10 июля 2026

Проверка? А подержи тогда эту сумку ты, друг.

Я отправлю вам с Gmail, так быстрее.

Как одна безобидная привычка может свести на нет всю работу по защите персональных данных.

Удобно или безопасно?

После того, как вступили в силу новые ужесточения в области защиты ПДн, список фраз, от которых у любого ИТ/ИБ-специалиста начинает дёргаться глаз, пополнился:

  • Девчонки, отправьте доки на мой Gmail, я вечером дома сделаю

  • Сделай переадресацию с рабочей почты на личную, мне с телефона так удобнее

  • У нас два юрлица, мы сканы договоров и штатку между ними через обычную почту гоняем, ну а чё такого-то?

  • ЭДО — это для работы с налоговой или ЕГАИС, там ЭП надо, кучу всего. А так я клиенту уже проект договора отправил за два клика. Удобно: у него gmail, у меня gmail

Разумеется, когда я на аудитах спрашиваю: «Почему именно, скажем, Gmail?», ответ одинаковый: «Ну, исторически так сложилось» или «Так удобнее». Ни один человек за последнее время не сказал: «Марк, мы с админами и юристами сели, проанализировали услуги и продукты, посмотрели на аналогичное тут в РФ, посмотрели на требования законодательства, оценили риски, трансграничную передачу, оформили документы и приняли взвешенное решение».

Нет.

Всегда «так быстрее», «так удобнее», «а мы не знали, что уже есть нюансы».

В итоге в компании происходит то, что многие даже не считают событием информационной безопасности. 
Никто ничего не взломал, вирусов нет, письма доходят. 

Но руками сотрудников организация добровольно и легким росчерком мышки незаметно меняет схему обработки персональных данных, даже не замечая этого.

Просто письма и секрет службы доставки

Когда напоминаешь про требования к защите персональных данных (ПДн), средний пользователь представляет себе гудящие машинные залы, государственные серверные комнаты, красивые криптошлюзы и светящиеся базы данных. А порой может даже показаться, что электронное письмо — это какая-то эфемерная субстанция, которая летит по воздуху напрямую от пользователя к адресату и наоборот.

Но мы-то с вами понимаем, что эфемерных и пустых писем в бизнесе не бывает. Внутри всегда есть мясо: договоры со спецификациями, сканы паспортов, реквизиты, кадровые приказы, резюме соискателей.

Как только пользователи нажали кнопку «Отправить», письмо со всем содержимым падает на инфраструктуру почтового сервиса. И вот здесь начинается самое интересное.

— Да ладно, мы же не государственную тайну пересылаем, а обычные рабочие документы!

Да даже если вложений нет: обычная подпись внизу письма с вашим ФИО, должностью, мобильным и корпоративным e-mail — это уже персональные данные.

Как только такое или подобное улетает на/через зарубежный сервис, в 2026 вы уже не можете делать вид, что вопрос трансграничной передачи вас не касается.

Давеча мы (и тут, и в канале делали анонс) подробно разбирали, как регуляторы сейчас смотрят на локализацию баз данных и какие штрафы за это прилетают.

Так вот, иностранный почтовик вовсю участвует в этом процессе, хотите вы того или нет.

У нас же всё зашифровано!

Люблю такое на аудитах инфраструктуры:

— Марк, ну там же TLS, HTTPS, Google за безопасностью следит!

Ребята, путать техническое шифрование канала и правовую легитимность схемы обработки — это путать теплое с мягким. Наличие SSL-сертификата не делает трансграничную передачу данных законной автоматически.

Если вы гоняете ПДн между двумя российскими юридическими лицами, но используете для этого сервера условного Google, Microsoft или Yahoo, вы добровольно выносите данные за пределы юрисдикции РФ. Со всеми вытекающими требованиями к локализации баз данных и уведомлению Роскомнадзора о трансграничной передаче. Вы к этому готовы? Разрешите усомниться.

Те же и бедная Лиза: листаем кодекс, а там — статья

А вот от этого я постоянно недоумеваю.

— Смотрите, ребята, у вас тут вот чо. Рано или поздно этот вопрос всплывет.
— Да ладно тебе!

Ну, мне то точно — ладно.

Перестроить процессы так, чтобы они соответствовали свежим требованиям обычно несложно, если понятны и требования, и правила игры.

Часто для этого даже не нужны дополнительные затраты:
Раз, и за выходные переехали с условного гугла на условный яндекс. 
А что для пользователя поменялось? 
Ничего. 
Домен тот же. Почтовый клиент тот же. Иерархия папок в почте и хранение - те же.

Только нарушения нет.

Дело вообще не в Gmail

Договоримся: я не призываю вас завернуться в простыню, надевать шапочки из фольги, и бежать удалять гугл-аккаунты. Сам по себе Gmail не "плохой" и не "запрещенный". Но есть новые правила, и они касаются вообще всего зарубежного SaaS.

Точно такие же вопросы возникают, когда внутри компании «по привычке» начинают использовать:

  • Google Drive и Google Docs — для хранения общих табличек с базами клиентов или опросов в Гугл-формах;

  • Dropbox, Google и iCloud — синхронизация со смартфонами и компами, в которой участвуют чувствительные данные (записал телефон клиента в адресной книге айфона - бздынц!);

  • Telegram и WhatsApp (а WhatsApp принадлежит Meta, признанной экстремистской и запрещенной в РФ(!)) — где создаются рабочие чатики «Бухгалтерия_2026», куда пачками кидают сканы документов. Отдельный горячий привет тут передаю турагентам и риэлторам.

Я не говорю, что всё это нужно немедленно заблокировать и уйти жить в тайгу.

Но это должен знать каждый:

Любое движение корпоративных данных через сторонние зарубежные сервисы должно быть осознанным, просчитанным и зафиксированным во внутренних регламентах.

Нельзя, чтобы такие решения принимались исключительно исходя из принципа "так удобнее"на любом ярусе. Вопрос должен решаться на уровне корпоративных правил, а не личных привычек сотрудников. А то, ишь, «неудобно авторизоваться в корпоративном веб-интерфейсе». Целый лишний клик!

Попробуйте ответить для самопроверки (пока не пришел регулятор)

Выключите на минуту режим «ни сы» и честно ответьте себе на четыре простых вопроса:

  • Есть ли у вас переадресация рабочих писем на личные ящики сотрудников? (Особенно уволившихся, о которых админы забыли?)

  • Используются ли личные или зарубежные почтовые сервисы для оперативного обмена документами между вашими юрлицами? А между вашими и не вашими?

  • Прописан ли регламент использования внешних облачных сервисов и мессенджеров во внутренних документах компании? Осуществлено ли уведомление РКН?

  • Оценивали ли вы риски последствий трансграничной передачи данных перед тем, как выдать сотрудникам доступ к условному общему диску на Google?

По моей практике аудитов, ответы показывают, что «привычная схема работы», которая жила годами, уже давно требует полной пересборки, и хорошо, что пока никто не пришёл проверить, как вы там живёте.

Вместо вывода:

Друзья! Я просто напоминаю вам: регуляторам уже давно интересны не только громкие утечки из баз данных крупных экосистем. Иногда им достаточно одного упущенного процесса, одной «безобидной» привычки ваших сотрудников, чтобы у компании возникли миллионные проблемы на ровном месте.

Уверен, что вы хотите сконфигурировать нормальную, устойчивую, безопасную схему. Приходите почитать мои заметки на сайт. А ещё на сайте мы предлагаем в первом приближении чек-листы по самостоятельной проверке ваших схем, не углубляясь в технические подробности, и аспекты работы с облаками.

Штош.

Praemonitus, praemunitus. Предупреждён — вооружён.

Помните: Сегодня никто не будет приходить к вам пешком в офис, чтобы поглядеть, модернизированы ли схемы работы. Проверки удалены и автоматизированы.

Знайте: Порядок сегодня — самостоятельно, завтра — по требованию предписания.

Ваша любимая рубрика ВСТАНЬ И ИДИ

  • Уточните, на чьей территории размещается ваша почта и почта ваших контрагентов

  • Проверьте, был ли произведен отказ от синхронизации и хранения Google Drive, OneDrive, Dropbox и т.п.

  • Вспомните, все ли рабочие дела ходят через корпоративные каналы связи

  • Убедитесь, что для работы с данными клиентов, если и используются мессенджеры, то только российские

Оставляйте заявку на бесплатный экспресс-аудит ИТ-инфраструктуры, текущих процессов и систем на нашем сайте administrators.ru, или свяжитесь с нами удобным для вас образом:

Подписывайтесь и следите за нашими анонсами в нашем телеграм канале @RuAdminGuild!

читать другие статьи

Craftum Конструктор сайтов Craftum