Согласие по умолчанию не работает: как правильно обрабатывать ПДн при расследовании ИБ-инцидентов

При расследовании инцидентов информационной безопасности компании все чаще сталкиваются с правовой ловушкой: как анализировать логи, переписку и действия сотрудников, не нарушая закон о персональных данных? Формальное согласие на обработку ПДн есть не всегда, а без него — даже правомерный мониторинг может обернуться санкциями. Cyber Media разбирает, как правильно оформлять согласие, в каких случаях оно не требуется, и какие меры помогут соблюсти 152-ФЗ и сохранить эффективность реагирования на инциденты.

Почему тема согласия актуальна в ИБ

Все хорошо до первого инцидента. Пока в инфраструктуре тихо и спокойно, тема согласия на обработку персональных данных кажется чем-то из области HR-документов и формальных галочек. Но как только в компании случается утечка, внутреннее расследование или внешний аудит — вопрос «на каком основании мы вообще собираем эти логи?» становится не риторическим, а потенциально штрафным.

Персональные данные давно стали не только объектом защиты, но и источником юридических рисков. В реальной практике ИБ-команд мониторинг активности сотрудников, сбор логов, анализ переписки и действий в системах — это стандартные инструменты реагирования. Но с точки зрения закона — это уже обработка персональных данных. А значит, либо есть согласие, либо нужны четкие правовые основания без него.

И тут начинается тонкая игра на грани. С одной стороны, ИБ должна быть эффективной, собирать информацию и быстро реагировать на подозрительное поведение. С другой — нельзя просто так взять и «подглядеть», не получив на то разрешение. Особенно если речь идет о деталях переписки, действиях в мессенджерах или доступе к чувствительной информации.

Добавим сюда еще один фактор — Роскомнадзор усиливает внимание к вопросам обработки ПДн в контексте ИБ. Все чаще на проверках разбираются не только с политиками безопасности, но и с тем, кто, когда и на каком основании дал согласие на обработку своих данных. А отсутствие нужной бумаги или слишком расплывчатая формулировка в согласии может свести на нет всю работу ИБ-отдела по расследованию инцидента.

Так что согласие — это не формальность. Это точка опоры, без которой любое расследование может провалиться не технически, а юридически.

Согласие на ПДн: основа для законного мониторинга

В логах нет фамилий — значит, персональные данные не обрабатываются? Увы, все не так просто. IP-адрес, логин, ID сотрудника, путь к домашней папке, даже метаданные из почты — все это может быть признано персональными данными, если позволяет идентифицировать человека. А значит, с точки зрения 152-ФЗ, вы не просто «собираете логи», а «обрабатываете персональные данные». И делаете это, скорее всего, без нужной юридической подложки.

Татьяна Андрусенко

Эксперт департамента методологии информационной безопасности «Ростелекома»

Если данные, собранные в ходе внутреннего расследования или анализа логов, будут признаны персональными, а их обработка — неправомерной, компания может быть привлечена к административной ответственности по статье 13.11 КоАП. Штрафы здесь немаленькие — как для должностных, так и для юридических лиц. А в случае системных нарушений дело может дойти и до уголовной статьи — например, 137 УК РФ, касающейся нарушения тайны переписки и личной жизни.

Но не только регуляторы могут заинтересоваться такими случаями. Работники, чувствуя себя уязвимыми, все чаще обращаются в суды и Роскомнадзор. Это грозит не только внеплановыми проверками, но и утечкой доверия внутри коллектива, что, в свою очередь, бьет по репутации компании.

Кроме того, организациям, нарушающим правила работы с персональными данными, становится сложнее соответствовать требованиям стандартов информационной безопасности. Это может стать препятствием при участии в государственных контрактах, где соблюдение норм законодательства о ПДн — обязательное условие допуска.

Согласие — это не про галочку в анкете. Это ключевой элемент, который позволяет ИБ-команде действовать в рамках закона: мониторить, расследовать, анализировать. Без согласия — даже простое сопоставление логов с конкретным сотрудником может оказаться нарушением. А при проверке Роскомнадзор будет интересоваться не тем, что вы делали, а на каком основании это происходило.

Типичные проблемы на практике:

• Согласие «в общем», без конкретики про цели и средства обработки.
• Отсутствие формулировок про ИБ, мониторинг и расследование инцидентов.
• Подпись получена один раз при приеме на работу — и с тех пор не обновлялась.
• Внедрили новые системы логирования, но согласия под них не адаптировали.
• Документ есть на бумаге, но не в HR-системе или ИБ-документации.
• Формулировки слишком узкие — не покрывают анализ переписки или видеонаблюдение.

Чтобы потом не бегать по юристам с вопросом «можем ли мы это использовать», лучше заранее проверить: покрывает ли согласие те задачи, которые ИБ действительно решает каждый день.

Что должно быть в согласии, чтобы выполнить требования Роскомнадзора

Согласие — это как страховка: вспоминают о нем, когда уже все горит. А вот Роскомнадзор вспоминает о нем первым делом, как только в компании всплывает ИБ-инцидент или начинается проверка. Причем важен не сам факт наличия бумаги с подписью, а ее содержание, форма, срок и актуальность. Согласие должно быть не просто «на всякий случай», а оформлено правильно.

Андрей Кетов

Консультант по информационной безопасности, UDV Group

Одними из важнейших пунктов согласия на обработку ПДн являются: цель обработки ПДн и перечень ПДн, на обработку которых дается согласие.

Для расследования инцидентов ИБ, как правило, используются сведения об имени учетной записи пользователя, IP-адреса устройств, действиях пользователя и иные сведения технического характера. По данной информации представляется возможным идентифицировать конкретного пользователя, так что формально она становится персональными данными этого пользователя. 

Также важен способ получения согласия. Он может быть бумажным или электронным, но в любом случае должна фиксироваться дата, личность сотрудника и способ подтверждения. Например, через СЭД с авторизацией по доменной учетной записи. Это пригодится при проверке или спорных ситуациях.

Срок действия согласия — еще одна критичная деталь. Его лучше привязать ко всему периоду трудовых отношений с учетом срока архивного хранения. Особенно это актуально, если внутреннее расследование начнется уже после увольнения сотрудника — такие кейсы не редкость.

Что касается отзыва согласия, в тексте обязательно стоит указать, что оно не распространяется на уже проведенную обработку. Это защитит компанию от претензий в ситуациях, когда расследование уже завершено, а сотрудник пытается отозвать разрешение задним числом.

Также важно предусмотреть актуализацию согласия. Например, при смене должности, уровня доступа или внедрении новых ИБ-систем вроде SIEM, DLP или eDiscovery. И, наконец, все это должно быть не отдельно существующей бумажкой, а частью общей системы: упоминаться в политике ИБ, в документах по обработке персданных и регламенте расследования инцидентов.

Ольга Попова

Главный юрист направления информационной безопасности Контур.Эгида

Согласие должно включать все условия обработки: объем ПДн, способ получения, сроки хранения и т. д. Формулировка «обновление» фактически входит в понятие «уточнение данных». При этом закон (152-ФЗ) не устанавливает к этому понятию конкретных требований. Следовательно, даже при изменении данных эффективность реагирования и расследования инцидентов не пострадает.

Несоответствие других параметров требованиям 152-ФЗ может считаться критичным, но это не мешает расследованию инцидента. Напротив — именно выявление таких несоответствий может помочь компании точнее провести расследование, оценить правомерность обработки данных, выявить уязвимости в системе ИБ и оперативно устранить нарушения, тем самым снизив риски санкций со стороны регуляторов.

Если все эти элементы оформлены грамотно и согласованно между собой, Роскомнадзору просто не к чему будет придраться. А у ИБ-отдела будет крепкий юридический щит на случай любых инцидентов.

Как встроить согласие в ИБ-процессы и не забыть об этом через год

Подписать согласие один раз недостаточно. Оно должно стать частью ИБ-процессов: регулярно пересматриваться при изменении ролей, доступов, внедрении новых систем. И, главное, ИБ-специалист должен точно понимать, что в этом документе написано — и может ли он на него опираться в случае инцидента.

Илья Башкиров

Юрист по информационной безопасности ГК InfoWatch

По нашему мнению, вопрос «как написать согласие так, чтобы не снизить эффективность процессов» — это результат ошибочного понимания роли документов в сфере ПДн. Задача согласия — легитимизировать те процессы, которые уже протекают в организации. Мы рекомендуем обратить внимание на юридический нюанс: согласие дается субъектом добровольно, в своем интересе и может быть отозвано, а ИБ — это мероприятие обязательное и постоянное. Организации следует определить перечень данных и способов их обработки, которые критически необходимы для обеспечения ИБ — их следует обрабатывать на основании законного интереса. Прочие же данные можно обрабатывать на основании согласия по «договоренности».

Что помогает встроить это в практику:

• Совместная работа DPO/юристов и ИБ — чтобы согласие отражало реальные риски и логику расследований.
• Привязка к HR-процессам — пересогласование при приеме, переводе, увольнении.
• Актуализация при внедрении новых ИБ-систем — SIEM, DLP, eDiscovery, видеоаналитика и пр.
• Автоматизация через СЭД или HRM — напоминания, шаблоны, контрольные точки.

И тогда согласие перестает быть архивным документом — оно становится рабочим инструментом ИБ. Тихим, но мощным.

Когда согласие не нужно: исключения из закона

Хорошая новость для ИБ-специалистов: не во всех случаях нужно бегать за согласием. Закон сам допускает ряд исключений, когда персональные данные можно обрабатывать без согласия — и это не «серые зоны», а вполне легальные основания.

Согласно статье 6 закона 152-ФЗ, обрабатывать ПДн без согласия можно, если это необходимо для:

• исполнения трудового договора;
• выполнения обязанностей работодателя по закону;
• защиты жизни, здоровья или других жизненно важных интересов;
• осуществления прав и законных интересов оператора.

Если компания защищает себя от нарушений, хищений, утечек, саботажа — это защита ее законных интересов. И расследование ИБ-инцидента, особенно если он касается коммерческой тайны или угрозы инфраструктуре, вполне подпадает под это основание. В таком случае можно анализировать логи, смотреть активность, проводить форензик без согласия, если это прямо направлено на предотвращение ущерба.

Евгений Царев

Управляющий RTM Group

Формально, если на работодателя возлагается обязанность законом, то ему согласия не нужны. Одновременно с этим нужно исходить из логики работы бюрократического механизма. Предположим, сотрудник написал жалобу в прокуратуру, что его данные обрабатываются без согласия, из прокуратуры пришел запрос в организацию. Что должна отвечать организация и как на это будет реагировать государство в лице прокуратуры? Если компания скажет, да, мы согласие не брали, но вот по закону мы должны что-то сделать, поэтому согласие брать не нужно.

Скорее всего, государство в лице прокуратуры даст ход делу только в части отсутствия согласия, ибо организация сама призналась в этой части, а что дальше в объяснениях уже не важно. Можно судиться с таким решением и даже выиграть, но кому это надо? Итого: согласия берем, на все, что нужно, даже на то, что нужно делать по закону.

Но этим аргументом нельзя пользоваться бесконечно широко. Например, массовое чтение переписки «на всякий случай» — уже не защита интересов, а нарушение прав работников.

Расследование нарушений закона — основание

Если ИБ-отдел выявляет признаки преступления или нарушения трудовой дисциплины, то включается другое основание: обработка ПДн для выполнения обязанностей оператора по закону. Это может быть:

• внутреннее расследование в рамках ТК РФ;
• проверка по фактам мошенничества;
• взаимодействие с правоохранительными органами.

Согласие на это не требуется, но — и это важно — действия должны быть документированы и обоснованы. Лучше, если у вас есть регламент реагирования, внутреннее распоряжение, и все строго по процедуре.

Где заканчивается законная цель и начинаются риски

Вот тут и начинается зона турбулентности. Формулировка «законные интересы» — удобная, но очень гибкая. И именно здесь у Роскомнадзора могут возникнуть претензии к компании. Вроде бы все делалось ради обеспечения ИБ, но на деле нарушались базовые требования.

Например, данные обрабатывались без уведомления сотрудников и четкого регламента. Логи собирались постоянно, даже если в этом не было практической необходимости, а доступ к ним имели все кому не лень — от ИБ-аналитика до стажера. При этом не существовало ни одного внутреннего документа, который бы подтверждал правомерность обработки в конкретной ситуации.

Чтобы не попасть в такую ситуацию, даже при работе без согласия у вас должны быть:

• понятная цель обработки;
• зафиксированная процедура;
• ограниченный круг вовлеченных лиц;
• технические и организационные меры по контролю доступа.

Проще говоря: если работаете без согласия — обязательно должно быть четкое обоснование. Иначе можно оказаться не по ту сторону расследования.

Организационно-технические меры: защита не только от утечек, но и от претензий

Окей, с согласием все понятно. Но одной бумажкой ИБ не спасешь. Особенно если в логах и DLP-системах крутятся персональные данные, а доступ к ним есть у половины команды. Роскомнадзор в таких случаях смотрит не только на подписи, но и на реальные меры защиты. Причем не только технические, но и организационные. А значит, и у вас в ИБ-документах, и в инфраструктуре должно быть все по-взрослому.

Роль политики ИБ и уведомлений

Первый шаг — прозрачные правила. Внутренняя политика информационной безопасности должна прямо говорить, какие данные обрабатываются, зачем это нужно, как обеспечивается защита и кто имеет доступ.

Если вы мониторите сотрудников (даже на благо безопасности) — они должны об этом заранее знать. Уведомление — формальный, но обязательный шаг: это и про соблюдение закона, и про честную игру внутри команды.

Юлия Смолина

Руководитель центра компетенций по консалтингу ИБ ГК Softline

Чтобы избежать претензий от сотрудников и Роскомнадзора, компания должна: 

1. Закрепить мониторинг в ЛНА:

• Политика ИБ – явно прописать сбор и анализ логов. 
• Положение о персональных данных – указать цели обработки (включая расследования ИБ). 
• Трудовой договор – включить условие о мониторинге. 

2. Минимизировать персональные данные:

• Обезличивать логи (использовать ID вместо ФИО). 
• Хранить только нужные данные (удалять лишние логи по истечении срока). 

3. Обеспечить прозрачность (но без вреда расследованиям):

• Уведомлять Роскомнадзор об инциденте ИБ (если компания подпадает под требования). 
• Информировать сотрудников о мониторинге (но не раскрывать детали, чтобы не мешать расследованиям). 

Это позволит легально расследовать инциденты, не нарушая 152-ФЗ.

И да, просто «положить на портал и забыть» — не работает. Лучше встроить это уведомление в онбординг, инструкции по ИБ или чек-листы для новых сотрудников.

DLP и SIEM: когда данные уже ПДн, а когда — еще нет

Не все технические данные — это сразу персональные. Но в ИБ-среде грань между «безобидным логом» и «персональными данными» стирается очень быстро.

В системах мониторинга данные считаются персональными, если по ним можно установить личность сотрудника — прямо или косвенно. Вот где проходит граница:

• Не считаются ПДн, если это обезличенная, агрегированная информация, не связанная с конкретным пользователем. Например, общее количество запросов к серверу без указания, кто их делал.
• Считаются ПДн, если в логах или отчетах есть логины, e-mail, IP-адреса, сетевые имена, ID пользователей, пути к домашним папкам, элементы переписки и действий — все, что позволяет идентифицировать сотрудника.

В DLP-системах ПДн практически всегда есть — там видны письма, файлы, метаданные. В SIEM возможна условная «чистота», но только при жесткой настройке обезличивания. На практике такие данные почти всегда персонализируемы — особенно в связке с AD, HRM или даже просто знаниями о структуре компании.

Поэтому, если вы видите логин — это почти всегда уже не технические данные, а объект закона. Значит, нужна либо защита, либо правовое основание.

Кто и как должен ограничивать доступ

Тот факт, что у вас есть SIEM или DLP, не означает, что вся ИБ-команда может туда смотреть без ограничений. Доступ к ПДн — это уже область повышенного контроля.

Что важно:

• доступ только по ролям, например, аналитик 1-й линии видит обезличенные данные, а только ответственный за расследование — полные;
• разграничение по кейсам: анализ подозрительной активности ≠ массовый просмотр всего подряд;
• зафиксированный порядок запроса доступа, с обязательным основанием (инцидент, служебная записка, расследование);
• журналирование: кто когда куда заходил, что смотрел, что выгрузил — особенно при работе с чувствительными данными.

Контроль доступа должен быть не только технически настроен, но и документирован. Регламент управления доступами, учет выданных прав, отчеты по активности — все это служит доказательством того, что в компании не хаос, а структурированный подход.

В идеале у ИБ-отдела должен быть прозрачный процесс: права доступа выдаются с оформлением актов и согласований, их периодически пересматривают, например, раз в квартал, а по итогам формируются отчеты. Особенно если был инцидент или обращение от субъекта персональных данных. Такой подход снижает риски претензий и показывает зрелость ИБ-процессов — как для внутренних проверок, так и для внешнего контроля.

Все это звучит немного занудно, но именно такие меры потом становятся броней. Они доказывают, что ИБ — это не «мы просто смотрим логи», а полноценный управляемый процесс, который защищает и компанию, и людей.

Заключение

Формальное согласие — не всегда обязательное условие. Закон дает исключения, особенно в сфере ИБ, где на кону защита инфраструктуры и бизнеса. Но отсутствие согласия — это не индульгенция. Без четких формулировок, регламентов и логики обработки даже законные действия можно превратить в риск.

Соблюдение формальностей — это не про бюрократию. Это про доверие внутри компании, про готовность к проверке, про умение показать: «у нас все под контролем». И если однажды дело дойдет до суда или Роскомнадзора — именно документы и процессы станут вашей броней.

Все это хороший повод пересмотреть, как устроена ваша работа с согласиями, провести аудит, обновить шаблоны и процессы. И сделать так, чтобы информационная безопасность была не только про технологии, но и про ответственность.