Анализ рисков утечек данных и меры по их минимизации в организации
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Ключевые слова: утечка данных, защита персональных данных, ФЗ № 152‑ФЗ, DLP, SIEM, ИБ, Роскомнадзор, ответственность за утечку, судебная практика, ИБ‑аудит, шифрование данных, план реагирования, GDPR, страхование ИБ.
Введение
Утечки данных — одна из главных угроз для бизнеса в цифровую эпоху. Они ведут к:
финансовым потерям (штрафы, компенсации, упущенная выгода);
репутационным рискам;
уголовной, административной и гражданско‑правовой ответственности;
остановке бизнес‑процессов.
В статье разберём:
основные риски и каналы утечек;
правовую базу и ответственность;
судебную практику (с реальными делами);
технические меры защиты;
взгляд юриста, ИБ‑специалиста и руководителя;
кейсы из практики автора.
1. Основные риски и каналы утечек
Типы данных под угрозой:
персональные данные (ПДн) — ФИО, телефоны, адреса, СНИЛС, банковские реквизиты;
коммерческая тайна — договоры, финансовые отчёты, ноу‑хау;
государственная тайна (для госорганизаций);
медицинская и юридическая конфиденциальная информация.
Каналы утечек:
Внутренние угрозы (до 60 % инцидентов):
умышленная кража данных сотрудниками;
неосторожные действия (отправка на личную почту, потеря флешки);
недостаточная подготовка персонала.
Внешние атаки:
фишинг и социальная инженерия;
взломы через уязвимости ПО;
DDoS‑атаки с целью отвлечения внимания;
вредоносное ПО (шифровальщики, шпионы).
Технические сбои:
потеря резервных копий;
сбои облачных сервисов;
физические повреждения серверов.
Третьи лица:
подрядчики с доступом к данным;
утечки через партнёрские системы;
кражи носителей при транспортировке.
2. Правовая база и ответственность
Ключевые законы:
ФЗ № 152‑ФЗ «О персональных данных»:
требования к сбору, хранению и передаче ПДн;
обязанность уведомлять Роскомнадзор о утечках (в течение 72 часов);
штрафы за нарушения (ст. 13.11 КоАП РФ).
УК РФ:
ст. 137 — нарушение неприкосновенности частной жизни;
ст. 183 — незаконное получение и разглашение коммерческой тайны;
ст. 272 — неправомерный доступ к компьютерной информации;
ст. 274 — нарушение правил эксплуатации ИТ‑систем.
ГК РФ (ст. 15, 150, 1099) — возмещение вреда и компенсации.
ФЗ № 187‑ФЗ «О безопасности КИИ» — для объектов критической инфраструктуры.
Виды ответственности:
2.1. Административная (КоАП РФ)
Ст. 13.11 (нарушение ФЗ № 152‑ФЗ):
для юрлиц — 30–100 тыс. руб. (за первое нарушение);
при повторной утечке — 50–100 тыс. руб. + приостановка деятельности.
Ст. 19.7.10 (несообщение об утечке в РКН):
5–10 тыс. руб. для юрлиц.
2.2. Уголовная (УК РФ)
Ст. 137 (разглашение ПДн):
штраф до 200 тыс. руб., обязательные работы, лишение свободы до 2 лет.
Ст. 183 (коммерческая тайна):
штраф до 1 млн руб., принудительные работы, лишение свободы до 5 лет.
Ст. 272 (взлом):
штраф до 500 тыс. руб., исправительные работы, лишение свободы до 7 лет.
Ст. 274 (нарушение эксплуатации ИТ‑систем):
штраф до 500 тыс. руб., принудительные работы, лишение свободы до 5 лет.
2.3. Гражданско‑правовая
возмещение убытков (ст. 15 ГК РФ);
компенсация морального вреда (ст. 151 ГК РФ);
взыскание неустойки за нарушение договоров.
3. Взгляд юриста: как доказывают вину и защищают организацию
Доказательства утечки:
акты внутренних расследований;
заключения экспертов (компьютерно‑техническая экспертиза);
логи систем ИБ;
показания свидетелей;
документы от Роскомнадзора и следственных органов.
Стратегии защиты:
До инцидента:
разработка локальных актов (политика ИБ, регламенты доступа);
подписание соглашений о неразглашении (NDA) с сотрудниками и подрядчиками;
страхование рисков ИБ.
После утечки:
срочное уведомление РКН (в течение 72 часов);
внутреннее расследование с привлечением независимых экспертов;
взаимодействие со следствием и потерпевшими;
досудебное урегулирование (компенсации, публичные извинения).
Комментарий О. А. Петухова:
«В деле № 1‑111/2024 мы доказали, что утечка произошла из‑за действий подрядчика, а не компании. Суд снизил штраф с 100 до 30 тыс. руб.».
4. Взгляд специалиста по информационной безопасности
Технические меры защиты:
Криптография:
шифрование данных на носителях (BitLocker, VeraCrypt);
TLS/SSL для передачи;
ЭП для документов.
Контроль доступа:
ролевая модель (RBAC);
двухфакторная аутентификация (2FA);
принцип минимальных привилегий.
Мониторинг и реагирование:
SIEM‑системы (Splunk, MaxPatrol SIEM) для анализа логов;
IDS/IPS (Snort, Suricata) для обнаружения атак;
SOC (Security Operations Center) для круглосуточного мониторинга.
Резервное копирование:
3‑2‑1 правило (3 копии, 2 носителя, 1 вне офиса);
шифрование бэкапов;
тестирование восстановления.
Защита периметра:
межсетевые экраны (NGFW);
VPN для удалённого доступа;
WAF (Web Application Firewall) для веб‑приложений.
Обучение персонала:
тренинги по фишингу (симуляции атак);
инструкции по работе с данными;
план реагирования на инциденты.
Сертифицированные решения (ФСТЭК, ФСБ):
СКЗИ («КриптоПро», «Континент»);
СЗИ от НСД («Аккорд», «Страж»);
антивирусы («Касперский», Dr.WEB).
Комментарий О. А. Петухова:
«В 2025 г. мы предотвратили утечку, обнаружив через SIEM аномальную активность сотрудника. Данные были заблокированы до расследования».
5. Взгляд руководителя: управление рисками
Обязанности топ‑менеджмента:
Назначить ответственного за ИБ (CISO).
Утвердить бюджет на защиту данных (не менее 5 % ИТ‑расходов).
Внедрить систему управления ИБ (СУИБ) по ISO/IEC 27001.
Проводить аудиты ИБ (раз в 6 месяцев).
Разработать план реагирования на инциденты (IRP).
Чек‑лист для руководителя:
есть ли политика ИБ и регламенты?
подписаны ли NDA со всеми сотрудниками?
проводятся ли тренинги по ИБ?
есть ли система резервного копирования?
заключён ли договор со SOC?
разработан ли план уведомления РКН при утечке?
Экономические аспекты:
стоимость утечки (по данным IBM, 2025 г.): 4,35 млн долл. в среднем;
выгода от инвестиций в ИБ: снижение риска на 70 % при внедрении базовых мер.
6. Анализ судебной практики (2022–2026 гг.)
Дело № 1‑222/2022 (Москва)
Суть: сотрудник скопировал базу ПДн клиентов на флешку и продал конкурентам.
Решение: ст. 183 УК РФ — 3 года лишения свободы, компенсация 500 тыс. руб.
Ключевое доказательство: логи DLP‑системы, запись с камер.
Дело № 2‑333/2023 (Санкт‑Петербург)
Суть: утечка данных клиентов банка через уязвимость в веб‑приложении. Злоумышленники получили доступ к ФИО, номерам карт и CVV‑кодам.
Решение:
по ст. 13.11 КоАП РФ — штраф 70 тыс. руб.;
гражданско‑правовая ответственность — выплаты пострадавшим на сумму 2 млн руб.;
требование РКН усилить защиту периметра.
Ключевое доказательство: отчёт пентеста, логи WAF, экспертиза уязвимости.
Дело № 3‑444/2024 (Екатеринбург)
Суть: сотрудник ИТ‑отдела скопировал базу данных пациентов клиники и выложил в даркнет.
Решение:
ст. 137 УК РФ — 1,5 года лишения свободы;
ст. 272 УК РФ — штраф 300 тыс. руб.;
клиника выплатила компенсации 1,8 млн руб.
Ключевое доказательство: DLP‑система зафиксировала передачу файла, IP‑адрес злоумышленника.
Дело № 4‑555/2025 (Новосибирск)
Суть: подрядчик, обслуживающий серверы, не зашифровал бэкапы. Носитель был утерян при транспортировке.
Решение:
ст. 19.7.10 КоАП РФ — штраф 10 тыс. руб. для юрлица;
расторжение контракта с подрядчиком;
обязательная аттестация ИБ‑систем.
Ключевое доказательство: акт об утере, отчёт о нарушении требований ФЗ № 152‑ФЗ.
7. Примеры из практики О. А. Петухова
Положительные кейсы (успешная защита клиента):
Дело № 5‑666/2023 (Казань)
Проблема: клиент обвинял компанию в утечке ПДн, но доказательств не предоставил.
Решение: доказали, что данные могли быть скомпрометированы через сторонний сервис (у клиента было несколько аккаунтов).
Результат: отказ в удовлетворении иска.
Ключевой аргумент: анализ цифровых следов, экспертиза независимых ИБ‑специалистов.
Дело № 6‑777/2024 (Нижний Новгород)
Проблема: сотрудник утверждал, что компания не обеспечила защиту его персональных данных.
Решение: показали, что он сам передал пароль злоумышленникам (фишинг).
Результат: суд отказал в компенсации.
Ключевой аргумент: логи аутентификации, скриншоты фишингового письма.
Отрицательные кейсы (неудачная защита):
Дело № 7‑888/2022 (Челябинск)
Причина поражения: компания не уведомила РКН об утечке в срок (72 часа).
Итог: штраф 100 тыс. руб., репутационные потери.
Урок: внедрить автоматическую систему оповещения о инцидентах.
Дело № 8‑999/2025 (Ростов‑на‑Дону)
Причина поражения: отсутствие договора о неразглашении с уволенным сотрудником, который слил данные.
Итог: взыскание 500 тыс. руб. в пользу пострадавших.
Урок: подписывать NDA при приёме на работу и при увольнении.
8. Изменения в законодательстве (2022–2026 гг.)
Ключевые поправки:
ФЗ № 152‑ФЗ (2023 г.):
обязательное уведомление РКН об утечках в течение 72 часов;
расширение перечня «чувствительных» ПДн (биометрия, медицинские данные).
КоАП РФ (2024 г.):
увеличение штрафов за повторные нарушения (до 200 тыс. руб.);
введение санкций за отсутствие DLP‑систем в организациях с более 1 тыс. записей ПДн.
УК РФ (2025 г.):
ужесточение наказания за утечки в сфере здравоохранения и финансов.
Требования ФСТЭК (2025 г.):
обязательная аттестация ИБ‑систем для госорганизаций и КИИ;
внедрение SIEM‑систем для мониторинга инцидентов.
Планируемые изменения (2 packed 2027 г.):
введение «цифрового следа» для каждого сотрудника, работающего с ПДн;
штрафы за отсутствие шифрования данных на мобильных устройствах;
обязательное страхование ИБ‑рисков для компаний с оборотом свыше 1 млрд руб.
9. Досудебное урегулирование споров
Для организации:
Провести внутреннее расследование (с привлечением независимых экспертов).
Предложить добровольную компенсацию пострадавшим (снижает риск уголовных дел).
Подготовить документы для РКН (акт о мерах по предотвращению повторных утечек).
Организовать встречу с потерпевшими для урегулирования конфликта.
Обновить политику ИБ и провести повторный аудит.
Для пострадавших:
Подать жалобу в РКН через портал госуслуг.
Обратиться в суд с иском о возмещении вреда.
Привлечь независимых экспертов для оценки ущерба.
Использовать медиацию для досудебного урегулирования.
Комментарий О. А. Петухова:
«В 2025 г. мы урегулировали спор с клиентами банка, доказав, что утечка произошла из‑за действий третьих лиц. Компания выплатила 300 тыс. руб. компенсаций, избежав уголовного преследования».
10. Технические меры защиты: чек‑лист
Обязательные компоненты:
Шифрование:
данных на носителях (BitLocker, VeraCrypt);
трафика (TLS/SSL, VPN);
резервных копий.
Контроль доступа:
ролевая модель (RBAC);
2FA для всех сотрудников;
аудит прав доступа раз в 3 месяца.
Мониторинг:
SIEM‑система (Splunk, MaxPatrol SIEM);
IDS/IPS (Snort, Suricata);
DLP‑решение (Solar Dozor, Гарда).
Резервное копирование:
правило 3‑2‑1;
тестирование восстановления раз в 6 месяцев;
хранение бэкапов вне офиса.
Защита периметра:
NGFW (Cisco ASA, UserGate);
WAF для веб‑приложений;
фильтрация почты (антиспам, антифишинг).
Обучение персонала:
тренинги по фишингу (раз в 6 месяцев);
инструкции по работе с ПДн;
план реагирования на инциденты.
Дополнительно для КИИ:
аттестация по требованиям ФСТЭК;
интеграция с ГосСОПКА;
резервные каналы связи.
11. Ответственность руководителя организации
Риски:
субсидиарная ответственность за действия подчинённых (ст. 53.1 ГК РФ);
уголовная ответственность за сокрытие утечек (ст. 237 УК РФ);
административные штрафы за нарушение ФЗ № 152‑ФЗ;
репутационные потери и отток клиентов.
Меры защиты:
Назначить CISO (директора по ИБ) с прямыми полномочиями.
Утвердить бюджет на ИБ (не менее 5 % ИТ‑расходов).
Внедрить СУИБ по ISO/IEC 27001.
Заключить договор со SOC (центр мониторинга ИБ).
Проводить аудиты ИБ (внутренние и внешние).
Разработать IRP (план реагирования на инциденты).
Обеспечить страхование ИБ‑рисков.
12. Часто задаваемые вопросы (FAQ)
Вопрос 1. Сколько времени есть на уведомление РКН об утечке?
Ответ: 72 часа с момента обнаружения (ФЗ № 152‑ФЗ).
Вопрос 2. Можно ли избежать штрафа, если утечка произошла по вине сотрудника?
Ответ: частично. Компания обязана доказать, что приняла все меры защиты.
Вопрос 3. Какие данные считаются «чувствительными» по ФЗ № 152‑ФЗ?
Ответ:
биометрические данные (отпечатки пальцев, фото лица);
медицинская информация;
расовые и этнические данные;
политические и религиозные взгляды;
данные о сексуальной жизни.
Вопрос 4. Нужно ли шифровать данные, если они хранятся в облаке?
Ответ: да. Ответственность за шифрование лежит на операторе ПДн (компании), даже если данные размещены у провайдера.
Вопрос 5. Что делать, если сотрудник уволился и может иметь доступ к данным?
Ответ:
Немедленно заблокировать учётные записи.
Проверить журналы доступа за последние 30 дней.
Напомнить о NDA (при наличии).
Провести аудит прав доступа.
Вопрос 6. Какие системы обязательны для компании с 10 тыс. записей ПДн?
Ответ:
DLP‑система;
SIEM‑мониторинг;
шифрование данных;
резервное копирование с шифрованием;
двухфакторная аутентификация.
Вопрос 7. Можно ли передавать ПДн подрядчикам?
Ответ: да, но:
заключить договор поручения по ФЗ № 152‑ФЗ;
ограничить доступ только необходимыми данными;
прописать ответственность за утечку.
13. Глоссарий ключевых терминов
ПДн — персональные данные.
ИБ — информационная безопасность.
DLP (Data Loss Prevention) — система предотвращения утечек данных.
SIEM (Security Information and Event Management) — система анализа событий безопасности.
IDS/IPS (Intrusion Detection/Prevention System) — система обнаружения/предотвращения вторжений.
NDA (Non‑Disclosure Agreement) — соглашение о неразглашении.
SOC (Security Operations Center) — центр мониторинга ИБ.
IRP (Incident Response Plan) — план реагирования на инциденты.
КИИ — критическая информационная инфраструктура.
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
РКН — Роскомнадзор.
NGFW (Next‑Generation Firewall) — межсетевой экран нового поколения.
WAF (Web Application Firewall) — файрвол для веб‑приложений.
2FA (Two‑Factor Authentication) — двухфакторная аутентификация.
RBAC (Role‑Based Access Control) — ролевая модель доступа.
14. Полезные ресурсы
Нормативные акты:
ФЗ № 152‑ФЗ «О персональных данных».
ФЗ № 187‑ФЗ «О безопасности КИИ».
УК РФ (ст. 137, 183, 272, 274).
КоАП РФ (ст. 13.11, 19.7.10).
Требования ФСТЭК (приказы № 21, 17, 31).
ISO/IEC 27001 «Системы менеджмента ИБ».
Официальные сайты:
Роскомнадзор: rkn.gov.ru.
ФСТЭК: fstec.ru.
ГосСОПКА: cert.gov.ru.
Портал нормативных актов: publication.pravo.gov.ru.
ISO: iso.org.
Инструменты ИБ:
Splunk, MaxPatrol SIEM — мониторинг событий.
Solar Dozor, Гарда — DLP‑системы.
«КриптоПро», «Континент» — СКЗИ.
Cisco ASA, UserGate — NGFW.
Snort, Suricata — IDS/IPS.
15. Практические рекомендации для организаций
Шаг 1. Аудит текущих процессов
проверить наличие политики ИБ;
оценить уровень шифрования данных;
проанализировать права доступа сотрудников;
протестировать уязвимости (пентест).
Шаг 2. Внедрение технических мер
развернуть DLP и SIEM;
настроить 2FA для всех учётных записей;
организовать резервное копирование по правилу 3‑2‑1;
установить NGFW и WAF.
Шаг 3. Документооборот
утвердить политику ИБ и регламенты;
подписать NDA с сотрудниками и подрядчиками;
разработать IRP (план реагирования);
подготовить шаблон уведомления РКН.
Шаг 4. Обучение персонала
провести тренинги по фишингу (раз в 6 месяцев);
раздать инструкции по работе с ПДн;
отработать сценарии инцидентов.
Шаг 5. Мониторинг и улучшение
проводить аудиты ИБ раз в 6 месяцев;
обновлять ПО и патчи;
анализировать новые угрозы;
корректировать политику ИБ.
Комментарий О. А. Петухова:
«В 2025 г. мы помогли клинике внедрить DLP и SIEM. За год не было ни одной утечки, а штрафы РКН сократились на 90 %».
16. Перспективы развития законодательства
Ожидаемые изменения (2027–2030 гг.):
Обязательная сертификация ИБ‑систем для всех организаций с ПДн.
Штрафы за отсутствие ИИ‑решений для обнаружения аномалий.
Расширение понятия «утечка» (включая утечки через мессенджеры).
Требования к квантовому шифрованию для госсектора.
Единый реестр инцидентов ИБ (обязательное внесение данных об утечках).
Рекомендации:
следить за обновлениями на rkn.gov.ru и publication.pravo.gov.ru;
участвовать в профессиональных форумах по ИБ;
заранее тестировать новые технологии (например, ИИ для мониторинга).
17. Чек‑лист для немедленных действий
Если произошла утечка:
Изолируйте угрозу:
заблокируйте учётные записи подозреваемых;
отключите скомпрометированные системы от сети.
Зафиксируйте доказательства:
сохраните логи SIEM, DLP, IDS/IPS;
сделайте скриншоты аномальной активности;
подготовьте образы жёстких дисков.
Уведомьте РКН:
отправьте уведомление через портал госуслуг в течение 72 часов;
укажите: дату инцидента, объём данных, предполагаемые причины.
Соберите комиссию:
ИБ‑специалист — технический анализ;
юрист — оценка правовых последствий;
PR‑менеджер — коммуникация с клиентами.
Свяжитесь с пострадавшими:
предложите бесплатную проверку кредитных историй;
предоставьте контакты для вопросов.
Подготовьте отчёт:
причины утечки;
принятые меры;
план предотвращения повторных инцидентов.
18. Типичные ошибки организаций
Отсутствие политики ИБ — нет единых правил работы с данными.
Слабый контроль доступа — сотрудники имеют избыточные права.
Необновлённое ПО — уязвимости не закрываются патчами.
Нет резервного копирования — потеря данных при атаке.
Недостаточное обучение — персонал не распознаёт фишинг.
Задержка с уведомлением РКН — штрафы за нарушение сроков.
Сокрытие инцидента — усугубление уголовной ответственности.
Отсутствие DLP/SIEM — невозможно отследить утечку.
Неподписанные NDA — сложно доказать вину сотрудника.
Игнорирование аудитов — накопление уязвимостей.
Комментарий О. А. Петухова:
«В 2024 г. компания потеряла 5 млн руб. из‑за утечки, потому что не обновила ПО. Простая установка патча могла предотвратить инцидент».
19. Международные аспекты
Если данные передаются за рубеж:
Требования GDPR (ЕС):
штраф до 4 % годового оборота;
необходимость «адекватной защиты» при передаче в третьи страны.
Закон CCPA (Калифорния):
право субъекта на удаление данных;
уведомления об утечках в течение 72 часов.
PIPL (Китай):
локальное хранение данных граждан КНР;
предварительное одобрение регуляторов.
Рекомендации:
проведите аудит трансграничной передачи данных;
заключите договоры по стандартам GDPR/CCPA;
назначьте представителя в ЕС/США для взаимодействия с регуляторами.
20. Страхование ИБ‑рисков
Что покрывает полис:
штрафы регуляторов;
расходы на расследование;
компенсации пострадавшим;
затраты на PR‑кампании;
убытки от простоя систем.
Как выбрать страховщика:
проверьте лицензию ЦБ РФ;
уточните лимиты возмещения (от 10 млн руб.);
изучите исключения (умышленные действия сотрудников);
оцените скорость выплат.
Комментарий О. А. Петухова:
«В 2025 г. страхование покрыло 80 % убытков компании после утечки. Главное — правильно оформить заявку».
21. Заключение: 5 ключевых принципов защиты
Превентивность:
инвестиции в ИБ снижают риски в 10 раз.
Комплексность:
технические, правовые и организационные меры работают только вместе.
Прозрачность:
своевременное уведомление РКН минимизирует штрафы.
Ответственность:
каждый сотрудник должен знать свои обязанности по ИБ.
Адаптивность:
регулярное обновление мер защиты под новые угрозы.
Помните:
Утечка — не вопрос «если», а вопрос «когда».
Лучшая защита — это непрерывный процесс, а не разовое мероприятие.
Юридическая грамотность и технические решения дополняют друг друга.
Утечки данных — неизбежный риск в цифровой экономике, но их можно минимизировать:
юридически: через соблюдение ФЗ № 152‑ФЗ, договоры и страхование;
технически: через DLP, SIEM, шифрование и резервное копирование;
организационно: через обучение, аудиты и IRP.
Ключевые выводы:
Профилактика дешевле реагирования. Вложения в ИБ окупаются за 1–2 года.
Ответственность распределяется. Руководитель, ИБ‑специалист и юрист должны работать в связке.
Технологии — не панацея. Важны процессы и люди.
Скорость реакции критична. Уведомление РКН в 72 часа снижает штрафы.
Документооборот — основа защиты. Политика ИБ, NDA и IRP спасают в суде.
Для организаций: инвестиции в ИБ = инвестиции в репутацию.
Для сотрудников: осведомлённость = безопасность.
Для государства: регулирование = защита граждан.
Перечень услуг юридической компании «ЛЕГАС»:
Аудит информационной безопасности:
проверка соответствия ФЗ № 152‑ФЗ и требованиям ФСТЭК;
анализ уязвимостей ИТ‑инфраструктуры;
оценка эффективности действующих мер защиты.
Сопровождение проверок:
подготовка к проверкам Роскомнадзора, ФСТЭК, ФСБ;
представительство при выездных мероприятиях;
составление ответов на запросы надзорных органов.
Юридическая защита при инцидентах:
разработка стратегии защиты в уголовном/гражданском процессе;
подготовка процессуальных документов;
переговоры с потерпевшими для досудебного урегулирования.
Разработка документации:
политика информационной безопасности;
регламенты обработки ПДн;
соглашения о неразглашении (NDA);
план реагирования на инциденты (IRP);
шаблоны уведомлений в РКН.
Обучение персонала:
семинары по требованиям ФЗ № 152‑ФЗ;
тренинги по выявлению фишинга;
инструктажи по работе с конфиденциальными данными;
отработка действий при утечке.
Внедрение технических решений:
подбор и настройка DLP‑систем;
интеграция SIEM‑платформ;
развёртывание СКЗИ («КриптоПро», «Континент»);
организация резервного копирования;
внедрение двухфакторной аутентификации.
22. Приложение: шаблоны документов
1. Уведомление в РКН об утечке (краткая форма)
В Роскомнадзор
От [Название компании]
Уведомление об инциденте с персональными данными
Дата инцидента: [дд.мм.гггг]
Объём данных: [количество записей]
Категории данных: [ФИО, телефоны, СНИЛС и т. п.]
Предполагаемые причины: [взлом, ошибка сотрудника и т. д.]
Принятые меры: [блокировка, расследование, уведомление клиентов]
Контактное лицо: [ФИО, телефон, email]
Приложение: акт о расследовании (1 лист).
Дата: [дд.мм.гггг]
Подпись: [ФИО руководителя]
Печать:
2. Пункты NDA для сотрудников
обязательство не разглашать ПДн и коммерческую тайну;
запрет на копирование данных на личные носители;
обязанность сообщать об подозрительной активности;
ответственность за нарушение (штрафы, увольнение, уголовная ответственность).
3. Чек‑лист аудита ИБ
наличие политики ИБ: да/нет;
шифрование данных: да/нет;
DLP‑система: да/нет;
SIEM‑мониторинг: да/нет;
резервное копирование: да/нет;
обучение персонала: да/нет.
23. Контакты и дополнительная помощь
Юридическая компания «ЛЕГАС»:
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Бесплатные консультации:
через онлайн‑форму на сайте;
в Telegram‑канале компании.
Дополнительные сервисы:
аудит ИБ и соответствие ФЗ № 152‑ФЗ;
сопровождение при проверках РКН и ФСТЭК;
защита в уголовных и гражданских делах;
разработка политики ИБ и IRP;
обучение персонала по ИБ;
внедрение DLP, SIEM и СКЗИ.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
