Оценка рисков обработки персональных данных: как построить простую модель и приоритизировать меры

Практическое руководство для операторов ПДн: от первых шагов до работающей системы управления рисками

Почему оценка рисков перестала быть формальностью

Ещё три-четыре года назад российские компании относились к оценке рисков обработки персональных данных как к обязательной бумажной процедуре — составили документ, положили в папку, забыли. Штрафы были скромными (максимум 700 тысяч рублей для организации), проверки — редкими, а последствия утечек укладывались в предупреждение или символический штраф [6].

Ситуация изменилась кардинально. С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ, который ввёл оборотные штрафы за утечки: при повторных инцидентах компании платят от 1 до 3% годовой выручки, но не менее 20–25 млн рублей и не более 500 млн рублей [1][2]. При этом Роскомнадзор всё чаще оценивает не факт наличия документов, а способность оператора доказать, что обработка данных реально управляется и контролируется [7]. Формальный пакет без связи с практикой превращается в дополнительный источник нарушений: легко обнаруживаются расхождения между «бумагой» и реальностью.

На этом фоне статистика выглядит тревожно. По данным ЭАЦ ГК InfoWatch, в 2024 году в России зафиксировано 592 инцидента с компрометацией ПДн, утекло более 1,58 млрд записей — на 31,7% больше, чем в 2023 году [3]. Роскомнадзор в 2024 году зафиксировал 135 утечек баз данных, содержавших свыше 710 млн записей [8]. По итогам года Россия заняла второе место в мире по числу инцидентов, а по объёму утекших ПДн поднялась с седьмого на пятое место [3].

Эта статья — практическое руководство. Она объясняет, как выстроить простую, но работающую модель оценки рисков обработки ПДн в российских реалиях: какие регуляторные инструменты использовать, как построить матрицу рисков, как приоритизировать меры защиты и не превратить весь процесс в ещё одну стопку нечитаемых документов. Материал полезен как руководителям ИБ и DPO, так и всем, кто отвечает за комплаенс в части персональных данных.

Часть 1. Регуляторная рамка: что от вас требует закон

Два регуляторных инструмента оценки рисков

В российском праве сложились два параллельных, но не полностью пересекающихся инструмента оценки рисков обработки ПДн.

Первый — оценка вреда субъектам персональных данных — введён Приказом Роскомнадзора № 178 от 27.10.2022 и действует с 1 марта 2023 года до 1 марта 2029 года [4]. Её правовое основание — пункт 5 части 1 статьи 18.1 Федерального закона № 152-ФЗ. Суть: оператор обязан определить, насколько высок потенциальный вред физическому лицу в случае нарушения закона о ПДн. Приказ устанавливает три степени вреда — высокую, среднюю и низкую — и указывает, при каких обстоятельствах присваивается каждая из них [4]. Результаты оформляются Актом оценки вреда; если оператор выявил несколько степеней для разных категорий обработки, применяется более высокая [9].

Второй инструмент — оценка угроз безопасности информации по Методике ФСТЭК России, утверждённой 5 февраля 2021 года [5]. Она пришла на смену двум устаревшим документам 2007–2008 годов и распространяется на государственные ИС, ИСПДн, объекты КИИ и ряд других систем. Методика охватывает антропогенные угрозы — действия нарушителей — и включает три этапа: определение негативных последствий, определение объектов воздействия, оценку возможности реализации угроз и их актуальности [5].

Важно понимать разницу между этими инструментами: оценка вреда по Приказу РКН № 178 фокусируется на правах и интересах субъектов ПДн, тогда как оценка угроз по ФСТЭК — на технических и организационных рисках для информационных систем. Для полноценного управления рисками нужны оба.

Что ещё требует закон в 2025–2026 году

Помимо собственно оценки рисков, актуальная регуляторная рамка включает ряд смежных обязательств, напрямую влияющих на глубину и результат риск-оценки.

1. Обязанность уведомить Роскомнадзор об утечке в течение 24 часов с момента её обнаружения и провести расследование в течение следующих 72 часов. За нарушение этого требования — штраф от 1 до 3 млн рублей для организаций [1][2].
2. Локализация баз ПДн на российских серверах — с 1 июля 2025 года вступил в силу Федеральный закон № 23-ФЗ, скорректировавший подход к локализации [10].
3. Актуализация реестра операторов: с 30 мая 2025 года штраф за неподачу уведомления о начале обработки составляет от 100 до 300 тысяч рублей вместо прежних 3–5 тысяч [1].
4. Роскомнадзор с 2026 года всё активнее квалифицирует одно нарушение по нескольким составам статьи 13.11 КоАП РФ одновременно, если они затрагивают разные аспекты обработки [7].

Всё это означает, что оценка рисков больше не существует в вакууме: она должна быть встроена в реальные процессы, а не просто задокументирована.

Часть 2. Концептуальные основы: что такое риск ПДн

Риск — это не угроза

Прежде чем строить модель, необходимо разобраться с терминологией, потому что в российской практике угрозу и риск нередко смешивают.

Угроза — это потенциальное событие: взлом, несанкционированный доступ, случайная публикация базы на открытом сервере. Риск — это комбинация вероятности реализации этой угрозы с учётом существующих уязвимостей и размера возможного ущерба [11]. Один и тот же взлом CRM-системы несёт принципиально разные риски для медицинской клиники, хранящей диагнозы, и для небольшого интернет-магазина с адресами доставки: и угроза одна, и технические уязвимости могут быть схожими, но ущерб, вред субъектам и регуляторные последствия — несопоставимы.

Именно поэтому оценка рисков ПДн — это всегда контекстуальный процесс. Нельзя взять готовый список угроз из базы данных ФСТЭК (bdu.fstec.ru) и механически проставить им высокий уровень риска: нужно оценивать каждую угрозу применительно к конкретной системе, конкретным категориям данных и конкретным мерам защиты, уже принятым в организации [5][12].

Ключевые измерения риска ПДн

При оценке риска обработки ПДн используется несколько взаимосвязанных измерений.

1. Вероятность реализации угрозы — определяется на основе истории инцидентов, отраслевой статистики, наличия уязвимостей, квалификации нарушителя. Может оцениваться качественно (низкая / средняя / высокая) или количественно (число инцидентов в год, частота атак на аналогичные системы).
2. Масштаб ущерба — включает несколько измерений: финансовые потери (штрафы, компенсации, расходы на расследование и устранение), операционные последствия (остановка процессов, необходимость замены систем), юридические риски (иски, предписания), репутационный ущерб (потеря клиентов, медиаволна). Для субъектов ПДн ущерб может быть материальным (мошенничество, кража данных), психологическим (стресс от утраты контроля над данными) и социальным (дискриминация, утечка чувствительных сведений о здоровье или взглядах).
3. Категория данных — специальные категории (здоровье, биометрия, политические взгляды, вероисповедание, судимости) несут принципиально более высокий риск вреда субъектам и более суровые санкции для оператора. Утечка биометрических данных или данных о здоровье влечёт штраф от 10 до 15 млн рублей [2].
4. Охват — количество затронутых субъектов прямо влияет на размер штрафа. Законодатель установил «пороги»: 1 000–10 000 человек (3–5 млн рублей), 10 000–100 000 человек (5–10 млн рублей), более 100 000 человек (10–15 млн рублей) [1][2].
5. Наличие мер защиты — актуальный риск = исходный риск минус эффект контрмер. Это так называемый остаточный риск, с которым организация продолжает жить после внедрения мер.

Связь с европейской практикой DPIA

В Европе инструментом оценки рисков обработки ПДн является DPIA (Data Protection Impact Assessment) — оценка воздействия на защиту данных, обязательная по GDPR для высокорисковых операций обработки [13][14]. DPIA — это не просто документ, а процесс: систематическое описание операций, оценка их необходимости и соразмерности, анализ рисков для прав и свобод субъектов, описание мер по снижению рисков [13].

Российский Приказ РКН № 178 по своей логике близок к DPIA, однако существенно короче и менее детален. Российская практика пока не требует оценки соразмерности целей и методов обработки — центральной части европейской DPIA. При этом ключевая идея одна и та же: оценивать риски до начала обработки или изменений в ней, а не по факту инцидента [4][13].

Часть 3. Как построить простую модель оценки рисков

Шаг 1. Инвентаризация: что и где обрабатывается

Невозможно оценить то, чего не видишь. Первый и самый важный шаг — составить актуальную «карту ПДн»: исчерпывающий список всех источников, систем, баз данных, интеграций и процессов, в которых обрабатываются персональные данные.

На практике типичная крупная компания обрабатывает ПДн в десятках мест одновременно: основная БД клиентов, CRM-система, почтовые серверы, Active Directory, системы аналитики, 1С с данными сотрудников и контрагентов, интеграции с подрядчиками, API сторонних сервисов, облачные хранилища и так далее. Каждый из этих источников — потенциальный вектор риска.

Для каждого источника необходимо зафиксировать следующее:

1. Какие категории ПДн содержатся (общие / специальные / биометрия).
2. Сколько субъектов затронуто (порядок величины: сотни, тысячи, миллионы).
3. Кто является владельцем (бизнес-подразделение, ИТ-команда).
4. Кто имеет доступ и на каком основании.
5. Есть ли интеграции с третьими сторонами или передача данных за рубеж.
6. Когда последний раз проводилась проверка актуальности.

Именно отсутствие актуальной инвентаризации является главным слепым пятном в большинстве организаций: новые поля в БД появляются без уведомления ИБ-службы, новые интеграции подключаются оперативными командами, подрядчики получают доступ к данным без надлежащего оформления.

Шаг 2. Классификация источников по уровню риска

После инвентаризации источники нужно классифицировать: не все они одинаково критичны. Это позволяет сосредоточить ресурсы на приоритетных объектах и не распылять усилия.

В качестве быстрой классификации можно использовать три критерия:

1. Категория данных: специальные категории (здоровье, биометрия, религиозные и политические взгляды, судимости) — автоматически повышенный уровень риска; общие категории — базовый уровень.
2. Масштаб обработки: более 100 000 субъектов — высокий риск, 10 000–100 000 — средний, до 10 000 — низкий (в соответствии с порогами ответственности по КоАП РФ).
3. Доступность извне: системы, имеющие выход в интернет или интеграции со сторонними сервисами, несут значительно более высокий риск, чем изолированные внутренние.

Источник попадает в наивысшую категорию, если хотя бы один критерий относит его туда — по аналогии с правилом Приказа РКН № 178 о применении более высокой степени вреда [4].

Шаг 3. Идентификация угроз

Следующий этап — для каждого источника (или группы источников) определить актуальные угрозы. Методика ФСТЭК 2021 года предписывает использовать базу данных угроз bdu.fstec.ru [5], однако для практической риск-оценки удобнее работать с агрегированными категориями угроз.

Типичные угрозы для систем обработки ПДн можно разделить на несколько классов:

1. Внешние кибератаки — взлом, фишинг, атаки на веб-приложения, эксплуатация уязвимостей. По данным InfoWatch, 58,2% штрафов в мире за утечки назначены именно за инциденты кибератак [8].
2. Внутренние умышленные угрозы — инсайдеры, продажа данных сотрудниками. В 2025 году 55% уголовных дел об утечках в России заводилось на сотрудников компаний в сфере связи [8].
3. Внутренние случайные угрозы — ошибочная отправка данных, забытая открытая база, некорректная настройка прав доступа. Глобально треть штрафов за утечки назначена именно за случайные нарушения [8].
4. Компрометация подрядчиков и третьих сторон — утечки через интеграции, API, аутсорсинговые компании, имеющие доступ к данным.
5. Технические сбои и уязвимости — устаревшее ПО, ошибки конфигурации, отсутствие шифрования данных при хранении или передаче.
6. Физические угрозы — кража носителей, несанкционированный доступ к серверам.

Для каждой угрозы важно указать вектор (откуда приходит угроза), потенциальный объект воздействия (конкретные данные или системы) и актуальность применительно к вашей организации.

Шаг 4. Матрица рисков: вероятность × ущерб

Центральный инструмент оценки — матрица рисков. Для большинства организаций достаточно матрицы 3×3: вероятность реализации угрозы (низкая / средняя / высокая) и масштаб ущерба (низкий / средний / высокий). Произведение этих параметров даёт итоговый уровень риска [12][15].

Схема матрицы выглядит следующим образом (риск = вероятность × ущерб):

• Высокий × Высокий = Критический риск (приоритет 1: немедленные меры)
• Высокий × Средний или Средний × Высокий = Высокий риск (приоритет 2: меры в первую очередь)
• Средний × Средний = Умеренный риск (приоритет 3: плановые меры)
• Низкий × Высокий или Высокий × Низкий = Умеренный риск (приоритет 3)
• Низкий × Средний или Средний × Низкий = Низкий риск (мониторинг)
• Низкий × Низкий = Приемлемый риск (принятие)

При оценке вероятности используйте не только экспертные суждения, но и статистику: отраслевые отчёты об утечках, историю инцидентов в организации, результаты тестирований на проникновение. При оценке ущерба учитывайте сразу несколько измерений: регуляторные санкции (штрафы по КоАП), возможные иски субъектов ПДн, репутационный ущерб, прямые операционные потери.

Каждую угрозу необходимо оценить дважды: до применения мер защиты (исходный риск) и после (остаточный риск). Именно разница между ними показывает реальную эффективность уже внедрённых мер.

Шаг 5. Приоритизация мер защиты

После получения матрицы рисков необходимо сопоставить каждый значимый риск с набором контрмер. Базовые стратегии управления риском остаются неизменными [11][12]:

1. Устранение риска — ликвидация источника угрозы (например, отказ от сбора определённых категорий данных, удаление устаревших баз, закрытие ненужных интеграций).
2. Снижение риска — технические и организационные меры, уменьшающие вероятность реализации угрозы или масштаб последствий (шифрование, контроль доступа, мониторинг, обучение персонала).
3. Передача риска — страхование киберрисков, перекладывание ответственности на обработчика данных через договор.
4. Принятие риска — осознанное решение не предпринимать дополнительных мер, если ожидаемые затраты на защиту превышают ожидаемые потери. Такое решение должно быть задокументировано и одобрено руководством.

При составлении плана мер важен принцип пропорциональности: инвестиции в защиту должны соответствовать уровню риска. Тратить миллион рублей на защиту базы с 500 записями общих данных — нерационально. Не вкладывать ничего в защиту биометрической системы на 200 000 сотрудников — безответственно.

Стандарт ICO (Великобритания) рекомендует при расстановке приоритетов учитывать и пропорциональность между рисками и пользой от обработки: тот же риск может оцениваться иначе в зависимости от значимости бизнес-задачи [15].

Часть 4. Регуляторные инструменты на практике

Оценка вреда по Приказу РКН № 178: три степени и Акт

Приказ Роскомнадзора № 178 от 27.10.2022 действует с 1 марта 2023 года [4]. Он обязывает каждого оператора определить одну из трёх степеней вреда, который может быть причинён субъекту ПДн в случае нарушения закона.

Высокая степень вреда присваивается, если нарушение обработки может повлечь тяжкие последствия для здоровья, жизни, существенный имущественный ущерб, дискриминацию, утрату значимого объёма прав субъекта. Обработка специальных категорий данных, биометрии, данных о несовершеннолетних, а также систем с широким охватом субъектов, как правило, попадают в эту категорию.

Средняя степень вреда — потенциальный ущерб реален, но не катастрофичен: неудобства, временные ограничения прав, умеренный имущественный ущерб. Сюда могут относиться, например, системы с персонализированной рекламой или маркетинговыми рассылками — правоведы отмечали, что этот вывод следует из буквального прочтения Приказа № 178 [16].

Низкая степень — минимальный риск вреда, ограниченный состав данных, небольшое число субъектов, строгий контроль доступа.

Результаты оформляются Актом оценки вреда, который может быть составлен как в бумажном, так и в электронном виде (с УКЭП) и должен содержать наименование оператора, даты и степень вреда с обоснованием [9]. Акт необходим не только для регулятора — он нужен в момент инцидента: без него в течение 24 часов невозможно корректно уведомить РКН об утечке.

Важное правило: если в рамках деятельности оператора субъектам могут быть причинены разные степени вреда, применяется более высокая [4].

Оценка угроз по Методике ФСТЭК 2021: три этапа

Методика ФСТЭК, утверждённая 5 февраля 2021 года, более детальна и технична [5]. Она применяется для ИСПДн, ГИС, значимых объектов КИИ и других систем. В отличие от Приказа РКН № 178, она ориентирована на защиту информационных систем, а не на оценку вреда конкретным людям.

Процесс включает три этапа:

1. Определение негативных последствий — что плохого произойдёт с организацией, государством или гражданами при реализации угрозы (финансовые, репутационные, юридические, социальные последствия). Методика содержит типовой перечень видов ущерба в Приложении 4 [5].
2. Определение объектов воздействия — какие именно информационные ресурсы, компоненты систем или процессы могут быть атакованы. Это включает данные, программное обеспечение, аппаратные средства, каналы передачи информации, персонал.
3. Оценка актуальности угроз — для каждой угрозы оценивается возможность реализации с учётом архитектуры системы, возможностей нарушителя (категория нарушителя по Методике) и актуальных уязвимостей. В итоге каждая угроза получает статус «актуальная» или «неактуальная».

Методика предписывает использовать базу данных угроз ФСТЭК (bdu.fstec.ru), а также базы знаний ATT&CK, CAPEC, OWASP и STIX в качестве источников для описания техник и тактик атак [5].

Важная особенность: оба документа — и Приказ РКН № 178, и Методика ФСТЭК 2021 — требуют обновления модели при изменении архитектуры систем, появлении новых угроз и изменении нормативной базы [4][5].

Часть 5. Практический чек-лист и типовые ошибки

Пошаговый чек-лист для запуска оценки рисков ПДн

Ниже приведён минимальный набор шагов для организации, которая только начинает выстраивать процесс оценки рисков или актуализирует существующий.

1. Назначьте ответственного или создайте комиссию. По Приказу РКН № 178, оценку вреда проводит либо ответственный за обработку ПДн, либо специальная комиссия [4]. Без чёткой ответственности оценка так и останется задачей «всех и никого».
2. Составьте инвентаризацию источников ПДн. Создайте реестр всех систем, баз данных, процессов и интеграций, где обрабатываются ПДн. Включите как внутренние, так и внешние (подрядчики, облачные сервисы, API).
3. Классифицируйте данные по категориям. Разделите источники на содержащие специальные категории, биометрию и общие данные — это определяет базовый уровень риска и размер потенциального штрафа.
4. Проведите оценку вреда по Приказу РКН № 178. Для каждой системы определите степень возможного вреда субъектам и оформите Акт. Приоритет — системы с высокой степенью вреда.
5. Разработайте модель угроз. Для значимых систем составьте перечень актуальных угроз, используя базу ФСТЭК и собственный анализ. Привлекайте не только ИБ-специалистов, но и владельцев бизнес-процессов.
6. Постройте матрицу рисков. Для каждой угрозы оцените вероятность и масштаб ущерба, определите приоритет.
7. Сформируйте план мер. Для рисков уровня «критический» и «высокий» определите конкретные меры с ответственными и сроками. Для остаточных рисков зафиксируйте решение об их принятии.
8. Внедрите процесс обновления. Задайте регулярность переоценки (не реже раза в год, а также при любых значимых изменениях: новые системы, новые интеграции, смена подрядчиков, инциденты).
9. Свяжите оценку с процессом уведомления об утечках. Акт оценки вреда должен быть готов до инцидента: именно он определяет, какие данные подпадают под обязательное уведомление РКН в течение 24 часов.
10. Проверьте соответствие документации реальной практике. Расхождение между «бумагой» и тем, что происходит в системах, — главный источник дополнительных нарушений при проверке РКН [7].

Типичные ошибки при оценке рисков ПДн

Опыт аудиторов и регуляторных проверок позволяет выделить несколько наиболее частых ошибок, которые операторы совершают при выстраивании процесса оценки рисков.

Ошибка 1. Однократная оценка без обновления. Компании проводят оценку при запуске системы или при подготовке к проверке и забывают её обновлять. Между тем ИТ-ландшафт меняется постоянно: появляются новые поля в БД, новые интеграции, новые подрядчики. Без актуальных данных оценка теряет смысл. Методика ФСТЭК прямо указывает на необходимость обновления модели угроз при изменении архитектуры и выявлении новых уязвимостей [5].

Ошибка 2. Копирование шаблонов без привязки к реальности. Тысячи организаций используют типовые «шаблоны» модели угроз и актов оценки вреда, просто подставляя своё название. Роскомнадзор при проверке легко обнаруживает подобные расхождения, и они становятся источником дополнительных нарушений [7].

Ошибка 3. Оценка только «видимых» систем. Официальные ИТ-системы обычно задокументированы. Но ПДн часто хранятся и в «теневых» источниках: таблицы Excel на рабочих станциях, почтовые вложения с клиентскими данными, мессенджеры, личные телефоны сотрудников. Эти источники практически никогда не включаются в оценку.

Ошибка 4. Игнорирование цепочки подрядчиков. По данным InfoWatch, значительная доля утечек происходит через внешних обработчиков данных [3]. Если подрядчик имеет доступ к ПДн, его риски — это ваши риски: ответственность перед субъектами ПДн и регулятором несёт оператор, а не обработчик.

Ошибка 5. Разрыв между оценкой и реальными мерами. Компании нередко документируют высокий уровень риска для какой-либо системы, но не предпринимают никаких мер по снижению риска и не фиксируют решение о его принятии. Это создаёт правовую ловушку: документально признан высокий риск, а мер нет — именно так оно будет выглядеть для регулятора и суда.

Ошибка 6. Отсутствие участия бизнеса. Оценку рисков нередко полностью делегируют ИТ или юридическому департаменту. Но реальные риски хорошо понимают только те, кто работает с данными: HR знает, какие сведения о сотрудниках хранятся и зачем, маркетинг — что происходит с клиентскими базами, финансы — где обрабатываются данные о платежах. Методика ФСТЭК специально указывает на необходимость привлечения профильных подразделений [5].

Часть 6. Кейсы и примеры

Пример 1. Ритейл: высокий объём, умеренная категория данных

Крупный интернет-магазин хранит данные о нескольких миллионах покупателей: ФИО, телефоны, адреса доставки, история заказов, данные платёжных карт (в токенизированном виде). Специальных категорий ПДн нет, биометрия не обрабатывается.

Первичная классификация: высокий охват (более 100 000 субъектов) → потенциальный штраф при утечке от 10 до 15 млн рублей. Торговля — лидер утечек в России: в 2024 году на неё пришлось более 35% инцидентов с ПДн [3]. Это само по себе означает высокую вероятность внешних атак.

Матрица рисков выявит угрозы с критическим уровнем: несанкционированный доступ к БД клиентов через уязвимости веб-приложения (высокая вероятность в секторе + высокий ущерб). Приоритетные меры: усиление защиты API, регулярные пентесты, мониторинг аномального доступа, план реагирования на инцидент с уведомлением РКН.

Пример 2. Медицинская клиника: специальные категории данных

Частная клиника хранит медицинские карты пациентов — специальные категории ПДн (состояние здоровья). Число субъектов: от нескольких тысяч до нескольких десятков тысяч пациентов.

По Приказу РКН № 178 степень вреда автоматически высокая. Утечка данных о здоровье — отдельный состав КоАП с штрафом 10–15 млн рублей [2]. Уголовная ответственность за незаконную обработку специальных категорий также предусмотрена [1].

Критические риски: внутренние угрозы (доступ медицинского персонала к данным всей базы, а не только своих пациентов), небезопасные интеграции с медицинскими информационными системами, хранение бумажных карт без надлежащей физической защиты.

Реальный кейс: в 2021 году из московской клиники в сеть попали медицинские карты пациентов. Суд обязал компанию выплатить компенсации, а Роскомнадзор наложил административный штраф [9].

Пример 3. Производственное предприятие: «слепые зоны» в 1С и AD

Производственное предприятие среднего размера. Основные системы — 1С:Зарплата и управление персоналом, Active Directory, корпоративная почта. ПДн сотрудников: ФИО, паспортные данные, ИНН, СНИЛС, данные о заработке, медицинские книжки, данные о семейном положении.

Типичная проблема: ИТ-служба не имеет полной картины того, какие именно поля в 1С хранят ПДн, кто имеет к ним доступ и есть ли выгрузки этих данных во внешние системы. Риск-оценка, сделанная только на основе официальной документации, не охватит теневых выгрузок и несанкционированных доступов.

Для таких предприятий первичной задачей является автоматическая инвентаризация ПДн — обнаружение, где и какие данные хранятся фактически, а не на бумаге.

Часть 7. Будущее: тренды в управлении рисками ПДн

Несколько тенденций 2025–2026 годов меняют само содержание оценки рисков обработки ПДн.

Первый тренд — непрерывный контроль вместо периодического аудита. Традиционная модель — ежегодный аудит — принципиально не успевает за темпами изменений в ИТ-ландшафте. Регулятор де-факто движется к концепции «непрерывного контроля»: способность оператора в любой момент показать актуальную картину обработки данных [7]. Это означает переход от разовых проверок к постоянному мониторингу.

Второй тренд — расширение перечня обязательных уведомлений. С 1 сентября 2025 года расширены полномочия органов контроля: проверки могут осуществлять не только Роскомнадзор, но и силовые ведомства в части биометрии и чувствительных данных [8]. Давление на операторов будет расти.

Третий тренд — усиление ответственности за ИИ и профилирование. Использование искусственного интеллекта для автоматических решений на основе ПДн становится отдельной зоной риска. Согласно опросу 2025 года, 82,2% граждан России указали на высокие риски использования ИИ-технологий при взаимодействии с государством [17]. Регуляторы в России и мире движутся к обязательной оценке воздействия ИИ-систем на права граждан — это следующий уровень DPIA.

Четвёртый тренд — автоматизация инвентаризации и оценки рисков. Ручные процессы не справляются с масштабом задачи. Решения класса data discovery и privacy management автоматически обнаруживают ПДн в корпоративных системах, отслеживают изменения и уведомляют об отклонениях — без извлечения и хранения самих данных. Именно такой подход соответствует принципу «privacy-by-design».

Часть 8. Технологии как инструмент управления рисками

Важно понимать: оценка рисков — это процесс, а не одноразовый документ. И эффективность этого процесса во многом определяется наличием актуальной технической базы — прежде всего инструментов инвентаризации и мониторинга ПДн.

Без актуальной карты данных невозможно точно оценить ни охват субъектов, ни реальные векторы угроз, ни эффективность уже принятых мер. Компании, работающие «вручную», как правило, обнаруживают новые источники рисков только при инциденте или проверке — когда уже поздно.

Именно здесь на помощь приходят специализированные платформы класса data discovery и privacy management. Один из таких продуктов — Пятый фактор, российская on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: БД, хранилищах, почте, AD/LDAP, CRM, 1С, API.

Ключевая особенность «Пятого фактора» — принцип privacy-by-design в самой архитектуре решения: платформа работает только с метаданными, структурой и агрегатами данных, не извлекает и не хранит «сырые» значения ПДн. Это означает, что само средство защиты не становится дополнительным источником риска — критически важное свойство для систем, обрабатывающих чувствительные данные.

На практике это решает именно те проблемы, которые делают оценку рисков сложной: компания получает живую «карту ПДн» — актуальное представление о том, где и какие данные находятся, кто является владельцем, что изменилось. Новые поля в БД, подключённые без ведома ИБ, интеграции с новыми подрядчиками, забытые хранилища — всё это обнаруживается автоматически, пока не превратилось в инцидент. В результате контроль становится непрерывным процессом с понятными нарушениями, владельцами и статусами, а аудит занимает дни, а не недели.

Заключение: оценка рисков как непрерывный процесс

Оценка рисков обработки персональных данных в 2025–2026 году — это уже не compliance-формальность, а базовый элемент управления организацией. Регуляторное давление усилилось: штрафы выросли в десятки раз, требования к доказательству реального контроля ужесточились, проверок становится больше [1][7]. Одновременно растёт и угрозовая среда: в 2024 году из российских компаний утекло более 1,5 млрд записей ПДн, и этот показатель продолжает расти [3].

Главный вывод этой статьи прост: хорошая оценка рисков — это не набор правильно заполненных шаблонов. Это процесс, который начинается с инвентаризации реального состояния, продолжается регулярной переоценкой по мере изменений и заканчивается конкретными, задокументированными решениями о мерах защиты и их эффективности.

Что делать дальше:

1. Если у вас ещё нет актуальной инвентаризации источников ПДн — начните с неё: остальные шаги без неё бессмысленны.
2. Если вы работаете с специальными категориями данных или биометрией — приоритизируйте эти системы немедленно: именно они несут максимальный регуляторный и репутационный риск.
3. Если у вас уже есть документы по оценке рисков — проверьте их актуальность: соответствуют ли они реальному ИТ-ландшафту или устарели после очередного обновления систем?
4. Встройте переоценку в плановые процессы: каждое изменение в ИТ-инфраструктуре, каждый новый подрядчик, каждая новая интеграция должны триггерить пересмотр рисков для затронутых систем.

Инвестиции в системный подход к оценке рисков ПДн — это не статья расходов, а страховка: от штрафов, от репутационных потерь, от инцидентов, которые гораздо дороже любой превентивной меры.

Источники

[1] КонсультантПлюс. Персональные данные: новые штрафы с 30 мая 2025 года. — https://www.consultant.ru/legalnews/28492/

[2] КонсультантПлюс. Новые штрафы за утечку персональных данных. — https://www.consultant.ru/legalnews/27142/

[3] InfoWatch. Исследование «Россия: утечки информации ограниченного доступа, 2023–2024». — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[4] Роскомнадзор. Приказ № 178 от 27.10.2022 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных». — https://rppa.pro/npa/rkn178_27.10.2022

[5] ФСТЭК России. Методика оценки угроз безопасности информации, утверждена 5 февраля 2021 г. — https://www.garant.ru/products/ipo/prime/doc/400325044/

[6] Selectel. Модель угроз безопасности персональных данных: как составить по требованиям ФСТЭК. — https://selectel.ru/blog/personal-data-security-threat-model/

[7] IC-Tech. Персональные данные 2026: изменения 2025 года и что срочно проверить бизнесу. — https://ic-tech.ru/blog/personalnye-dannye-2026-izmeneniya-2025-i-chto-srochno-proverit/

[8] ComNews. В 2025 г. шесть компаний получили штрафы за утечки. — https://www.comnews.ru/content/243497/2026-01-29/2026-w05/1008/2025-g-shest-kompaniy-poluchili-shtrafy-za-utechki-2026-g-shtrafov-budet-bolshe

[9] Профкадровик. Оценка возможного вреда при обработке персональных данных. — https://profkadrovik.ru/articles/personalnye-dannye/otsenka-vreda-subektam-personalnyh-dannykh-kak-provesti-i-sostavit-akt-ob/

[10] IT-SEC Expo. Персональные данные в 2026 году: новые требования и инструменты. — https://www.itsecexpo.ru/2025/program/personal-data

[11] Falcongaze. Управление рисками информационной безопасности. — https://falcongaze.com/ru/pressroom/publications/upravleniye-riskami-informatsionnoy-bezopasnosti.html

[12] Loughborough University. The DPIA process – step by step. — https://www.lboro.ac.uk/data-privacy/help/dpia/dpia-process/

[13] GDPR.eu. Data Protection Impact Assessment (DPIA). — https://gdpr.eu/data-protection-impact-assessment-template/

[14] ICO. Risks and data protection impact assessments (DPIAs). — https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/accountability-framework/risks-and-data-protection-impact-assessments-dpias/

[15] CIPL. Risk, High Risk, Risk Assessments and Data Protection Impact Assessments. — https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl_gdpr_project_risk_white_paper_21_december_2016.pdf

[16] Право.ру. Юристы раскритиковали новую оценку рисков в сфере персональных данных. — https://pravo.ru/news/244229/

[17] HSE. Оценка гражданами эффектов и рисков их цифрового взаимодействия с государством: динамика 2022–2025 гг. — https://vgmu.hse.ru/article/view/29985

[18] Data-sec.ru. Штрафы за персональные данные в 2026 году. — https://data-sec.ru/personal-data/fines/

[19] TAdviser. Штрафы за утечку данных в России. — https://www.tadviser.ru/index.php/Статья:Штрафы_за_утечку_данных_в_России

[20] InfoWatch. Россия заняла второе место по количеству утечек данных в мире. — https://www.infowatch.ru/company/presscenter/news/rossiya-zanyala-vtoroye-mesto-po-kolichestvu-utechek-dannykh-v-mire