Как защитить базу с ПДн: 7 практических шагов в 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет я участвовал в сотнях проверок Роскомнадзора.
И почти в каждой — одна и та же картина: база с ПДн лежит в Excel, на Google Диске, без шифрования, с доступом у всех сотрудников.
При этом директор говорит: «Мы же не банк»
А штраф — 75 000 ₽ — платит он.
В этой статье — 7 практических шагов, которые реально защищают базу.
Не теория. Только то, что работает в 2026 году.
Шаг 1: Ограничьте доступ к базе
По постановлению Правительства № 1119, доступ к ПДн должен быть только у тех, кто работает с ними по должности.
• Удалите общие папки с доступом «все сотрудники».
• Назначьте ответственного за ПДн.
• Настройте права в CRM, 1С, Excel — по ролям.
Мой комментарий:
В 2025 году у ООО «МедСервис» уволился менеджер. Унёс базу 2 000 пациентов.
Роскомнадзор оштрафовал компанию. Аргумент «мы не знали» — не сработал.
Я рекомендую: каждый доступ — по заявке, с контролем.
Шаг 2: Включите шифрование
Согласно п. 10 постановления № 1119, ПДн на носителях и в системах должны быть зашифрованы.
• Используйте BitLocker (Windows), FileVault (Mac).
• Шифруйте базы в 1С, Excel, MySQL.
• Не храните ПДн на флешках без шифрования.
Практический совет:
Я вижу, как компании говорят: «У нас облако, значит, безопасно».
Нет. Google Диск, Яндекс.Диск, Dropbox — не шифруют данные по умолчанию.
Если утечка — вы нарушаете.
Шифруйте до загрузки.
Шаг 3: Отключите скачивание и копирование
Настройте запрет на:
• Скачивание ПДн в Excel
• Копирование в буфер обмена
• Пересылку в мессенджеры
Используйте:
• DLP-системы (Data Loss Prevention)
• Настройки в 1С, Битрикс24, amoCRM
• Групповые политики в Windows
Моё мнение:
70% утечек — через копирование.
Сотрудник скопировал базу клиентов — и ушёл в конкурирующую компанию.
Я рекомендую: блокируйте на уровне системы, а не на словах.
Шаг 4: Ведите журнал учёта доступов
По статье 18.1 ФЗ-152, вы обязаны контролировать, кто и когда обращался к ПДн.
• Включите логирование в CRM, 1С, базах данных.
• Храните логи минимум 6 месяцев.
• Проверяйте их раз в месяц.
Практический совет:
При проверке Роскомнадзор спросит: «Кто и когда смотрел данные клиента X?»
Если не ответите — штраф.
Я рекомендую: настройте автоматическое логирование — это спасёт вас.
Шаг 5: Запретите использование личных устройств
ПДн не должны обрабатываться на личных телефонах, ноутбуках, почтах.
• Запретите синхронизацию с личными аккаунтами.
• Запретите пересылку через WhatsApp, Telegram, Gmail.
• Введите корпоративную почту и мессенджеры.
Мой комментарий:
В одном деле сотрудник переслал табель с окладами через личный Gmail.
Утечка — и штраф 75 000 ₽.
Я вижу это постоянно.
Пишите в инструкции: «Личные устройства — под запретом».
Шаг 6: Регулярно обновляйте ПО и пароли
Устаревшее ПО — главная дыра в безопасности.
• Обновляйте 1С, Windows, антивирусы.
• Используйте сложные пароли (12+ символов, цифры, спецсимволы).
• Включите двухфакторную аутентификацию (2FA).
Практический совет:
Я рекомендую:
• Смена паролей — раз в 90 дней
• Запрет повторного использования
• Хранение в менеджере паролей (например, KeePass)
Шаг 7: Проводите аудит раз в год
Не ждите проверки. Проверяйте себя.
• Проверьте: кто имеет доступ, где хранятся данные, включено ли шифрование.
• Протестируйте утечки (например, фишинг-атака на сотрудников).
• Обновите инструкции и политики.
Моё мнение:
Компании, которые проводят аудит, в 5 раз реже попадают под штрафы.
Это не трата. Это инвестиция в безопасность.
Заключение
Защита базы с ПДн — это не про ИТ.
Это про процессы, контроль и ответственность.
Проверьте сегодня:
• Кто имеет доступ?
• Включено ли шифрование?
• Есть ли логи?
• Запрещены ли личные устройства?
Ваше действие сегодня:
Скачайте чек-лист: «Аудит безопасности ПДн» — и проверьте свою компанию за 1 день.
А если сомневаетесь — напишите нам в «ЛЕГАС».
Мы проведём аудит, настроим защиту, подготовим к проверке.
— Скачайте чек-лист: “Аудит безопасности ПДн” (PDF)
— Поделитесь статьёй с ИТ, директором, HR
— Подпишитесь на legascom.ru — юридически точно, без воды
