Корпоративная почта и ПДн: политики и шифрование в 2026 году

• 

Обновлено 06.05.2026 03:42

 

Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний выстроить защиту ПДн. В этой статье - как организовать корпоративную почту без риска штрафов и утечек. Разберём политики, шифрование и реальные шаги для бизнеса.

Почему это важно сейчас? В 2026 году требования к защите ПДн ужесточились: 152 ФЗ и GDPR предусматривают крупные штрафы за утечки. Корпоративная почта - один из главных каналов передачи ПДн, и её безопасность - прямая обязанность работодателя.

Из этой статьи вы узнаете:

•             Какие ПДн передаются через корпоративную почту.

•             Какие политики нужно утвердить.

•             Как выбрать метод шифрования.

•             Что проверить для соответствия закону.

•             Пошаговый план внедрения защиты.

Вопрос 1. Какие ПДн передаются через корпоративную почту?

Ответ: Через почту часто передаются:

•             ФИО сотрудников и клиентов.

•             Контактные данные (телефоны, email).

•             Копии документов (паспортов, СНИЛС).

•             Финансовые реквизиты.

•             Данные о трудовой деятельности.

Мой совет: Ограничьте передачу копий документов по почте. Используйте защищённые сервисы обмена файлами или внутренние порталы с двухфакторной аутентификацией.

Вопрос 2. Какие политики нужно утвердить?

Ответ: Обязательные документы:

1.            Политика обработки ПДн - определяет цели, способы, сроки хранения (ст. 18.1 152 ФЗ).

2.            Регламент использования корпоративной почты - правила отправки, хранения, удаления писем.

3.            Инструкция по информационной безопасности - требования к паролям, шифрованию, действиям при утечке.

4.            Положение о доступе к ПДн - кто и в каком объёме может работать с данными.

Из практики: В 2025 году компания получила штраф 60 000 руб. за отсутствие Политики обработки ПДн. Всегда оформляйте документы письменно и ознакомьте с ними сотрудников под подпись.

Вопрос 3. Как выбрать метод шифрования?

Ответ: Варианты для корпоративной почты:

•             S/MIME - шифрование отдельных писем (подходит для малого бизнеса).

•             TLS - защита канала передачи (базовый уровень, обязателен по 152 ФЗ).

•             End to end шифрование - полная защита (например, ProtonMail или корпоративные решения).

•             VPN + шифрование диска - для максимальной безопасности (актуально для банков и госорганизаций).

Важно: Для соответствия 152 ФЗ достаточно TLS, но для GDPR и защиты коммерческой тайны лучше использовать S/MIME или end to end.

Вопрос 4. Что проверить для соответствия закону?

Ответ: Аудит безопасности:

1.            Наличие утверждённых политик (см. вопрос 2).

2.            Настройка шифрования (TLS включён на сервере).

3.            Обучение сотрудников (правила работы с ПДн, инструктажи 2 раза в год).

4.            Резервное копирование и защита архивов.

5.            Логирование действий (кто, когда и что отправлял).

6.            Доступ по ролям (ограничьте права администраторов).

Личный опыт: В 2024 году мы помогли банку внедрить S/MIME - после этого количество инцидентов с утечкой сократилось на 80 %.

Вопрос 5. Пошаговый план внедрения защиты

Ответ: Действуйте так:

1.            Разработайте и утвердите все политики (см. вопрос 2).

2.            Выберите метод шифрования (минимум TLS).

3.            Настройте сервер и клиентские приложения.

4.            Проведите обучение сотрудников.

5.            Назначьте ответственного за ИБ.

6.            Проведите тестовую утечку - проверьте реакцию системы.

7.            Зафиксируйте результаты аудита и план улучшений.

Заключение

Безопасность корпоративной почты - это не опция, а необходимость. Действуйте так:

1.            Утвердите Политики обработки ПДн и использования почты.

2.            Настройте шифрование (минимум TLS).

3.            Обучите сотрудников.

4.            Назначьте ответственного.

5.            Проводите аудит раз в полгода.

Не ждите проверки Роскомнадзора - защитите данные заранее!

•             Скачайте образец Политики обработки ПДн для корпоративной почты

•             Поделитесь статьёй с IT директором или HR

•             Подпишитесь на legascom.ru - разбираем сложное просто

Образец фрагмента Политики обработки ПДн:

Политика обработки персональных данных

(фрагмент раздела «Использование корпоративной почты»)

1.            Корпоративная почта используется исключительно для рабочих целей.

2.            Запрещена передача копий паспортов, СНИЛС, банковских карт по незащищённым каналам.

3.            Все письма, содержащие ПДн, должны шифроваться методом TLS.

4.            Срок хранения писем с ПДн - не более 1 года.

5.            Доступ к архивам имеют только уполномоченные сотрудники.