Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

Яна Ламзина
Яна Ламзина,
редактор цифрового издания про бизнес и технологии SLDdigital
06.05.2025

Вопрос защиты персональных данных уже много лет не теряет актуальности, при этом с каждым годом количество утечек не уменьшается. Согласно сведениям «РИА Новости» со ссылкой на Роскомнадзор, в 2024 году было выявлено 135 эпизодов утечки баз данных, включавших свыше 710 млн записей с информацией о гражданах России. Крупнейшая утечка данных произошла в феврале прошлого (2024) года, когда в интернет попала база объемом около 500 млн строк с подробностями о жителях страны.

Персональные данные: понятия и категории

Российское законодательство о защите персональных данных

Основные угрозы и риски, связанные с нарушением конфиденциальности персональных данных

Уровни защиты персональных данных

Заключение

Персональные данные: понятие и категории

Персональные данные представляют собой совокупность информации, позволяющей установить личность физического лица прямым или косвенным способом. К ним относятся различные сведения, используемые организациями и государственными органами для взаимодействия с гражданами. В том числе:

  • Имя, фамилия и отчество.
  • Дата и место рождения.
  • Место жительства и контактная информация.
  • Семейное положение и профессия.
  • Серийный номер паспорта и ИНН.
  • Номер банковской карты и прочие платежные реквизиты.
  • Биометрия, такая как фотографии, голос и отпечатки пальцев.
  • Информация о состоянии здоровья и особенностях организма.

Перечень персональных данных можно найти на сайте Роскомнадзора, кликнув на «Перейти к форме».

Прокрутив вниз, находим «Категории персональных данных»

Законодательство России четко определяет порядок сбора, обработки и передачи персональных данных, устанавливая правовые рамки для организаций и государственных учреждений. Важнейшими категориями персональных данных (ПДн) являются:

  • Общедоступные ПДн — сведения, которые могут публиковаться в справочниках или других документах по согласию человека. К таким персональным данным можно отнести имя, фамилию, номер телефона и другие.
  • Специальная категория ПДн — сведения, которые, как правило, находятся в закрытом доступе. Их можно узнать либо у непосредственно самого человека, либо направив официальный запрос в организацию, где хранятся эти данные (полиция, суд, больница и т.д.). К таким данным можно отнести: расу, вероисповедание, семейное положение, наличие судимости и другое.
  • Биометрические ПДн — уникальные данные человека, позволяющие однозначно его идентифицировать. К ним относятся отпечатки пальцев, скан радужки глаза, генетический код и др.
  • Иные ПДн — сюда включают все виды данных, которые не относятся к первым трем видам.

Российское законодательство о защите персональных данных

Полный список всех нормативных правовых актов в области персональных данных можно посмотреть на сайте Роскомнадзора.

Комплекс требований по защите персональных данных закреплен Федеральным Законом №152-ФЗ «О персональных данных». Этот акт регулирует деятельность юридических лиц и обязует соблюдать установленные нормы при сборе, хранении и передаче частных сведений граждан.

Любые операции с персональными данными требуют предварительного согласия владельца информации, за исключением отдельных обстоятельств, установленных законодательными нормами. Гражданин вправе ограничить использование своих данных, отозвав данное ранее разрешение.

Правильное понимание особенностей и значения персональных данных позволяет людям обезопасить свою личную информацию, снижая вероятность попадания данных в чужие руки и минимизируя негативные последствия возможных нарушений приватности.

Закон состоит из трех важнейших компонентов: права физических лиц (субъектов данных); обязанности организаций (операторов данных); ответственность за нарушение закона.

Права физических лиц (субъектов данных)

  • Возможность давать согласие на обработку своих данных.
  • Право знакомиться с имеющейся информацией о себе.
  • Возможность требовать исправления недостоверных данных.

Обязанности организаций (операторов данных)

  • Обязанность внедрять технические и организационные меры защиты информации.
  • Требование назначить ответственных за выполнение нормативных требований.
  • Регистрация в реестре операторов персональных данных.

Ответственность за нарушение закона

  • Штрафы, достигающие десятков миллионов рублей.
  • Наложение санкций вплоть до временной остановки деятельности предприятия.
  • Уголовная ответственность для лиц, совершивших правонарушение.

Сотрудничество между физическими лицами и операторами должно осуществляться в строгих правовых рамках, установленных российским законодательством.


Начиная с конца мая 2025 года, в российском Кодексе административных правонарушений появятся поправки, ужесточающие меры ответственности операторов, виновных в разглашении частной информации граждан либо нарушении правил информирования контролирующих органов. Нарушители теперь рискуют столкнуться с многомиллионными санкциями.

Так, если в результате деятельности или бездействия организации незаконно распространится информация о тысяче и более гражданах, должностные лица понесут наказание в виде штрафа от 200 тыс. до 400 тыс. рублей, а юридическим лицам и индивидуальным предпринимателям придется выплатить от 3 до 5 млн рублей.

Особое внимание уделено утечкам особых видов данных, таких как медицинские сведения: штрафы за такие проступки увеличены вплоть до 15 млн рублей. Помимо прочего, введена административная ответственность за невыполнение обязанности сообщать о фактах утечки данных (штраф до 3 млн рублей), задержку или полный отказ подачи уведомлений о начале обработки данных (до 300 тыс. рублей), а также дискриминационные действия в отношении тех, кто отказывается сдавать биометрические показатели (штраф до 0,5 млн рублей).

Подробней обо всех изменениях вы можете узнать здесь:

https://nxcloud.softline.com/s/NwrAkec6S37xEbX

Основные угрозы и риски, связанные с нарушением конфиденциальности персональных данных

Современные технологии позволяют накапливать, хранить, обрабатывать и обмениваться данными, тем самым создавая условия для многочисленных угроз и рисков, направленных на нарушение конфиденциальности.

Наиболее распространенными причинами утечек персональных данных являются: 

  • Киберпреступления и мошенничество.
  • Утечки данных из-за слабых паролей.

Подробно о кибербезопасности можно узнать в статье «Кибербезопасность от А до Я», а о защите данных — в статье «Защита данных и информации: методы, практика, стандарты и законы».

Здесь же мы приведем описания угроз, повышающих риск утечки непосредственно персональных данных.

Киберпреступления и мошенничество

Одними из распространенных способов хищения персональных данных являются социальная инженерия и фишинг.

Социальная инженерия — использует человеческие эмоции и доверие для получения нужной информации. Искусственно создается ситуация, когда жертва добровольно раскрывает секретные данные. Например, звонки от псевдосотрудника службы поддержки, утверждающего, что произошел сбой системы и необходимы повторные данные для восстановления аккаунта.

Фишинг использует все те же методы социальной инженерии — злоумышленники маскируются под доверенное лицо или организацию, отправляя письма или сообщения с целью обмануть жертву и заставить ее раскрыть конфиденциальную информацию. Например, поддельные электронные письма от якобы банка или сервиса доставки с просьбой подтвердить учетные данные или перейти по ссылке на фейковый ресурс, где происходит перехват введенной информации. 

Еще одна опасность — атаки с использованием вирусов-шпионов. Пользователь скачивает зараженный файл или открывает вредоносное вложение, после чего программа-шпион получает доступ ко всей информации на устройстве жертвы, включая логины, пароли, файлы и финансовую информацию. Часто подобные инструменты используются преступниками для дальнейшего вымогательства денежных средств путем блокировки файлов или шифрования данных.

Утечки данных из-за слабых паролей

Одна из крупнейших ошибок пользователей интернета — выбор простых и легко угадываемых паролей. Большинство людей используют одни и те же комбинации символов для разных платформ, делая свои аккаунты особенно уязвимыми. Атаковав одну систему, злоумышленники получают ключ к множеству ресурсов сразу.

Использование одинаковых комбинаций многократно увеличивает риск успешной атаки. В частности, хакеры применяют метод перебора (brute force attack), используя автоматизированные скрипты, которые быстро проверяют сотни тысяч вариантов паролей одновременно. Простота подбора делает слабые пароли настоящей находкой для киберпреступников.

Еще одной ошибкой является пренебрежение рекомендациями периодически менять пароли. Если однажды пароль попал в базу хакера, постоянная смена ключа усложняет дальнейшие попытки проникновения.

Решением данной проблемы является внедрение сложных многоуровневых паролей, состоящих из букв разного регистра, цифр и специальных символов. Современные браузеры предлагают встроенную генерацию надежных ключей, упрощающую процесс создания уникальных кодов доступа.

Чтобы защититься от указанных угроз, эксперты рекомендуют следовать простым правилам:

  • Использовать надежные пароли и избегать повторного использования одних и тех же комбинаций.
  • Включить двухфакторную аутентификацию везде, где это доступно.
  • Устанавливать обновления операционной системы и приложений своевременно.
  • Избегать публичных сетей Wi-Fi или использовать VPN-сервисы для дополнительной защиты.

Больше о методах и технологиях защиты данных и информации.

Больше о том, как повысить уровень защищенности информации и данных.

Уровни защиты персональных данных

Уровни защищенности ПДн зависят от сочетания различных факторов: 

  • Категории ПДн.
  • Актуальные угрозы.
  • Тип взаимодействия с субъектами персональных данных (например, сотрудники, клиенты).
  • Объем персональных данных, которые обрабатываются в информационной системе (до или более 100 тыс. человек). 

Согласно Постановлению Правительства РФ № 1119 от 01.11.2012 выделяют 4 уровня защищенности персональных данных. Определить, какой из них требуется, можно по таблице «Определение уровня защищенности персональных данных согласно ПП РФ №1119».


Заключение

Эффективная защита персональных данных достигается благодаря комплексному подходу, включающему соблюдение нормативно-правовых актов, развитие технической инфраструктуры, регулярное обучение сотрудников и формирование культуры цифровой грамотности. 

Обеспечить все это можно с помощью компаний, профессионально занимающихся услугами в сфере защиты данных и, в частности, персональных:

  • Аудит ИТ-инфраструктуры помогает проверить соответствие компании или организации требованиям законодательства, в том числе в части защиты персональных данных и застраховать собственную ответственность в случае возникновения инцидентов.
  • Сервисы по защите персональных данных помогают правильно организовать информационную систему компании.
  • Учебные центры помогут организовать обучение сотрудников необходимым навыкам и умениям, позволяющим в дальнейшем обеспечить сохранность и надлежащую защиту персональных данных.

Теги:

Новости, истории и события
Смотреть все
Лаборатория цифровой трансформации CDTO LAB Академии Softline в третий раз удостоена Гран-При премии CDO/CDTO Awards
Новости

Лаборатория цифровой трансформации CDTO LAB Академии Softline в третий раз удостоена Гран-При премии CDO/CDTO Awards

05.05.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в XXI конгрессе «Мужское здоровье»
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в XXI конгрессе «Мужское здоровье»

30.04.2025

ГК Softline получила награду от разработчика CommuniGate Pro — компании СБК
Новости

ГК Softline получила награду от разработчика CommuniGate Pro — компании СБК

30.04.2025

«Росатом Сервис» заменил SharePoint на «Цитрос Цифровую Платформу» от компании SL Soft (ГК Softline)
Новости

«Росатом Сервис» заменил SharePoint на «Цитрос Цифровую Платформу» от компании SL Soft (ГК Softline)

30.04.2025

ГК Softline стала золотым партнером компании «Гравитон»
Новости

ГК Softline стала золотым партнером компании «Гравитон»

29.04.2025

ГК Softline стала победителем премии Team Awards
Новости

ГК Softline стала победителем премии Team Awards

29.04.2025

Сомерс (ГК Softline) внедрил подсказки для кассиров в товароучетную систему и кассовое ПО SUBTOTAL
Новости

Сомерс (ГК Softline) внедрил подсказки для кассиров в товароучетную систему и кассовое ПО SUBTOTAL

29.04.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в 37-й международной выставке «Информационные и коммуникационные технологии»
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в 37-й международной выставке «Информационные и коммуникационные технологии»

28.04.2025

ГК Softline и Knowledge Space заключили соглашение о продвижении платформы интегрированного бизнес-планирования
Новости

ГК Softline и Knowledge Space заключили соглашение о продвижении платформы интегрированного бизнес-планирования

28.04.2025

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 1 квартал 2025 года 19 мая 2025 года
Новости

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 1 квартал 2025 года 19 мая 2025 года

28.04.2025

SL Soft (ГК Softline) и MAINTEX объявляют о сотрудничестве
Новости

SL Soft (ГК Softline) и MAINTEX объявляют о сотрудничестве

25.04.2025

Провайдер «Инферит Облако» (ГК Softline) модернизировал облачную инфраструктуру ЦОД во Фрязино
Новости

Провайдер «Инферит Облако» (ГК Softline) модернизировал облачную инфраструктуру ЦОД во Фрязино

25.04.2025

Bell Integrator (ГК Softline) разработал систему сквозного мониторинга бизнес-процессов для крупной финансовой организации
Новости

Bell Integrator (ГК Softline) разработал систему сквозного мониторинга бизнес-процессов для крупной финансовой организации

25.04.2025

ОС «МСВСфера Сервер» (ГК Softline) и CommuniGate Pro предлагают новый уровень надежности в коммуникации с контрагентами
Новости

ОС «МСВСфера Сервер» (ГК Softline) и CommuniGate Pro предлагают новый уровень надежности в коммуникации с контрагентами

24.04.2025

ГК Softline включила в продуктовый портфель платформу GMonit
Новости

ГК Softline включила в продуктовый портфель платформу GMonit

24.04.2025

ПАО «Софтлайн» объявляет о реорганизации владения АО Банк Синара в капитале Компании в связи с переходом доли на другое юридическое лицо
Новости

ПАО «Софтлайн» объявляет о реорганизации владения АО Банк Синара в капитале Компании в связи с переходом доли на другое юридическое лицо

24.04.2025

Платформа «Клаудмастер» от «Инферит FinOps» (ГК Softline) запускает FinOps-решение для Kubernetes
Новости

Платформа «Клаудмастер» от «Инферит FinOps» (ГК Softline) запускает FinOps-решение для Kubernetes

23.04.2025

Облачный провайдер ActiveCloud (ГК Softline) пополнил свой портфель SaaS-услуг российским решением MULTIFACTOR
Новости

Облачный провайдер ActiveCloud (ГК Softline) пополнил свой портфель SaaS-услуг российским решением MULTIFACTOR

23.04.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
Блог

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

10.04.2025

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению
Блог

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению

08.04.2025

«Софтлайн Офис» — платформа корпоративных коммуникаций
Блог

«Софтлайн Офис» — платформа корпоративных коммуникаций

04.04.2025

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию
Блог

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию

03.04.2025

Киберучения: готовим сотрудников к успешным отражениям атак
Блог

Киберучения: готовим сотрудников к успешным отражениям атак

27.03.2025

Контроль усталости водителей
Блог

Контроль усталости водителей

25.03.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

Инвестиции в цифровизацию ритейла: стратегии 2025 года
Блог

Инвестиции в цифровизацию ритейла: стратегии 2025 года

11.03.2025

Топ-редакторы для работы с PDF — сравниваем программы
Блог

Топ-редакторы для работы с PDF — сравниваем программы

04.03.2025

Российские офисные системы: выбор и преимущества
Блог

Российские офисные системы: выбор и преимущества

03.03.2025

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры
Блог

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры

26.02.2025

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна
Блог

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна

24.02.2025

Разыгрываем ноутбук
в нашем канале Telegram
Участвовать