Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

2FA для доступа к ПДн: как внедрить в компании 2026

Обновлено 21.04.2026 04:23

 

Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний выстроить защиту персональных данных. В 2026 году 2FA стала не опцией, а требованием закона. В этой статье — только практика: как внедрить двухфакторную аутентификацию без ошибок и штрафов.

Зачем нужна 2FA для доступа к ПДн?

По ст. 19 152 ФЗ, оператор обязан принимать меры для защиты персональных данных от несанкционированного доступа. 2FA — один из ключевых инструментов.

На практике: в 2025 году Роскомнадзор оштрафовал сеть клиник на 500 000 руб. за утечку данных — доступ был только по паролю.

Мой совет: внедряйте 2FA до проверки — это дешевле, чем штрафы.

Какие виды 2FA подходят для защиты ПДн?

1.            SMS коды — просто, но менее безопасно (риск перехвата).

2.            Приложения аутентификаторы (Google Authenticator, Authy) — надёжнее.

3.            Аппаратные токены (YubiKey) — высший уровень защиты.

4.            Push уведомления (через корпоративное приложение) — удобно для сотрудников.

По рекомендациям ФСТЭК, для обработки ПДн 1–2 категории лучше использовать приложения или токены.

Как внедрить 2FA: пошаговая инструкция

Шаг 1. Проведите аудит текущих систем доступа к ПДн.

Шаг 2. Выберите тип 2FA под ваши задачи и бюджет.

Шаг 3. Обновите политику информационной безопасности (включите 2FA).

Шаг 4. Настройте систему аутентификации (интеграция с Active Directory, CRM и т. д.).

Шаг 5. Обучите сотрудников — проведите тренинг или вебинар.

Шаг 6. Протестируйте систему на небольшой группе пользователей.

Шаг 7. Запустите 2FA для всех сотрудников.

Шаг 8. Документируйте процесс — это потребуется для проверок.

Пример из практики: банк внедрил Google Authenticator для доступа к клиентским данным — количество инцидентов снизилось на 90 %.

Нужно ли фиксировать 2FA в документах компании?

Да. По приказу Роскомнадзора № 178, меры защиты ПДн должны быть зафиксированы:

•             в политике обработки ПДн;

•             в регламенте информационной безопасности;

•             в трудовых договорах (если доступ к ПДн — часть обязанностей).

Мой комментарий: обновите документы до внедрения — это упростит аудит.

Сколько стоит внедрение 2FA?

Зависит от масштаба:

•             малый бизнес (до 50 сотрудников): 10–30 тыс. руб. (готовые решения);

•             средний бизнес: 50–150 тыс. руб. (настройка под систему);

•             крупный бизнес: от 200 тыс. руб. (кастомные решения).

Важно: затраты окупаются за счёт снижения рисков утечки и штрафов.

Частые ошибки при внедрении 2FA

На основе моей практики, компании чаще всего допускают такие ошибки:

•             Не обновляют политику обработки ПДн. Без фиксации 2FA в документах проверка Роскомнадзора может признать меры недостаточными (ст. 18.1 152 ФЗ).

•             Выбирают самый дешёвый вариант (SMS). Перехват SMS — распространённая атака. Лучше использовать приложения или токены.

•             Не обучают сотрудников. Люди отключают 2FA или записывают коды в блокнот — это сводит защиту на нет.

•             Забывают про резервные методы. Если сотрудник потерял телефон с аутентификатором, он не сможет войти в систему.

•             Не тестируют перед запуском. Массовый сбой при внедрении парализует работу.

Мой совет: составьте план внедрения с учётом этих ошибок — это сэкономит время и нервы.

Как проверить, что 2FA настроена правильно?

Перед запуском проведите проверку по чек листу:

1.            Все системы с ПДн требуют 2FA.

2.            Резервные коды или устройства доступны сотрудникам.

3.            Политика ИБ и трудовые договоры обновлены.

4.            Сотрудники прошли обучение (есть подтверждение).

5.            Проведено тестовое отключение 2FA — система блокирует доступ.

6.            Логи аутентификации собираются и хранятся (для аудита).

Пример из практики: в 2025 году компания прошла проверку Роскомнадзора без замечаний — заранее подготовила все документы и логи за 3 месяца.

Заключение

В 2026 году 2FA — обязательное требование для защиты персональных данных. Чтобы внедрить её без ошибок и штрафов:

•             выберите надёжный тип аутентификации (не SMS);

•             обновите политику обработки ПДн и другие документы;

•             обучите сотрудников и дайте им инструкции;

•             протестируйте систему на группе пользователей;

•             соберите логи для будущих проверок.

Сделайте это сейчас — чтобы защитить данные клиентов и репутацию компании.

Скачайте чек лист по внедрению 2FA в компании (шаблон от «ЛЕГАС»)

Поделитесь статьёй с IT директором, юристом или ответственным за ИБ в вашей компании

Подпишитесь на legascom.ru — разбираем сложное просто, помогаем бизнесу соблюдать закон и избегать штрафов