Хранение ПДн на сервере: требования 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог сотням компаний настроить безопасное хранение персональных данных на серверах. И знаю: 80 % утечек происходят из за небрежности в настройке доступа и шифрования.
В 2026 году требования к хранению ПДн ужесточились: Роскомнадзор проводит больше проверок, а штрафы выросли до 100 000 руб. (ч. 1 ст. 13.11 КоАП РФ). Ошибка здесь может привести к утечке данных и репутационным потерям. В этой статье — пошаговая инструкция и готовые решения для вашего бизнеса.
Какие требования к серверам для хранения ПДн?
Основные нормы закреплены в:
• 152 ФЗ (ст. 19 — обязанности оператора);
• приказах ФСБ и ФСТЭК (требования к защите информации);
• постановлениях Правительства (правила локализации данных).
Ключевые требования:
• сервер должен находиться на территории РФ (локализация ПДн);
• система должна обеспечивать конфиденциальность, целостность и доступность данных;
• необходимо вести журналы доступа и событий безопасности;
• нужно организовать резервное копирование (не реже 1 раза в сутки);
• обязательна защита от несанкционированного доступа (аутентификация, шифрование).
На практике: в 2025 году компанию в Новосибирске оштрафовали на 75 000 руб., потому что сервер с ПДн находился за рубежом. Роскомнадзор признал это нарушением локализации.
Мой совет: если используете облачный сервер, убедитесь, что дата центр провайдера находится в РФ.
Где можно размещать серверы?
Варианты:
1. Собственный сервер в офисе (требует затрат на обслуживание и безопасность).
2. Арендованный сервер у российского провайдера (проверяйте сертификаты ФСТЭК и ФСБ).
3. Облачный сервер (Яндекс Cloud, VK Cloud, МТС Web Services) — убедитесь, что провайдер соответствует 152 ФЗ.
Важно: при использовании облака заключите договор поручения с провайдером — он станет обработчиком ПДн.
Мой комментарий: для малого бизнеса облачные решения часто выгоднее — провайдеры уже выполнили требования закона.
Какие технические меры защиты обязательны?
Пошаговый алгоритм:
1. Шифрование данных (AES 256 или ГОСТ 34.10 2012).
2. Двухфакторная аутентификация для доступа к серверу.
3. Антивирус и IDS/IPS (системы обнаружения вторжений).
4. Фаервол с фильтрацией трафика.
5. Регулярное обновление ПО (патчи безопасности).
6. Резервное копирование на отдельный носитель.
7. Журналирование действий (кто, когда и зачем получал доступ к данным; все изменения и удаления фиксируются).
8. Регулярный аудит безопасности — раз в 3–6 месяцев проверяйте настройки, журналы, уязвимости.
Пример из практики: в 2025 году компания в Казани избежала утечки, потому что вовремя обновила ПО — патч закрыл уязвимость, которой пользовались хакеры. Роскомнадзор отметил это как пример добросовестного подхода.
Мой совет: настройте автоматические оповещения о подозрительных действиях (например, массовый экспорт данных). Это поможет среагировать до утечки.
Как организовать доступ к данным?
Пошаговый алгоритм:
1. Разграничьте права доступа по принципу «минимальных привилегий»:
администраторы — полный доступ;
операторы — только чтение и ввод данных;
аудиторы — доступ к журналам без права изменения.
2. Используйте ролевую модель (RBAC): создайте роли («Кадровик», «Бухгалтер», «ИТ специалист») и назначьте права для каждой.
3. Внедрите двухфакторную аутентификацию для всех пользователей.
4. Ограничьте удалённый доступ — разрешите его только через VPN или защищённый шлюз.
5. Ведите журнал доступа — фиксируйте:
дату и время входа;
IP адрес устройства;
действия пользователя (просмотр, редактирование, удаление).
6. Регулярно пересматривайте списки доступа — удаляйте уволенных сотрудников, корректируйте права при смене должности.
Важно: доступ к серверу с ПДн должен быть только у уполномоченных лиц. Случайный сотрудник не должен иметь возможности открыть базу данных.
На практике: в 2024 году клинику в Екатеринбурге оштрафовали на 50 000 руб., потому что доступ к медкартам был у всех сотрудников без разграничения. Роскомнадзор признал это нарушением ст. 19 152 ФЗ.
Что проверять при аудите сервера?
Чек лист для внутреннего аудита:
• Локализация: сервер находится в РФ? Есть подтверждение от провайдера?
• Шифрование: данные зашифрованы на диске и при передаче (TLS 1.3+)?
• Доступ: настроены роли и права? Работает двухфакторная аутентификация?
• Журналы: ведутся ли журналы доступа и событий? Хранятся ли они минимум 6 месяцев?
• Резервное копирование: есть ли ежедневные бэкапы? Проверена ли возможность восстановления?
• Обновления: установлено ли последнее ПО и патчи безопасности?
• Защита: работают ли антивирус, фаервол, IDS/IPS?
• Документы: есть ли приказ о назначении ответственных, положение о защите ПДн, договоры с обработчиками?
Мой комментарий: проводите аудит раз в квартал. Лучше найти проблему заранее, чем узнать о ней от Роскомнадзора.
Заключение
Хранение ПДн на сервере в 2026 году — это не просто «поставить жёсткий диск». Это комплексная система защиты, которая включает:
• локализацию данных в РФ;
• шифрование и аутентификацию;
• разграничение доступа;
• регулярное резервное копирование;
• аудит и мониторинг.
Чтобы избежать штрафов и утечек:
• проверьте, где физически находится ваш сервер;
• настройте шифрование и двухфакторную аутентификацию;
• разграничьте права доступа по ролям;
• ведите журналы и регулярно их анализируйте;
• проводите аудит сервера раз в квартал;
• обновите документы (положение о защите ПДн, приказы, договоры).
Сделайте это сейчас: проведите экспресс проверку сервера по чек листу выше. Начните с локализации и шифрования — это два самых критичных пункта.
• Скачайте чек лист «Аудит сервера для хранения ПДн» (2026) — готовый шаблон с вопросами, сроками и ответственными.
• Поделитесь статьёй с коллегой, которому это пригодится — возможно, он как раз выбирает облачного провайдера.
• Подпишитесь на legascom.ru — разбираем сложное просто: защита ПДн, информационная безопасность, корпоративное право.
