Информационная безопасность — один из тех вопросов, которому многие компании часто не уделяют должного внимания, пока не столкнутся с последствиями. Однако именно из-за неочевидных, накапливающихся проблем (устаревшие доступы уволенных сотрудников, отсутствие контроля за действиями администраторов, открытые внешние интеграции без должной защиты) и отсутствия регулярных проверок происходят утечки персональных данных, штрафы по 152-ФЗ и репутационные потери.
В этой статье мы расскажем, как не допустить подобных рисков и вовремя навести порядок, особенно в контексте работы с CRM-системой Битрикс24.
Федеральный закон «О персональных данных» (152–ФЗ)
Федеральный закон № 152-ФЗ «О персональных данных» касается всех, кто в своей работе так или иначе взаимодействует с личной информацией клиентов, сотрудников или партнёров. Закон определяет требования к сбору, хранению, обработке и передаче такой информации, обязательные для всех организаций, осуществляющих деятельность на территории РФ.
Ключевой момент — юридическая ответственность. По закону ответственность за несоблюдение требований и за возможные нарушения (включая утечку данных) несет оператор персональных данных, то есть сама компания или индивидуальный предприниматель. Даже если инцидент произошёл по вине сотрудника, подрядчика или администратора системы, именно организация считается ответственной перед законом и контролирующими органами.
Штрафы и проверки
Рассмотрим пример. В 2023 году Роскомнадзор провел около 39 внеплановых проверок по фактам утечек персональных данных, из которых в 37 случаях нарушения подтвердились.
Также в течение года было проверено примерно 5 800 сайтов, выявлено порядка 4 000 нарушений, но составлено только 15 административных протоколов.
В 2025 году ситуация, вероятно, будет характеризоваться усилением контроля со стороны регулятора, увеличением количества проверок и ужесточением мер ответственности за нарушения. В связи с этим, организациям необходимо заранее позаботиться о приведении своих процессов обработки персональных данных в соответствие с требованиями закона.
Что касается штрафов — они уже существенно увеличились.
Размеры штрафов по 152‑ФЗ и поправкам
С введением закона № 420‑ФЗ с 30 мая 2025 года штрафы начали составлять:
| Нарушение | Организации (руб.) | Должностные лица (руб.) |
| Обработка без уведомления РКН (ч. 10 ст. 13.11 КоАП) | 150 000 — 300 000 | 30 000 — 50 000 |
| Обработка данных не по целям/без согласия (ч. 1 ст. 13.11) | 150 000 — 300 000 | 50 000 — 100 000 |
| Повторное нарушение (ч. 1.1 ст. 13.11) | 300 000 — 500 000 | 100 000 — 200 000 |
| Неуведомление об утечке (ч. 11 ст. 13.11) | 1 000 000 — 3 000 000 | 400 000 — 800 000 |
| Утечка массовых данных (ч. 13.11.3) | До 15 000 000 (спец. данные) | Аналогично для организаций |
Даже используя такие высокозащищенные системы, как Битрикс24, компании могут столкнуться с потерей контроля над персональными данными. Рассмотрим по шагам, как это происходит, акцентируя внимание не только на технических аспектах, но и на человеческом факторе и организации процессов обработки данных:
- Отсутствует политика безопасности. Не определены правила доступа, не зафиксированы роли, нет документации.
- Права доступа, выданные «наобум». Новому сотруднику выдали доступ, как у коллеги, потом забыли его отозвать.
- Смена подрядчика — потеря контроля. Прежний интегратор сделал интеграции и ушёл, но оставил открытые вебхуки и активные токены.
- Не ведется журнал действий. Кто удалил данные клиента? Почему изменилась сделка? Ответа нет — логи отключены или недоступны.
- Интеграции с внешними сервисами. Боты, виджеты, Telegram-уведомления, каждое звено может быть с недостаточно надежным.
Как это выглядит на практике? Рассмотрим пример.
Небольшая компания с сетью франчайзи из 15 филиалов. Каждый филиал работал в своём портале Битрикс24, но доступ ко всем порталам имел один технический специалист (системный администратор, удаленный сотрудник на аутсорсинге). После увольнения сотрудника его доступ к порталам не был оперативно отозван. Через две недели после увольнения была зафиксирована массовая фишинговая рассылка по клиентам сети, содержащая ссылку на поддельный сайт, имитирующий личный кабинет клиента.
Результат: ущерб репутации компании, потеря доверия клиентов, а также штраф от Роскомнадзора в размере 350 000 рублей за несоблюдение требований 152-ФЗ и отсутствие надлежащих мер защиты персональных данных.
Почему ИТ-отдел не всегда справляется и не предотвращает утечки?
Даже в ИТ-компаниях сотрудники сталкиваются с типичными ошибками:
- Недооценка рисков при интеграции CRM с внешними сервисами
- Не ведется регулярный аудит безопасности
- Используются универсальные админ-доступы
- Нет ролевой модели доступа: все пользователи обладают административным доступом, даже если это не требуется
- Не настроено логирование или оно быстро очищается
Главная проблема — нет системного подхода. Без него информационная безопасность превращается в разрозненные попытки «закрыть брешь», а не в архитектуру защиты
Антон Антонов — технический директор компании ПУСК
Что даёт аудит информационной безопасности в Битрикс24?
Хороший аудит — это диагностика всей архитектуры доступа, процессов и рисков. Что мы проверяем:
- Состояние прав и ролей в системе
- Журнал действий пользователей
- Права доступа, предоставляемые внешним сервисам к данным Битрикс24
- Открытые точки доступа (вебхуки, токены, API)
- Обмен персональными данными (включая формы, телефонию, email)
- Процедуры управления доступом при увольнении и найме
- Настройки безопасности Битрикс24
- Анализ резервного копирования и восстановления данных
Если вы никогда не делали аудит ИБ или делали давно, то, с вероятностью в 90% есть неоптимальности и утечки — просто вы об этом пока не знаете. Аудит позволяет:
- выявить риски до того, как придёт проверка
- восстановить контроль над доступами
- понять, какие данные действительно защищены, а какие — нет
Как часто нужно проводить аудит Битрикс24?
Рекомендуемая частота — раз в 6–12 месяцев. Но также аудит обязателен при:
- Смене подрядчика или ИТ-администратора
- Внедрении новых интеграций
- Массовом найме или увольнении персонала
- Подготовке к сертификации или проверке
Антон Антонов — технический директор компании ПУСК
Если вы хотите быть уверены, что персональные данные клиентов, сотрудников и партнеров под контролем — запланируйте аудит информационной безопасности. Мы проведем диагностику системы, дадим понятные рекомендации и поможем реализовать изменения.
