152-ФЗ на минималках: что реально нужно офису до 50 рабочих мест, чтобы не влететь на штраф от Роскомнадзора
Меня зовут Евгений Семёнов, я директор «АйТи-Фреш», мы обслуживаем небольшие офисы — бухгалтерии, юрфирмы, клиники, магазины. За последний год штрафы по 152-ФЗ выросли так, что тема из «для галочки» превратилась в реальный риск для бюджета. Я не буду пересказывать закон статья за статьей — расскажу, что мы на самом деле делаем у клиентов, чтобы проверка Роскомнадзора прошла спокойно, а утечка, если случится, не разорила компанию.
Почему это вдруг стало больно, а не просто занудной бумажкой
Раньше на 152-ФЗ массово закрывали глаза. Штраф в 10-15 тысяч рублей за отсутствие политики обработки данных — ну и ладно, дешевле, чем возиться. С 2022 года всё изменилось: штрафы за утечку персональных данных подняли до 15 миллионов рублей за первое нарушение и до 18 миллионов за повторное, если утекли данные больше тысячи субъектов. Для компании на 20-30 человек это уже не штраф, это конец бизнеса.
Второй момент — обязанность уведомлять Роскомнадзор об утечке в течение 24 часов появилась не просто так. РКН реально начал проверять малый бизнес, причём не только по жалобам, а и по плановому графику, и через запросы от банков-партнёров, которые теперь требуют подтверждение соответствия 152-ФЗ перед открытием эквайринга.
У одного нашего клиента, небольшой юрфирмы на 12 человек, всё началось с письма от банка: без пакета документов по ПДн банк отказался продлевать договор на приём платежей клиентов. Директор был уверен, что «мы же не Сбербанк, нас это не касается». Касается, и довольно быстро.
Минимальный пакет документов — то, без чего разговор с РКН не начнётся
Первое, что спрашивает проверяющий — не сервера и не шифрование, а бумаги. Их набор небольшой, но без него вы автоматически в зоне риска. Нужны: положение об обработке персональных данных, приказ о назначении ответственного за обработку ПДн (это может быть штатный сотрудник, не обязательно директор), согласия на обработку от сотрудников и от клиентов, форма для сайта с чекбоксом согласия и политикой конфиденциальности.
Отдельно — уведомление в Роскомнадзор о начале обработки персональных данных. Многие уверены, что это разовая формальность для крупных компаний. На самом деле подавать его нужно почти всем, кто хранит данные клиентов или сотрудников сверх минимума для трудового договора, а исключений там немного и они узкие. Подаётся через личный кабинет на pd.rkn.gov.ru, занимает минут двадцать, если данные под рукой.
У медклиники, с которой мы работаем, до нашего прихода вообще не было ни одного из этих документов — только устная договорённость «мы никому ничего не передаём». Проблема в том, что «не передаём» и «оформлено юридически» — две разные вещи для проверяющего. Собрали пакет за неделю, ничего сверхъестественного там нет, это в основном юридический шаблон плюс правка под специфику компании.
Модель угроз и уровень защищённости — без фанатизма
Вот здесь малый бизнес обычно либо игнорирует тему полностью, либо, наоборот, нанимает консультанта за 300 тысяч рублей, который рисует документ на 80 страниц с формулировками про «актуальные угрозы утечки по техническим каналам». Для офиса на 15-20 компьютеров это перебор.
Смысл модели угроз простой: вы описываете, какие данные обрабатываете (ФИО, паспортные данные, номера телефонов — обычно этого достаточно для малого офиса), кто имеет к ним доступ, и какой уровень защищённости информационной системы персональных данных вам присвоить — от четвёртого (минимальный) до первого (для действительно чувствительных объёмов и категорий). Для типичной бухгалтерии или юрфирмы это почти всегда четвёртый уровень.
Уровень защищённости — не абстракция, он напрямую определяет, какие технические меры вам обязательны, а какие избыточны. Клинике с данными о здоровье пациентов (это специальная категория данных) придётся закладывать больше мер, чем магазину, который хранит только имя и телефон покупателя для доставки. Разница в бюджете может быть в разы, поэтому пропускать этот шаг и сразу покупать «всё подряд» — деньги в трубу.
Технические меры, которые реально нужны в офисе на 15-50 машин
Теперь к железу и софту. Антивирус на всех рабочих местах — не Windows Defender по умолчанию, а управляемое решение с центральной консолью, чтобы видеть, где обновления не встали. Мы ставим Kaspersky Endpoint Security или Dr.Web, зависит от бюджета клиента, разница в стоимости лицензий на 30 машин — тысяч 15-20 в год.
Разграничение доступа — это не про модную DLP-систему за полмиллиона, а про банальное: у бухгалтера нет прав администратора на своём же компьютере, доступ к 1С у менеджера по продажам ограничен своими клиентами, а не всей базой. Плюс парольная политика через доменные групповые политики — минимум 8 символов, смена каждые 90 дней, блокировка после пяти неудачных попыток. На Windows Server это настраивается за один вечер и бесплатно, просто руки до этого редко доходят.
Дальше — шифрование каналов и резервные копии. Для передачи отчётности и части документооборота нужен КриптоПро CSP, если работаете с госорганами или банковской отчётностью — там это часто прямое требование, не только по 152-ФЗ. Бэкапы через Veeam или встроенные средства Windows Server Backup — обязательны, потому что утрата данных из-за шифровальщика или сгоревшего диска приравнивается к инциденту с ПДн ровно так же, как и кража. Отдельная больная тема — открытые RDP-порты наружу без VPN. Я до сих пор регулярно вижу 3389-й порт, торчащий прямо в интернет, у клиентов, которые «просто хотели подключаться из дома». Это первое, что я закрываю при аудите, буквально в первый день.
Утечка данных: что делать в первые 24 часа
С 2022 года требование жёсткое: если данные утекли — у вас 24 часа на первое уведомление Роскомнадзора и 72 часа на детальный отчёт с описанием причин и принятых мер. Это не пожелание, это отдельная статья с отдельным штрафом за нарушение сроков, даже если сама утечка была небольшой.
Проблема малого бизнеса в том, что у него часто нет процедуры реагирования вообще. Узнали об утечке через месяц, когда клиент пожаловался, что ему звонят с непонятными предложениями со ссылкой на «вашу базу». К этому моменту сроки уже упущены, и разговор с РКН получается совсем другим.
Мы прописываем клиентам простой регламент: кто первый узнаёт (обычно системный администратор или подрядчик), кому звонит в течение часа, кто готовит уведомление. Занимает документ страницу, а разница в последствиях — колоссальная. Плюс это ровно тот момент, когда наличие журналов доступа и логов на сервере превращается из «формальности для аудита» в единственный способ доказать масштаб утечки и не получить максимальный штраф.
Как выглядит проверка РКН и на чём обычно спотыкается малый бизнес
Плановую проверку Роскомнадзор проводит не чаще раза в три года для большинства компаний, но внеплановая случается по жалобе — например, от бывшего сотрудника или недовольного клиента, который решил, что его данные передали третьим лицам без согласия. Именно такие внеплановые проверки бьют по малому бизнесу больнее всего, потому что к ним никто не готов.
Проверяющий сначала запрашивает документы — то, о чём я писал выше. Дальше смотрит, соответствует ли реальная практика документам: если в положении написано, что доступ к базе клиентов есть только у трёх человек, а по факту логинится вся компания под одним общим паролем «1234» — это прямое нарушение, и такое всплывает быстро.
Типичные ошибки, которые я вижу у клиентов раз за разом: согласие на обработку ПДн собирается, но хранится непонятно где и без возможности его найти по конкретному человеку; сайт компании собирает данные через форму заявки без чекбокса согласия и без ссылки на политику конфиденциальности; данные бывших сотрудников и клиентов годами лежат в базе без всякой необходимости — а закон требует удалять их, когда цель обработки достигнута.
Сколько это стоит на практике и с чего начать
Для офиса на 20-30 компьютеров базовый пакет — документы плюс минимальная техническая настройка без покупки нового оборудования — у нас обычно укладывается в 60-90 тысяч рублей разово, плюс сопровождение 5-8 тысяч в месяц, если нужно поддерживать актуальность документов и следить за обновлениями антивируса и патчами Windows Server.
Если требуется докупать технику — например, отдельный сервер для резервного копирования или лицензии КриптоПро на всех, кто работает с отчётностью — бюджет растёт, но это уже не про 152-ФЗ, а про общую IT-инфраструктуру, которая всё равно нужна компании независимо от закона.
С чего начать, если руки пока не дошли ни до чего: соберите документы, назначьте ответственного (даже если это тот же человек, что и сейчас занимается закупкой картриджей — главное, чтобы приказ был), проверьте открытые порты наружу и общие пароли к базам данных. Это займёт неделю и закроет 70 процентов реального риска. Остальное — вопрос приоритетов и бюджета, но без этой недели разговаривать про 152-ФЗ вообще не с чем.
Частые вопросы
У меня ИП, всего 3 человека в штате — это вообще касается меня?
Да, размер компании тут не при чём: если вы обрабатываете персональные данные хотя бы сотрудников и клиентов — а это делает почти любой бизнес — закон применяется одинаково и к ИП, и к ООО. Штрафы для ИП чуть ниже, чем для юрлиц, но сама обязанность вести документы и подавать уведомление в РКН никуда не исчезает.
Что грозит, если клиент не подписывал согласие на обработку данных?
Формально это нарушение статьи 9 закона, штраф для юрлица — от 30 до 150 тысяч рублей за один такой случай при первой проверке. Хуже, если таких клиентов десятки или сотни и проверяющий фиксирует это как системную практику — тогда штраф считается по совокупности и суммы становятся серьёзными.
Обязательно ли хранить все данные только на серверах в России?
Требование локализации касается первичного сбора и хранения персональных данных граждан РФ — база должна физически находиться на сервере в России, даже если у вас есть облачная копия за границей для резервирования. Для малого бизнеса это чаще всего решается выбором российского хостинга или облака от начала, чтобы не переносить базу задним числом.
Как часто нужно обновлять модель угроз и приказы?
Формального требования обновлять документы раз в год нет, но их нужно пересматривать при изменении процессов — например, если вы начали собирать новую категорию данных, сменили сервер или подрядчика по обслуживанию IT. На практике мы советуем клиентам сверять пакет документов с реальностью раз в год, это займёт час-два, но избавит от расхождений на будущей проверке.
Напишите нам — сделаем бесплатный экспресс-аудит и скажем, что у вас уже в порядке, а что нет.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
