Профессиональное сообщество
лидеров цифровой трансформации
Редакция

Четыре типичных ошибки бизнеса при работе с персональными данными

Более 80% компаний в 2026 году допускают критические ошибки при обработке персональных данных. К такому выводу пришли специалисты компании Первый БИТ по итогам анализа аудитов, проведённых в российских организациях разных отраслей.

Алексей Косенков, эксперт направления информационной безопасности компании «Первый Бит»

По словам Алексея Косенкова, эксперта направления информационной безопасности компании «Первый Бит», во многих случаях бизнес ограничивается формальным выполнением требований законодательства: разрабатываются положения, регламенты и приказы, создаётся комплект организационно-распорядительной документации (ОРД), однако фактическая система защиты персональных данных остаётся невыстроенной или фрагментарной.

«Во многих компаниях работа с персональными данными до сих пор строится по принципу “подготовиться к проверке”, а не “снизить реальные риски”. Организации разрабатывают документы и внедряют отдельные средства защиты, но не выстраивают целостную систему безопасности. В результате часть процессов остаётся вне контроля, а риски утечек и претензий со стороны регуляторов сохраняются. Практика аудитов показывает, что формального соответствия требованиям уже недостаточно», – отмечает Алексей.

Ошибка 1: неполное выявление ИС ПДн, из-за чего часть процессов остаётся вне контроля

Одной из наиболее распространённых ошибок в 2026 году остаётся неполное выявление информационных систем персональных данных (ИС ПДн).

Организации не всегда учитывают все каналы и сценарии обработки данных сотрудников, клиентов, партнёров и пользователей. В результате часть процессов оказывается вне контроля:

  • не описываются отдельные бизнес-процессы и сервисы, в которых используются персональные данные;
  • не формируется корректный перечень ИС ПДн;
  • не оцениваются и не закрываются риски по этим контурам.

Это создаёт дополнительные угрозы при проверках регуляторов и повышает вероятность утечек, поскольку меры защиты применяются только к «видимой» части инфраструктуры.

Ошибка 2: неверное определение уровня защищённости

Ещё одна типичная ошибка – некорректное определение уровня защищённости ИС ПДн. Компании неверно классифицируют системы, в которых обрабатываются персональные данные, и, как следствие, выбирают либо недостаточные, либо избыточные меры защиты.

Ошибки встречаются как в сторону занижения, так и завышения требований:

  • в первом случае организация рискует получить предписание и штраф из-за несоответствия обязательным нормам;
  • во втором – несёт лишние затраты на внедрение и поддержку сложных решений, которые фактически не требуются.

Ошибка 3: проблемы при выборе и внедрении средств защиты

«Существенные нарушения фиксируются и на этапе внедрения средств защиты информации. К примеру, аудиты “Первого БИТа” показывают, что используемые решения зачастую не соответствуют требованиям регуляторов, не аттестованы или не сертифицированы при необходимости, а также дублируют друг друга по функционалу, не повышая реальный уровень безопасности», – отмечает Алексей Косенков.

При этом даже формально внедрённые средства защиты нередко не обеспечивают фактическую защиту персональных данных из-за некорректной настройки, отсутствия регламентов эксплуатации и контроля, а также недостаточной квалификации персонала.

Ошибка 4: формальный подход вместо системы

«Мы видим, что многие компании формально закрывают требования – разрабатывают документы и внедряют отдельные решения, но не выстраивают целостную систему защиты. В результате безопасность остаётся на низком уровне, несмотря на затраты», – отмечает эксперт направления ИБ компании «Первый БИТ» Алексей Косенков.

По его словам, только комплексный подход позволяет добиться реальной устойчивости к инцидентам: от корректного описания процессов обработки персональных данных и инвентаризации ИС ПДн до выстраивания архитектуры защиты, подбора подходящих средств и регулярного контроля их эффективности.

Главный тренд 2026 года – переход к реальной защите

По мнению специалистов, в 2026 году ключевым трендом становится переход от формального соответствия требованиям к построению реально работающей системы защиты персональных данных.

Речь идёт о модели, которая:

  • учитывает все фактические процессы обработки данных;
  • опирается на актуальную модель угроз;
  • интегрирована в бизнес-процессы компании;
  • регулярно пересматривается с учётом изменений ИТ-ландшафта и требований регуляторов.
69
фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.