Учетные записи для ПДн: как организовать доступ
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я видел десятки дел, где компании теряли доступ к данным или получали штрафы — из-за одной ошибки: общая учётка «admin» для всех сотрудников.
В этой статье — только практика: как организовать учётные записи для ПДн в 2026 году, чтобы и безопасно, и по закону.
Почему общая учётка — это нарушение?
Потому что статья 22 ФЗ-152 требует обеспечить контроль за действиями лиц, имеющих доступ к ПДн.
А если 10 человек работают под одной учёткой — вы не можете установить, кто именно удалил, скопировал или передал данные.
На практике: в 2023 году московская школа заплатила 300 тысяч рублей, потому что база учеников была скачана с учётки «director», которой пользовались пять сотрудников.
Роскомнадзор не поверил в «доверие» — и наложил штраф.
Мой совет: каждый сотрудник — отдельная учётная запись. Без исключений. Даже для временных работников.
Какие типы учётных записей использовать?
Три типа — в зависимости от риска:
1. Администраторы — полный доступ к системам, настройкам, базам
— Пример: ИТ-специалист, главный бухгалтер
— Требуется: 2FA, MDM, логирование действий
2. Операторы — доступ только к своим данным
— Пример: менеджер по работе с клиентами
— Требуется: ролевой доступ, запрет на экспорт
3. Гости / временные — ограниченный доступ на срок
— Пример: аутсорсер, стажёр
— Требуется: срок действия, подпись о конфиденциальности
Из практики: одна клиника давала врачам доступ ко всем картам — «вдруг понадобится». При утечке — штраф.
Мой совет: внедряйте принцип минимального доступа — каждый видит только то, что ему нужно.
Как защитить учётные записи от взлома?
Только техническими мерами. Пароль «12345» — не защита.
В 2026 году обязательны:
• Двухфакторная аутентификация (2FA) — SMS, TOTP (Google Authenticator), ключи (YubiKey)
• MDM-системы — для контроля устройств (Intune, Kaspersky Security Center)
• Ограничение по IP и геолокации — доступ только из офиса или доверенной сети
• Автоматическая блокировка после 3 неудачных попыток
Пример из практики: компания потеряла базу клиентов, потому что сотрудник вошёл с публичного Wi-Fi в аэропорту. Учётка была без 2FA.
Мой совет: 2FA — не опция. Это минимум соответствия 152-ФЗ.
Как документально подтвердить контроль доступа?
Роскомнадзор и суды требуют четкий документооборот. Вот что нужно:
1. Журнал учётных записей — с ФИО, должностью, датой выдачи, отзывом доступа
2. Акт ознакомления с политикой ПДн — подпись каждого сотрудника
3. Логи входа и действий — хранить минимум 6 месяцев
4. Приказ о назначении ответственных — за обработку и безопасность ПДн
Из практики: в 2024 году суд снял штраф, потому что компания предоставила журнал и логи.
Мой совет: ведите журнал. Даже если у вас 3 сотрудника. Это ваш щит.
Что делать при увольнении сотрудника?
Немедленно:
1. Отозвать доступ ко всем системам
2. Удалить учётную запись или заблокировать
3. Зафиксировать в журнале дату и причину
4. Проверить, не скопировал ли данные
Важно: если доступ остался — вы несёте ответственность за его действия.
Даже если сотрудник уже уволен.
Мой совет: настройте автоматическую блокировку по дате увольнения — через HR-систему или MDM.
Не полагайтесь на «человеческий фактор».
Заключение
Учётные записи — это не ИТ-деталь. Это юридическая основа вашей безопасности.
Если вы не контролируете доступ — вы уже нарушаете 152-ФЗ.
Что сделать сегодня:
• Заведите отдельные учётки для всех
• Включите 2FA и MDM
• Составьте журнал учётных записей
• Обновите политику ПДн
Не ждите проверки. Проверяйте себя.
Если нужна помощь — команда «ЛЕГАС» поможет настроить доступ, подготовить документы и пройти аудит.
• Скачайте шаблон: Журнал учётных записей для ПДн (2026, PDF)
• Поделитесь статьёй с ИТ-директором или главным бухгалтером
• Подпишитесь на legascom.ru — разбираем сложное просто
