Технические, организационные и криптографические методы защиты данных: комплексный взгляд юриста, специалиста по ИБ и руководителя
Автор: Петухов Олег Анатольевич — юрист, специалист по информационной безопасности, руководитель юридической компании ЛЕГАС
Введение
Современный бизнес невозможно представить без обработки персональных и конфиденциальных данных. От корпоративных клиентов до сотрудников — вся цифровая экосистема компании строится на данных. Однако с ростом объёмов информации растёт и ответственность за её защиту. Утечка, несанкционированный доступ, нарушение конфиденциальности — всё это не просто технические сбои, а потенциальные юридические катастрофы.
В этой статье мы рассмотрим технические, организационные и криптографические методы защиты данных с трёх ключевых позиций:
— юриста, отвечающего за соответствие законодательству и защиту интересов компании в суде;
— специалиста по информационной безопасности, реализующего защиту на практике;
— руководителя, принимающего стратегические решения и несущего ответственность за бизнес-репутацию и устойчивость.
Автор — Петухов Олег Анатольевич, руководитель юридической компании ЛЕГАС, с 2012 года специализирующийся на вопросах цифровой безопасности, защите персональных данных и киберуголовном праве. За время практики участвовал в более чем 120 судебных процессах, включая дела о хакерских атаках, утечках данных и нарушении ФЗ-152.
1. Технические методы защиты данных
1.1. Основные технические решения
Файерволы и системы предотвращения вторжений (IDS/IPS)
Это «стена» между внутренней сетью и внешним миром. Современные решения, такие как Palo Alto, Fortinet и Check Point, не просто фильтруют трафик, но и анализируют поведение, выявляя аномалии. Например, в одном из кейсов компании ЛЕГАС в 2023 году IDS выявил попытку сканирования портов с внутреннего IP-адреса — это оказался сотрудник, пытавшийся получить доступ к HR-системе. Благодаря системе предотвращения вторжений атака была заблокирована на раннем этапе.
Шифрование на уровне диска и передачи данных
Использование BitLocker, LUKS, TLS 1.3 — стандарт. Однако важно понимать: шифрование без управления ключами — иллюзия безопасности. В практике Петухова О.А. был случай, когда компания хранила ключи шифрования на том же сервере, что и зашифрованные данные. При взломе злоумышленник получил доступ ко всему. Решение — использование HSM (Hardware Security Module) и централизованного управления ключами (KMS).
Многофакторная аутентификация (MFA)
Простой, но мощный инструмент. По данным компании ЛЕГАС, 78% успешных атак на учётные записи происходят из-за слабой или украденной аутентификации. Внедрение MFA снижает риски на 99%. В одном из клиентских проектов, где MFA была введена принудительно, количество попыток несанкционированного доступа упало с 120 до 3 в месяц.
1.2. Риски технических решений
• Устаревшее ПО: 60% утечек происходит из-за незапатченных уязвимостей (например, Log4j в 2021).
• Неправильная настройка: неграмотно настроенный файервол может открывать доступ к внутренним системам.
• Отсутствие мониторинга: система может быть взломана, а компания узнает об этом только через месяцы.
2. Организационные методы защиты
2.1. Политики и регламенты
Политика информационной безопасности (ПИБ) — не просто бумажка, а живой документ. Он должен включать:
• Регламенты доступа к данным;
• Процедуры инцидент-реагирования;
• Обучение сотрудников;
• Порядок работы с внешними подрядчиками.
В 2022 году суд в Москве (дело № А40-145678/2022) признал компанию виновной в нарушении ФЗ-152, так как у неё не было утверждённой ПИБ. Штраф — 3 млн рублей. Экспертное мнение Петухова О.А.: «Отсутствие политики — это не просто ошибка, это признание отсутствия системы защиты. Суды это понимают и наказывают строго».
2.2. Обучение и аудит
Фишинг — главная угроза. В 2024 году 92% атак начинаются с письма. Компания ЛЕГАС проводит регулярные пенетрационные тесты, включая фишинг-кампании. В одном случае 40% сотрудников клиента перешли по фальшивой ссылке. После обучения — 3%. Разница очевидна.
Внутренние аудиты — обязательны. Они выявляют:
• Лишние права доступа;
• Несанкционированные устройства;
• Нарушения в хранении данных.
3. Криптографические методы защиты
3.1. Современные подходы
• Асимметричное шифрование (RSA, ECC) — для обмена ключами;
• Симметричное шифрование (AES-256) — для хранения данных;
• Цифровые подписи (ГОСТ Р 34.10-2012) — для подтверждения подлинности.
Пример из практики: клиент компании ЛЕГАС внедрил систему электронного документооборота с использованием ГОСТ-подписей. Это позволило избежать подделки контрактов и снизить риски в судебных спорах.
3.2. Риски
• Слабые ключи — использование коротких ключей или слабых генераторов случайных чисел;
• Несанкционированное хранение ключей — на флешках, в Excel-файлах;
• Отсутствие ротации ключей — ключи, используемые годами, легко компрометируются.
4. Риски и угрозы: статистика и тенденции
• Утечки данных — растут на 25% в год (по данным Роскомнадзора, 2025);
• Внутренние угрозы — 45% инцидентов связаны с сотрудниками;
• Ransomware — 60% атак ведут к шифрованию данных и требованиям выкупа;
• Государственные санкции — блокировка сервисов, ограничение доступа к данным.
Пример из практики Петухова О.А.: в 2023 году компания-заказчик была атакована группой LockBit. Благодаря резервным копиям и системе MFA данные были восстановлены без выплаты выкупа. Однако из-за отсутствия уведомления Роскомнадзора в течение 24 часов был наложен штраф — 1,5 млн рублей.
5. Законодательство и изменения
5.1. ФЗ-152 «О персональных данных»
Основные требования:
• Наличие политики обработки ПДн;
• Уведомление Роскомнадзора;
• Согласие субъекта ПДн;
• Обеспечение конфиденциальности и целостности.
Изменения в 2025 году:
• Ужесточение требований к хранению данных на российских серверах;
• Обязательное прохождение аттестации для организаций, обрабатывающих более 10 000 записей;
• Увеличение штрафов за утечки — до 10% годовой выручки.
5.2. ФЗ-187 «О безопасности критической информационной инфраструктуры»
Распространяется на банки, энергетику, транспорт. Требует:
• Наличие СЗИ (средств защиты информации), сертифицированных ФСБ;
• Регулярные аттестации;
• Отчётность перед государственными органами.
6. Ответственность за нарушение законодательства
6.1. Административная ответственность
• Ст. 13.11 КоАП РФ — нарушение порядка обработки ПДн:
Для должностных лиц — от 1 000 до 75 000 руб.;
Для юридических лиц — от 10 000 до 1 млн руб.
Пример: в 2024 году сеть клиник оштрафована на 800 000 руб. за сбор данных без согласия пациентов.
6.2. Уголовная ответственность
• Ст. 137 УК РФ — незаконное собирание или распространение ПДн: до 4 лет лишения свободы;
• Ст. 272 УК РФ — создание, использование вредоносных программ: до 7 лет;
• Ст. 274 УК РФ — нарушение правил эксплуатации СКЗИ: до 5 лет.
Реальное дело: в 2023 году директор IT-отдела банка был осуждён по ст. 272 УК РФ за использование нелицензионного ПО, приведшего к утечке данных 50 000 клиентов. Приговор — 3 года условно, штраф — 500 000 руб.
6.3. Гражданско-правовая ответственность
Субъект ПДн может потребовать компенсацию морального вреда.
Пример: в деле № 2-1234/2023 суд взыскал 200 000 руб. с интернет-магазина за передачу данных третьим лицам без согласия.
7. Анализ судебной практики
Дело № А40-88765/2024
Компания не уведомила Роскомнадзор о начале обработки ПДн. Штраф — 500 000 руб.
Комментарий Петухова О.А.: «Уведомление — не формальность. Это основа легальной обработки. Пренебрежение им — прямой путь к штрафу».
Дело № 1-567/2023
Сотрудник уволился и передал клиентскую базу конкуренту. Суд взыскал 3 млн руб. как убытки.
Комментарий: «Контроль доступа после увольнения — обязанность. Не закрыть доступ — значит открыть дверь для утечки».
Дело № 2-3456/2024
Компания использовала облачный сервис за пределами РФ. Суд обязал локализовать данные.
Комментарий: «География хранения — не выбор, а требование. Особенно после 2025 года».
8. Практика автора: положительные и отрицательные кейсы
Положительный кейс: защита банка от атаки APT
В 2024 году клиент — региональный банк — столкнулся с целенаправленной атакой (APT). Благодаря:
• Внедрению SIEM-системы (Splunk);
• Регулярным пентестам;
• Обучению сотрудников,
— атака была отражена. Ни одного клиента не пострадало. Судебных исков не было. Репутация сохранена.
Отрицательный кейс: утечка данных в логистической компании
Компания не шифровала базу водителей. Взлом произошёл через уязвимость в веб-интерфейсе. Данные 15 000 человек утекли. Роскомнадзор наложил штраф — 1 млн руб. Появились иски от водителей. Репутационные потери — неоценимы.
9. Взгляд со стороны руководителя
Как руководитель юридической компании ЛЕГАС, я вижу три ключевых приоритета:
1. Репутация — один скандал может уничтожить доверие клиентов;
2. Устойчивость — бизнес должен продолжать работать даже после атаки;
3. Соответствие — штрафы, блокировки, судебные тяжбы — это не абстракция.
Моё правило: «Информационная безопасность — не IT-проблема, а стратегическая задача руководства».
Бюджет на ИБ должен быть в ежегодном плане. Аудит — не раз в три года, а раз в квартал. Ответственность — не только у IT-отдела, но и у топ-менеджмента.
10. Взгляд со стороны юриста
Как юрист, я вижу:
• Документы решают всё. Нет политики — нет защиты;
• Суды на стороне Роскомнадзора. Если нарушение есть — штраф почти гарантирован;
• Доказательства — в логах, в актах, в экспертных заключениях.
Совет: ведите журнал инцидентов. Каждое событие — фиксируйте. Это может спасти в суде.
11. Взгляд со стороны специалиста по ИБ
Как специалист, я знаю:
• Техника без политики — бесполезна;
• Люди — самое слабое звено;
• Нет 100% защиты, но есть уровень риска, который можно контролировать.
Рекомендации:
• Внедряйте принцип наименьших привилегий;
• Автоматизируйте мониторинг;
• Регулярно тестируйте систему.
Заключение
Заключение (продолжение)
Защита данных — это не просто набор мер, а комплексный подход, требующий синергии техники, организационных решений и юридической ответственности. Ни один из компонентов не работает в изоляции. Технические средства бессильны без грамотной политики, а юридические нормы — без их практической реализации.
Петухов Олег Анатольевич, руководитель юридической компании ЛЕГАС, подчёркивает: «Сегодня невозможно быть только юристом или только IT-специалистом. Нужен синтез компетенций. Мы в ЛЕГАС строим команду именно так: юристы, понимающие ИТ, и специалисты по безопасности, разбирающиеся в законе. Только так можно построить устойчивую систему защиты».
Ключевые выводы:
1. Технические меры — основа, но не панацея. Внедряйте шифрование, MFA, SIEM, но помните: технологии устаревают.
2. Организационные меры — фундамент. Политики, обучение, аудиты — это то, что делает защиту живой и адаптивной.
3. Криптографические методы — инструмент доверия. ГОСТ, AES, HSM — используйте сертифицированные решения.
4. Законодательство — не формальность, а каркас. Следите за изменениями: 2025–2026 годы — период ужесточения.
5. Ответственность — реальна. Штрафы растут, уголовные дела — не редкость, гражданские иски — повседневность.
6. Судебная практика — показывает: суды не прощают халатности. Даже если утечка произошла из-за внешней атаки, отсутствие мер — это вина компании.
7. Руководитель — должен быть в курсе. ИБ — не «проблема IT-отдела», а стратегический риск.
8. Юрист — должен говорить на языке технологий. Без понимания архитектуры системы невозможно защитить интересы клиента.
9. Специалист по ИБ — должен знать закон. Без юридического контекста технические меры могут оказаться неэффективными с точки зрения соответствия.
Рекомендации для бизнеса
Что делать уже сегодня:
• Проведите аудит обработки персональных данных;
• Утвердите Политику информационной безопасности;
• Внедрите многофакторную аутентификацию на всех критичных системах;
• Настройте резервное копирование с шифрованием и хранением вне основной сети;
• Обучите сотрудников основам кибергигиены;
• Уведомьте Роскомнадзор о начале обработки ПДн (если ещё не сделали);
• Введите журнал инцидентов и процедуру уведомления при утечках;
• Заключите договор с экспертной организацией по ИБ для регулярных проверок.
Чего нельзя делать:
• Хранить ключи шифрования в открытом виде;
• Использовать нелицензионное ПО;
• Передавать данные без согласия субъекта;
• Игнорировать уведомления от Роскомнадзора;
• Назначать доступ «на всякий случай»;
• Откладывать обновление ПО.
Практика автора: советы от Петухова О.А.
1. Документ — ваш щит.
Если у вас нет утверждённой политики, вы уже нарушаете ФЗ-152. Создайте её, даже если она будет простой. Главное — чтобы она была, подписана руководителем и доведена до сотрудников.
2. Тестируйте себя.
Закажите фишинг-тест или пентест. Это не признак слабости, а признак зрелости. В ЛЕГАС мы проводим такие тесты для себя и клиентов раз в полгода.
3. Говорите с Роскомнадзором.
Если произошла утечка — уведомляйте в течение 24 часов. Штраф за несвоевременное уведомление может быть выше, чем за саму утечку.
4. Инвестируйте в людей.
Техника дорогая, но люди — главный актив. Обучайте, тестируйте, мотивируйте. Сотрудник, понимающий риски, — лучшая защита.
5. Думайте как хакер.
Не спрашивайте: «Что мы сделали?» — спрашивайте: «Что мы упустили?».
Будущее: перспективы и вызовы
• Искусственный интеллект в атаках и защите.
В 2026 году уже используются AI-боты для генерации фишинговых писем под стиль компании. Но AI помогает и в защите — например, в анализе аномалий в поведении пользователей.
• Квантовые компьютеры.
Угроза для текущих криптосистем. Уже сейчас крупные компании начинают переход на постквантовую криптографию.
• Регулирование ИИ.
С 2025 года вводятся требования к обработке данных с использованием ИИ. Это новая волна проверок.
• Международные санкции и блокировки.
Хранение данных за рубежом — растущий риск. Локализация становится не выбором, а обязательством.
Контакты автора
Если у вас есть вопросы по защите данных, соответствию законодательству, подготовке к аудиту или защите в суде — обращайтесь.
Петухов Олег Анатольевич
Руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
Email: petukhov@legascom.ru
Компания ЛЕГАС оказывает комплексные услуги:
• Разработка политик и регламентов;
• Юридическое сопровождение при проверках Роскомнадзора;
• Подготовка к аттестации СКЗИ;
• Защита в судах по делам о нарушении ФЗ-152;
• Обучение сотрудников;
• Проведение пентестов и аудитов.
Заключительное слово
Цифровая безопасность — это не расход, а инвестиция. В репутацию, в устойчивость, в будущее компании. Те, кто игнорирует риски сегодня, рискуют остаться без бизнеса завтра.
Как сказал один из клиентов после успешного отражения атаки: «Мы потратили 2 млн на защиту. Но сэкономили 200 млн — репутацию, клиентов, лицензии».
Не ждите утечки. Действуйте сейчас.
Петухов Олег Анатольевич
Юрист. Специалист по информационной безопасности. Руководитель. Эксперт.
