итогом инвентаризации является перечень объектов воздействия. 
3. Определение возможных источников угроз безопасности ПДн путем оценки целей реализации угроз нарушителями и возможностью наступления негативных последствий. 
4. Оценка всех возможных угроз безопасности ПДн, их сопоставление с уровнем возможностей актуальных нарушителей, а также оценка сценариев реализации угроз безопасности ПДн. Исходя из этого делается вывод, актуальна угроза или нет. 

В конечном счете правильно составленная модель угроз дает нам ответы на вопросы: «что и от чего защищать?»
После того, как модель угроз составлена, можно переходить к формированию требований к системе защиты ПДн. 

Техническое задание

В техническом задании на создание системы защиты описываются требования к системе защиты ПДн, которые формируются в несколько этапов:

1. Определение базового набора мер по защите ПДн исходя из установленного уровня защищенности ПДн согласно Приказу ФСТЭК России № 21. 
2. Адаптация базового набора мер по защите ПДн с учетом структурно-функциональных характеристик ИСПДн, используемых технологий и особенностей функционирования ИСПДн. 
3. Сопоставление адаптированного состава мер по защите ПДн с актуальными угрозами безопасности ПДн, которые были определены в модели угроз. Необходимо оценить возможность нейтрализации актуальных угроз адаптированным набором мер по защите ПДн. 
4. Последний этап – оценка требований дополнительных НПА – отраслевых или региональных. После всех необходимых действий и этапов на выходе получается финальный перечень мер по защите ИСПДн, который необходимо реализовать в рамках системы защиты ПДн. Отдельно прописываются требования по защите каналов связи с использованием средств криптографической защиты информации.

Технический проект

Если техническое задание отвечает на вопрос «что система защиты должна реализовать?», то технический проект говорит нам, как это реализовать. Иными словами, технический проект описывает комплекс проектных решений на создание системы защиты, которые будут обеспечивать реализацию необходимых требований. 

Например, в техническом задании было определено, что система защиты ПДн должна выполнять требования по обнаружению вторжений. Соответственно, в техническом проекте необходимо описать конкретные средства защиты информации, программные или программно-аппаратные, которые будут выполнять эту функцию. В зависимости от сложности и масштаба системы защиты ИСПДн технический проект может состоять из нескольких документов: 

• пояснительная записка к техническому проекту, 
• ведомость покупных изделий, 
• схема структурная комплекса технических средств, 
• схема функциональной структуры и другие.
  
  
  

Внедрение технической защиты ПДн

После того, как система защиты спроектирована, можно приступить к внедрению технических решений, заложенных в техническом проекте. 

При проектировании сложных и масштабных систем защиты настоятельно рекомендуется перед этапом внедрения СрЗИ провести макетирование и тестирование выбранных проектных решений. Это поможет исключить сценарии, когда выбранные средства защиты несовместимы с инфраструктурой ИСПДн. Так можно сэкономить бюджет на построение системы защиты ПДн. 

Непосредственно внедрение средств защиты предполагает их установку и настройку. Но нельзя на этом этапе остановиться и забыть про защиту ИСПДн. Средства защиты время от времени необходимо обновлять и поддерживать в актуальном состоянии, ведь количество уязвимостей в различном ПО и, соответственно, угроз безопасности становится больше с каждым днем.

Это еще один аргумент, почему процесс обеспечения безопасности ПДн должен быть непрерывным.

Типичные ошибки при защите персональных данных

1. Формальный аудит вместо реальной оценки рисков

Формальным можно назвать аудит, в результате которого разрабатываются документы, не отражающие реальные процессы по обработке ПДн в организации. Как правило, некоторые операторы ПДн ставят перед собой цель – разработать документы по обработке ПДн «ради галочки», чтобы формально выполнить требования законодательства и в случае запроса от регулятора предоставить нужные локальные акты, принятые в организации. Такой подход вызывает вопросы со стороны регуляторов и более того никак не помогает реальной защите ПДн.

В современном мире, где мы все чаще слышим о взломах, утечках, краже ПДн, многие организации стремятся реально защитить ПДн, грамотно выстроить систему защиты для того, чтобы не бояться утечек и наступления ответственности за нарушения. Для этих целей в организации проводится полноценный аудит. С его помощью можно выявить все бизнес-процессы, где обрабатываются ПДн, обнаружить все уязвимые места и определить реальные угрозы безопасности ПДн. Операторам важно, чтобы разработанные документы приносили пользу, спроектированная система защиты была выстроена в реальности, а не на бумаге. 

2. Отсутствие документированной модели угроз 

Отсутствие такого документа как модель угроз безопасности ПДн является серьезным недостатком по ряду причин. 

В первую очередь, это прямое нарушение требований п.1 ч.2 ст.19 Федерального закона от 27 июля 2006 г. № 152-ФЗ, в котором говорится о том, что обеспечение безопасности ПДн достигается, в частности, определением угроз безопасности ПДн при их обработке в ИСПДн. А как мы знаем, обеспечение безопасности ПДн – прямая обязанность оператора ПДн. 
Модель угроз с точки зрения нормативных правовых актов также прямо требуется при создании государственных информационных систем – это требование прописано в Постановлении Правительства РФ № 676. 

Также в Приказе ФСТЭК России № 21 говорится о том, что состав мер по защите ПДн необходимо определять, исходя из оценки возможности нейтрализации актуальных угроз выбранными мерами по защите. С точки зрения практического опыта при проектировании системы защиты ИСПДн необходимо предложить такое проектное решение, которого будет достаточно для того, чтобы с максимальной эффективностью нейтрализовать актуальные угрозы. 

В любом случае можно сделать вывод, что для адекватной защиты ПДн необходимо разработать и утвердить модель угроз безопасности ПДн. Ее отсутствие является ошибкой, как с точки зрения нарушения требований нормативных правовых актов, так и с точки зрения проектирования системы защиты ПДн.

Разработка и утверждение модели угроз безопасности ПДн — это обязательное условие для законной и эффективной защиты персональных данных. Рекомендуем включить этот этап в первоочередные задачи при построении или актуализации системы защиты.

3. Отсутствие контроля действий сотрудников

Человеческий фактор является основным риском утечек ПДн. Неосведомленность работников или их легкомысленное отношение к конфиденциальной информации – это самый легкий способ воздействия злоумышленника на систему защиты. Поэтому важно уделять внимание обучению работников, периодической оценке их знаний. 

4. Использование иностранных сервисов без правовой базы

В 2025 году были внесены изменения в Федеральный закон № 152-ФЗ «О персональных данных», которые ужесточили требования к локализации обработки ПДн граждан РФ. Запрещается осуществлять сбор ПДн с использованием баз данных, находящихся за пределами РФ. 

Так, например, использование сервиса сбора метрических данных Google Analytics является нарушением, так как сбор и хранение ПДн будет осуществляться по умолчанию на зарубежных серверах. В данном случае можно использовать отечественные сервисы, например, Яндекс Метрика, Спутник/Аналитика.

Также в 2025 году был издан Федеральный закон № 41-ФЗ, который вводит запрет на использование иностранных мессенджеров в государственных/финансовых организациях, а также компаниях, взаимодействующих с клиентами с помощью такого канала связи для передачи ПДн. Данное изменение направлено на противодействие мошенничеству и обеспечение возможности оперативной передачи сведений о противоправных действиях по запросам правоохранительных органов. В частности, ограничения призваны сократить число случаев, когда злоумышленники, используя поддельные аккаунты, обращаются к гражданам от имени руководителей компаний или представителей государственных структур.

5. Ошибки при передаче данных подрядчикам

С каждым годом растет количество атак на операторов ПДн через незащищенную инфраструктуру подрядчиков. С точки зрения законодательства о ПДн перед субъектом ПДн отвечает оператор ПДн, поэтому важно задуматься о защите ПДн при взаимодействии с подрядными организациями. При передаче ПДн подрядчикам оператору важно выполнить требования 152-ФЗ, а именно: включить в договор/соглашение раздел о соблюдении конфиденциальности (ч.3 ст.6 152-ФЗ) и собрать согласия с лиц, чьи ПДн будут передаваться. 

С выходом Приказа ФСТЭК России № 117 отдельное внимание регулятор также уделяет взаимодействию с подрядчиками, возлагает обязанность каждой стороны регламентировать и соблюдать меры по защите информации. Данное требование выполняется путем разработки Политики защиты информации, регламентов, заключения соглашения/договора или внесения соответствующего раздела по защите информации в текущий договор. Все подрядные организации обязаны ознакомиться с внутренними документами оператора по защите информации и соблюдать их требования, в том числе применять необходимые СрЗИ.

Перечисленные выше ошибки (формальный аудит, отсутствие модели угроз, неконтролируемые действия сотрудников и подрядчиков) долгое время воспринимались как технические недоработки. В 2026 году ситуация меняется: на фоне нового регулирования и ужесточения ответственности такие упущения могут стать прямыми источниками риска.

КСБ-СОФТ помогает компаниям выстроить защиту ПДн 

Наша компания помогает выстроить систему защиты персональных данных, соответствующую актуальным требованиям.

Мы предлагаем следующие услуги:

• Аудит безопасности и разработка организационно-распорядительной документации.
• Разработка проектов документов на создание подсистемы обеспечения информационной безопасности.
• Внедрение подсистемы обеспечения информационной безопасности и анализ уязвимостей ИС.
• Оценка эффективности принятых мер по защите ПДн/ аттестация ИС.
• Консалтинговые услуги по обеспечению защиты информации в ходе эксплуатации ИС.

Компания реализовала более 6000 проектов по информационной безопасности в самых разных организациях:

• органах государственной власти различного уровня;
• бюджетных учреждениях в сфере здравоохранения, образования;
• коммерческих организациях в области электроэнергетики, нефтепереработки, машиностроения, химической промышленности, транспорта, в агропромышленном комплексе.
  
  
  

КСБ-СОФТ берет на себя полный цикл работ по защите персональных данных

1. Выстроенный процесс защиты персональных данных в соответствии с актуальными требованиями законодательства в результате разработки документов: 

• Модель угроз безопасности ПДн.
• Проектное решение по защите ПДн.
• Комплект организационно-распорядительной документации по защите ПДн, соответствующий требованиям законодательства РФ (152-ФЗ, 149-ФЗ, требованиям ГИС в соответствии с Приказом ФСТЭК России № 117, а также к объектам КИИ на соответствие 187-ФЗ).

2. Выстроенную систему обеспечения безопасности ПДн, включающую защиту ПДн от несанкционированного доступа и неправомерных действий в отношении них.

3. Обеспечение практической безопасности ПДн от кибератак.

4. Готовность к проверкам Роскомнадзора, ФСБ России и ФСТЭК России.

Коротко о главном

• Штрафы и ответственность за утечки ПДн выросли многократно. И продолжат расти.
• Регуляторы переходят к автоматизированному контролю в реальном времени.
• Отраслевые стандарты и требования к импортозамещению заставят бизнес пересмотреть подход к обработке данных.
• Формальный аудит больше не работает. Нужна реально выстроенная система защиты.

Построение такой системы — процесс последовательный и требует экспертизы. Компании, которые начнут его сегодня, встретят новые требования подготовленными.