ГрамотаИБ ГрамотаИБ

Как не допустить утечку персональных данных и коммерческой тайны

22.06.2026

Профилактика утечек персональных данных и коммерческой тайны: почему большинство утечек идёт от своих сотрудников и небрежности, а не от хакеров, и какие организационные и технические меры реально снижают риск. Разграничение доступа, режим коммерческой тайны, NDA, контроль носителей и подрядчиков, обучение людей и порядок при увольнении.

Утечку дешевле предотвратить, чем потом платить оборотный штраф за персональные данные и терять коммерческую тайну. При этом большинство утечек — это не хакеры, а свои сотрудники и обычная небрежность: пересланный не туда файл, флешка, доступ уволенного работника. Поэтому профилактика — это режим из связанных мер, а не один антивирус. Разберём, что реально снижает риск.

Шаг 1. Понять, что именно защищаем

Нельзя защитить то, что не описано. Составьте два перечня: какие персональные данные вы обрабатываете и где они хранятся, и какие сведения составляют коммерческую тайну (статьи 5 и 10 98-ФЗ о коммерческой тайне). Без этих перечней меры будут бить мимо цели.

Шаг 2. Ограничить доступ по принципу минимальных привилегий

Каждый сотрудник должен иметь доступ только к тем данным, которые нужны для его работы, и не больше. Индивидуальные учётные записи вместо общих, разграничение прав в CRM и файловых папках, отдельные роли — это самая дешёвая и самая эффективная мера против внутренних утечек.

Шаг 3. Ввести режим коммерческой тайны и NDA

Для защиты КТКоммерческая тайна — Режим конфиденциальности сведений, позволяющий получить коммерческую выгоду; устанавливается по 98-ФЗ. нужен формальный режим: гриф «Коммерческая тайна» на документах, учёт допущенных лиц, соглашения о неразглашении (NDA) с работниками и контрагентами. Без введённого режима закон не считает информацию охраняемой, и взыскать ущерб за её разглашение не получится.

Шаг 4. Работать с человеческим фактором

Большинство инцидентов — ошибки людей. Регулярный инструктаж, понятные правила (что нельзя пересылать на личную почту, выкладывать в мессенджеры, копировать на личные флешки), культура внимательности дают больший эффект, чем дорогие технические средства. И отдельный критичный момент — порядок при увольнении: доступы отзываются сразу, а не через неделю.

Шаг 5. Технические меры

  • сильные пароли и двухфакторная аутентификация для важных систем;
  • шифрование носителей и каналов связи;
  • регулярное резервное копирование (защита и от утечки, и от шифровальщиков);
  • контроль съёмных носителей и исходящей почты, для тех, кто может — DLPСистема предотвращения утечек данных — Класс решений для контроля и блокировки несанкционированной передачи данных (Data Loss Prevention).;
  • логирование и мониторинг доступа, чтобы видеть, кто и к чему обращался;
  • своевременные обновления и антивирус.

Шаг 6. Контролировать подрядчиков

Передавая данные в CRM, облако или на аутсорс, вы расширяете периметр утечки. Минимизируйте состав передаваемых данных и оформляйте поручение на обработку с условиями о конфиденциальности и безопасности. Утечка у обработчика — это и ваша ответственность тоже.

Не забывайте про бумагу

Утечь может и бумажный документ. Запираемые шкафы, правило чистого стола, уничтожение черновиков и невостребованных копий — это часть режима, см. статью про бумажную безопасность.

Если утечка всё же произошла

Стопроцентной защиты не бывает, поэтому план реагирования должен быть готов заранее: сроки уведомления Роскомнадзора 24 и 72 часа очень короткие. Порядок действий — в статье про алгоритм при утечке.

Главное

Профилактика утечки ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). и коммерческой тайны держится на трёх китах: знать, что защищаешь; ограничить доступ и оформить режим; работать с людьми. Технические средства это усиливают, но не заменяют. ГрамотаИБ помогает выстроить организационные меры, режим КТ и нужные журналы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Организация и комплаенс» →

Может ли малый бизнес сам выполнить требования РКН, ФСТЭК и ФСБ

Честный разбор: что в защите персональных данных малый бизнес реально делает своими силами и бесплатно, а где нужен лицензиат. По трём регуляторам — Роскомнадзор (организационная часть), ФСТЭК (техническая защита ИСПДн, лицензия и аттестация) и ФСБ (СКЗИ и криптография). Когда подрядчик действительно необходим, а когда это лишние расходы.

Зачем нужна «бумажная безопасность»: организационные меры, а не только антивирус

Почему для защиты персональных данных недостаёт технических средств (антивирус, резервное копирование), и закон требует организационных мер — политик, приказов, регламентов и журналов. Что в первую очередь проверяют Роскомнадзор и ФСТЭК.

Режим коммерческой тайны по 98-ФЗ: пошаговое введение

Как ввести режим коммерческой тайны по 98-ФЗ: меры статьи 10, перечень сведений, учёт допущенных лиц и документы. Без режима убытки за разглашение взыскать нельзя.

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.