аналитика 14 февраля 2029 года По состоянию на 14 февраля 2029 года

Логи мониторинга трафика (NetFlow, NDR)

NetFlow-записи и события NDR содержат IP-адреса, временные метки, объёмы передачи и поведенческие паттерны пользователей — по позиции РКН это персональные данные, если позволяют идентифицировать физическое лицо.

Оператор, хранящий логи мониторинга трафика без правового основания или за пределами установленного срока, нарушает ст. 5 ФЗ-152. Если система обнаружения аномалий (NDR) обрабатывает эти данные без поручения по ст. 6 ФЗ-152 — риск штрафа по ч. 1 ст. 13.11 КоАП составляет до 300 000 ₽, при повторности — до 500 000 ₽.

Если вы CISO и ваша NDR-платформа или SIEM хранит NetFlow без привязки к документированному правовому основанию — разберите этот материал: здесь нормы, риски и план приведения в соответствие.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и насчитывает 18 частей. Параллельно с 11.12.2024 действует ст. 272.1 УК РФ: незаконные сбор, хранение или передача компьютерной информации с персональными данными грозят CISO лично — до 10 лет лишения свободы по ч. 5. Логи NetFlow и NDR оказались в фокусе и административного, и уголовного регулирования. В этом материале — как квалифицировать такие логи, какой уровень защищённости (УЗ) им назначить, как обезличить данные для ML-задач и что проверить в архитектуре до прихода инспектора РКН.

Являются ли логи NetFlow и NDR персональными данными?

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. NetFlow-запись содержит IP-адрес источника, IP-адрес назначения, порты, временну́ю метку, объём трафика и ASN. Если IP-адрес позволяет идентифицировать конкретного сотрудника или пользователя через таблицу DHCP-аренды или корпоративный каталог — это персональные данные.

NDR-события идут дальше: они включают поведенческие паттерны, данные о протоколах уровня приложения (HTTP-заголовки, DNS-запросы, SNI сертификатов), а иногда — частичное содержимое пакетов. Поведенческий профиль пользователя в сети — это сочетание, которое по ст. 3 ФЗ-152 квалифицируется как ПДн даже без ФИО.

«Ст. 5 ФЗ-152 — данные должны обрабатываться не дольше, чем необходимо для достижения цели. Цель мониторинга угроз определяет срок хранения; бессрочное хранение NetFlow нарушает принцип соответствия объёма целям.»

Исключение — обезличенные NetFlow-агрегаты: если IP заменён хэш-идентификатором без ключа обратного преобразования, а сами записи не коррелируются с каталогом пользователей, такие данные выходят из-под действия ФЗ-152. Подробнее об обезличивании — в разделе про ML ниже.

Практический вывод: разделите хранилища. Сырые NetFlow-записи с реальными IP — в ИСПДн с соответствующим УЗ. Агрегированные поведенческие метрики без возможности реидентификации — в аналитическое хранилище без требований ФЗ-152.

Какой уровень защищённости (УЗ) выбрать для системы хранения логов?

Уровень защищённости определяется по матрице ПП РФ №1119 от 01.11.2012. Для NetFlow-логов корпоративной сети типичная ситуация: общие ПДн (IP, поведение) без специальных категорий, угрозы 2-го или 3-го типа, число субъектов зависит от масштаба организации.

«ПП РФ №1119 — 4 уровня защищённости. УЗ-1 и УЗ-2 требуют нейтрализации угроз, связанных с наличием недекларированных возможностей в системном и прикладном ПО соответственно. УЗ-3 и УЗ-4 — базовый набор мер Приказа ФСТЭК №21.»

Для большинства корпоративных SIEM/NDR-платформ, обрабатывающих ПДн сотрудников и не затрагивающих специальные категории, актуален УЗ-3 (угрозы 3-го типа, более 100 000 субъектов — переход на УЗ-2) или УЗ-4 (менее 100 000 субъектов, угрозы 3-го типа). Если NDR интегрирована с системами обработки медицинских данных или биометрии — уровень повышается до УЗ-2 или УЗ-1.

Приказ ФСТЭК №21 от 18.02.2013 определяет базовый состав мер по 15 группам: идентификация и аутентификация (ИАФ), управление доступом (УПД), регистрация событий безопасности (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ) и другие. Для УЗ-3 обязательны, в частности, меры группы РСБ — ведение журналов аудита самой системы защиты. То есть логи о логах тоже регулируются.

Не уверены, какой УЗ выбрать для вашей NDR-платформы?

Если CISO не задокументировал модель угроз и не привязал её к матрице ПП РФ №1119 — при проверке РКН это станет первым замечанием. Несоответствие УЗ = нарушение ст. 19 ФЗ-152 = штраф по ч. 1 ст. 13.11 КоАП до 300 000 ₽. Юристы и технические эксперты DATUM проводят аудит соответствия по чек-листу из 38 пунктов, включая верификацию УЗ и анализ архитектуры.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как хранить и защищать NetFlow-данные по требованиям ФСТЭК?

Меры Приказа ФСТЭК №21 формируют базовый набор по УЗ. Для систем хранения NetFlow наиболее релевантны четыре группы:

РСБ (регистрация событий безопасности): сами NetFlow-записи — это и есть данные РСБ, но система их сбора должна логировать собственные события: авторизации, изменения конфигурации, экспорты. Без этого не выполняется требование целостности журналов.
УПД (управление привилегиями доступа): доступ к сырым NetFlow-данным должен быть ограничен ролями; аналитики угроз не должны иметь возможность модифицировать или удалять записи без отдельного разрешения.
ЗНИ (защита носителей информации): при хранении на физических носителях — шифрование разделов; при передаче в облако — шифрование канала и покоящихся данных сертифицированными СКЗИ (если требуется по модели угроз).
АНЗ (анализ защищённости): периодическое сканирование инфраструктуры хранения на уязвимости; для КИИ (187-ФЗ) — обязательно в рамках категорированных объектов.

Если NDR-платформа развёрнута как SaaS в облаке российского провайдера, требования к локализации ПДн по ч. 5 ст. 18 ФЗ-152 выполняются автоматически — при условии, что договор с провайдером содержит поручение на обработку по ст. 6 ФЗ-152 с перечнем операций, категорий данных и сроков. Без такого поручения провайдер — несанкционированный обработчик.

Что подготовить для соответствия по логам трафика

Документированную модель угроз с определением типа угрозы (1/2/3) и обоснованием УЗ для каждой ИСПДн, включающей NetFlow/NDR-данные.
Поручение на обработку персональных данных (ст. 6 ФЗ-152) с NDR/SIEM-провайдером или облачным оператором — с перечнем операций, категорий ПДн, сроков хранения и мер защиты.
Регламент хранения и удаления логов с указанием максимального срока (соответствующего целям мониторинга угроз) и процедуры подтверждённого уничтожения.
Описание процедуры обезличивания NetFlow-данных при передаче в ML-конвейер или аналитическое хранилище — с применением методов по Приказу РКН об обезличивании.
Журнал доступа к сырым NetFlow-записям с ролевой моделью и записями о каждом экспорте данных за последние 12 месяцев.

Обезличивание NetFlow для ML: как выполнить требования РКН?

Машинное обучение на сетевом трафике требует больших выборок исторических данных. Если эти данные содержат реальные IP-адреса сотрудников или клиентов — обучение модели является обработкой ПДн. Это влечёт требования ст. 19 ФЗ-152 к безопасности и ст. 5 к минимизации.

Приказ РКН об обезличивании (действует с 01.09.2025) устанавливает 5 методов. Для NetFlow наиболее применимы два:

Введение идентификаторов: IP-адрес заменяется псевдонимом (токеном) через детерминированную функцию с секретным ключом. При необходимости раскрытия — ключ хранится у оператора, в ML-систему не передаётся. Метод обратим, но без ключа — реидентификация невозможна.
Обобщение/агрегация: вместо точных IP используются подсети /24 или /16, временны́е метки округляются до часа, объёмы трафика — до диапазонов. Метод необратим, снижает детализацию, но полностью выводит данные из-под ФЗ-152 при правильном применении.

Важно: обезличивание должно быть задокументировано. Без описания применённого метода, порядка контроля и ответственного лица РКН не признает данные обезличенными — и они продолжают считаться ПДн со всеми последствиями.

Если CISO планирует обучать модели обнаружения аномалий на исторических NetFlow-данных — без документированного обезличивания это обработка ПДн в новых целях, несовместимых с исходными. Нарушение ст. 5 ФЗ-152, штраф по ч. 1 ст. 13.11 КоАП до 300 000 ₽. Оценку рисков и DPIA проведём за 10 рабочих дней.

Провести DPIA

Как применяется 152-ФЗ на практике: три сценария для CISO

Сценарий 1. NDR-платформа в облаке без поручения на обработку. Производственная компания (Приволжский ФО, 2025) развернула коммерческую NDR-систему у российского облачного провайдера. Договор оказания услуг не содержал перечня операций с ПДн, категорий данных и мер защиты — обязательных реквизитов поручения по ст. 6 ФЗ-152. При внеплановой проверке РКН зафиксировал передачу ПДн сотрудников третьему лицу без правового основания. Штраф по ч. 1 ст. 13.11 КоАП составил несколько сотен тысяч рублей. Стратегия: заключить поручение до передачи данных провайдеру, зафиксировать перечень операций и обязательство провайдера соблюдать меры защиты по ст. 19 ФЗ-152.

Сценарий 2. ML-модель на сырых NetFlow без обезличивания. IT-компания (Центральный ФО, начало 2026) обучала модель классификации угроз на 18-месячном архиве NetFlow-записей с реальными IP сотрудников. РКН при аудите квалифицировал это как обработку ПДн в целях, не заявленных в реестре операторов. Возбуждено дело по ч. 1 ст. 13.11 (цели несовместимы с исходными) и параллельно по ч. 10 (реестр не обновлён). Совокупный штраф — в диапазоне 300 000–600 000 ₽. Стратегия: обезличить архив методами введения идентификаторов до передачи в ML-конвейер, обновить запись в реестре операторов.

Сценарий 3. Уголовный риск по ст. 272.1 УК для CISO. После утечки NetFlow-данных сотрудников через взломанный SIEM-коннектор (Северо-Западный ФО, осень 2025) следователи установили, что CISO знал об уязвимости в конфигурации, но не устранил её в течение 3 месяцев. Данные утекли — свыше 10 000 записей с поведенческими профилями. Возбуждено дело по ч. 2 ст. 272.1 УК (незаконное хранение компьютерной информации с ПДн, повлёкшее доступ третьих лиц). Стратегия: фиксировать все решения о приоритизации уязвимостей письменно, обеспечивать SLA на устранение критических — и документировать причины отклонений от SLA.

Частые вопросы

1. Какой УЗ выбрать для SaaS-платформы с NetFlow-данными сотрудников?

Для большинства корпоративных SaaS-систем, обрабатывающих общие ПДн сотрудников (IP, поведение в сети) без специальных категорий, при угрозах 3-го типа и числе субъектов менее 100 000 применяется УЗ-4. При числе субъектов более 100 000 или угрозах 2-го типа — УЗ-3. УЗ определяется по матрице ПП РФ №1119; ошибка в сторону занижения — нарушение ст. 19 ФЗ-152 и риск штрафа по ч. 1 ст. 13.11 КоАП.

2. Можно ли использовать иностранные облака для хранения NetFlow-логов?

Нет, если логи содержат ПДн граждан РФ. Требование локализации по ч. 5 ст. 18 ФЗ-152 распространяется на операции записи, систематизации, накопления, хранения, уточнения и извлечения ПДн — все они должны выполняться в базах данных на территории РФ. Хранение в AWS, Azure или GCP без российского региона нарушает локализацию. Штраф по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽, при повторности по ч. 9 — 6–18 млн ₽.

3. Что такое обезличивание для ML и чем оно отличается от анонимизации?

Обезличивание по Приказу РКН — это процедура, после которой определить принадлежность данных конкретному лицу без дополнительной информации (ключа, справочника) невозможно или требует несоразмерных усилий. Анонимизация — полное и необратимое устранение возможности идентификации. Для ML достаточно обезличивания: введение токена вместо IP с хранением ключа отдельно. Без документированного метода РКН не признаёт данные обезличенными — они продолжают считаться ПДн.

4. Кто считается оператором в мультиарендной SaaS-архитектуре?

Оператором по ст. 3 ФЗ-152 является тот, кто самостоятельно или совместно с другими лицами определяет цели и способы обработки ПДн. В мультиарендной SaaS клиент-организация, использующая платформу для обработки ПДн своих сотрудников или пользователей, — оператор. Провайдер SaaS — обработчик по поручению (ст. 6 ФЗ-152). Без оформленного поручения провайдер становится самостоятельным оператором с полным объёмом обязательств, включая уведомление РКН по ст. 22.

5. Какие СЗИ обязательны для ИСПДн, хранящей NetFlow-данные?

Обязательный состав СЗИ определяется Приказом ФСТЭК №21 по базовому набору для присвоенного УЗ. Для УЗ-3 и УЗ-4 обязательны меры по группам ИАФ (идентификация и аутентификация), УПД (управление доступом), РСБ (журналирование), АВЗ (антивирусная защита), СОВ (обнаружение вторжений). Применение сертифицированных ФСТЭК СЗИ обязательно только при угрозах 1-го и 2-го типа; для УЗ-4 (угрозы 3-го типа) допустимы несертифицированные средства при документированном обосновании.

Итог

Логи NetFlow и события NDR — персональные данные при наличии возможности идентификации субъекта. Обработка без правового основания, без поручения провайдеру и вне зафиксированного УЗ создаёт риски по ст. 13.11 КоАП и ст. 272.1 УК РФ одновременно. Разделение хранилищ, документирование обезличивания и оформление поручений — три шага, снимающих большинство претензий РКН.

DATUM сопровождает IT-компании и CISO в приведении инфраструктуры мониторинга в соответствие с ФЗ-152: от определения УЗ и анализа архитектуры до полного пакета ОРД и представительства при проверках РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка архитектуры NetFlow/NDR, определение УЗ, план устранения нарушений
DPIA (оценка воздействия) — оценка рисков при обработке NetFlow-данных в ML-конвейере
Комплект ОРД под ключ — поручение на обработку, регламент хранения логов, политика ИБ для ИСПДн

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и ИБ. Специализация: УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

14 февраля 2029 года