Резервное копирование ПДн: как настроить правильно в 2026 году
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я видел десятки случаев, когда потеря данных приводила к штрафам по 152 ФЗ. Резервное копирование ПДн — не опция, а обязанность по закону. В этой статье — только практика: как настроить бэкапы правильно, чтобы пройти проверку Роскомнадзора.
В 2026 году кибератаки участились, а штрафы за утечку ПДн выросли. По 152 ФЗ вы обязаны обеспечить:
• сохранность данных;
• возможность восстановления после сбоя;
• защиту копий от несанкционированного доступа.
Разберём, как это сделать без ошибок.
Что говорит закон
По ст. 7 152 ФЗ оператор обязан принимать меры для защиты ПДн, включая резервное копирование. Требования к бэкапам уточняются в:
• Приказе ФСТЭК № 21 (защита ИСПДн);
• GDPR (если работаете с данными граждан ЕС);
• Методических рекомендациях Роскомнадзора.
Ключевые моменты:
• Бэкапы должны храниться отдельно от основных данных.
• Копии нужно шифровать.
• Необходимо регулярно тестировать восстановление.
• Сроки хранения — не менее срока обработки ПДн + 3 года.
Виды резервного копирования
Тип Плюсы Минусы Когда использовать
Full (полное) Простота восстановления, одна копия содержит все данные Большой объём, долгая запись Раз в неделю/месяц как основа
Differential (разностное) Быстрее полного, меньше места Зависит от последнего Full Ежедневно между полными бэкапами
Incremental (инкрементное) Очень быстро, минимальный объём Сложное восстановление (нужно все копии) Каждый час/несколько часов
Мой совет: используйте гибридную схему: Full раз в неделю + Incremental каждые 4 часа. Так вы сбалансируете скорость, объём и надёжность.
Пошаговая инструкция по настройке
Шаг 1. Выберите решение:
• Облако (Яндекс Cloud, VK Cloud): удобно, но проверьте, где хранятся данные (РФ для 152 ФЗ!).
• Локальный сервер: полный контроль, но требует администрирования.
• Гибрид: основные копии в облаке, оперативные — локально.
Шаг 2. Настройте расписание:
• Full бэкап: раз в неделю (например, в ночь с воскресенья на понедельник).
• Incremental: каждые 4–6 часов в рабочее время.
• Critical data (критически важные данные): каждые 30 минут (например, клиентские заказы, платежи).
Мой комментарий: не ставьте бэкапы на пиковые часы работы — это замедлит систему. Оптимально: ночью для Full, днём для Incremental с интервалом 4 часа.
Шаг 3. Шифруйте данные:
• Используйте алгоритмы AES 256 или ГОСТ 34.10 2012.
• Храните ключи шифрования отдельно от бэкапов (лучше — на физическом носителе в сейфе).
• Настройте автоматическую смену ключей раз в 90 дней.
Важно: без шифрования вы нарушаете ст. 19 152 ФЗ. Роскомнадзор расценит это как отсутствие мер защиты.
Шаг 4. Тестируйте восстановление:
• Раз в месяц проводите «учебную» утечку: удалите тестовую базу и восстановите её из бэкапа.
• Фиксируйте время восстановления и ошибки.
• Обновляйте инструкции для ИТ отдела.
Реальный случай: клиент хранил бэкапы 2 года, но при атаке вируса выяснилось, что они битые. Причина — ни разу не тестировали восстановление. Штраф по 152 ФЗ — 60 000 руб.
Шаг 5. Документируйте процесс:
• Составьте регламент резервного копирования (вид, расписание, место хранения, ответственные).
• Ведите журнал проверок (даты тестов, результаты, исправления).
• Приложите инструкции по восстановлению для каждого типа данных.
Мой совет: регламент и журнал — первые документы, которые запросит Роскомнадзор при проверке. Без них — штраф по ст. 13,11 КоАП РФ.
Типичные ошибки и как их избежать
1. Хранение копий рядом с основными данными. Например, на том же сервере или в соседней стойке.
Риск: пожар, вирус или кража уничтожат и данные, и бэкапы.
Решение: используйте облако или отдельный дата центр. Минимум 2 географически разнесённых локации.
2. Отсутствие шифрования. Бэкапы лежат «как есть» — любой, кто получит к ним доступ, увидит ПДн.
Риск: утечка = штраф до 6 млн руб. по 152 ФЗ.
Решение: включите шифрование на уровне ПО или хранилища.
3. Непроверяемые бэкапы. Копии создаются, но никто не проверяет, можно ли из них восстановить данные.
Риск: в критический момент вы останетесь без данных.
Решение: ежемесячные тесты восстановления + автоматизированные проверки целостности.
4. Нарушение сроков хранения. Удаляете бэкапы раньше, чем через 3 года после окончания обработки ПДн.
Риск: не сможете доказать Роскомнадзору, что соблюдали политику обработки.
Решение: настройте автоматическую маркировку копий по датам.
5. Отсутствие регламента. ИТ отдел делает бэкапы «как привык», без единых правил.
Риск: при проверке — штраф за отсутствие мер защиты (ст. 13,11 КоАП РФ).
Решение: утвердите документ, обучите сотрудников, назначьте ответственного.
Заключение
Резервное копирование ПДн — это не ИТ задача, а юридическая обязанность по 152 ФЗ. Чтобы избежать штрафов:
• настройте гибридную схему (Full + Incremental);
• шифруйте копии и храните ключи отдельно;
• тестируйте восстановление ежемесячно;
• документируйте процесс (регламент, журнал, инструкции).
Сделайте это сейчас:
• проведите аудит текущих бэкапов — проверьте шифрование, расписание, места хранения;
• назначьте ответственного за тестирование восстановления;
• обновите регламент резервного копирования с учётом требований 2026 года.
Если нужна помощь с аудитом, настройкой шифрования или подготовкой документов для Роскомнадзора — обращайтесь в «ЛЕГАС». Мы поможем защитить ваши ПДн по закону и без лишних затрат.
• Скачайте чек лист «Аудит резервного копирования ПДн» (2026) — 10 пунктов для самопроверки перед проверкой Роскомнадзора.
• Поделитесь статьёй с коллегой ИТ специалистом — пусть тоже проверит свои бэкапы.
• Подпишитесь на legascom.ru — разбираем сложное просто: защита ПДн, кибербезопасность, налоговые риски.




