аналитика 11 января 2029 года По состоянию на 11 января 2029 года

Утечка логов: правовые последствия

Лог-файлы содержат персональные данные — и их утечка влечёт штраф от 3 до 500 млн ₽ по ст. 13.11 КоАП.

С 30.05.2025 действуют оборотные санкции: повторная утечка — 1–3% выручки за год, но не менее 20 млн ₽. Первичное уведомление РКН — 24 часа с момента обнаружения.

Если CISO обнаружил инцидент с логами — у вас нет времени на согласование: срок уведомления не восстанавливается. → Разберём, как квалифицируется утечка логов и какие последствия она несёт.

Логи — это не служебная техническая информация. Для регулятора они содержат персональные данные: IP-адреса, идентификаторы сессий, время и содержание действий пользователя. С 30.05.2025, когда вступили в силу поправки ФЗ-420, утечка логов попадает под те же составы ст. 13.11 КоАП, что и утечка анкет клиентов. Эта статья — для CISO, CTO и технических руководителей, которые хотят понять правовую квалификацию инцидента с логами, конкретные санкции и требования к защите.

Являются ли логи персональными данными по 152-ФЗ?

Ответ зависит от содержания лога. Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определённому физическому лицу. IP-адрес в сочетании с временной меткой и идентификатором пользователя — это ПДн. Лог HTTP-запросов, содержащий токен авторизации и email, — это ПДн. Лог платёжного шлюза с номером карты — это специальная категория ПДн финансового характера.

Позиция Роскомнадзора и судебная практика подтверждают: обезличенный лог без идентификатора субъекта не является ПДн. Лог с идентификатором — является. Именно поэтому логирование как таковое создаёт правовые обязательства оператора: получение, хранение, обработка и передача таких данных регулируются ФЗ-152 в полном объёме.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Косвенная идентификация через IP + временную метку + действие достаточна для признания данных персональными.»

Практически это означает следующее. Если система собирает логи действий пользователей SaaS-продукта и эти логи хранятся в облаке — оператор обязан: указать цель обработки, ограничить срок хранения, обеспечить уровень защищённости по ПП РФ №1119 и применить меры по Приказу ФСТЭК №21. Нарушение любого из этих требований при последующей утечке превращается в самостоятельный состав правонарушения.

Какие штрафы грозят за утечку логов с 30.05.2025?

Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 разграничивает ответственность по числу затронутых субъектов и характеру нарушения. Для утечки логов наиболее вероятны три состава.

Первый — утечка от 1 000 до 10 000 субъектов. Ч. 12 ст. 13.11 устанавливает штраф для юридического лица в размере от 3 до 5 млн ₽. Это базовый уровень для инцидента среднего масштаба: например, утечка логов корпоративного SaaS с несколькими сотнями пользователей в нескольких организациях-клиентах.

Второй — утечка от 10 000 до 100 000 субъектов. Ч. 13 ст. 13.11 — штраф от 5 до 10 млн ₽. Характерна для B2C-сервисов с активной аудиторией: мобильные приложения, маркетплейсы, инфраструктурные SaaS с мультиарендностью.

Третий — утечка более 100 000 субъектов. Ч. 14 ст. 13.11 — штраф от 10 до 15 млн ₽. При повторном инциденте применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки за предыдущий год, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 11 КоАП — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн: штраф для юрлица 1–3 млн ₽. Срок — 24 часа с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается.»

Отдельно действует уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024 и действующей с 11.12.2024. Незаконный сбор, хранение, передача или использование компьютерной информации с ПДн грозит лишением свободы до 10 лет по ч. 5 при наступлении тяжких последствий. Для CISO это означает персональный уголовный риск при умышленном или халатном допущении инцидента.

Обнаружили утечку логов — сколько времени есть на реакцию?

24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 — это жёсткий срок. Если инцидент выявлен в пятницу вечером, уведомление всё равно должно уйти до пятницы следующей недели по факту, а не по расписанию рабочей смены. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187. Просрочка по любому из сроков — самостоятельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какой уровень защищённости (УЗ) требуется для систем логирования?

Уровень защищённости информационной системы персональных данных (ИСПДн) определяется по ПП РФ №1119 от 01.11.2012. Система логирования, если она хранит ПДн, является ИСПДн или её компонентом и попадает под требования к соответствующему УЗ.

Матрица определяется тремя параметрами: категория ПДн (общие, специальные, биометрические), тип угрозы (1, 2 или 3 — определяется актом моделирования угроз), число субъектов (порог — 100 000). Для типичного SaaS с общими ПДн пользователей, угрозой 3-го типа и числом субъектов до 100 000 — минимальный УЗ-3. Это уже накладывает конкретные требования на систему хранения логов.

«ПП РФ №1119, п. 17 — для ИСПДн с общими ПДн, угрозой 3-го типа и числом субъектов менее 100 000 устанавливается УЗ-3. При числе субъектов более 100 000 или угрозе 2-го типа — УЗ-2. Специальные ПДн при угрозе 3-го типа и менее 100 000 субъектов — УЗ-2.»

По Приказу ФСТЭК №21 от 18.02.2013 каждый УЗ предполагает базовый набор мер из 15 групп: идентификация и аутентификация (ИАФ), управление доступом (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ) и другие. Группа РСБ — регистрация событий — напрямую касается систем логирования: требуется регистрация событий безопасности, защита журналов от удаления и модификации, мониторинг целостности.

Для УЗ-1 и УЗ-2 обязательна сертификация средств защиты информации по требованиям ФСТЭК. Для УЗ-3 — применение мер, описанных в Приказе №21, с документальным подтверждением. Отсутствие актуального акта моделирования угроз и технического задания на систему защиты — типовое нарушение, фиксируемое при проверках РКН совместно с ФСТЭК.

Как мультиарендность SaaS влияет на ответственность за утечку логов?

В мультиарендной архитектуре (multi-tenant SaaS) один экземпляр системы обрабатывает ПДн нескольких организаций-клиентов. С точки зрения ФЗ-152 это порождает конкуренцию ролей: SaaS-провайдер может выступать как оператор (если самостоятельно определяет цели и способы обработки) или как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152).

Если SaaS-провайдер обрабатывает ПДн исключительно по инструкции клиента и только для нужд клиента — он обработчик по поручению. Это требует письменного договора (соглашения об обработке ПДн), в котором закреплены цели, перечень действий, обязательства по безопасности. При утечке логов ответственность первичного оператора (клиента) не снимается, но суд учитывает наличие или отсутствие такого соглашения.

Если SaaS-провайдер собирает аналитические логи в собственных целях — он самостоятельный оператор. Утечка таких логов — его ответственность по ст. 13.11 КоАП в полном объёме, независимо от того, чьи пользователи в этих логах фигурируют.

Что подготовить CISO при инциденте с логами

Акт фиксации инцидента с временной меткой обнаружения — основание для отсчёта 24-часового срока по ч. 3.1 ст. 21 ФЗ-152.
Первичное уведомление РКН через pd.rkn.gov.ru в течение 24 часов: категории затронутых ПДн, ориентировочное число субъектов, предполагаемая причина.
Отчёт о результатах внутреннего расследования через 72 часа по Приказу РКН №187: установленная причина, принятые меры, план устранения.
Договор поручения обработки ПДн с SaaS-провайдером или облачным подрядчиком — для разграничения ответственности.
Действующий акт моделирования угроз и документация о реализованных мерах по Приказу ФСТЭК №21 для доказательства добросовестности оператора.

Обезличивание логов для ML: снижает ли оно правовую нагрузку?

Обезличивание — это один из инструментов снижения рисков при использовании логов для обучения ML-моделей. ФЗ-233 от 08.08.2024 ввёл ст. 13.1 ФЗ-152, установив регулирование обезличенных ПДн. Методы обезличивания — согласно приказу РКН 2025 года — включают введение идентификаторов, изменение состава и семантики, декомпозицию, перемешивание и обобщение.

Правовой эффект обезличивания: обезличенные данные перестают быть ПДн и выходят из-под ФЗ-152 — при условии, что обезличивание необратимо и данные не позволяют идентифицировать субъекта ни прямо, ни косвенно. Псевдонимизация (замена имени на идентификатор при сохранении возможности обратного сопоставления) — не обезличивание. Это по-прежнему ПДн.

«Ст. 13.1 ФЗ-152 (введена ФЗ-233 от 08.08.2024) — регулирование обезличенных ПДн: данные, прошедшие обезличивание методами, установленными РКН, не признаются персональными данными для целей 152-ФЗ. Передача обезличенных данных в ЕИП НСУД возможна по требованию Минцифры.»

Для ML-конвейера это означает следующее: если логи передаются во внешний сервис (облако, аннотационную платформу, дата-инженерный подрядчик) — до передачи они должны быть обезличены по одному из 5 методов РКН. Передача необезличенных логов за рубеж — это трансграничная передача ПДн с обязательным уведомлением РКН по ст. 12 ФЗ-152 и потенциальным нарушением требований локализации по ч. 5 ст. 18 ФЗ-152.

Если CISO передаёт логи в облако или ML-платформу без верифицированного обезличивания — это нарушение ч. 5 ст. 18 ФЗ-152 при зарубежном хостинге или нарушение ст. 12 при трансграничной передаче. Штраф по ч. 8 ст. 13.11 за локализацию — от 1 до 6 млн ₽. Проверим конфигурацию за 5 рабочих дней.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. IT-компания Северо-Западного ФО (осень 2025) предоставляла SaaS-решение для HR-автоматизации. В системе хранились логи действий пользователей: email, IP, время входа, изменения в карточках сотрудников. После хакерской атаки через уязвимость в API-шлюзе часть логов оказалась доступна внешнему злоумышленнику — затронуто около 15 000 субъектов. CISO зафиксировал инцидент в течение 3 часов и направил первичное уведомление в РКН за 19 часов. Через 68 часов был подготовлен отчёт о расследовании по Приказу РКН №187. Документация о реализованных мерах по Приказу ФСТЭК №21 для УЗ-3 была в наличии. Штраф назначен по ч. 13 ст. 13.11 КоАП (диапазон 5–10 млн ₽); наличие документации и соблюдение сроков уведомления позволили обжаловать постановление в арбитражном суде региона и снизить штраф до минимального диапазона, применив смягчающие обстоятельства по ст. 4.1 КоАП.

Кейс 2. По делу РЭШ (Российская электронная школа, АС Москвы, дело № А40-351064/2025) утечка затронула более 100 000 субъектов — квалификация по ч. 14 ст. 13.11 КоАП (диапазон штрафа 10–15 млн ₽). Арбитражный суд учёл статус организации и применил расчёт по правилам для субъектов малого предпринимательства — назначенный штраф составил 400 000 ₽. Источник: ГАРАНТ.РУ, 23.03.2026. Для CISO коммерческой компании с сопоставимым числом субъектов аналогичного смягчения не предусмотрено: минимум по ч. 14 для обычного юрлица — 10 млн ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка систем логирования, уровней защищённости, документации ФСТЭК
DPIA (оценка воздействия) — оценка рисков ML-конвейера, обработки логов, мультиарендных систем
Комплект ОРД под ключ — договоры поручения обработки, политики, регламенты реагирования на инциденты

Частые вопросы

1. Какой УЗ выбрать для SaaS?

Уровень защищённости определяется по ПП РФ №1119: категория ПДн, тип угрозы (устанавливается актом моделирования угроз), число субъектов. Для типового B2B SaaS с общими ПДн, угрозой 3-го типа и менее 100 000 субъектов — УЗ-3. При числе субъектов более 100 000 или угрозе 2-го типа — УЗ-2. Если SaaS обрабатывает специальные категории ПДн (данные о здоровье, финансовые) — УЗ повышается. Для каждого УЗ Приказ ФСТЭК №21 определяет базовый набор мер из 15 групп защиты. Акт моделирования угроз — обязательный документ: без него невозможно обосновать выбранный УЗ при проверке.

2. Можно ли использовать иностранные облака для хранения логов?

Если логи содержат ПДн граждан РФ — первичное хранение должно быть в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152, действует с 01.09.2015, ужесточение с 01.07.2025). Хранение в AWS, Azure, GCP за рубежом нарушает требование локализации. Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽, при повторном нарушении по ч. 9 — от 6 до 18 млн ₽. Иностранные облака допустимы для зеркального хранения, но не для первичной записи и систематизации ПДн граждан РФ. Трансграничная передача логов в страны без адекватной защиты требует предварительного уведомления РКН по ст. 12 ФЗ-152.

3. Что такое обезличивание для ML и чем оно отличается от псевдонимизации?

Обезличивание для ML — это приведение логов к такому виду, при котором ни прямо, ни косвенно невозможно установить принадлежность записи конкретному физическому лицу. РКН установил 5 методов: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение. Обезличенные данные выходят из сферы ФЗ-152 и могут передаваться без ограничений. Псевдонимизация — замена имени на токен при сохранении таблицы соответствия — не является обезличиванием: данные остаются ПДн, поскольку субъект остаётся определяемым. Использование псевдонимизированных логов в ML-пайплайне требует всех мер защиты, предусмотренных для ПДн.

4. Кто является оператором в мультиарендной SaaS?

Зависит от того, кто определяет цели и способы обработки. Если клиент (арендатор) определяет, какие ПДн собираются и для чего — он оператор, SaaS-провайдер — обработчик по поручению (п. 3 ст. 6 ФЗ-152). Для легитимности требуется письменный договор поручения обработки. Если SaaS-провайдер собирает аналитические или операционные логи в собственных целях (аналитика продукта, улучшение сервиса) — он самостоятельный оператор в отношении этих данных. При утечке ответственность может нести как провайдер, так и клиент — в зависимости от того, чьи данные утекли и в рамках какой роли.

5. Какие СЗИ обязательны при обработке логов, содержащих ПДн?

Состав средств защиты информации (СЗИ) определяется базовым набором мер для установленного УЗ по Приказу ФСТЭК №21. Обязательные меры группы РСБ (регистрация событий): защита журналов от несанкционированного удаления и модификации, мониторинг целостности, хранение с разграничением доступа. Для УЗ-1 и УЗ-2 — только сертифицированные по требованиям ФСТЭК СЗИ. Для УЗ-3 и УЗ-4 — допустимо применение несертифицированных средств при документальном обосновании. Ключевое требование: актуальный план защиты и свидетельства его реализации должны быть доступны инспектору при проверке.

Итог

Утечка логов — это полноценный инцидент с ПДн с санкциями от 3 до 500 млн ₽ в зависимости от масштаба и повторности. Срок уведомления РКН — 24 часа — не восстанавливается. Отсутствие документации по ФСТЭК превращает технический инцидент в доказательство системного нарушения ст. 19 ФЗ-152.

DATUM сопровождает IT-компании и SaaS-провайдеров в части технической стороны 152-ФЗ: аудит систем логирования, оценка уровней защищённости, DPIA для ML-конвейеров, договоры поручения обработки для мультиарендных архитектур. Практика включает сопровождение инцидентов с уведомлением РКН в срок 24/72 часа.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и информационной безопасности. Специализация — УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, логирование, реагирование на утечки за 24/72 часа, ст. 272.1 УК.