Скрытые источники утечки персональных данных: резервные копии, тестовые среды, мессенджеры, 1С и API

Где данные уходят незаметно — и как это остановить до проверки или инцидента

Почему традиционная защита не работает

Классическая модель защиты персональных данных в российской компании выглядит примерно так: поставили файрволл на основную базу, назначили ответственного за ПДн, составили пакет документов для Роскомнадзора — и успокоились. Пока не грянет гром.

Гром в 2024–2025 годах грянул для многих. По данным Роскомнадзора, за 2024 год ведомство зафиксировало 135 фактов утечек персональных данных, содержащих более 710 млн записей. Это официальная статистика [2]. Реальная картина, по оценкам экспертов, шире: согласно отчёту InfoWatch, в 2024 году объём скомпрометированных персональных данных в России достиг 1,58 млрд записей, что на 30% больше, чем в 2023 году [8].

Но самое тревожное — не масштаб, а природа утечек. Значительная их часть происходит не через взлом основных баз, а через «вторичные» хранилища, которые компании вообще не воспринимают как зону риска: резервные копии на сетевых дисках, production-данные в тестовых средах, резюме кандидатов в почтовых ящиках HR, журналы из 1С на флешках, паспорта в Telegram-чатах, персональные данные в API-ответах сторонних интеграций.

Эта статья — подробный разбор шести категорий скрытых источников утечки ПДн, актуальных для российских компаний в 2025–2026 годах. Для каждой категории — механика риска, типичные ошибки и чек-лист контрмер.

Статья будет полезна DPO (ответственным за защиту данных), ИТ-директорам, руководителям HR, руководителям безопасности и всем, кто подписывает документы об обработке персональных данных.

Часть 1. Законодательный контекст: что изменилось и что теперь стоит ошибка

Прежде чем разбирать конкретные векторы утечек, необходимо понять регуляторный фон — потому что ставки резко выросли.

Новые штрафы с 30 мая 2025 года

Федеральный закон № 420-ФЗ от 30 ноября 2024 года внёс принципиальные изменения в статью 13.11 КоАП РФ. С 30 мая 2025 года за нарушение правил обработки персональных данных общей категории можно получить штраф до 500 млн рублей, специальной категории — наказание в форме лишения свободы на срок до пяти лет.

Штрафы за утечки теперь зависят от объёма скомпрометированных данных [4][22][23]:

1. Утечка данных от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей для юридических лиц.
2. Утечка данных от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей.
3. Утечка данных свыше 100 000 субъектов — от 10 до 15 млн рублей.
4. При повторных нарушениях — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей.

За повторную утечку персональных данных любой категории — 1–3% годовой выручки. В зависимости от конкретного нарушения расчётный размер штрафа по общему правилу не может быть меньше 20 млн или 25 млн рублей и не должен превышать 500 млн рублей.

Важно: одно из самых опасных изменений — введение оборотного штрафа. Он применяется, если оператор уже попадался на инциденте ранее или произошла повторная утечка.

Обязанность уведомлять и сроки

Уведомить Роскомнадзор об инциденте необходимо в течение 24 часов, о ходе расследования — в течение 72 часов. Несоблюдение сроков уведомления влечёт дополнительные санкции [24].

Новые требования к обезличиванию с 1 сентября 2025 года

С 1 сентября 2025 года вступил в силу приказ Роскомнадзора № 140, утвердивший новые методы обезличивания. Среди методов: создание идентификаторов, изменение состава и семантики данных, перемешивание, декомпозиция. Операторы обязаны отправлять обезличенные данные в государственную информационную систему, если придёт запрос от Минцифры [11].

Это означает, что обезличивание данных в тестовых средах и для аналитики теперь не просто «хорошая практика» — это требование закона.

Часть 2. Резервные копии: данные, которые забыли защитить

Механика риска

Резервные копии создаются ради безопасности — и парадоксально становятся дырой в ней. Вот типичный сценарий: производственная база защищена, зашифрована, с разграничением доступа. Но каждую ночь её полная копия уходит на сетевой диск, к которому имеют доступ десятки сотрудников, потому что «так настроил старый сисадмин» или «чтобы было удобнее восстанавливать».

Резервные копии содержат всё то же самое, что и основная база: ФИО, паспортные данные, СНИЛС, зарплаты, медицинские сведения, историю операций. Но уровень защиты у них, как правило, на порядок ниже.

Конкретный пример из 2024 года: при атаке на ВГТРК злоумышленники стёрли с серверов всё, включая резервные копии. Это означает, что резервные копии находились там, где до них добрались хакеры — то есть в той же инфраструктуре, что и основные данные [9].

Типичные ошибки

1. Хранение резервных копий в той же сети, что и production-системы, без дополнительной изоляции.
2. Отсутствие шифрования файлов резервных копий — копия в открытом виде на сетевом диске.
3. Широкий доступ к папкам с бэкапами — иногда полный доступ у всего IT-отдела или даже бухгалтерии.
4. Отсутствие инвентаризации: никто не знает, сколько копий существует, где они лежат и кто к ним имеет доступ.
5. Хранение резервных копий у подрядчиков по обслуживанию 1С или других систем без надлежащего соглашения о поручении обработки ПДн.
6. Устаревшие резервные копии, которые никто не удаляет: данные сотрудников, уволенных 5 лет назад, продолжают храниться в бэкапах.

Чек-лист для резервных копий

1. Составьте реестр всех резервных копий: где находятся, кто имеет доступ, когда созданы, когда удалены.
2. Введите шифрование всех резервных копий — стандарт AES-256 минимум.
3. Разграничьте доступ: к файлам бэкапов должны иметь доступ только специально назначенные сотрудники, а не весь IT-отдел.
4. Изолируйте хранилище резервных копий от production-сети.
5. Установите политику хранения и удаления: резервные копии не должны хранить ПДн дольше, чем это необходимо по закону.
6. Если резервные копии хранятся у подрядчика — заключите договор на поручение обработки ПДн по требованиям ст. 6 152-ФЗ.
7. Проводите периодический аудит: проверяйте, не появились ли «теневые» копии, о которых IT забыло сообщить.

Часть 3. Тестовые среды: production-данные без production-защиты

Механика риска

Это, пожалуй, самый массовый и незаметный вектор утечки корпоративных ПДн. Разработчику нужна «живая» база для отладки функционала. QA-инженер просит реалистичные данные, чтобы тестирование было «как в бою». В итоге production-база копируется в dev- или staging-среду — и там живёт месяцами с реальными ФИО, номерами телефонов и паспортными данными.

Если раньше основные усилия по защите персональных данных концентрировались на боевых системах, то сегодня фокус смещается. Утечки всё чаще происходят там, где их меньше всего ждут — в тестовых средах, у внешних разработчиков, в демоверсиях продуктов [10].

Тест/Dev — копии prod-БД в тестовых средах без обезличивания, выгрузка их в общие диски для аналитики — входят в список наиболее распространённых уязвимостей, через которые утекают персональные данные [6].

Почему это системная проблема

Тестовая среда, в отличие от production, почти никогда не имеет:

1. Системы мониторинга доступа и аномалий.
2. Строгого разграничения прав — в тестовой среде часто у всей команды разработки права администратора.
3. Контроля выгрузок: разработчик может скачать дамп базы на личный ноутбук «для удобства».
4. Политики хранения: тестовые данные могут лежать годами.
5. Контроля за внешними подрядчиками: аутсорсинговые команды работают с тестовыми базами, в которых реальные данные клиентов.

В сложном интеграционном ландшафте есть множество источников, которые потенциально могут содержать чувствительные данные. Потом эти данные «растекаются» по связанным системам [12].

Требования закона

С 1 сентября 2025 года начали действовать новые правила обезличивания персональных данных. Теперь работодатели смогут использовать обезличенные ПДн без согласия субъектов, но при условии, что эти сведения обработаны так, что невозможно восстановить личность человека [11].

Это означает: передача реальных ПДн в тестовые среды — это уже нарушение, требующее либо согласия субъектов (что нереалистично), либо полноценного обезличивания.

Методы обезличивания по приказу РКН № 140

1. Введение идентификаторов (замена реальных данных псевдонимами с отдельным ключом).
2. Изменение состава и семантики (замена, обобщение, удаление части данных).
3. Перемешивание (перестановка значений атрибутов между записями).
4. Декомпозиция (разбиение набора данных на части, связь между которыми невозможно установить без дополнительного ключа).
5. Преобразование (изменение значений атрибутов по определённому алгоритму).

Чек-лист для тестовых сред

1. Запретите копирование production-баз в тестовые среды без предварительного обезличивания.
2. Внедрите инструменты автоматического обезличивания перед заливкой данных в тест.
3. Установите контроль доступа к тестовым средам — не хуже, чем к production.
4. Если с тестовой средой работают подрядчики — заключите договор на поручение обработки ПДн и зафиксируйте обязательства по защите данных.
5. Введите политику хранения: тестовые базы должны удаляться после завершения проекта или спринта.
6. Рассмотрите генерацию синтетических тестовых данных как альтернативу копированию production.

Часть 4. Резюме и данные кандидатов: HR как незащищённый периметр

Механика риска

HR-процесс — это постоянный поток персональных данных: резюме, анкеты при трудоустройстве, сканы паспортов, справки, результаты психологических тестов, сведения о судимостях. Большая часть этих данных оседает в почтовых ящиках рекрутеров, на общих сетевых папках, в таблицах Excel и мессенджерах — без какой-либо системной защиты.

В работе HR-специалистов к персональным данным относятся все сведения, которые компания получает от кандидата или сотрудника. Это относится и к резюме, и к анкетам, и к договорам. HR-специалисты работают с персональными данными на всех этапах — от подбора до увольнения сотрудника [13].

Правовые требования, которые часто нарушаются

Согласно 152-ФЗ и судебной практике:

1. Для обработки ПДн кандидата необходимо получить его явное письменное согласие.
2. Если в согласии указана цель «рассмотрение возможности трудоустройства», то персональные данные необходимо уничтожить в течение 30 дней после принятия окончательного решения по кандидату [14].
3. Данные кандидатов, которым отказали, не могут храниться дольше, чем указано в согласии.
4. Передача резюме внутри компании (например, из HR в руководителя отдела) — это передача ПДн третьим лицам, которая должна быть предусмотрена в согласии.

На практике компании хранят резюме годами, никогда их не удаляют и не могут ответить на вопрос: «Где у нас хранятся данные кандидатов, которых мы рассматривали в 2020 году?»

Типичные ошибки в HR

1. Хранение резюме в общей папке или корпоративной почте без ограничения доступа.
2. Пересылка резюме со сканами паспортов через личные мессенджеры (Telegram, WhatsApp).
3. Ведение базы кандидатов в Excel-файле без шифрования и контроля доступа.
4. Отсутствие процедуры уничтожения данных отказанных кандидатов.
5. Хранение данных на hh.ru или других внешних платформах без понимания, где физически находятся серверы.
6. Передача резюме в кадровые агентства без договора на поручение обработки.

Чек-лист для HR

1. Внедрите систему управления согласиями: фиксируйте, когда и на что кандидат дал согласие.
2. Установите процедуру обязательного уничтожения данных кандидатов — не позднее 30 дней после отказа (если иной срок не указан в согласии).
3. Ограничьте доступ к резюме и анкетам: только рекрутер и нанимающий менеджер.
4. Запретите пересылку резюме через личные мессенджеры — только через корпоративные каналы.
5. Убедитесь, что используемые ATS-системы (системы управления кандидатами) хранят данные на серверах в России согласно требованиям о локализации.
6. Проводите ежегодный аудит: проверяйте, какие данные кандидатов хранятся и не истёк ли срок их хранения.

Часть 5. Мессенджеры Telegram и VK: когда удобство дороже безопасности

Масштаб проблемы

По оценке экспертов, Telegram в 2024–2025 годах стал площадкой распространения около 72% всех зафиксированных утечек информации. Популярность Telegram у продавцов утёкших данных связана с недостаточно жёсткими правилами проверки и отсутствием строгой системы репутации [5].

Но дело не только в том, что Telegram используют злоумышленники для торговли базами. Проблема глубже: сотрудники российских компаний ежедневно передают через Telegram паспортные данные клиентов, резюме, договоры, медицинские справки — просто потому, что это удобно.

Анализ 230 инцидентов в сфере информационной безопасности показал, что мессенджеры оказались главным каналом утечек — 35% всех подобных киберинцидентов было связано с их использованием [18].

Сотрудник может отсканировать паспорт и отправить его себе в «Избранное» в Telegram, полагая, что это вполне легитимное действие. Однако передача персональных данных с рабочего компьютера на личное устройство может трактоваться как нарушение ФЗ-152 [16].

Законодательные ограничения с 2025 года

С 1 июня 2025 года вступил в силу обновлённый федеральный закон № 41-ФЗ, который наложил прямой запрет на использование иностранных мессенджеров для определённых категорий организаций в рамках деловой переписки: государственные органы, кредитные организации, операторы связи, владельцы социальных сетей и агрегаторы товаров и услуг [15].

Какие мессенджеры разрешены? Всё, что входит в реестр отечественного ПО Минцифры: VK Мессенджер, Пачка, МТС Линк, РОСЧАТ [15].

Штрафы за нарушение требований к мессенджерам: до 1 млн рублей со стороны Роскомнадзора плюс штрафы за саму утечку ПДн [16].

Telegram как канал распространения украденных данных

Роскомнадзор заявил, что Telegram создал и системно поддерживает инфраструктуру, позволяющую сервисам интернет-пробива нелегально распространять персональные данные россиян, в том числе в формате «досье на человека». Администрация мессенджера удалила 8358 сервисов пробива с 2022 года по требованию РКН [28].

Отдельная угроза — «боты-пробивальщики» в Telegram, которые позволяют за небольшую плату получить данные о любом человеке из утёкших баз. В начале 2024 года злоумышленники выложили в сеть базу данных на 12 Тб, содержавшую порядка 26 млрд записей о профилях пользователей, в том числе из Telegram и VK [17]. Это означает, что любая утечка из вашей компании через несколько недель может оказаться в таком боте.

Чек-лист для мессенджеров

1. Запретите передачу ПДн через личные мессенджеры сотрудников — введите это в регламент.
2. Для организаций из ограниченного списка (банки, госструктуры, операторы связи) немедленно перейдите на отечественные мессенджеры из реестра Минцифры.
3. Внедрите DLP-систему, которая отслеживает передачу данных через мессенджеры с корпоративных устройств.
4. Включите в корпоративный регламент конкретные примеры запрещённых действий: «отправить скан паспорта в Telegram — нарушение».
5. Обучите сотрудников: многие не осознают, что отправка документа «себе в избранное» в Telegram означает передачу данных на зарубежные серверы.
6. Проводите регулярные проверки: анализируйте, какие данные передавались через корпоративные мессенджеры.

Часть 6. 1С и ЗУП: недооценённая угроза в кадровом учёте

Почему 1С — зона риска

1С:ЗУП (Зарплата и управление персоналом) — это сердце кадрового учёта большинства российских компаний. Там хранятся ФИО, паспортные данные, СНИЛС, ИНН, адреса, номера банковских счетов, сведения о зарплате, медицинских полисах, истории занятости, результаты аттестаций — полный профиль каждого сотрудника.

Корректная настройка персональных данных в бухгалтерии и HR-службе критически важна: каждый незакрытый доступ к форме с паспортными данными или просроченный акт уничтожения открывают путь к штрафам на миллионы рублей, лишению должностей, репутационным рискам и рискам приостановки деятельности компании [19].

1С:ЗУП и 1С:Бухгалтерия являются информационной системой персональных данных (ИСПДн), поскольку хранят и обрабатывают сведения о сотрудниках в электронном виде, что прямо подпадает под определение ИСПДн согласно статье 3 Федерального закона № 152-ФЗ [19].

Типичные уязвимости в 1С

1. Широкие права доступа: пользователям даны избыточные роли в системе, часто — потому что так «проще настраивать».
2. Общие учётные записи: несколько сотрудников работают под одним логином — невозможно установить, кто и когда просматривал ПДн.
3. Неактивированный журнал аудита: 1С:ЗУП имеет встроенный механизм регистрации событий доступа к ПДн, но в большинстве компаний он не настроен.
4. Устаревшие данные уволенных сотрудников: ПДн хранятся бессрочно, хотя после истечения сроков хранения они должны быть уничтожены.
5. Резервные копии базы 1С на незащищённых носителях или у подрядчиков по сопровождению.
6. Выгрузка данных в Excel: сотрудники регулярно формируют отчёты с полными данными и сохраняют их на общих дисках.

Что требует регулятор

В программе «1С:Зарплата и управление персоналом 8» ред. 3 реализована подсистема защиты персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ. Но реализована — не значит включена и настроена. Большинство компаний используют 1С:ЗУП в базовой конфигурации без активации функций защиты ПДн [20].

В 1С:ЗУП реализован механизм уничтожения персональных данных физических лиц в соответствии с приказом Роскомнадзора от 28.10.2022 № 179. Появилась возможность удалить персональные данные по уволённым сотрудникам с истекшим сроком хранения и задокументировать факт удаления [21].

Эта функция доступна — но почти никто ей не пользуется.

Чек-лист для 1С и ЗУП

1. Активируйте подсистему защиты ПДн в 1С:ЗУП и настройте регистрацию событий доступа.
2. Проведите аудит прав доступа: у каждого пользователя должна быть только та роль, которая необходима для работы.
3. Исключите общие учётные записи: каждый сотрудник должен работать под индивидуальным логином.
4. Запустите процедуру уничтожения ПДн уволенных сотрудников с истекшим сроком хранения.
5. Составьте и ведите реестр пользователей, имеющих доступ к ПДн в 1С.
6. Регламентируйте выгрузки данных из 1С: запретите неконтролируемое формирование отчётов с полными данными.
7. Убедитесь, что резервные копии базы 1С зашифрованы и доступны только авторизованным лицам.
8. Если 1С обслуживает внешний подрядчик — заключите договор на поручение обработки ПДн.

Часть 7. API и webhooks: данные, которые уходят в интеграции

Механика риска

Современный корпоративный IT-ландшафт — это десятки интегрированных систем: CRM, ERP, маркетинговые платформы, аналитика, колл-центры, службы доставки, платёжные шлюзы. Все они обмениваются данными через API. И в каждой такой интеграции может передаваться куда больше ПДн, чем это необходимо.

Типичная проблема: разработчик настраивает интеграцию с внешним сервисом и передаёт в API-ответе полный объект пользователя — ФИО, дату рождения, паспортные данные, адрес — хотя внешнему сервису нужен только email и идентификатор заказа. Это происходит потому, что «так проще», и никто не проверяет, что именно передаётся.

Логи и телеметрия — IP, cookie, user-ID в зарубежных лог-хранилищах и дашбордах — относятся к персональным данным и являются распространённым вектором утечки [6].

Конкретные уязвимости

1. Избыточная передача данных: API отдаёт больше полей, чем нужно получателю.
2. Незащищённые эндпоинты: API без аутентификации или с устаревшими ключами.
3. Webhooks на незащищённые URL: события (например, оформление заказа с ПДн клиента) отправляются на HTTP-адреса без шифрования.
4. Логирование API-запросов с ПДн: логи хранятся в системах мониторинга, в том числе зарубежных (Datadog, Splunk), что является трансграничной передачей ПДн.
5. Старые интеграции с неактивными подрядчиками: токены доступа не отозваны, данные продолжают передаваться.
6. Интеграции с маркетинговыми платформами: данные клиентов (email, телефон, поведение на сайте) уходят в зарубежные системы без надлежащего правового основания.

Требования к трансграничной передаче

Если через API данные уходят за рубеж — это трансграничная передача ПДн, требующая уведомления Роскомнадзора и проверки страны-получателя. Трансграничная передача ПДн требует подачи заявки в Роскомнадзор на разрешение передачи данных за рубеж [29][30].

Чек-лист для API и webhook

1. Проведите аудит всех API-интеграций: что передаётся, кому, с какой целью и на каком правовом основании.
2. Внедрите принцип минимизации данных в API: передавайте только те поля, которые нужны получателю.
3. Проверьте аутентификацию всех API-эндпоинтов: устаревшие ключи должны быть отозваны.
4. Переведите все webhooks на HTTPS.
5. Убедитесь, что API-логи не содержат сырых значений ПДн или хранятся только в системах на территории РФ.
6. Для интеграций с зарубежными системами — оформите трансграничную передачу ПДн в Роскомнадзоре или перейдите на российские альтернативы.
7. Введите реестр интеграций с описанием передаваемых данных и ответственного за каждую интеграцию.
8. Регулярно отзывайте доступы для подрядчиков, с которыми завершено сотрудничество.

Часть 8. Типичные ошибки и как их избежать

Ошибка 1: «У нас нет ничего ценного»

Многие компании считают, что их данные не интересны злоумышленникам. Это заблуждение. В Telegram-каналах и специализированных ботах можно «пробить» по базам практически любого. Персональные данные стали одним из самых ценных активов каждого человека [25]. Данные любой компании — кадровые данные сотрудников, данные клиентов, даже данные поставщиков — имеют ценность на чёрном рынке.

Ошибка 2: «Мы задокументировали всё, значит защищены»

Наличие пакета документов (политика обработки ПДн, согласия, регламенты) — необходимое, но не достаточное условие. Большинство утечек происходит из-за сочетания трёх факторов: человеческой небрежности, технических уязвимостей и отсутствия контроля [26]. Документы без реальных технических мер защиты — это бумажная безопасность.

Ошибка 3: «IT отвечает за безопасность данных»

Безопасность ПДн — кросс-функциональная задача. HR отвечает за данные кандидатов, бухгалтерия — за финансовые данные, разработчики — за API и тестовые среды. Когда «все отвечают», по факту не отвечает никто.

Ошибка 4: «Мы защищены, потому что наш подрядчик сказал, что всё ОК»

Договор на поручение обработки ПДн не снимает ответственности с оператора. Облачный провайдер не несёт ответственности за персональные данные — в случае утечки перед Роскомнадзором будет отвечать оператор [30]. То же правило действует для любых подрядчиков.

Ошибка 5: «Мы узнаем об утечке, если она произойдёт»

На практике компании узнают об утечке одним из трёх способов: от хакеров, которые выложили базу в сеть; от журналистов, которые написали об инциденте; или от Роскомнадзора, который пришёл с проверкой. Эксперты отмечают, что существует высокий риск повторных инцидентов у компаний, которые уже стали жертвами хакеров [3]. Без мониторинга — компания не видит утечки в режиме реального времени.

Часть 9. Будущее: тренды 2025–2026

Тренд 1: Аудиты станут глубже и неожиданнее

В первой половине 2025 года Роскомнадзор выявил 35 фактов утечек персональных данных, содержащих более 39 млн записей [7]. Регулятор последовательно наращивает активность: растёт число составленных протоколов, проверки становятся более техническими — регулятор требует не только документы, но и доказательства реальных мер защиты.

Тренд 2: Рост масштаба одной утечки

В России количество записей на одну утечку стабильно растёт: в 2025 году утекало в среднем 3,27 млн записей за один инцидент, что на 25,8% больше, чем в 2024 году и на 44% больше, чем в 2023 году [27]. Это означает, что атаки становятся более целенаправленными и профессиональными.

Тренд 3: Переход торговли данными в «тёмную зону»

На фоне усиления правоохранительного давления теневой рынок данных переходит от относительно массовых форумов по продаже данных к полностью закрытым площадкам, культивирующим целевые сделки и индивидуальное обслуживание [27]. Это означает, что утечки реже становятся публичными — и компании ещё реже узнают о них вовремя.

Тренд 4: Ужесточение требований к обезличиванию

С 2025 года обезличивание становится обязательным инструментом, а не опциональной практикой. Появление государственной информационной системы обезличенных данных (ГИС) означает, что государство будет активнее использовать данные бизнеса — и требовать соответствующего качества обезличивания [11].

Тренд 5: Рост уголовной ответственности

В конце ноября 2024 года президент РФ подписал закон, усиливающий ответственность за утечки персональных данных и их незаконный оборот [2]. Уголовное преследование за незаконный оборот ПДн становится реальным инструментом, а не теоретической угрозой.

Часть 10. Практический чек-лист: что сделать прямо сейчас

Ниже — приоритизированный список действий для любой компании, которая обрабатывает персональные данные.

Приоритет 1 (срочно, в течение 1 месяца)

1. Составьте полный реестр информационных систем, где хранятся ПДн: базы данных, файловые хранилища, почта, мессенджеры, 1С, CRM, облачные сервисы.
2. Проверьте, не используются ли production-данные в тестовых средах — и если да, немедленно заморозьте доступ к ним до введения обезличивания.
3. Проверьте, шифруются ли резервные копии и кто имеет к ним доступ.
4. Убедитесь, что в 1С:ЗУП активирован журнал аудита доступа к ПДн.
5. Проверьте, есть ли договоры на поручение обработки ПДн со всеми подрядчиками, имеющими доступ к данным.

Приоритет 2 (в течение 3 месяцев)

1. Внедрите процедуру обезличивания для тестовых сред.
2. Проведите аудит API-интеграций: что передаётся, куда и с каким правовым основанием.
3. Введите регламент работы с ПДн для HR: согласия, сроки хранения, процедура уничтожения данных кандидатов.
4. Проведите обучение сотрудников по работе с ПДн — с акцентом на мессенджеры и типичные ошибки.
5. Введите процедуру уведомления Роскомнадзора об утечке — чтобы в случае инцидента не тратить время на выяснение, что делать.

Приоритет 3 (на постоянной основе)

1. Проводите ежеквартальный аудит прав доступа в 1С, CRM и других системах с ПДн.
2. Ведите реестр изменений в IT-ландшафте: новые базы данных, интеграции, подрядчики — это новые риски.
3. Мониторьте изменения законодательства и обновляйте внутренние регламенты.
4. Тестируйте процедуру реагирования на инцидент хотя бы раз в год.

Заключение

Персональные данные уходят не только через взломы основных баз. Они уходят через резервные копии на незащищённых дисках, через тестовые среды с production-данными, через резюме кандидатов в почтовых ящиках HR, через Telegram-переписку сотрудников, через избыточные API-ответы и через 1С с широко открытыми правами доступа.

С 30 мая 2025 года цена каждой из этих ошибок резко возросла: от 3 млн рублей за первичную утечку до 500 млн рублей за повторную. Уголовная ответственность перестала быть абстракцией.

Ключевой вывод: защита ПДн — это не разовая задача, а непрерывный процесс. Компании, которые видят только «основные» базы данных и не контролируют «теневые» хранилища, узнают о своих проблемах позже всех — уже при проверке или после инцидента.

Что делать дальше: составьте реестр всех мест хранения ПДн в вашей компании. Именно с этого начинается реальная защита — не с документов, а с понимания, где именно находятся данные.

О решении «Пятый фактор»

Одна из главных сложностей, описанных в этой статье, — это отсутствие у компании актуальной «карты» персональных данных. Новые базы появляются, интеграции множатся, подрядчики получают доступ, тестовые среды наполняются production-данными — и всё это происходит быстрее, чем успевает реагировать безопасность.

Именно эту проблему решает «Пятый фактор» — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, Active Directory, CRM, 1С и API-интеграциях.

Ключевое отличие платформы: она работает только с метаданными, структурой и агрегатами — без передачи и хранения сырых значений ПДн. Это означает, что сама платформа не становится дополнительным источником риска.

Что получает компания:

1. Живую «карту ПДн» — где и какие данные хранятся, кто является их владельцем, что изменилось с последней проверки.
2. Раннее обнаружение новых рисков — новые поля в базах, новые интеграции, новые источники данных фиксируются сразу, а не при очередном ручном аудите.
3. Сокращение времени аудита — вместо недель ручной работы компании получают актуальную картину в режиме реального времени.
4. Повышение готовности к проверкам — все данные о составе ИСПДн, владельцах и изменениях доступны по запросу.

Если вы не знаете, где в вашей компании хранятся персональные данные — значит, вы не можете их защитить. Узнайте больше на 5factor.ru.

Источники

1. Ведомости — Роскомнадзор сообщил о 30 случаях утечек персональных данных в 2025 году
2. CNews — В 2024 году в Сеть утекло более 710 млн записей о россиянах
3. F6 — Утечка персональных данных: порядок действий, штрафы и рекомендации 2025
4. КонсультантПлюс — Персональные данные: новые штрафы с 30 мая 2025 года
5. Хабр — Эксперты назвали Telegram основной площадкой распространения утечек данных в 2024–2025 годах
6. РБК Компании — Как работать с персональными данными в 2025 году: изменения с 1 сентября
7. Хабр — В первой половине 2025 года РКН выявил 35 фактов утечек
8. Anti-Malware.ru — В России утекло 1,58 млрд записей персональных данных в 2024 году
9. Cortel — Кибератаки и утечки данных 2024 года в России
10. SecurityMedia — Тестовые среды под ударом: почему компании массово переходят на обезличивание данных
11. Кадровое дело — Обезличивание персональных данных с 1 сентября 2025 года
12. Хабр (Сбербанк) — Как мы упростили подготовку данных для тестирования
13. SpectrumData — Персональные данные в HR: как работать с данными кандидатов и сотрудников по 152-ФЗ
14. hh.ru — Рекомендации для рекрутера: всё об обработке персональных данных в 2024 году
15. Wazzup — Мессенджеры и персональные данные 2025: по-человечески о 5 новых законах
16. Klerk.ru — Снижение риска утечки через мессенджеры: технические меры и правила для сотрудников
17. Российская Газета — «Длина» новой утечки данных из Telegram, VK и других сервисов составила 16 тысяч км
18. Model Studio CS — В 2024 году самым популярным каналом утечек оказались мессенджеры
19. Бизнес Навигатор — Персональные данные в 1С: настройка защиты по ФЗ-152 в 2025–2026 годах
20. Бух.1С — Как в 1С работать с персональными данными
21. Бизнес-Логика — Что нужно делать в ЗУП для защиты персональных данных
22. RTM Group — Изменения в законе о персональных данных с 2025 года: новые штрафы за утечки
23. ГАРАНТ — С 30 мая возрастут штрафы за утечку персональных данных
24. Хабр — Что делать при утечке персональных данных согласно 152-ФЗ: полный алгоритм действий
25. RTM Group — Как обезопасить себя от утечки персональных данных
26. F6 — Утечка персональных данных: порядок действий и штрафы
27. TAdviser — Утечки данных в России: за три года утекло 4,5 млрд записей
28. Роскомнадзор — новости о Telegram, пробив персональных данных
29. РБК Компании — Утечки персональных данных сотрудников: законы, штрафы, изменения
30. Cloud.ru — 152-ФЗ в облаке: хранение персональных данных в облаке