Утечка персональных данных: план действий 0–24–72 и пакет доказательств

Как выжить после инцидента, не нарушить закон и собрать доказательную базу — пошаговый разбор для операторов ПДн в России

Почему каждая минута на счету

Утечка персональных данных — это уже не редкое ЧП, а статистически неизбежное событие для любой организации, работающей с данными граждан. По данным исследования ЭАЦ InfoWatch, в 2024 году в России было зафиксировано 592 инцидента с компрометацией ПДн, а суммарный объём скомпрометированных записей достиг 1,58 млрд — почти в 11 раз больше населения страны [1]. Роскомнадзор в том же году зарегистрировал 135 официально подтверждённых фактов утечек, в которых засветилось свыше 710 млн строк данных [6].

При этом законодательный ответ на эту угрозу в России стал принципиально жёстче. Конец 2024 — начало 2025 года ознаменовались двумя волнами ужесточений: ФЗ-420 и ФЗ-421 от 30.11.2024, вступившие в силу с 30 мая 2025 года, кратно увеличили административные штрафы и ввели уголовную ответственность за незаконный оборот ПДн [2, 3]. Отдельную строгость закон проявляет не к самому факту утечки — а к тому, как оператор на неё реагирует. Пропустить дедлайн 24 часов означает отдельный штраф до 3 млн руб.; не провести расследование в 72 часа — ещё один [7].

Эта статья — практическое руководство для специалистов по ИБ, юристов, DPO и руководителей компаний. Она отвечает на вопросы: что делать прямо сейчас (час 0), что должно быть готово через сутки (час 24), что надо закрыть к часу 72, и какой пакет документов станет защитой перед РКН, прокуратурой и судом.

Часть 1. Контекст: кто, как и почему становится жертвой

1.1. Масштаб проблемы в цифрах

Объём скомпрометированных ПДн в России растёт год от года несмотря на ужесточение регулирования. В 2024 году в общем объёме утёкшей информации доля персональных данных выросла с 63,1% (2023) до 78,9% [8]. Это означает, что злоумышленники целенаправленно охотятся именно за данными людей, а не за коммерческими секретами.

Особенно тревожит структура инцидентов: почти половина утечек (48,3% в 2024 году) не позволяет достоверно установить точное количество скомпрометированных записей [8]. Реальный масштаб проблемы, по оценке аналитиков InfoWatch, существенно превышает официальную статистику.

Кто больше всего уязвим? Лидером по числу инцидентов в 2024 году стала торговля (27,8% всех утечек и более 35,1% случаев компрометации ПДн), второе место заняли госорганы (18%), третье — телекоммуникации (9,8%) [1]. Примечательно, что в первой половине 2024 года 51,3% всех утечек в России пришлись на малый бизнес и ИП — структуры с минимальными ИБ-бюджетами [9].

1.2. Откуда берутся утечки

Статистика InfoWatch стабильно фиксирует одну закономерность: более 80% инцидентов вызваны внешними атаками, но при этом доля внутренних нарушителей неуклонно растёт. В 2024 году каждый пятый случай компрометации (18,5%) связан с действиями сотрудников, причём 98% таких случаев — умышленные [1]. Более того, растёт доля утечек по вине топ-менеджеров: в 2024 году она составила 3,4% [1].

Типичные векторы атак и инсайдерских угроз:

• SQL-инъекции и эксплуатация уязвимостей публичных API и веб-приложений
• Компрометация учётных данных (credential stuffing, фишинг)
• Уязвимости в цепочке поставок и интеграциях с подрядчиками
• Несанкционированный экспорт данных сотрудниками через съёмные носители или облачные сервисы
• Ошибочная публикация данных в открытый доступ (misconfiguration S3/баз данных)

Знание векторов критично не только для защиты, но и для расследования: именно от предполагаемой причины инцидента зависит тактика первых действий.

1.3. Что изменилось в регуляторной среде с 2025 года

ФЗ-420 от 30.11.2024 внёс принципиальные изменения в ст. 13.11 КоАП РФ [2]. Ключевые новшества:

• Штраф за саму утечку теперь зависит от объёма: от 3–5 млн руб. (1–10 тыс. субъектов) до 10–15 млн руб. (свыше 100 тыс. субъектов или от 1 млн идентификаторов).
• За утечку биометрических или специальных категорий ПДн — отдельный состав с потолком в 15 млн руб. при первичном нарушении.
• За повторное нарушение введены оборотные штрафы — до 3% годовой выручки, минимум 25 млн руб., максимум 500 млн руб. [7].
• За неуведомление об утечке (или просрочку уведомления) — отдельный штраф: для юридических лиц от 1 до 3 млн руб. по ч. 11 ст. 13.11 КоАП РФ [2].

ФЗ-421 от 30.11.2024 с декабря 2024 года ввёл ст. 272.1 УК РФ — уголовную ответственность за незаконный оборот ПДн, полученных неправомерным путём [3]. Санкции: до 4 лет лишения свободы при базовом составе, до 10 лет — при тяжких последствиях или организованной группе.

Принципиально важная оговорка: РКН, как правило, не штрафует за сам факт утечки, если оператор корректно и вовремя выполнил все процедуры уведомления. Ответственность наступает прежде всего за нарушение процедурных требований [10].

Часть 2. Правовая основа: что именно требует закон

2.1. Статья 21 ФЗ-152: буква закона

Ключевая норма сосредоточена в ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции ФЗ-266 от 14.07.2022). Статья устанавливает [4]:

При установлении факта «неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов», оператор обязан уведомить Роскомнадзор:

1. В течение 24 часов — о факте инцидента, предполагаемых причинах, предполагаемом вреде, принятых мерах, и указать уполномоченное контактное лицо.
2. В течение 72 часов — о результатах внутреннего расследования, в том числе о лицах, действия которых стали причиной инцидента (при наличии).

Важный нюанс: закон говорит о моменте «выявления» инцидента — не момента его фактического начала. Отсчёт 24 часов начинается тогда, когда организация узнала об инциденте, в том числе если об этом сообщил сам РКН или третья сторона [4].

Ещё один важный нюанс: не каждый инцидент с ПДн является утечкой в правовом смысле. Если сотрудник злонамеренно удалил базу данных — это инцидент безопасности, но не утечка, поскольку нет утраты конфиденциальности [11]. Закон применяется только при нарушении прав субъектов через несанкционированный доступ третьих лиц.

2.2. Параллельное уведомление ФСБ/НКЦКИ

Если инцидент связан с кибератакой, параллельно возникает обязанность по ст. 19 ФЗ-152 и ФЗ-187 «О безопасности КИИ»: сообщить в ФСБ России через НКЦКИ (Национальный координационный центр по компьютерным инцидентам) о компьютерном инциденте, повлекшем неправомерную передачу ПДн [5].

Большинство операторов ПДн (не являющихся субъектами КИИ) взаимодействуют с ФСБ/НКЦКИ косвенно: они направляют сведения через сайт Роскомнадзора, который передаёт их в НКЦКИ самостоятельно [12]. Субъекты КИИ и организации, подписавшие соглашение с НКЦКИ, уведомляют напрямую — в течение 24 часов через личный кабинет технической инфраструктуры НКЦКИ [5, 13].

Для значимых объектов КИИ (ЗОКИИ) действуют ещё более жёсткие сроки: уведомить об инциденте необходимо в течение 3 часов, о результатах реагирования — в течение 48 часов (Приказ ФСБ № 282) [13].

2.3. Что считается «уведомлением» и как подавать

Первичное уведомление направляется в Роскомнадзор через официальный портал персональных данных (pd.rkn.gov.ru) — в электронном виде или на бумажном носителе [4]. Форма уведомления утверждена приказом РКН от 14.11.2022 № 187.

Минимально необходимое содержание первичного уведомления:

• Дата и время выявления инцидента
• Описание инцидента и предполагаемые причины
• Состав скомпрометированных ПДн (категории, примерный объём)
• Предполагаемый вред правам субъектов
• Принятые оперативные меры
• ФИО и контакты уполномоченного лица

В ответ на первичное уведомление РКН направит письмо с датой, временем и идентификатором. Этот документ необходимо сохранить — он подтверждает факт соблюдения срока [11].

Часть 3. Хронология реагирования: план 0–24–72

Фаза 0: Первые минуты (0–2 часа)

Первые минуты — самые критичные. Именно здесь закладывается фундамент всего дальнейшего расследования и формируется доказательная база.

Шаг 1. Подтвердить факт инцидента

Прежде чем поднимать тревогу и направлять уведомления, необходимо убедиться, что речь идёт именно об утечке в правовом смысле, а не о техническом сбое или иной аномалии. Базовые признаки: обнаружены скомпрометированные данные в открытом доступе; зафиксированы несанкционированные обращения к хранилищу ПДн; поступил сигнал от сотрудника, клиента или внешнего исследователя безопасности.

Шаг 2. Зафиксировать момент обнаружения

Это юридически значимый момент. Нужно задокументировать точное время и способ обнаружения инцидента. Запись в журнале событий, электронное письмо с временной меткой, скриншот — любой инструмент с неоспоримой хронологией. С этой точки начинается отсчёт 24 часов.

Шаг 3. Немедленная изоляция

До начала расследования необходимо прекратить дальнейшее распространение данных. Стандартные меры: отключение скомпрометированного сервиса или отдельного сегмента сети; блокировка учётных записей с подозрительной активностью; ограничение прав доступа к затронутым хранилищам. Важно: изоляцию надо проводить аккуратно, не уничтожая доказательства — логи, дампы памяти, сетевой трафик.

Шаг 4. Не трогать «живые» данные без снятия образа

Правило форензики: прежде чем что-то менять в системе, создать криминалистическую копию (образ диска, дамп памяти, экспорт логов). Это ключевое условие сохранения доказательной базы [14]. Сбор артефактов включает: системные журналы (Event Log, syslog), логи доступа к БД, сетевые дампы (pcap), снапшоты виртуальных машин, файлы конфигурации.

Шаг 5. Собрать кризисный штаб

В первые часы необходимо уведомить ключевых участников процесса реагирования: ответственного за ПДн (DPO), руководителя ИБ/ИТ, юридическую службу, пресс-службу (если утечка может стать публичной), руководство компании. Принцип: юристы подключаются не после сбора доказательств, а с первых минут — чтобы всё собранное имело юридическую силу [14].

Фаза 24: Первые сутки

До истечения 24 часов — обязательно подать первичное уведомление в РКН

На этом этапе не требуется полной картины произошедшего — достаточно предварительных данных. Откладывать уведомление до выяснения всех обстоятельств — ошибка, которая ведёт к отдельному штрафу [7]. Зафиксируйте номер и ключ уведомления, полученные от РКН по email.

Если инцидент связан с кибератакой, параллельно необходимо уведомить ФСБ России через НКЦКИ — в установленном порядке [5, 12].

Параллельно: начало внутреннего расследования

Роскомнадзор требует от оператора провести «внутреннее расследование» и в течение 72 часов предоставить его результаты. Приказом руководителя создаётся комиссия, в которую входят специалисты ИБ, ИТ-сотрудники, юрист и руководитель подразделения, обрабатывавшего утёкшие ПДн [11].

Задачи комиссии в первые 24 часа:

• Инвентаризация: какие ПДн затронуты, сколько субъектов, в каких системах хранились данные
• Восстановление хронологии события по собранным артефактам
• Первичная оценка масштаба вреда для субъектов ПДн
• Фиксация предполагаемого вектора атаки или причины утечки

Оценка необходимости уведомления субъектов ПДн

Закон ФЗ-152 напрямую не обязывает оператора уведомлять самих пострадавших граждан об утечке их данных (в отличие от европейского GDPR). Однако с практической и репутационной точки зрения такое уведомление целесообразно — особенно если утечка может привести к мошенничеству, фишинговым атакам или иному прямому ущербу для людей. Ряд юристов рекомендует заранее подготовить шаблон такого уведомления [15].

Фаза 72: Расширенный отчёт

До истечения 72 часов — подать дополнительное уведомление в РКН

Это документ с результатами внутреннего расследования. Его минимальный состав [4, 11]:

• Подтверждённые или опровергнутые выводы об утечке
• Установленные причины инцидента
• Характер и объём скомпрометированных ПДн (окончательные данные)
• Перечень пострадавших субъектов (если установлено)
• Сведения о лицах, действия которых стали причиной инцидента (при наличии)
• Полный перечень принятых мер: по устранению последствий, по предотвращению повторных инцидентов
• Реквизиты решения о проведении внутренней проверки

Если расследование не завершено к 72 часам (что часто бывает при сложных инцидентах), в РКН всё равно подаётся уведомление с промежуточными результатами. Непредоставление ответа хуже, чем неполный ответ.

Часть 4. Пакет доказательств: что собирать и как хранить

4.1. Зачем нужна доказательная база

Доказательный пакет служит сразу нескольким целям:

1. Смягчение регуляторной ответственности. РКН при оценке штрафа принимает во внимание, насколько оператор оперативно реагировал и какие меры принял до инцидента и после него.
2. Поддержка уголовного или гражданского иска. Если источник утечки — внешний злоумышленник или инсайдер, доказательства нужны для возбуждения дела и привлечения виновных к ответственности.
3. Позиция в споре с РКН. Если регулятор выдал предписание или оштрафовал, корректно задокументированный процесс реагирования может стать основанием для снижения санкций или оспаривания решения.

4.2. Что входит в доказательный пакет

Технические артефакты:

• Криминалистические образы дисков (bit-for-bit copy) затронутых систем. Стандартный инструмент — FTK Imager или dd с верификацией хеш-суммы (MD5/SHA-256) [14].
• Дампы оперативной памяти серверов в момент обнаружения инцидента (помогают восстановить активные сессии, ключи шифрования, команды злоумышленника).
• Экспортированные системные журналы: Windows Event Log, журналы СУБД (PostgreSQL, MySQL, MSSQL), Nginx/Apache access.log, журналы SIEM если есть.
• Сетевые дампы (pcap) за период предполагаемой атаки — особенно важны при подозрении на эксфильтрацию данных.
• Снапшоты виртуальных машин — позволяют воспроизвести состояние системы на момент инцидента.
• Скриншоты и записи экрана с временными метками — фиксируют визуальные признаки инцидента.

Организационные документы:

• Приказ о создании комиссии по расследованию с датой и составом.
• Протоколы заседаний комиссии.
• Акт о результатах внутреннего расследования.
• Журнал мероприятий реагирования с хронологией всех действий (кто, что, когда сделал).
• Копии уведомлений в РКН с подтверждением приёма (квитанция с номером и ключом уведомления).
• Политика обработки ПДн и иные внутренние документы, существовавшие до инцидента — демонстрируют добросовестность оператора.

Переписка и внешние источники:

• Сообщения, через которые стало известно об утечке (письмо от исследователя, пост в Telegram, жалоба клиента).
• Официальные запросы от РКН и ответы на них.
• Переписка с подрядчиками, если они причастны к инциденту.

4.3. Принципы работы с доказательствами

Главное правило цифровой форензики: не изменять оригинальные данные [14]. Любая работа ведётся на копии; оригинал хранится в неизменном виде. Ключевые принципы:

• Цепочка хранения (chain of custody). Каждый артефакт должен быть задокументирован: кем изъят, когда, при каких обстоятельствах, как хранится. Без этой документации доказательства теряют юридическую силу.
• Верификация целостности. На каждый файл-артефакт рассчитывается и записывается хеш-сумма. Это позволяет доказать, что данные не менялись после изъятия.
• Разграничение ролей. Специалист, собирающий доказательства, не должен одновременно быть лицом, принимающим решение об их интерпретации.
• Привлечение юриста с самого начала. Корректность юридического оформления собранных материалов — не менее важна, чем техническая точность [42].

Часть 5. Типичные ошибки и как их избежать

5.1. Ошибки при первичной реакции

Одна из самых распространённых ошибок — промедление с уведомлением РКН в надежде «сначала разобраться». Закон не требует полной ясности для первичного уведомления — достаточно предварительных данных [10]. Опоздание с уведомлением автоматически превращает в самостоятельное правонарушение.

Вторая частая ошибка — «зачистка» системы до сбора доказательств. Когда ИТ-специалисты в панике переустанавливают системы или удаляют «подозрительные» логи, они уничтожают доказательную базу. Это подрывает как возможность расследования, так и позицию компании перед регулятором.

Третья ошибка — публичные заявления до юридической оценки. Нередко пресс-служба выпускает комментарий раньше, чем юристы оценили ситуацию. Это создаёт правовые риски: слова «данные не утекали» при последующем подтверждении утечки ухудшают позицию компании.

5.2. Ошибки при расследовании

Расследование без юриста. Форензика, проведённая только ИТ-специалистами без юридического сопровождения, может дать технически верные, но юридически бесполезные результаты [42]. В российской практике суды и регуляторы требуют соблюдения процессуальных норм при работе с доказательствами.

Недооценка внутреннего нарушителя. В 2024 году почти каждый пятый инцидент (18,5%) был связан с действиями сотрудников, причём почти все умышленно [1]. Расследование, изначально ориентированное только на внешнюю атаку, рискует не установить реальную причину.

Неполный пакет документов для РКН. В 72-часовом уведомлении важно не только указать технические факты, но и продемонстрировать принятые меры — это ключевой фактор, влияющий на решение регулятора о штрафе [15].

5.3. Системные ошибки в управлении ПДн

Многие организации узнают об утечке только тогда, когда данные уже появились в открытом доступе или их обнаружил регулятор. Причина — отсутствие актуальной «карты ПДн»: понимания того, где и какие персональные данные хранятся, кто имеет к ним доступ, и какие новые источники данных появились в инфраструктуре. Без этой картины невозможно ни обнаружить инцидент своевременно, ни корректно описать масштаб утечки в уведомлении РКН.

Часть 6. Кейсы: как реагировали российские компании

6.1. Яндекс.Еда (2022): показательный пример

В марте 2022 года «Яндекс.Еда» подтвердила утечку данных пользователей — имён, номеров телефонов и адресов доставки. Компания публично признала инцидент, направила уведомления пострадавшим и провела расследование. По итогам судебных разбирательств суд обязал компанию выплатить 13 пользователям, обратившимся с исками, по 5 000 руб. каждому [16].

Кейс примечателен как прецедент: впервые в российской практике данные получили юридическую «цену», а пользователи — денежную компенсацию, пусть и символическую. Отсутствие скрытия инцидента и оперативное информирование помогли компании избежать максимальных санкций.

6.2. Детский мир и Бургер Кинг (2024): параллельные инциденты

В октябре 2024 года хакеры взломали ИТ-инфраструктуру сети «Детский мир», выложив в открытый доступ данные примерно 1,2 млн клиентов. В тот же период атаке подверглась сеть «Бургер Кинг». Характерно, что РКН сообщил о неполучении уведомления об утечке от Бургер Кинга — что само по себе стало предметом регуляторного внимания [17].

Эти случаи иллюстрируют тренд 2024 года: торговля стала главной мишенью, а параллельные атаки на несколько компаний одним злоумышленником — устойчивой практикой.

6.3. СДЭК: повторяющиеся утечки

Курьерская компания СДЭК становилась жертвой утечек несколько раз. В феврале 2024 года в сеть попал архив с сотнями миллионов строк данных — ID, телефоны, ФИО, email. Компания официально подтвердила факт, но заявила об отсутствии в утёкшем массиве платёжных данных и документов [18]. Повторяемость инцидентов — классический пример того, как отсутствие системного контроля над ПДн превращает разовую утечку в хронический риск.

Часть 7. После 72 часов: долгосрочные меры

7.1. Взаимодействие с РКН после подачи уведомлений

Подача двух уведомлений — не финал взаимодействия с регулятором. Если РКН самостоятельно обнаружит признаки утечки (например, базу данных в открытом доступе), он направит оператору требование о подаче первичного или дополнительного уведомления. Ответить на такое требование надо в течение одного рабочего дня [4].

РКН вправе запросить дополнительные материалы расследования. Принцип: отвечать полно и документально подтверждённо — любая неточность или уклончивость усиливает позицию регулятора при назначении штрафа.

7.2. Устранение уязвимостей и восстановление системы

После стабилизации ситуации необходим полноценный технический аудит: проверка соответствия системы защиты ПДн требованиям ст. 18.1 и 19 ФЗ-152, восстановление функциональности, устранение обнаруженных уязвимостей. Не менее важно — восстановление скомпрометированных данных, если они были повреждены или уничтожены в ходе атаки.

7.3. Превентивные меры для предотвращения повторений

РКН в своих рекомендациях советует операторам разделять хранение идентификаторов (ФИО, email, телефон) и данных о взаимодействии (история заказов, переписка), связывая их через «синтетические идентификаторы» [19]. Это существенно снижает ущерб от возможных будущих утечек.

Другие ключевые меры: регулярный аудит прав доступа к ПДн; мониторинг аномальной активности в системах, содержащих ПДн; обучение персонала распознаванию фишинговых атак и социальной инженерии; разработка и проверка плана реагирования на инциденты.

Часть 8. Тренды и будущее регулирования

8.1. Ужесточение продолжится

Имеющиеся данные указывают на то, что регуляторная нагрузка в сфере ПДн будет расти. С 01.03.2028 планируется передача сведений об обработке ПДн в ЕСИА (Единую систему идентификации и аутентификации) [20]. Это означает централизацию контроля и дополнительную прозрачность для регулятора. Также активно обсуждаются механизмы страхования ответственности операторов за утечки — пока как добровольный инструмент управления рисками ИБ [17].

8.2. Рост сложности атак

По прогнозам экспертов, в 2025–2026 годах следует ожидать роста числа гибридных инцидентов — кибератак, совершённых с использованием данных, полученных изнутри. Злоумышленники всё чаще используют ПДн из прошлых утечек для таргетированных атак на сотрудников компаний (spear-phishing, social engineering) [1].

8.3. Цифровая форензика как стандарт

Практика цифровой форензики (компьютерной криминалистики) в России активно развивается и переходит из категории «дополнительный инструмент» в категорию операционного стандарта для организаций с высоким уровнем зрелости ИБ [42]. Суды всё чаще принимают цифровые доказательства — при условии соблюдения процедур их сбора и хранения.

Практические чек-листы

Чек-лист: Первые 2 часа (фаза 0)

• ☐ Зафиксировать точное время и способ обнаружения инцидента (с временной меткой)
• ☐ Оценить, является ли событие «утечкой» в правовом смысле (ч. 3.1 ст. 21 ФЗ-152)
• ☐ Изолировать скомпрометированный сегмент/сервис (не уничтожая доказательства)
• ☐ Снять криминалистические образы дисков и дампы памяти затронутых систем
• ☐ Экспортировать и сохранить логи доступа к БД, системные журналы, сетевые дампы
• ☐ Уведомить DPO, руководителя ИБ, юридическую службу, руководство
• ☐ Создать защищённый канал связи для кризисного штаба
• ☐ Не делать публичных заявлений до согласования с юристами

Чек-лист: До 24 часов

• ☐ Подать первичное уведомление в РКН на pd.rkn.gov.ru (даже с предварительными данными)
• ☐ Сохранить подтверждение приёма уведомления (дата, время, номер, ключ)
• ☐ Если атака кибер: параллельно уведомить ФСБ через НКЦКИ или через сайт РКН
• ☐ Приказом создать комиссию по внутреннему расследованию
• ☐ Предварительно установить: какие ПДн, сколько субъектов, какие системы затронуты
• ☐ Оценить необходимость уведомления субъектов ПДн
• ☐ Начать формирование хронологии инцидента по собранным артефактам

Чек-лист: До 72 часов

• ☐ Завершить (или зафиксировать промежуточные итоги) внутреннего расследования
• ☐ Составить акт о результатах работы комиссии
• ☐ Подготовить дополнительное уведомление в РКН с результатами расследования
• ☐ Включить в уведомление сведения о виновных лицах (при наличии)
• ☐ Перечислить дополнительные меры, принятые по итогам расследования
• ☐ Сохранить всю доказательную базу в защищённом хранилище с описью

Чек-лист: Пакет доказательств

• ☐ Криминалистические образы дисков с хеш-суммами
• ☐ Дампы оперативной памяти
• ☐ Системные журналы (Event Log, syslog, СУБД)
• ☐ Сетевые дампы (pcap)
• ☐ Снапшоты ВМ
• ☐ Скриншоты с временными метками
• ☐ Приказ о создании комиссии
• ☐ Протоколы заседаний
• ☐ Акт о результатах расследования
• ☐ Журнал мероприятий реагирования (хронология)
• ☐ Копии уведомлений в РКН с квитанциями
• ☐ Документы, подтверждающие систему защиты ПДн до инцидента
• ☐ Переписка, через которую стало известно об утечке

Кто поможет держать руку на пульсе постоянно

Планы реагирования — необходимое условие, но не достаточное. Большинство инцидентов происходят не потому, что компания не умеет реагировать, а потому что не видит новые риски вовремя. ИТ-ландшафт постоянно меняется: появляются новые поля в базах данных, новые интеграции, новые подрядчики — и вместе с ними новые источники ПДн, которые никто не взял под контроль.

Именно эту задачу решает платформа Пятый фактор — on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, почте, AD/LDAP, CRM, 1С, API. Платформа работает по принципу privacy-by-design — только с метаданными и агрегатами, не касаясь сырых значений ПДн. Это означает, что само решение не становится новым источником риска.

Практический эффект для реагирования на инциденты: когда утечка произошла, Пятый фактор даёт живую «карту ПДн» — точное понимание того, где и какие данные были, кто был их владельцем, что изменялось. Это именно та информация, которая нужна для первичного уведомления в РКН в течение 24 часов и для расширенного отчёта в 72 часа. Вместо недельного аудита — актуальная картина в режиме реального времени.

Выводы и что делать прямо сейчас

Утечка персональных данных в современных российских реалиях — это в первую очередь процедурный вызов. Штраф назначается не за сам факт инцидента, а за то, как компания на него отреагировала: уведомила ли вовремя, провела ли расследование, собрала ли доказательную базу.

Три вывода, которые применимы прямо сейчас:

Первый — план реагирования должен существовать до инцидента. В первые минуты после обнаружения нет времени разбираться, «что делать»: DPO, юрист, специалист по ИБ и руководитель должны знать свои роли, иметь шаблоны уведомлений и понимать, куда звонить.

Второй — доказательная база формируется в первые часы или не формируется вообще. Технические артефакты, не зафиксированные до начала восстановительных работ, безвозвратно теряются. Правило «сначала образ диска, потом всё остальное» должно быть прошито в операционную процедуру.

Третий — невозможно управлять тем, чего не видишь. Компании, не имеющие актуальной инвентаризации своих ПДн, узнают о масштабах утечки не раньше, чем это сделает регулятор. Инвестиции в непрерывный контроль над ПДн снижают не только риск инцидента, но и его стоимость.

Источники

[1] InfoWatch ЭАЦ — «Россия: утечки информации ограниченного доступа, 2023–2024» — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[2] Федеральный закон от 30.11.2024 № 420-ФЗ (изменения в ст. 13.11 КоАП РФ) — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/otvetstvennost-za-nepodachu-uvedomleniya-v-roskomnadzor-ob-obrabotke-personalnykh/

[3] Федеральный закон от 30.11.2024 № 421-ФЗ (ст. 272.1 УК РФ) — https://www.gorodissky.ru/publications/articles/uzhestochena-otvetstvennost-dlya-operatorov-personalnykh-dannykh/

[4] Ч. 3.1 ст. 21 ФЗ-152 «О персональных данных» — официальный текст на КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/d3fe43a7c415353b17faab255bc0de92bea127da/

[5] ФЗ-187 «О безопасности КИИ РФ» и порядок взаимодействия с ГосСОПКА — https://ptsecurity.com/research/knowledge-base/terminology-gossopka-kii-full-version/

[6] Роскомнадзор: данные о зарегистрированных утечках 2024 года — через: https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России

[7] Таблица штрафов по ч. 11 ст. 13.11 КоАП РФ с 30.05.2025 — https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

[8] InfoWatch / RBC — доля ПДн в утечках 2024 года — https://companies.rbc.ru/news/KFJ4Yw2AGH/issledovanie-infowatch-rossiya-na-2-meste-po-utechkam-informatsii-za-2024-g/

[9] InfoWatch — отчёт за первое полугодие 2024 — https://www.infowatch.ru/company/presscenter/news/v-rossii-v-pervom-polugodii-uteklo-pochti-odin-milliard-personalnykh-dannykh

[10] Klerk.ru — памятка: что делать при утечке ПДн в 2025 году — https://www.klerk.ru/blogs/data-sec/672641/

[11] VC.ru / Legal — утечка ПДн: что делать, если избежать не удалось — https://vc.ru/legal/875590-utechka-personalnyh-dannyh-chto-delat-esli-izbezhat-ne-udalos

[12] D-russia.ru — ФСБ определила порядок взаимодействия операторов с ГосСОПКА при инцидентах с ПД — https://d-russia.ru/utverzhdjon-porjadok-vzaimodejstvija-operatorov-s-gossopka-pri-incidentah-s-pd.html

[13] SecurityVision — взаимодействие субъектов КИИ с ГосСОПКА в рамках 187-ФЗ — https://www.securityvision.ru/blog/vzaimodeystvie-subektov-kriticheskoy-informatsionnoy-infrastruktury-s-gossopka-v-ramkakh-187-fz-chas/

[14] Infra-Tech Blog — форензика: как расследовать инциденты ИБ — https://blog.infra-tech.ru/forenzika-rf/

[15] Law.ru — утечка ПДн: алгоритм действий в 24 и 72 часа — https://www.law.ru/article/28376-utechka-personalnyh-dannyh-shtrafy-v-2025-godu

[16] VC.ru — компенсации за утечки данных: опыт России и мира — https://vc.ru/services/2665498-kompensatsii-za-utechki-dannykh-opyt-kompaniy-v-rossii-i-mire

[17] Cortel Blog — кибератаки и утечки данных 2024 года в России — https://blog.cortel.cloud/2024/10/17/krupnye-kiberataki-i-utechki-dannyh-vtoroj-poloviny-2024-goda-v-rossii/

[18] Snob.ru — в сеть снова утекла база данных пользователей СДЭК — https://snob.ru/news/v-internet-snova-utekla-baza-dannyh-polzovatelej-sdek/

[19] РКН — рекомендации по снижению риска утечки: разделение хранения идентификаторов и синтетические ключи (через: https://www.law.ru/article/28376-utechka-personalnyh-dannyh-shtrafy-v-2025-godu)

[20] Главбух — уведомление РКН в 2026 году, включая будущие требования ЕСИА с 01.03.2028 — https://www.glavbukh.ru/art/387739-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh-v-2024-godu-obrazets-sroki