Базовый технический минимум для защиты персональных данных в 2026 году | Марина Погодина, PROMAREN
В 2026 году защита персональных данных в РФ перестала быть «бумажной обязанностью». Это уже про реальные деньги, кибератаки и очень приземленный вопрос: сколько стоит незащита. Я собрала технический минимум, который спасает от лишних рисков и не превращает бизнес в параноика с изолированной флешкой.
Обновлено: 7 февраля 2026
Время чтения: 12-14 минут
- Что такое защита персональных данных?
- Как защитить персональные данные в 2026 году?
- Почему защита данных стала критичной?
- Можно ли доверять облачным сервисам с данными?
- Какие угрозы для персональных данных сейчас главные?
В начале 2026 я в который раз села разбирать инцидент: небольшая компания, никакой «секретной разработки», просто CRM на коленке и таблица клиентов в Excel. Итог — утечка, проверка, нервный директор, который клялся, что «мы же всего лишь рассылку делаем». И это, честно, типичная история.
Сейчас защита данных — это не только про 152-ФЗ и страшные штрафы. Это про то, как выстроить технический минимум так, чтобы и Роскомнадзор был спокоен, и сотрудники не страдали от десяти лишних паролей. Про цифры, а не про страшилки в духе «нас всех взломают завтра».
Что такое защита персональных данных?
Три из пяти компаний, с которыми мы общались в PROMAREN в 2025-2026, уверены что «защита персональных данных» — это про бумажки и политику на сайте. На деле это в первую очередь про архитектуру и технику, а документы уже догоняют.
Если по-простому, защита персональных данных — это набор организационных и технических мер, которые не дают уехать ФИО, телефонам, e-mail, паспортам, биометрии и платежным данным в свободное плавание. Закон 152-ФЗ аккуратно намекает, что оператором становится почти любой бизнес — от ИП с формой заявки до маркетплейса с собственным профилем клиента. С 1 сентября 2025 согласия нужно оформлять отдельным документом, а не прятать в политику конфиденциальности, а базы с ПД нужно хранить в РФ — без вариантов, если не хочется спорить с Роскомнадзором.
Что именно считается персональными данными сейчас
Когда я только переходила из аудита в автоматизацию, мне казалось, что персональные данные — это только паспорт и СНИЛС. Сейчас к базовому списку добавились биометрия, cookie-идентификаторы и поведение в сервисах, если по ним можно узнать человека. По разъяснениям Роскомнадзора и судебной практике за 2025-2026 годы, даже связка «телефон + город» в некоторых сценариях уже тянет на идентификацию. Биометрия выделена в отдельный рискованный класс — там обязателен отдельный документ согласия и усиленные меры, вплоть до шифрования на уровне поля и ограниченного круга админов.
Как 152-ФЗ и приказы ФСТЭК меняют технический минимум
Тут история интереснее: приказы ФСТЭК №21 и обновленный №117 по сути сказали бизнесу «играем по-взрослому». Уровни защищенности ИСПДн, требования к шифрованию, сроки закрытия уязвимостей — все стало более конкретным. Теперь критические уязвимости по 117 приказу нужно закрывать в пределах суток, логирование уже не «по желанию», а обязательный элемент, а резервное копирование — не бэкап на флешку раз в месяц. По данным ФСТЭК и открытых материалов 152-ФЗ, регуляторы двигаются в сторону реальной кибербезопасности, а не формальных галочек. Это означает, что даже малому бизнесу выгоднее сразу строить техминимум, чем потом разгребать инцидент и судебные иски.
Почему без минимизации данных защита превращается в хаос
Стоп, вернусь к вещи, про которую все знают, но мало кто реально делает: минимизация. Чем меньше данных вы собираете, тем меньше вам нужно защищать, тем ниже вероятность утечки и штрафов. В 2026 я прямо в договорах и формах убираю лишние поля: дату рождения, если она не нужна, отдельный адрес, если достаточно города. В одном из проектов PROMAREN такой «диетой данных» мы сократили объем хранимых ПД на 40%, просто выкинув лишнее. Правило простое: данные, которых нет, не утекают и не штрафуются. Дальше логично перейти к тому, как технически закрывать то, что все-таки осталось.
Как защитить персональные данные в 2026 году?
Базовый технический минимум защиты данных в 2026 году — это не десять дорогих систем, а 5-6 здравых решений, которые выстроены в нормальный процесс. По опыту PROMAREN, этого достаточно, чтобы пройти проверку и не бояться первых кибератак.
Начинаю я всегда с инвентаризации: где вообще живут персональные данные, какие ИСПДн есть, что из этого облако, что — локальный сервер, а что — просто Google-таблица у маркетинга. Без этой карты очень легко «забыть» одну-две базы и получить утечку именно оттуда. По приказу ФСТЭК №21 дальше уже можно классифицировать системы по уровню защищенности, но в жизни это выглядит как честный список: что критично, что нет, к чему есть удаленный доступ и кто может туда залезть ночью.
Какие технические меры должны быть у всех компаний
Я поняла за последние проекты, что набор «минимум для всех» довольно стабилен, независимо от отрасли. Нужны уникальные учетные записи и запрет на общие логины, двухфакторная аутентификация хотя бы для критичных админских доступов, регулярные обновления и шифрование каналов (HTTPS, VPN). На стороне серверов — шифрование дисков, резервное копирование по расписанию, логирование доступа хотя бы на уровень «кто, когда и откуда заходил». Для малого и среднего бизнеса обычно достаточно связки антивируса, простого межсетевого экрана и базового мониторинга событий безопасности. Автоматизация тут экономит часы: те же бэкапы и проверки логов можно завязать на n8n или Make, а не делать руками каждую пятницу.
Как выстроить управление доступом без ненависти сотрудников
Управление доступом — это больное место, потому что хочется и безопасно, и удобно. Здесь работает принцип минимальных привилегий: человек видит только те данные, которые ему нужны. В реальных внедрениях я разделяю роли (продажи, поддержка, маркетинг, админы), и уже на уровне CRM и папок задаю отдельные права. Двухфакторная аутентификация через SMS, приложение или аппаратный токен сначала раздражает, но через пару недель все привыкают. В одной компании мы завели автоматизацию через n8n: при увольнении сотрудника по сигналу из HR-системы его доступы автоматически отключались в трёх сервисах. Это сильно снижает риск «забыли отключить, а он через месяц зашел и забрал базу».
Инструменты и автоматизация: как не потратить лишнего
На практике не обязательно сразу покупать максимальный комплект корпоративной кибербезопасности. В РФ есть адекватные по цене решения вроде Kaspersky, SearchInform DLP, отечественных SIEM-платформ, которые закрывают большую часть сценариев. Часть задач по резервному копированию, проверке логов, отправке алертов можно решить через сценарии автоматизации, о которых я регулярно пишу в гайдах по n8n и Make. В одном медпроекте мы подключили автоматическую репликацию баз в облаке и настроили алерты в Telegram — и это банально спасло от простоя при сбое железа. Автоматизация в промышленных масштабах дешевле, чем один серьезный инцидент, особенно если делать ее с прицелом на white-data, как мы это делаем в PROMAREN.
Дальше логика простая: когда техминимум стоит на рельсах, разговор переходит от «что обязательно» к «зачем нам все это и сколько мы экономим на простоях и штрафах».
Почему защита данных стала критичной именно сейчас?
В начале 2026 я заметила повторяющийся паттерн: компании начинают инвестировать в защиту данных не после писем от Роскомнадзора, а после первой серьезной утечки у коллег по рынку. Это неприятный, но очень мотивационный триггер.
Формально все объясняется цифрами. По данным Роскомнадзора и открытых отчетов надзорных органов, за 2025 год объем утечек в РФ вырос кратно, а в 2026-м они активно используют автоматизированный анализ для поиска нарушителей. Штрафы за нарушение 152-ФЗ и смежных норм уже измеряются десятками и сотнями миллионов, плюс возможна личная ответственность руководства. По аналогии с GDPR, который допускает штраф до 4% годового оборота, вектор в России понятен: потери от киберинцидентов и репутационный урон оказываются дороже профилактики.
Чем отсутствие защиты бьет по бизнесу в реальности
На бумаге это выглядит как «риски и штрафы», а в жизни — как неделя простоя, паника в чате топ-менеджмента и срочный поиск адвоката. В одном пищевом холдинге (наш кейс) после роста атак они выстроили четырехуровневую защиту: от L7-DDoS до antibot-решений и грамотного DNS. В пиковые нагрузки система выдержала шквал запросов без серьезных простоев, SLA остался на уровне 99,97%. В другом финтехе переход на единого провайдера безопасности и наведение порядка с доступами снизили суммарные затраты на 20-30% за год. Получается, защита данных — это не только про «не попасть на штраф», это про устойчивость бизнеса.
Как меняется ожидание клиентов и партнеров
Есть еще один негромкий, но сильный фактор: ожидания клиентов и партнеров. В 2025-2026 многие крупные компании начали требовать от подрядчиков подтверждения мер защиты данных, иногда вплоть до аттестации ИСПДн и описания процессов. Пользователи тоже стали внимательнее читать политику конфиденциальности и задавать вопросы в духе «где хранятся мои данные» и «кого вы привлекаете как процессоров». На международных проектах включается и контекст GDPR, особенно если данные граждан ЕС обрабатываются через локальные сервисы. Если раньше это казалось чем-то далеким, то сейчас отсутствие базовой кибербезопасности может просто закрыть вам доступ к интересным контрактам.
Почему «подождем до проверки» в 2026 уже не работает
Раньше стратегия «нас маленьких не тронут» иногда годами прокатывала. Сейчас, когда регуляторы и злоумышленники используют аналитику, автоматический скан сервисов и утечек, такой подход становится лотереей. В 2026 я рекомендую клиентам из PROMAREN относиться к защите данных так же, как к бухгалтерии: не потому что «вдруг придет налоговая», а потому что бизнес без этого не едет. Честная архитектура под 152-ФЗ экономит нервы, время и деньги, даже если выглядит сначала как лишняя строка в бюджете. И вот здесь закономерно возникает вопрос про облака: можно ли им доверять или пора обратно к серверу под столом.
Можно ли доверять облачным сервисам с персональными данными?
Процентно 7 из 10 диалогов про защиту данных в 2026 утыкаются в один вопрос: «А если у нас все в облаке, это хорошо или плохо?». Ответ не бинарный, что немного раздражает, но зато честный.
Если опираться на требования 152-ФЗ и практику проверок, доверять можно не «облаку вообще», а конкретному провайдеру и конкретной настройке. Сервисы вроде Yandex Cloud или VK Cloud строятся с прицелом на локализацию, встроенное шифрование, разнесение сред и аудит доступа. Зарубежные платформы вроде Google Cloud или AWS для работы с персональными данными граждан РФ уже значительно сложнее: нужна гибридная архитектура, выведение чувствительных данных в контур РФ и тщательная юридическая проработка. По данным Gartner, к 2026 году больше 60% компаний используют гибридные или мультиоблачные схемы, и вопрос безопасности там встает первым.
Что проверить в облаке перед тем как отдать туда данные
Представь ситуацию: CRM в облаке, база клиентов растет, маркетинг счастлив, а ИБ как будто «потом разберемся». В 2026 «потом» уже поздно. Я обычно прохожу по короткому чек-листу: где физически расположены дата-центры, есть ли у провайдера режим обработки персональных данных и описанные меры, как организовано шифрование на дисках и в каналах, кто имеет административный доступ и как это логируется. Обязательно смотрю, можно ли включить 2FA на доступ админов и интегрировать логи с вашей системой мониторинга. Отдельный пункт — политика конфиденциальности и договор: кто за что отвечает при инциденте, как быстро уведомляют вас, кто ведет расследование. Правило простое: данные не должны уходить за контур без явной причины и понятного контракта.
Практика: когда облако безопаснее своего сервера
Парадокс в том, что для многих компаний облако в 2026 объективно безопаснее, чем их серверная на старом железе без дублирования и мониторинга. В одном розничном проекте переход на отечественное облако с нормальной сетевой защитой, резервированием и WAF закрыл те риски, которые годами висели «под столом» в виде одного сервера. Автоматизация резервного копирования и проверок состояния заняла пару дней и потом экономила по 8-10 часов ручной рутины в месяц. Но это работает только если вы не складываете в облако все подряд, а разграничиваете: чувствительные ПД, особенно биометрию и платежные данные, обрабатываете в отдельном контуре с более жесткими мерами. И тут логично задаться вопросом: от чего именно мы защищаемся — какие угрозы сейчас реально топят компании.
Какие угрозы для персональных данных сейчас главные?
Самый неприятный инсайт 2026 года: технические дыры важны, но львиная доля инцидентов по-прежнему начинается не с хакера в худи, а с сотрудника, который кликнул «туда не надо». По данным разных исследований кибербезопасности, до 80% атак завязаны на человеческий фактор.
В типичном наборе угроз для персональных данных сейчас: фишинг, социальная инженерия, внутренняя утечка (сознательная или по глупости), атаки на веб-приложения и API, DDoS как прикрытие для других действий, уязвимости в ПО и неправильно настроенные облачные хранилища. Приказы ФСТЭК №117 и №21 задают жесткие сроки и требования по закрытию уязвимостей и контролю изменений, а Роскомнадзор напоминает про обязанность уведомлять об инцидентах. Но на практике компании часто спотыкаются не о редкие экзотические атаки, а о простые вещи: база без шифрования, общий пароль на отдел или расшаренная ссылкой таблица.
Какие ошибки в защите данных встречаются чаще всего
Вот как выглядит набор «классических» ошибок по проектам PROMAREN за год. Общие почтовые ящики и учетные записи, к которым никто толком не привязан. Отсутствие двухфакторной аутентификации даже у админов. Хранение резервных копий на том же сервере, что и боевая база, без шифрования. Полное отсутствие журналов доступа или их хранение «где-то в логах» без анализа. Использование зарубежных сервисов без проверки локализации и политики обработки данных. И да, наш любимый файл clients_final_new2.xlsx, который живет в личном облаке сотрудника. Хотела написать, что это редкость встречаю такое до сих пор и в 2026.
Какие технологии помогают ловить инциденты раньше
Хорошая новость: новые технологии постепенно тащат нас в сторону проактивной защиты, а не латания дыр. В 2026 хорошо работает связка DLP-систем, мониторинга логов и простых ИИ-модулей для поиска аномалий: странных входов, массовых выгрузок, необычных запросов. Даже если у вас нет большого SOC, можно подключить облачный сервис или легкую SIEM-платформу и завести базовые сценарии оповещений. По опыту, одна-две хорошо настроенные корреляции снимают половину ложных тревог и позволяют увидеть реальный инцидент до того, как база улетит на форум. Я бы ориентировалась не на модные термины, а на один критерий: насколько быстро вы узнаете, что с данными что-то не так.
Как встроить работу с угрозами в повседневную жизнь команды
Про метрики скажу коротко: безопасность, оторванная от людей, не взлетает. Поэтому вместе с техминимумом я почти всегда трогаю обучение: короткие сценарии, фишинговые тренировки, простые правила «что делать, если письмо странное». Кофе к этому моменту обычно уже остыл, но после первой симуляции фишинга мотивация у команды возрастает сама собой. Хорошо заходят игровые форматы, боты в мессенджерах, небольшие квизы — не лекции на два часа про киберкатастрофы. В канале PROMAREN я иногда разбираю такие кейсы с цифрами, и это, как ни странно, работает лучше любой директивы. Следующий логичный вопрос после всех этих угроз и мер — что из этого действительно must-have, а что можно отложить.
Что взять в базовый минимум защиты персональных данных
Я заметила, что компаниям проще двигаться, когда есть короткий список «без этого никак». Не про идеальную модель, а про тот минимум, который сильно снижает вероятность штрафа и ночного звонка администратора.
Если свести все к компактной картинке, базовый минимум в 2026 выглядит вот так.
Область Что сделать Комментарий Данные Инвентаризация и минимизация Убрать лишние поля, зафиксировать ИСПДн Доступ Уникальные логины, 2FA Особое внимание админам и удаленке Техника Шифрование, бэкапы, обновления Автоматизация через n8n/Make по расписанию Люди Ежегодное обучение Короткие сценарии, фишинговые тренировки
Вокруг этого ядра уже можно наращивать DLP, SIEM, отдельные контуры для биометрии, интеграции с AI-агентами и прочую красоту. Но без ядра все остальное превращается в дорогую декорацию. Если хочется глубже погрузиться в автоматизацию бэкапов, логирования или интеграций с CRM, посмотри раздел кейсов автоматизации или лендинги про лендинги на Cursor с интеграцией — там я разбираю, как это стыкуется с безопасностью.
Три вещи, которые стоит сделать после этой статьи
Если дочитал(а) до этого места — самое время не откладывать на «понедельник после отпусков» 🙂
- Сделать честный список, где и какие персональные данные вы храните — без приукрашивания и скрытых Excel.
- Включить двухфакторную аутентификацию хотя бы для админов и доступа к почте, плюс проверить шифрование каналов.
- Запланировать короткое обучение для команды: 30-40 минут про фишинг и базовые правила обращения с данными.
Здесь работает простое правило: лучше маленький, но живой шаг сейчас, чем идеальная концепция защиты через год. А если по дороге возникнут вопросы по 152-ФЗ, автоматизации или архитектуре под ваш стек, их всегда можно принести в экосистему PROMAREN.
Обо мне. Марина Погодина, основательница PROMAREN и AI Governance & Automation Lead. С 2024 года помогаю компаниям в РФ строить автоматизацию на n8n, Make.com, Cursor и внедрять AI-агентов с учетом 152-ФЗ. Пишу в блоге PROMAREN и делюсь кейсами в Telegram-канале.
Если хочешь разобраться глубже в стыке автоматизации и защиты данных, загляни в раздел с кейсам по n8n и Make или забери демо-доступ к боту PROMAREN. Там я показываю, как выстраивать процессы так, чтобы ИИ и облака экономили время, а не создавали новые риски.
Что ещё важно знать про защиту персональных данных
Можно ли обойтись без сложных систем кибербезопасности малому бизнесу?
Можно, если честно сделать технический минимум и не пытаться «экономить» на базовых вещах. Для малого бизнеса часто хватает уникальных логинов, двухфакторной аутентификации, шифрования каналов, регулярных бэкапов и простого антивируса с файрволом. Плюс один раз в год стоит делать ревизию: где лежат данные, кто к ним имеет доступ и что изменилось за год. Это дешевле, чем один инцидент с утечкой.
Что делать, если персональные данные уже могли утечь?
Сначала нужно зафиксировать инцидент: что именно произошло, какие системы задеты, какие данные могли уйти. Затем ограничить доступ, сменить пароли, включить дополнительные меры вроде 2FA и шифрования, проверить логи. Параллельно — оценить объем и вид данных, чтобы понять, нужно ли уведомлять Роскомнадзор и пользователей. В сложных случаях лучше привлечь специалиста по ИБ, чтобы правильно оформить расследование и уменьшить последствия.
Можно ли использовать зарубежные сервисы при обработке персональных данных?
Да, но с большими оговорками и не для всего. Для данных граждан РФ закон требует локализации, поэтому критичные персональные данные желательно хранить и обрабатывать на территории страны. Зарубежные сервисы можно использовать для вспомогательных задач, если в них не попадают идентифицирующие данные или они анонимизированы. В любом случае важно читать политику конфиденциальности, заключать договор и понимать, в какие юрисдикции могут уехать данные.
Нужно ли шифровать персональные данные внутри локальной сети компании?
Да, особенно если речь о критичных или чувствительных персональных данных. Шифрование на серверах и в базах данных снижает последствия даже в случае физического доступа или кражи оборудования. Внутри сети часто недооценивают риски, хотя именно там работают инсайдеры и вирусы. Современные системы шифрования позволяют почти не терять в производительности, зато сильно выигрывать в устойчивости к инцидентам.
Как часто нужно обновлять политику конфиденциальности и документы по защите данных?
Политику конфиденциальности и регламенты по защите данных стоит пересматривать хотя бы раз в год или при значимых изменениях процессов. Поводом могут быть новые сервисы, переезд в облако, запуск маркетинговых кампаний или изменения в законе. Важно, чтобы документы отражали реальную практику, а не существовали только «для проверки». Если что-то поменяли технически, это почти всегда повод посмотреть и на текстовую часть.