Шифрование ПДн: методы и инструменты 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я видел десятки дел, где компании платили штрафы за ПДн — не потому что злонамеренно, а потому что не шифровали.
А ведь достаточно было включить BitLocker.
В этой статье — только практика: какие методы шифрования работают в 2026, какие инструменты использовать, и как не попасть под штраф.
Почему шифрование ПДн — не опция, а обязанность?
Потому что статья 19 и 22 ФЗ-152 требует обеспечить конфиденциальность и целостность персональных данных.
А пункт 2 статьи 23 прямо говорит: при обработке ПДн должны применяться методы шифрования.
На практике: если у вас украдут ноутбук с базой клиентов — и данные не были зашифрованы — штраф от 50 до 75 тысяч рублей (для ИП), от 500 до 1 млн (для юрлиц).
А если утечка массовая — до 6 млн рублей (ч. 4 ст. 13.11 КоАП).
Из практики: в 2023 году московская клиника заплатила 800 тыс. рублей, потому что на утерянном флешке лежали данные пациентов — без шифрования.
Мой совет: шифруйте всё, что содержит ПДн — даже временные файлы.
Какие методы шифрования разрешены в 2026?
Разрешены только те, что одобрены ФСТЭК и включены в ГОСТ Р 57580.1-2017.
Основные:
• AES-256 — стандарт для файлов, баз данных, дисков
• RSA-2048/4096 — для цифровой подписи и обмена ключами
• ГОСТ 28147-89 (Маг») — используется в госсекторе
• TLS 1.3 — для передачи данных по сети (сайты, API, email)
Что важно:
• Используйте только сертифицированные СКЗИ (список на сайте ФСТЭК)
• Не применяйте самописные алгоритмы — они не пройдут проверку Роскомнадзора
Мой совет: для большинства компаний — AES-256 + TLS 1.3 достаточно. Главное — внедрить правильно.
Какие инструменты использовать в 2026?
Для бизнеса и ИП — вот мой проверенный набор:
Задача Инструмент Примечание
Шифрование дисков BitLocker (Windows), FileVault (macOS) Встроен, бесплатно, поддерживает AES-256
Шифрование файлов VeraCrypt Открытый код, кроссплатформенный
Передача данных TLS 1.3 + Let’s Encrypt Для сайта и API
Почта S/MIME или PGP Особенно для юристов и бухгалтеров
Базы данных Transparent Data Encryption (TDE) В SQL Server, Oracle
Из практики: одна компания использовала 7-Zip с паролем — но архив не был защищён по ГОСТ. При проверке — штраф.
Мой совет: не экономьте на инструментах. Даже малый бизнес может использовать BitLocker и Let’s Encrypt — бесплатно.
Как доказать, что вы шифруете?
Роскомнадзор и суды требуют документальное подтверждение.
Вот что нужно:
1. Политика обработки ПДн — с разделом о шифровании
2. Акт внедрения СКЗИ — с датами и подписями
3. Логи и отчёты — например, статус BitLocker
4. Сертификаты соответствия — если используете платные СКЗИ
Пример из практики: в 2024 году суд снял штраф, потому что компания предоставила логи шифрования и акт от ИТ-специалиста.
Мой совет: ведите документооборот. Шифрование без бумаг — как ремень без пряжки.
Можно ли не шифровать, если данные на российском хостинге?
Нет. Размещение на российском хостинге — требование локализации (ст. 18.1 152-ФЗ).
А шифрование — требование защиты (ст. 19). Это две разные обязанности.
Даже если данные хранятся в Москве — при утечке без шифрования — штраф будет.
Мой совет: локализация + шифрование = минимальный порог соответствия 152-ФЗ.
Не выбирайте одно. Нужно и то, и другое.
Заключение
Шифрование ПДн — это не про ИТ. Это про юридическую защиту.
Если вы не шифруете — вы уже нарушаете.
А штраф — вопрос времени, а не если.
Что делать сегодня:
• Включите BitLocker или FileVault на всех устройствах
• Настройте TLS 1.3 на сайте
• Заведите акт о внедрении шифрования
• Проверьте, что в политике ПДн это прописано
Не ждите проверки. Проверяйте себя сами.
Если нужна помощь — команда «ЛЕГАС» проводит аудит шифрования, помогает внедрить СКЗИ и подготовить документы.
• Скачайте чек-лист: Шифрование ПДн в 2026 (PDF)
• Поделитесь статьёй с ИТ-директором или главбухом
• Подпишитесь на legascom.ru — разбираем сложное просто
