Резервные копии и ПДн: как шифровать и хранить
Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я видел десятки утечек из за небрежного хранения бэкапов с персональными данными (ПДн). В этой статье - только практика: как шифровать, где хранить и не нарушить закон (152 ФЗ, GDPR).
Вопрос 1: Нужно ли шифровать резервные копии с ПДн?
Ответ: да, обязательно. По требованиям 152 ФЗ (ст. 19) и приказам ФСТЭК, ПДн в резервных копиях должны быть защищены наравне с основными базами.
Почему это критично:
• Утечка бэкапа = утечка ПДн.
• Штрафы: до 6 млн руб. (152 ФЗ), до 6 % оборота (GDPR).
• Репутационные потери.
Мой совет: шифруйте все бэкапы с ПДн, даже если они хранятся «внутри компании». Внутренний злоумышленник - не редкость.
Вопрос 2: Какой метод шифрования выбрать?
Ответ: используйте AES 256 (симметричное шифрование) или RSA (асимметричное) с длиной ключа от 2048 бит.
Практические решения:
• Встроенные инструменты ОС: BitLocker (Windows), FileVault (macOS), LUKS (Linux).
• Специализированное ПО: VeraCrypt, AxCrypt, 7 Zip (шифрование архивов).
• Облачные сервисы: AWS KMS, Azure Key Vault, Google Cloud KMS.
Важно: храните ключи шифрования отдельно от бэкапов. Лучше - на аппаратном модуле (HSM).
Вопрос 3: Где хранить резервные копии?
Варианты:
1. Локально: на отдельном сервере или NAS. Плюсы: полный контроль. Минусы: риск физического доступа.
2. В облаке: AWS, Yandex Cloud, Microsoft Azure. Плюсы: масштабируемость, георезервирование. Минусы: зависимость от провайдера.
3. Гибридно: локально + облако. Оптимальный баланс безопасности и доступности.
Нюанс: если храните в облаке, убедитесь, что провайдер соответствует 152 ФЗ и GDPR. Проверьте сертификаты ISO 27001, SOC 2.
Вопрос 4: Как часто делать бэкапы?
Ответ: частота зависит от критичности данных:
• Ежедневно - для баз с активными изменениями (клиентские базы, CRM).
• Еженедельно - для статичных данных (архивы, договоры).
• После каждого значимого изменения - для юридических документов.
Правило 3 2 1: 3 копии, 2 носителя, 1 копия вне офиса.
Вопрос 5: Что говорит закон?
Основные нормы:
• 152 ФЗ (ст. 19): обязывает применять организационные и технические меры защиты ПДн, включая шифрование.
• Приказы ФСТЭК № 21, 17: определяют классы защиты и требования к шифрованию.
• GDPR (ст. 32): требует «соответствующих технических мер» для защиты ПДн.
Пример: в 2025 году Роскомнадзор оштрафовал сеть клиник на 3 млн руб. за хранение бэкапов ПДн без шифрования.
Вопрос 6: Как проверить безопасность бэкапов?
Чек лист для аудита:
1. Шифрование:
Все бэкапы с ПДн зашифрованы (AES 256 или аналог).
Ключи хранятся отдельно (HSM, защищённый менеджер паролей).
2. Доступ:
Ограничен круг лиц с правами на чтение/копирование.
Включен аудит доступа (кто, когда, что делал).
3. Хранение:
Соблюдается правило 3 2 1 (3 копии, 2 носителя, 1 вне офиса).
Облачный провайдер имеет сертификаты ISO 27001, SOC 2.
4. Актуализация:
Политики шифрования и хранения обновлены после изменений в 152 ФЗ (2026).
Персонал обучен работе с зашифрованными бэкапами.
5. Тестирование:
Регулярно проводится тест восстановления (раз в 3 месяца).
Проверяется целостность данных (контрольные суммы).
Мой совет: проводите аудит раз в полгода. Лучше найти уязвимость до утечки.
Вопрос 7: Что делать, если произошёл инцидент (утечка, повреждение бэкапа)?
Алгоритм действий:
1. Локализация: отключите доступ к повреждённому бэкапу.
2. Уведомление:
Сообщите в Роскомнадзор (в течение 24 часов, 152 ФЗ).
Оповестите затронутых субъектов ПДн (если утечка реальна).
3. Расследование:
Выявите причину (взлом, ошибка сотрудника, сбой ПО).
Задокументируйте все шаги.
4. Восстановление:
Восстановите данные из последней чистой копии.
Проверьте её целостность.
5. Профилактика:
Устраните уязвимость (обновите ПО, пересмотрите доступы).
Проведите внеплановый аудит безопасности.
Пример: в 2025 году компания X быстро локализовала утечку бэкапа, уведомила Роскомнадзор и избежала штрафа. Ключевое - скорость реакции.
Заключение
Ключевые правила:
• Шифруйте все бэкапы с ПДн (AES 256/RSA 2048+).
• Храните ключи отдельно от данных (HSM - лучший вариант).
• Соблюдайте правило 3 2 1 для надёжности.
• Выбирайте сертифицированные облачные сервисы (ISO 27001).
• Проводите аудит безопасности раз в 6 месяцев.
• Действуйте быстро при инциденте: локализация → уведомление → восстановление.
Действие: проведите экспресс аудит ваших бэкапов по чек листу выше. Если найдёте пробелы - устраните их до проверки Роскомнадзора.
Если нужна помощь в настройке шифрования, аудите ИБ или составлении политики обработки ПДн, обращайтесь в «ЛЕГАС». Мы поможем:
• Разработать регламент резервного копирования ПДн.
• Настроить шифрование и контроль доступа.
• Подготовить документы для Роскомнадзора.
• Представить интересы компании при проверке.
• Скачайте чек лист: «Аудит резервного копирования ПДн» (2026) - проверьте свои бэкапы за 10 минут.
• Поделитесь статьёй с IT отделом или ответственным за ИБ в компании.
• Подпишитесь на legascom.ru - разбираем сложное просто: защита ПДн, кибербезопасность, соответствие 152 ФЗ и GDPR.
• Запишитесь на консультацию - мы проанализируем вашу систему резервного копирования и дадим рекомендации.
Юридические основания, упомянутые в статье:
• 152 ФЗ (ст. 19) - обязанность применять организационные и технические меры защиты ПДн.
• Приказы ФСТЭК № 21, 17 - требования к классам защиты и шифрованию.
• GDPR (ст. 32) - обязанность принимать меры для обеспечения безопасности ПДн.
• 152 ФЗ - обязанность уведомлять Роскомнадзор об утечке в течение 24 часов.