Кто отвечает за защиту информации в организации: чтобы не искать виноватого постфактум

11/08/25

Б-152

Кто отвечает за защиту информации в организации: чтобы не искать виноватого постфактум

Когда в компании происходит утечка данных, отключается сервис, приходит проверка или появляется жалоба клиента, в повестке резко возникает вопрос: «Кто был за это ответственен?». Если все настроено правильно, ответ известен. Если нет, то начинается поиск крайних.

Вопрос информационной безопасности уже давно перестал быть технической темой. Это управленческий вопрос. И от того, кто и как в компании несет ответственность за защиту информации, зависит не только соответствие закону, но и устойчивость бизнеса.

Любая компания, обрабатывающая персональные данные (а это почти все: CRM, email, сайт, СБИС, 1С), обязана:

Это прямая и многоуровневая нормативная обязанность, игнорировать которую означает нарушать закон.

Минимальный набор правовых требований к операторам персональных данных закреплен сразу в нескольких ключевых источниках:

Таким образом, даже для компаний, не работающих с государственными заказами и не относящихся к критической инфраструктуре, существует юридически закрепленный базис, который необходимо соблюдать. А для крупных и стратегически значимых организаций к этому добавляются специальные акты с расширенным перечнем обязанностей и контролей.

Неисполнение этих норм становится четко определенным составом правонарушения. Речь идет не только о штрафах (которые в 2025 году выросли до десятков миллионов рублей), но и о блокировке сайтов, включении в реестр нарушителей, невозможности участвовать в тендерах, расторжении контрактов с контрагентами и возбуждении уголовных дел в случае утечек.

Поэтому, когда мы говорим о документах, политиках и приказах, мы говорим не о бумажной бюрократии, а о регуляторной защите бизнеса от реальных угроз.

В большинстве компаний именно IT-специалисты первыми попадают в зону ответственности за персональные данные, и это кажется логичным. В их ведении находятся серверы, базы данных, система доступа, бэкапы, шифрование, антивирусы и другие элементы ИТ-инфраструктуры. Они те, кто «держит систему в руках». Поэтому нередко считается, что именно IT должны «обеспечить соответствие 152‑ФЗ». Однако такая логика является ошибкой управленческого уровня, которая на практике приводит к уязвимостям и ответственности компании.

Да, IT действительно обеспечивает техническую сторону обработки данных. Но их зона ответственности — это доступность, отказоустойчивость, работоспособность систем и выполнение установленных требований, а не правовая оценка данных и бизнес-решения. IT не обязаны (и не должны) принимать на себя функции, которые относятся к юридическому, комплаенс- и управленческому уровням.

— Определение, какие категории данных являются персональными, специальными, биометрическими или конфиденциальными.
 — Разработка политики безопасности, положения о конфиденциальности, порядка доступа к данным, т.к. это функция CISO, DPO или юридической службы.
 — Решения о том, кому в компании можно предоставлять доступ к данным, кто является оператором, кто обработчиком, кто субподрядчиком.
 — Взаимодействие с Роскомнадзором, ФСТЭК, подача уведомлений, подготовка правовых обоснований, согласий, договоров.
 — Ответы на запросы субъектов персональных данных, в том числе требования об удалении, разъяснении, блокировке данных.
 — Обработка инцидентов с правовыми последствиями: например, при утечке данных, неправомерной передаче или жалобе в надзорный орган.

И если в компании не делегированы соответствующие функции профильным специалистам (будь то CISO, DPO, директор по комплаенсу или хотя бы юрист), то в случае нарушения весь риск ложится на бизнес в целом, и, прежде всего, на генерального директора как законного представителя организации.

Кроме того, возложение обязанностей по защите персональных данных исключительно на IT может привести к формальному подходу: всё вроде бы настроено (доступы, бэкапы, серверы в РФ), но ни целей, ни оснований, ни уведомлений нет. И это создаёт ситуацию, в которой техническая безопасность есть, а юридическая отсутствует, что и фиксирует Роскомнадзор в большинстве проверок.

Организация обработки персональных данных — это цельная система управления рисками и ответственностью, которая функционирует в повседневной деятельности компании. Законный интерес, смягчающие обстоятельства и добросовестность — всё это можно эффективно применять только тогда, когда у компании есть устойчивая, формализованная модель, определяющая: кто, как и за что отвечает. И эта модель должна быть не теоретической, а действующей и проверяемой, подкреплённой документами и понятной как внутри организации, так и для внешних проверяющих.

Ключевой элемент такой модели — чёткое распределение ролей и подотчётности. В организации должно быть назначено ответственное лицо или подразделение, которое обладает не только титулом, но и реальными полномочиями: инициировать изменения, запрашивать информацию, участвовать в проектировании новых процессов, давать обязательные для исполнения рекомендации.

Это может быть DPO, compliance officer, начальник службы ИБ, юридический департамент, в зависимости от масштаба и структуры бизнеса. Главное — не «назначить» на бумаге, а встроить эту роль в операционные процессы.

Подотчётность — ещё один краеугольный камень. В системе должно быть понятно: кто принимает решения, кто даёт заключения, а кто реализует конкретные меры. На практике это означает наличие «цепочки командования»: от разработчика или менеджера проекта до юридического отдела и высшего руководства. При отсутствии этой связности ответственность размывается, а управление становится невозможным.

Полномочия должны быть формализованы. Недостаточно просто поручить кому-то следить за политикой — необходимо прописать, кто утверждает документы, кто отвечает за мониторинг исполнения, кто участвует в проектировании ИТ-систем, а кто принимает решения о применении того или иного правового основания (например, законного интереса). Это должно быть зафиксировано в должностных инструкциях, регламентах, локальных актах.

И наконец, ключевой элемент зрелой системы — это готовность к инциденту. Даже при самом чёткого соблюдении требований, организация может столкнуться с нарушением или претензией. И здесь важно, чтобы у компании был сценарий реагирования: кто фиксирует факт, кто уведомляет руководство и РКН, кто собирает документы, кто анализирует ситуацию и принимает корректирующие меры. Отсутствие паники и понятная последовательность шагов в критической ситуации — признак зрелости, который суд и регулятор оценивают очень высоко.

Важно, чтобы все эти элементы были неформальными, а задокументированными. В ситуации проверки или судебного разбирательства фраза «мы всегда так делали» или «мы договорились устно» не будет иметь доказательной силы. Поэтому структура управления должна быть отражена в конкретных документах:

Таким образом, правильно выстроенная система — это не разовая мера, а механизм управления правовыми рисками и доверием. Она позволяет не просто реагировать на нарушения, а предотвращать их, минимизировать ущерб и демонстрировать зрелый уровень комплаенса. В условиях усиления требований и росте судебной практики именно такая модель становится главным инструментом защиты и бизнеса, и прав субъектов персональных данных.

Назначение ответственного за обработку персональных данных или создание профильного подразделения считается ключевым элементом устойчивой архитектуры управления информационными рисками. Такая роль становится центральной точкой принятия решений, координации процессов и защиты интересов компании: от репутации до финансовой устойчивости.

Прежде всего, на нём лежит разработка и реализация стратегии в области защиты персональных данных и информационной безопасности. Это означает не только наличие политики или программы комплаенса, но и выстраивание долгосрочной модели: как организация управляет данными, по каким принципам принимает решения, и как адаптируется к изменениям в законодательстве и технологиях.

Значимая часть работы — мониторинг нормативных требований и контроль за их соблюдением. Законодательство в сфере ПДн быстро развивается, и задача ответственного — быть первым, кто узнаёт об изменениях и адаптирует под них процессы. Это требует постоянной связи с юридическим отделом, ИТ, HR и бизнесом.

На уровне операционного управления в зону ответственности входит разработка, внедрение и актуализация регламентов, процедур, инструкций и шаблонов. Речь идёт не о бюрократии ради отчётности, а о документах, которые упорядочивают действия сотрудников, исключают субъективные трактовки и снижают вероятность ошибок, ведущих к нарушениям.

Ключевая практическая функция — контроль доступа к данным и разграничение прав пользователей. Ответственный должен понимать, кто, когда и зачем получает доступ к персональным данным, и как это технически обеспечивается. Он взаимодействует с ИТ-подразделением, чтобы реализовать технические меры защиты и следить за их соответствием требованиям закона.

Немаловажно и то, что ответственный проводит внутренние аудиты и расследования при выявлении потенциальных или реальных инцидентов. Это самостоятельная функция: оценить, что произошло, зафиксировать факты, определить причины и предложить меры реагирования до вмешательства внешних регуляторов.

Важной частью становится взаимодействие с подрядчиками, клиентами и контролирующими органами. Ответственный должен уметь проверять договоры, выстраивать отношения с контрагентами в части обработки ПДн, проводить оценку рисков, готовить ответы на запросы РКН, а также координировать поведение компании при проверке или в судебном процессе.

И, наконец, не менее значимой задачей является управление инцидентами и реагирование на них. Это не только технический response, но и выработка сценариев действий, организация работы антикризисной группы, документирование и представление доказательств добросовестности в случае последующего разбирательства.

Ежедневно ответственное лицо также обеспечивает контроль за соблюдением принципов конфиденциальности и дисциплины обработки данных внутри компании. Это включает обучение сотрудников, регулярные напоминания о правилах, контроль за тем, как данные используются в реальных бизнес-сценариях.

Отсутствие назначенного ответственного за обработку персональных данных, неформализованные регламенты и размытые зоны ответственности могут стать фундаментальной уязвимостью, которая делает бизнес неуправляемым в условиях кризиса.

Когда возникает утечка, приходит проверка от Роскомнадзора или поступает жалоба от клиента, организация должна действовать быстро, слаженно и юридически грамотно. Но если нет человека, который несёт ответственность, нет документа, где зафиксированы процессы, никто не знает, что делать, и начинаются хаос и паника. Каждая минута промедления, каждое несогласованное действие, каждое «мы не знали, кто отвечает» превращаются в доказательства некомпетентности в глазах суда и регулятора.

В такой ситуации последствия масштабируются сразу в нескольких плоскостях:

В сегодняшней реальности эти риски больше не теоретические, ведь они уже стали стандартами судебной практики; кейсами, которые разбираются в арбитражах; предписаниями, которые РКН выносит каждый месяц. Бизнес, в котором нет структуры управления в области ПДн и ИБ, сегодня воспринимается как заранее нарушающий.

Единственный способ защититься — построить систему до инцидента, а не после. И начать стоит с простых, но системных шагов:

Во-первых, необходимо назначить ответственного — не «по остаточному принципу», а из числа компетентных специалистов, способных ориентироваться в правовых, технических и управленческих аспектах. Это должен быть человек, которому можно доверить не только документооборот, но и решение в критической ситуации.

Во-вторых, это назначение должно быть юридически оформлено — приказом, с приложением должностной инструкции, где чётко зафиксированы полномочия, зона ответственности, уровень подотчётности и взаимодействия с другими подразделениями. Это не просто защита сотрудника, а юридический щит для всей компании.

Третий шаг — обеспечение ресурсов. Ответственный не сможет управлять рисками, если у него нет доступа к проектам, информации и бюджетам. Управление И Б невозможно без включённости в процессы: от найма подрядчиков до согласования архитектуры ИТ-систем.

Четвёртый элемент — аудит текущего состояния. Прежде чем управлять, нужно понимать, где вы находитесь. Какие данные собираются? Какие договоры заключены? Какие регламенты есть, а какие «живут» в Excel-файле юриста? Без этого невозможно выстроить реалистичную стратегию комплаенса.

И, наконец, принципиально важно, чтобы информационная безопасность и защита персональных данных были не приложением к ИТ, а самостоятельной функцией. Это не технический отдел, а управленческое направление, влияющее на устойчивость бизнеса. Когда И Б встроена в структуру как «дополнение», решения принимаются без оценки рисков, а инциденты становятся вопросом времени.

В условиях цифровой экономики, правовых рисков и растущих требований государства информационная безопасность перестаёт быть внутренним делом ИТ-службы или пунктом в должностной инструкции юриста. Это становится критически важной частью устойчивости бизнеса, особенно в моменты, когда происходит сбой, поступает жалоба, приходит проверка или случается утечка.

Мы помогаем компаниям выстроить систему защиты персональных данных и информационной безопасности «под ключ»: от назначения ответственных и составления регламентов до обучения сотрудников, аудита, сопровождения проверок и защиты в суде. Не перекладываем риски, а создаём культуру управления ими. Чтобы в момент, когда случится непредвиденное, ваша компания не потеряла время, деньги и репутацию, а действовала быстро, грамотно и уверенно.

Если на эти вопросы нет уверенного ответа, это уже уязвимость. Но хорошая новость в том, что она устранима.

⟶ Кто в вашей компании сегодня несёт реальную ответственность за безопасность данных?
⟶ Кто может принять решение в первые минуты инцидента?
⟶ Кто знает, где находятся политики, согласия, договоры и уведомления — и готов предъявить их проверяющему без страха?

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме