Вопросы информационной безопасности на Неделе «Техэксперт»: диалог с регуляторами и практические кейсы

В 2025 году вступили в силу поправки к Федеральному закону № 152‑ФЗ и сопутствующим нормативным документам — они продолжили реформу защиты персональных данных (ПДн).

Изменения затронули большинство отечественных предприятий: теперь любой, кто собирает или обрабатывает персональные данные, обязан регистрироваться в реестре операторов ПДн. Закон устанавливает презумпцию ответственности оператора: вина за утечку данных возлагается на того, кто их собрал, независимо от причин инцидента. Чтобы работать с ПДн легально, компаниям нужно перестраивать многие бизнес-процессы и осваивать задачи по документарному сопровождению всех этапов управления данными.  

17 марта 2026 года на секции «Управление персональными данными: выстраивание надёжной защиты в новой реальности» ведущие эксперты в области информационной безопасности дали рекомендации по выстраиванию комплексной системы защиты данных: они не только проанализировали правовые аспекты работы и актуальные изменения регулирования, но и предложили конкретные шаги по организации защиты данных.
  
Информация из первых рук

Ключевой особенностью секции стало участие представителей регулятора, которое так ждали специалисты по информационной безопасности. На секции от ФГУП «Главный радиочастотный центр» (ГРЧЦ) — отраслевого экспертного центра при Роскомнадзоре — выступила Екатерина Ефимова, руководитель направления персональных данных ГРЧЦ. Она представила обзор тенденций нормативно-правового регулирования в области ПДн.

По словам спикера, основные усилия государства сейчас сосредоточены на изменениях общей культуры обращения с данными: на пресечение практики их избыточного сбора, обеспечение соблюдения принципа целеполагания при обработке ПДн и прекращение принудительного бесконтрольного сбора согласий.

Е. Ефимова указывает, что расширение списка операторов персональных данных создаёт правовую неопределённость для большого количества российских компаний. Малые предприятия зачастую не могут самостоятельно определить, какие данные им действительно нужны, а какие будут уже избыточны. Решением проблемы может стать разработка отраслевых стандартов обработки персональных данных, которые установят чёткие правила работы с ПДн для каждой сферы, защитят бизнес от ошибок и гарантируют гражданам защиту от избыточного сбора информации. Над этой темой активно работают специалисты ГРЧЦ, которые разрабатывают техническое задание для таких отраслевых стандартов. 

Задание детально описывает, каким должен быть типовой стандарт: как его структурировать, как понять, сколько данных действительно нужно для той или иной услуги, как прописать сроки хранения и условия передачи и т.д. Кроме того, в ГРЧЦ уже запустили пилотные проекты совместно с заинтересованными объединениями и компаниями для проработки таких стандартов по отдельным отраслям. 

Эксперт подчеркнула: чтобы собирать персональные данные, совсем не обязательно каждый раз получать согласие на обработку ПДн. Законодательство предусматривает более десяти альтернативных правовых оснований — важно осознанно применять эти нормы и стараться сокращать количество запрашиваемых согласий.

Е. Ефимова отметила, что избыток согласий на обработку ПДн чаще всего вызван незнанием правовых основ их защиты

Искусственный интеллект: помощь или угроза

Алексей Парфентьев, заместитель генерального директора по инновационной деятельности компании «СёрчИнформ», рассказал о мифах и реальных кейсах при защите ПДн с помощью     технологий искусственного интеллекта (ИИ). Эксперт проанализировал основные виды существующих средств защиты информации: рассказал о применении контентно-ориентированных, вероятностных алгоритмов и искусственного интеллекта. 

Спикер подробно рассмотрел возможности и риски использования ИИ при защите данных. В частности, по мнению эксперта, ИИ не эффективен либо слишком дорог при использовании его для защиты любых текстовых форматов, IP-адресов, коммерческой тайны и собственно ПДн. Спикер отметил: «Сейчас про ИИ спрашивают все заказчики. Но важно отделять реальные кейсы от мифов — и понимать, что задачи, с которыми не справляются точные контентно-ориентированные алгоритмы, могут подхватить вероятностные, а ИИ в свою очередь выдаёт только мнение на основе массива данных, на которых он обучен».

В то же время у ИИ есть свой пул задач, где его применение более чем оправдано. Уже сегодня искусственный интеллект можно использовать для ускорения работы и автоматизации рутины, для анализа сложных форматов данных, например аудио, видео или изображений, саммаризации сути событий и формирования отчётов, для обеспечения мультиязычности и визуализации данных, а также как источник альтернативного мнения или оценки вероятностей.

При этом эксперт отметил, что сегодня для более широкого применения ИИ проблемой является отсутствие актуальной нормативной базы. В этом плане перспективы использования ИИ для защиты информации в системах остаются неясны.

С опорой на нормативную базу

Практическую часть программы дополнило выступление Александра Николаева, руководителя направления «Техэксперт» в сфере цифровых технологий, и Александра Федорова, аналитика проекта, которые представили инструменты «Техэксперт» для организации работы с ПДн. 

Спикеры отметили, что в последние годы количество утечек информации, в т. ч. ПДн, достигло гигантских размеров. В прошлом году уже были введены серьёзные законодательные изменения, а Минцифры и Роскомнадзор продолжают готовить дополнительные инициативы. Бизнесу нужно быстро адаптироваться к новым принципам управления ПДн и актуализировать внутренние документы по работе с данными. При этом специалисты по защите ПДн лишены достаточной информационной поддержки — пояснения регуляторов не успевают за изменениями законов. 

Консорциум «Кодекс» активно работает над решением этой проблемы. Конкретным и самым значимым результатом усилий разработчика стала профессиональная справочная система (ПСС) «Техэксперт SMART: Цифровые технологии». Система аккумулирует знания в сфере информационных технологий, и значительный блок информации в ПСС посвящён именно вопросам защиты ПДн. 

Спикеры подробно осветили возможности системы, которая содержит не только полный объём нормативных и технических документов, необходимых ИТ-специалистам, но и большое количество справочных материалов, включая комментарии профильных экспертов, записи видеосеминаров по ключевым вопросам нормативного регулирования и многое другое. 

Докладчики отметили полезные разделы в ПСС «Техэксперт SMART: Цифровые технологии» для специалистов по управлению ПДн: сервис тематических подборок и базу готовых образцов и форм для формирования внутренней документации ИТ-отдела. Также была представлена новая разработка Консорциума «Кодекс» — сервис «Мастер документов по персональным данным». Он автоматизирует подготовку и отслеживание актуальности документов по ПДн, назначение ролей пользователям и другие рутинные задачи. Сейчас сервис находится на стадии апробации, его вывод на рынок запланирован на конец лета 2026 года.

Персональные данные как элемент информационной среды

Ильдар Абдуллин, эксперт в сфере защиты конфиденциальной информации и ПДн, посвятил свой доклад вопросам функционирования персональных данных в информационной среде, действующим ограничениям и перспективе развития этой сферы.

В своем выступлении спикер рассказал о том, как корректно собирать ПДн и другие сведения о пользователях, а также разобрал требования закона при сборе персональных данных в сети Интернет. В частности, он рассказал, в каких случаях и как на странице сайта следует размещать согласие на обработку ПДн и документ, определяющий политику оператора в отношении обработки персональных данных.

Спикер особо остановился на вопросах взаимодействия с иностранными сервисами при работе с персональными данными: с учётом текущих обстоятельств он призвал проявлять осторожность в выборе конкретных инструментов. Так, И. Абдуллин подчеркнул, что пользовательские данные, в том числе и различные метрики, тоже относятся к ПДн, а значит использование таких зарубежных сервисов для их сбора, как, например, Google Analytics, будет нарушать требования по локализации.  

Отдельный блок выступления И. Абдуллин посвятил размещению персональных данных на сайте.

Главный вывод эксперта: размещение персональных данных в объёме большем, чем предусмотрено законом, также требует согласия субъекта ПДн.

Разделяя обязанности, сохраняя контроль 

Александр Оводов, генеральный директор компании Ovodov CyberSecurity, не только выступил модератором секции, но также представил на ней свой доклад по теме «Аутсорсинг обработки и защиты персональных данных». Спикер подчеркнул: «Аутсорсинг есть в любой компании — от самой маленькой до самой крупной. И именно на этом стыке взаимодействия чаще всего возникают ошибки».

Всё больше функций, включая обработку персональных данных (ПДн), передаётся на аутсорсинг.

При этом делегировать можно обработку, но не ответственность. В то же время подрядчик нередко самостоятельно выбирает технологии, инфраструктуру и субподрядчиков — и фактически становится самостоятельным участником обработки. Поэтому критически важно грамотно выстроить договорную и организационную модель взаимодействия с каждым подрядчиком. 

Спикер сформулировал пять основных рисков аутсорсинга ПДн. Главный из них, это, конечно, потеря контроля над данными. Во-вторых, есть риск возникновения непрозрачности процессов: заказчик зачастую не знает, где находятся серверы подрядной организации, какие системы используются для обработки ПДн и кто из сотрудников сторонней организации имеет к ним доступ.

Если утечка произошла у подрядчика, юридические и репутационные последствия всё равно ложатся на плечи оператора — это четвёртый из описанных спикером риск. Наконец, если подрядчик использует облака, дата-центры или сторонние сервисы, возникающая цепочка обработки оказывается практически невидимой для оператора. 

Оводов подробно рассказал о том, какие шаги должен предпринять оператор при передаче данных

Выходя за рамки привычного

Каждый год организаторы Недели «Техэксперт» добавляют новые форматы взаимодействия с аудиторией: готовят вместе с партнёрами полезные подарки, проводят опросы, викторины и мастер-классы. В 2026 году новинкой программы стал конкурс на лучший вопрос, который модератор выбирал среди участников секции. На секции по информационной безопасности победитель получил подарок от генерального партнёра конференции РИА «Стандарты и качество» — годовую подписку на журнал Business Excellence.

А. Оводов признал лучшим вопрос «Кто несёт ответственность за организацию ПДн: оператор в лице руководителя организации либо лицо, назначенное обрабатывать ПДн?». Модератор пояснил: ответственность должна быть распределена. Руководитель обязан выстроить систему работы с ПДн, обучить сотрудников и дать им все нужные инструменты. А каждый конкретный сотрудник, в свою очередь, отвечает за то, как он обращается с данными в рамках своих обязанностей.

В целом секция вызвала живой интерес у слушателей. К её работе присоединились порядка 700 участников — за время онлайн-трансляции они задали более 60 вопросов, и практически все обращения слушателей получили ответы в прямом эфире. Материалы и запись конференции уже доступны пользователям системы «Техэксперт SMART: Цифровые технологии».