Призрачные ИСПДн: утечка, которую не видно

Тайные ИСПДн: невидимые системы, которые утекут первыми

Сколько ни строй защиту, всегда найдётся «серый» угол, куда админ сложил Excel‑файл с телефонами клиентов. Эти углы и есть так называемые «неформальные» информационные системы персональных данных. Термин не из закона, но из практики: специалисты по ИБ так называют любые места, где ПДн живут, но в официальных реестрах их нет.  Утечка ПДн неизбежна..

Почему термин не встретишь в 152‑ФЗ, но встретишь на проверке

Закон требует: любой процесс обработки ПДн должен быть описан, классифицирован и защищён. Постановление № 1119 велит определить уровень защищённости для каждой ИСПДн. Приказ ФСТЭК № 21 уточняет: смотрим категорию данных и угрозы, выбираем меры. Если вы не признали систему — уровень не определён, меры не выбраны, привет Роскомнадзор.

Как рождаются «невидимые» системы

Файл Excel на рабочем столе. Тут ведут учёт поставщиков: ФИО, телефоны, ИНН. Формально — ИСПДн. Фактически — «да ну, это же просто табличка, Сергей себе делает».Самописный скрипт на сервере. Выгружает зарплатные отчёты и отправляет их в Telegram. Кто его писал? «Парни из IT, за пять минут».Облачный диск «Личный». Менеджер бросает туда сканы паспортов. IT‑отдел не в курсе.

Каждый пример — полноценная точка утечки. Акт классификации? Модель угроз? Нет, не слышали.

Чем это грозит руководителю

— Эти «серые» каналы не попадают под антивирус, шифрование, СКЗИ.

— В документах красуется одна большая защищённая ИСПДн, но проверяющий задаст ровно два вопроса: «А Excel? А Telegram?»

— Штраф за утечку через неформальную систему такой же, как через официальную, — до 1,5 млн руб. при повторе (ст. 13.11 КоАП).

Что делать, чтобы спать спокойно

Проверьте процессы, а не только программы. Посмотрите, где люди копируют данные вручную: отчёты, выгрузки, почта.Составьте карту потоков ПДн. Не надо пяти томов. Достаточно схемы «кто → куда → зачем».Формализуйте всё найденное. Обнаружили Excel с контактами — включите в реестр ИСПДн, классифицируйте, назначьте меры.Обучите сотрудников. Объясните, что «быстрый гугл‑диск» без согласования = нарушение.Регулярно аудитируйте. Раз в полгода просмотрите сетевые папки, скрипты, новые сервисы.

Неформальные ИСПДн — это не юридический курьёз, а реальная дыра. Они делают бессмысленными затраты на защищённый контур, потому что данные уходят боковыми тропами. АУП‑Консалтинг напоминает: Защита персональных данных — это не только большие серверы, но и маленькие Excel‑файлы. Применяем комплексный подход — и закрываем все двери, даже самые неприметные.