В 2026 году работа с персональными данными перестала быть технической формальностью и превратилась в зону повышенного правового риска.

Роскомнадзор ужесточает проверки, а штрафы по статье 13.11 КоАП РФ достигают значительных сумм: для индивидуальных предпринимателей они варьируются от 100 до 300 тысяч рублей, для юридических лиц — от 300 до 700 тысяч. При повторных нарушениях суммы растут. В этих условиях единственным надёжным основанием для легальной работы с информацией клиентов, партнёров или сотрудников остаётся грамотно оформленное согласие на обработку персональных данных. Разберёмся, как подготовить документ, который выдержит проверку регулятора и защитит ваш бизнес.

Когда согласие действительно необходимо

Федеральный закон 152-ФЗ «О персональных данных» рассматривает согласие субъекта как базовое правовое основание для обработки его данных, однако это не означает, что оно требуется постоянно. Вы вправе работать без такого документа, если исполняете договор, где гражданин является стороной (выгодоприобретателем), ведёте кадровый учёт в рамках Трудового договора, передаёте сведения по требованию государственных органов, защищаете его жизнь или здоровье, а также используете данные в личных, семейных или обезличенных статистических целях.

Всё меняется, когда обработка выходит за эти рамки. Сбор информации «на будущее», использование адресов электронной почты для рассылок, передача сведений контрагентам или публикация фотографий сотрудников на корпоративном сайте требуют прямого, добровольного согласия. Причём для любого распространения данных в открытом доступе закон обязывает оформлять отдельное согласие по правилам статьи 10.1 152-ФЗ. Например, если у вас в организации есть телефонные справочники, доски объявлений, то наличие данных сотрудников в них, требует отдельного письменного согласия.

Составляющие юридически значимого документа

Чтобы согласие имело юридическую силу, оно должно соответствовать требованиям части 4 статьи 9 152-ФЗ. Отсутствие даже одного из десяти обязательных элементов делает документ ничтожным.

В первую очередь необходимо однозначно идентифицировать субъекта: указать полное ФИО, адрес регистрации или проживания, а также реквизиты документа, которым удостоверяется его личность. Следом идут сведения об операторе: полное наименование организации, ОГРН или ОГРНИП, ИНН и юридический адрес. Центральная часть документа посвящена цели и объёму обработки. Формулировки вроде «для улучшения сервиса» уже не подходят. Регулятор ждёт конкретики: «для доставки заказа клиенту» или «для отправки информационных писем на контактный адрес электронной почты». Параллельно необходимо перечислить все категории собираемых данных и исчерпывающий список действий с ними: сбор, запись, хранение, уточнение, передача, блокирование, удаление или уничтожение.

О чём:

Постановление регулирует использование программного обеспечения (ПО) на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации.

Ключевые положения:

1. Требования к ПО на объектах КИИ.
2. Правила согласования закупок иностранного ПО.
3. Правила перехода на российское ПО.

Направление нормативного акта:

Критическая информационная инфраструктура.

Категория:

Акты Правительства РФ.

Наш ИИ-помощник Цифрик теперь «знает» приказ ФСТЭК России от 21.12.2017 № 235 🎯

📄 О чём этот документ?

Приказ утверждает Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры (КИИ) РФ. Он определяет, какие правовые, организационные меры необходимо внедрить, чтобы обеспечить устойчивую работу значимых объектов КИИ.

🤖 Что умеет Цифрик теперь?

✅ Ответит на вопросы по структуре и содержанию приказа № 235;

✅ Поможет разобраться в требованиях к системам безопасности КИИ;

✅ Подскажет, как применять нормы на практике.

💡 Как задать вопрос?

🔔 Важное обновление «Цифрика»!

Мы рады сообщить, что в нашу базу знаний и ИИ‑бот «Цифрик» внесено Постановление Правительства Российской Федерации от 22.08.2022 г. № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом „О закупках товаров, работ, услуг отдельными видами юридических лиц“ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом „О закупках товаров, работ, услуг отдельными видами юридических лиц“ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом „О закупках товаров, работ, услуг отдельными видами юридических лиц“ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

Теперь вы можете:

— быстро находить ключевые положения документа;

— получать краткие выжимки по основным нормам;

— задавать ИИ‑боту вопросы о применении положений постановления на практике;

— экономить время на поиске и анализе правовой информации.

ИИ‑бот «Цифрик» обработает ваш запрос и предоставит ответ с опорой на актуальный нормативный акт — чётко, оперативно и с практическими рекомендациями.

О чём:

Министерство экономического развития Российской Федерации в соответствии с возложенными на него полномочиями Приказом от 13 ноября 2023 года № 785 утверждает перечень актуальных угроз безопасности персональных данных. Данный документ разработан во исполнение требований части 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и пункта 1 Положения о Министерстве, утверждённого постановлением Правительства Российской Федерации от 5 июня 2008 года № 437.

Приказ определяет состав и содержание угроз безопасности, которые являются релевантными при обработке персональных данных в информационных системах персональных данных, находящихся в эксплуатации у Министерства экономического развития Российской Федерации. Установленный перечень угроз является обязательным для использования в целях обеспечения безопасности персональных данных при их обработке в указанных информационных системах, используемых Минэкономразвития России для реализации функций, предусмотренных законодательством Российской Федерации.

Направление нормативного акта:

Персональные данные

Вид нормативного акта:

Приказ Федерального органа исполнительной власти.

Наименование нормативного акта:

О чём:

Приказом Федеральной службы по техническому и экспортному контролю от 30 июля 2018 года № 132 утверждаются требования к средствам защиты информации, предназначенным для противодействия воздействиям, направленным на отказ в обслуживании информационных и автоматизированных систем, подключенных к сетям связи.

Указанный нормативный правовой акт устанавливает комплекс обязательных для выполнения положений, определяющих функциональные и технические характеристики средств защиты.

В частности, документом регламентируется:

1. Обеспечение обнаружения атак отказа в обслуживании посредством анализа сетевого трафика. Для этого на средства защиты возлагается обязанность применения как сигнатурных методов, основанных на известных признаках атак, так и статистических методов, базирующихся на анализе профилей нормального функционирования защищаемой системы.
2. Формирование профилей функционирования системы. Средства защиты должны функционировать в режиме обучения, в ходе которого осуществляется регистрация основных атрибутов сетевых пакетов. На основе собранных данных обеспечивается возможность создания и актуализации профилей, характеризующих штатное поведение системы.
3. Управление средствами защиты и администрирование. Требованиями предусматривается обязательная реализация графического интерфейса управления для администраторов. Средство защиты должно обеспечивать процедуры идентификации, аутентификации и авторизации администраторов на основе ролевой модели доступа, а также предоставлять возможности для настройки параметров работы и установления сроков хранения журналов регистрации событий безопасности.
4. Защита компонентов самого средства защиты. В числе ключевых требований — обеспечение защиты программных и аппаратных компонентов средства защиты от несанкционированного доступа в среде его функционирования.

Действие Приказа распространяется на средства защиты информации, используемые для защиты сведений, составляющих государственную тайну, а также иной информации ограниченного доступа.

Направление нормативного акта:

Критическая информационная инфраструктура, государственная тайна

Анализ проблемы: статус-кво, регуляторные вызовы и риски для бизнеса и госсектора

Проблема поверхностного понимания целей и механизмов обеспечения информационной безопасности (ИБ) в малом и среднем бизнесе (малом и среднем предпринимательстве — МСП), а также среди государственных органов в Российской Федерации является многогранной и системной. Она коренится не столько в технической сложности определения угроз, сколько в разрыве между требованиями регуляторов и реальными потребностями организаций.

Позиция того, что бизнес воспринимает ИБ как формальность — административное бремя, которое мешает работе, — находит подтверждение в настоящей исследовательской работе, которую ООО «ЦифраБез» решила выдать на ваш суд.

Многие руководители недооценивают риски ИБ, считая себя слишком маленькими и незначительными для того, чтобы стать объектом атак злоумышленников. Это приводит к тому, что ИБ рассматривается исключительно как формальная процедура, направленная на удовлетворение требований законодательства, но не как стратегический элемент управления рисками, поддерживающий работоспособность бизнеса.

Регуляторная среда в Российской Федерации характеризуется наличием нескольких ключевых контролирующих органов, каждый из которых имеет свою специфику и набор нормативных актов. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) отвечает за защиту информации в государственных информационных системах (ГИС) и у операторов персональных данных (ПДн), а также субъектов критической информационной инфраструктуры (КИИ). Федеральная служба безопасности (ФСБ) — за использование криптографических (шифровальных) средств, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — за КИИ, Роскомнадзор — за соблюдение законодательства об обращении и обработке ПДн, Банк России — за финансовую стабильность через стандарты безопасности финансовых организаций (ГОСТ Р 57580), а также в настоящее время все чаще стали появляться предпосылки к созданию нового регулятора — Минцифры.

Такое распределение ответственности порождает неоднозначный эффект и всё больше напоминает русскую пословицу: «У семи нянек дитя без глазу». Хотя это создает многоуровневую систему защиты для разных направлений деятельности и сфер экономики, с другой стороны, формирует фрагментированную картину требований, которые сложно интегрировать в единую систему управления. Для бизнеса это часто выглядит как набор противоречивых или неясных указаний, что усиливает его первоначальное сопротивление внедрению мер ИБ. Эта проблема особенно остро стоит для МСП, которые не имеют ресурсов для найма экспертов по каждому из направлений и путают требования, поскольку эта сфера является для них непонятной. Более того, органы государственной власти (ОГВ) для МСП практически не проводят никаких мероприятий по разъяснению требований и не могут пояснить, для чего их нужно исполнять.

Последствия такой пассивной политики со стороны регуляторов для МСП не заставили себя долго ждать. С начала военных действий на территории Украины, когда в кибератаки включились силы НАТО и профессиональные хакеры из международных организаций, малый и средний бизнес, а также ОГВ «посыпались», а эффект от проведённых атак на эти сферы стал огромным. Исследования показывают, что киберугрозы стали массовым явлением. В 2023 году количество DDoS-атак в мире выросло на 63%, а в первом квартале 2024 года — почти на 30%.

Приказ Министерства труда и социальной защиты Российской Федерации от 15.01.2024 № 6н «Об утверждении профессионального стандарта „Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)“

• Приказ Министерства труда и социальной защиты РФ № 6н от 15.01.2024 устанавливает требования к квалификации работников в области информационных технологий на атомных станциях.

• Стандарт определяет трудовые функции, знания, умения, образование, опыт работы и условия деятельности с учётом специфики атомной отрасли.

• Он предназначен для использования работодателями, образовательными и квалификационными организациями в кадровой политике, разработке должностных инструкций и программ обучения.

• Стандарт направлен на обеспечение безопасной и надёжной эксплуатации атомных станций.

Ознакомиться

Уровень ОИБВОП: Нулевой (0)

Домен: Организация (2)

Блок: Управление ИБ (92)

Минимальный уровень зрелости по реализации требований: Неофициально (1)

Требование: Определение перечня негативных последствий и дополнительных угроз для организации.

Описание требования: Организация должна провести первичный анализ негативных последствий и дополнительно проверить применимость угроз информационной безопасности в целом.

Мера защиты по ISO/IEC 27001: А.5.7 Управление данными об угрозах.

Мера защиты по БДУ ФСТЭК:

Описание

Верховный Суд Российской Федерации подтвердил законность привлечения комитета информационных технологий Волгоградской области к административной ответственности за эксплуатацию государственной информационной системы без проведения обязательной аттестации по требованиям безопасности информации.

Дело устанавливает важный прецедент: отсутствие аттестата соответствия является самостоятельным нарушением, независимо от наличия утечек данных или технических сбоев.

Реквизиты судебного акта

Номер дела: № 16-АД25-1-К4

Дата постановления: 17 февраля 2025 г.

Судья: Кузьмичев С. И., судья Верховного Суда РФ

Приказ Управления делами Президента РФ от 19.12.2023 N 557 «Об упорядочении обращения со служебной информацией ограниченного распространения в Управлении делами Президента Российской Федерации и подведомственных ему организациях»

• Приказ Управления делами Президента РФ № 557 от 19.12.2023 регулирует обращение со служебной информацией ограниченного распространения.

• Документ определяет правила обработки, хранения, передачи и защиты конфиденциальной информации.

• Цель приказа — предотвратить утечку важной информации и обеспечить соблюдение законодательства РФ по защите служебных сведений.

• Приказ касается служебной тайны и является нормативным актом федерального органа исполнительной власти.

• Документ зарегистрирован в Минюсте 07.02.2024 и действует без изменений.

• ГОСТ Р 71207-2024 — стандарт, описывающий порядок внедрения и выполнения статического анализа программного обеспечения.

• Стандарт устанавливает требования к выполнению анализа, классификацию ошибок и требования к методам анализа.

• Также определены требования к инструментам анализа, специалистам и методике проверки анализаторов на соответствие стандарту.

• ГОСТ Р 71207-2024 является государственным национальным стандартом Российской Федерации и действует без изменений.

Документ внесён в Базу нормативного соответствия по ИБ ООО «ЦифраБез».

• ГОСТ Р 71206-2024 — стандарт для безопасного компилятора языков С и С++.

• Цель компилятора — предотвращать ошибки в бинарном коде программы.

• Стандарт определяет требования к динамической компоновке и загрузке программ.

• Уточняет требования к разработке безопасного ПО с использованием безопасного компилятора.

• Определяет требования к функциям и методике проверки безопасного компилятора.

• Направление нормативного акта: разработка безопасного ПО.

• Вид нормативного акта: государственный национальный стандарт РФ.

Название: Предварительный национальный стандарт РФ. Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения.

Цель документа: Установление единой терминологии и определений, необходимых для разработки, внедрения и эксплуатации доверенных программно-аппаратных комплексов (ТПАК), используемых в критической информационной инфраструктуре (КИИ).

Задача: Обеспечение защиты КИИ от угроз информационной безопасности путем четкого определения ключевых терминов и понятий, связанных с ТПАК.

Тип документа: Предварительный национальный стандарт Российской Федерации.

Утверждение: Приказ Росстандарта от 28 декабря 2023 г., номер 115-пнст.

Актуальность: Документ действует без изменений и доступен для ознакомления по указанной ссылке.