Почему без деперсонализации не обойтись: о новых требованиях закона и инструментах

Теперь за утечку информации компаниям грозят не только миллионные штрафы, но и уголовная ответственность — до пяти лет лишения свободы. В этом материале рассказываем, как соблюсти новые требования и подобрать надежные инструменты.

Базовые требования к обработке персональных данных (ПДн), установленные Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, состоят в следующем:

С 2011 г. компании обязаны хранить и обрабатывать персональные данные граждан РФ только на территории России. С 1 июля 2025 г. введен запрет на сбор данных через «чужие» cookie и аналитические системы (Google Analytics и др.) без локализации или разрешения.

С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, которые вводят штрафы до 500 млн руб. для юридических лиц и до 800 тыс. для ИT директоров за утечку персональных данных. Размер штрафа зависит от числа затронутых субъектов: до 10 000 человек — до 3–5 млн руб., но в случае крупных утечек может достигать 500 млн руб. В УК РФ добавлена статья 272.1, предусматривающая до пяти лет лишения свободы за незаконное хранение, сбор, использование и передачу персональных данных.

Обязанность защищать данные при автоматизированной обработке в информационных системах вводится Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Документ устанавливает четыре уровня защищенности ПДн.

Шифрование — обязательная мера защиты, если в системе обрабатываются персональные данные 1-го или 2-го уровня защищенности. Должны применяться только сертифицированные СКЗИ, зарегистрированные в ФСБ. Это предотвращает доступ к ПДн даже в случае физического доступа к оборудованию.

Журналирование — фиксация всех действий с персональными данными: кто, когда, откуда и какие данные запрашивал, просматривал, изменял или удалял. Журналы защищаются от изменения и хранятся в течение минимум одного года. Это критически важно для расследования инцидентов и доказательства соблюдения закона при проверках Роскомнадзора или ФСТЭК.

Деперсонализация (обезличивание) — процесс, в ходе которого маскируются все элементы, позволяющие идентифицировать конкретного человека. При этом данные сохраняют структуру и смысловую целостность: имя становится другим именем, номер паспорта — другим, но похожим по формату номером, дата рождения — другой реалистичной датой. Цель деперсонализации заключается в том, чтобы со структурой данных можно было продолжать работать внутри компании (например, для тестирования, анализа или обучения ML-моделей), но при этом не имело бы смысла их копировать или красть.

На практике у большинства компаний данные требуют 2-го или 3-го уровня защищенности. Проблема в том, что эти данные редко сосредоточены в одном месте: они «размазаны» по множеству систем: CRM, бухгалтерии, HR-сервисам, внешним интеграциям. Каждая такая точка — потенциальный риск. Именно поэтому деперсонализация должна затрагивать не только основную базу клиентов, но и все окружающие системы, где так или иначе появляются персональные данные.

Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» установил требования и методы деперсонализации персональных данных. В соответствии с документом, результат обезличивания должен обладать следующими свойствами:

Подчеркнем, что деперсонализация ≠ шифрование. Оба метода защищают данные, но делают это по-разному.

Шифрование требуется в системах, в которых реально обрабатываются персональные данные клиентов, — например, в CRM, интернет-магазине, в приложении банка, на сервере авторизации.

Деперсонализация необходима там, где не важно, кто конкретно пользователь, но важна структура данных. Деперсонализация особенно нужна, когда данные используются вне продуктивного контура: например, в тестовых средах, где с ними работают внешние подрядчики. Такие среды зачастую не защищены так же строго, как основная инфраструктура, и если в них попадают реальные персональные данные, то компания автоматически нарушает закон. Здесь деперсонализация данных не опция, а обязанность. И если она реализована вручную, через скрипты, или устаревшие ETL-системы, то компания по-прежнему в зоне риска. Используемые инструменты не обеспечивают повторяемость и верифицируемость процесса, а значит, не позволяют подтвердить соответствие рекомендациям Роскомнадзора.

Если у вас база с персональными данными клиентов, включите прозрачное шифрование данных (Transparent Data Encryption, TDE) в вашей СУБД (например, Oracle, PostgreSQL), добавьте шифрование на уровне поля, если нужно.

Если вы передаете данные по сети (API, веб), используйте TLS/HTTPS, защитите ключи в HashiCorp Vault или GnuPG.

Если вы госкомпания или работаете с государством, применяйте только сертифицированные СКЗИ («КриптоПро», ViPNet, «Континент»), иначе нарушите закон.

Если у вас разработка или DevOps-среда, используйте шифрование переменных и секретов в CI/CD (например, Vault + TLS).

Если вы работаете с файлами (архивы, резервные копии), шифруйте носители (VeraCrypt, BitLocker) и храните ключи отдельно.

Почему для деперсонализации базы данных ETL не выход

В 2022 г. зарубежные провайдеры, включая поставщиков популярных систем для деперсонализации, прекратили работу в РФ. Российские ИT-службы остались без привычных решений и были вынуждены переходить на неофициальные скрипты и устаревшие ETL-процессы.

ETL — аббревиатура слов Extract, Transform, Load (извлечение, преобразование, загрузка). Такие решения часто применяются в построении хранилищ данных, BI-систем, а в некоторых случаях и для деперсонализации. Сначала данные извлекаются (Extract) из источника, например, из базы клиентов, CRM, бухгалтерской системы или другого сервиса. Затем они проходят этап преобразования (Transform) — нормализуются, фильтруются, очищаются и при необходимости обезличиваются или агрегируются. И, наконец, данные загружаются (Load) в новое хранилище или тестовую среду, где с ними можно безопасно работать.

На первый взгляд, ETL — удобный способ обезличивания: можно взять данные, прогнать их через ETL-сценарий, и на выходе получить безопасную копию. На практике у таких решений есть ряд критичных ограничений:

В современных условиях (большие объемы данных, строгие законодательные нормы и необходимость быстро вывести продукт на рынок) писать собственное решение для деперсонализации на основе ETL — практика устаревшая и неэффективная.

Методы маскирования: академические модели анонимизации — k-anonimity, l-diversity, t-closeness и дифференциальная приватность. Поддерживается генерация преобразованных датасетов с сохранением логических связей и структуры.

Автопоиск данных: не предоставляется; пользователь самостоятельно определяет атрибуты, подлежащие анонимизации.

Скорость обработки: зависит от объема данных и выбранных моделей; при очень больших наборах возможны проблемы с масштабируемостью.

Стоимость: полностью бесплатный open source-проект, доступный для скачивания и использования без ограничений.

Доступность в России: доступен для загрузки и применения без ограничений; исходный код открыт, но нет лицензии и поддержки, есть риски утечек.

Основные сценарии применения: исследовательские проекты, академическая среда, пилотные внедрения, а также компании, которым важно использовать строгие модели анонимизации при подготовке датасетов для публикаций, анализа или обучения ML-моделей.

Сайт: https://arx.deidentifier.org/anonymization-tool/

Методы маскирования: статическая деперсонализация с сохранением структуры данных. Поддерживается аккуратное хеширование, маппинг и генерация реалистичных значений (например, дата остается датой, номер паспорта — номером паспорта, имя — именем), что соответствует требованиям Постановления Правительства № 1119.

Автопоиск данных: встроенный механизм профилирования автоматически находит все поля с персональными данными, включая скрытые и нестандартные типы хранения.

Скорость обработки: более 1 Тбайт/час.

Стоимость: коммерческая лицензия, прайс-лист непубличен; поставляется с полным сопровождением внедрения и поддержки.

Доступность в России: продукт внесен в ЕРРП (№ 22780 от 06.06.2024), официально поддерживается и внедряется в финансовом и корпоративном секторе.

Основные сценарии применения: банки и страховые компании, системная интеграция и разработка ПО, маркетинг и аналитика, облачные провайдеры и e-commerce. Используется для деперсонализации данных в тестовых и аналитических средах, интегрируется в CI/CD-процессы, помогает снизить риск утечек и соответствовать требованиям закона № 152-ФЗ и приказа Роскомнадзора № 996.

Сайт: https://datasan.ru/

Методы маскирования: поддерживается широкий набор техник — перемешивание данных, шифрование с сохранением формата, условное и составное маскирование, детерминированные алгоритмы, а также пользовательские правила на PL/SQL. Все методы обеспечивают сохранение связей и бизнес-логики в базе.

Автопоиск данных: включает модуль Data Discovery, который помогает выявлять чувствительные поля и автоматизировать настройку профилей маскирования.

Скорость обработки: не раскрывается; продукт ориентирован на крупные корпоративные базы данных и тесно интегрирован с Oracle Enterprise Manager.

Стоимость: лицензируется отдельно в рамках Oracle Database Enterprise Edition, относится к категории дорогих корпоративных решений.

Доступность в России: официальная поддержка и продажи Oracle в РФ прекращены, легальное внедрение затруднено.

Основные сценарии применения: создание безопасных копий баз данных для тестирования, разработки и аналитики при сохранении структуры и обеспечении соответствия требованиям регуляторов (GDPR, 152-ФЗ и др.).

Сайт: https://www.oracle.com/security/database-security/data-masking/

Методы маскирования: необратимое хеширование, включая данные из исторических карточек клиентов, поисковые индексы и информацию, использовавшуюся для выявления дубликатов.

Автопоиск данных: работает на заранее определенных полях клиентских карточек и интеграциях системы «Единый клиент»; автоматического ML-обнаружения персональных данных не заявлено.

Скорость обработки: публичных сведений нет.

Стоимость: решение предлагается в рамках платформы HFLabs, по запросу.

Доступность в России: разработан российской компанией, но сведений о внесении в ЕРРП нет.

Сайт: https://hflabs.ru/uniform-client/depersonalizaciya-klientskih-dannyh

Методы маскирования: поддерживается статическая деперсонализация для различных источников данных (СУБД Oracle, Microsoft SQL, PostgreSQL, Hadoop и файловые форматы). Реализованы классические техники замены и маскирования значений с сохранением формата. 

Автопоиск данных: использование машинного обучения для более точного и полного выявления персональных данных в базах и хранилищах. 

Скорость обработки: от 800 до 90 тыс. строк в секунду на одном поде; в рамках одного потока — до 2,5 Тбайт в сутки.

Стоимость: коммерческая лицензия; цена зависит от количества параллельных процессов обезличивания.

Доступность в России: продукт включен в ЕРРП (№ 15867 от 09.12.2022), есть сертификат ФСТЭК; ориентирован на компании, которым важно выполнение требований локальных регуляторов.

Основные сценарии применения: создание обезличенных копий рабочих баз для тестирования и разработки, обеспечение безопасной аналитики на больших массивах данных, помогает снизить риск утечек и соответствовать требованиям закона № 152-ФЗ и приказа Роскомнадзора № 996.

Сайт: https://www.sferaplatform.ru/obezlichivanie

Грамотно внедренные инструменты обезличивания не только дают юридическую защиту. Они помогают ускорять разработку, тестировать новые продукты без риска утечек, безопасно делиться данными внутри команды и использовать их для аналитики и машинного обучения. Компания соблюдает требования регулятора и при этом сохраняет возможность работать с данными так, как того требует рынок.

____________________________

Аудит данных — определите, какие персональные данные вы храните и где именно они находятся (базы, CRM, аналитика, тестовые среды).

Оценка рисков — проанализируйте, какие сценарии утечки наиболее вероятны и чем они грозят бизнесу.

Выбор подхода — определите, какой метод обезличивания подходит для ваших задач и рисков: маскирование, анонимизация, хеширование или их комбинация.

Инструменты — сравните решения по ключевым параметрам: скорость обработки, поддержка автопоиска ПДн, соответствие законодательству, доступность в России.

Пробный период — проведите пилотный проект, чтобы выбрать технологию и попробовать решение именно для ваших систем.

Внедрение в процессы — встройте деперсонализацию в CI/CD, тестовые и аналитические среды, чтобы защита была автоматической и непрерывной.

Контроль и поддержка — регулярно проверяйте корректность работы инструмента, обновляйте методики и фиксируйте результаты для возможных проверок Роскомнадзора.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!