Маскировка не активирована. Одна пятая российских компаний не маскирует персональные данные

Согласно исследованию ООО "Управляющая компания Гарда" (входит в ИКС Холдинг), в каждая пятая российская компания не занимается маскированием персональных данных (ПД), в каждой четвертой нет конкретного ответственного лица за этот процесс. При этом почти половина, около 47%, российских организаций назвали отсутствие четких критериев и границ в законодательстве главным препятствием для применения маскирования.

"Среди других сложностей применения маскирования 16% отметили, что разработчики и аналитики не всегда понимают, какие поля относятся к персональным данным, и как их безопасно обезличивать. Такому же количеству компаний мешает отсутствие унификации процессов и необходимость маскировать данные вручную. Еще 9% указали на потерю ценности данных после обработки, и по 6% - на требования регуляторов предоставить доказательства обезличивания при отсутствии формальных механизмов аудита, а также на наличие квазиидентификаторов, по которым можно восстановить личность даже после маскирования данных", - говорится в сообщении "Гарды".

Согласно ему, почти в 33% компаний за маскирование персональных данных отвечают совместно несколько подразделений, а 27% организаций не имеют закрепленного за процессом сотрудника или отдела. В 23% ответственные - служба информационной безопасности, в 13% - ИТ-отдел, в 5% - разработчики, а у 2% - юристы.

https://www.comnews.ru/content/240525/2025-08-05/2025-w32/1008/roskomna…

По словам руководителя продуктового направления по защите баз данных "Гарды" Дмитрия Ларина, результаты исследования продемонстрировали, что российские компании работают фрагментарно с маскированием персональных данных. По его словам, ручная реализация процессов замедляет работу и оставляет пространство для ошибок, а отсутствие четких правил и единых подходов повышает риски.

"Маскирование - это процесс преобразования данных, в результате которого происходит полная или частичная замена сведений в массиве данных. В России в нормативных документах существует термин "обезличивание". Обезличивание - это частный случай маскирования. Для такого вида обработки данных существуют утвержденные методы", - рассказал Дмитрий Ларин корреспонденту ComNews.

Он отметил существование нормативной базы по обезличиванию для некоторых бизнес-процессов по утвержденным методикам (передача обезличенных сведений по требованию Министерства цифрового развития связи и массовых коммуникаций согласно постановлению правительства РФ от 1 августа 2025 г. 1154), однако это частность. По его словам, во многих других случаях необходимость обезличивания строго не установлена, а когда такая необходимость появляется, то необходимо обращаться к методам, установленными приказом Роскомнадзора от 19 июня 2025 г. 140. Указанные нормативные документы затрагивают только методы обезличивания и не учитывают иные способы маскирования данных.

"Маскирование персональных данных можно возлагать на любое структурное подразделение организации. Но при этом нужно, как минимум, проводить инструктажи, управлять доступом и контролировать работу с ПД и средствами автоматизации маскирования", - сказал он.

https://www.comnews.ru/content/237818/2025-02-18/2025-w08/1007/nichego-…

Старший партнер ООО "ГК Энсайн" (ИТ-Интегратор "Энсайн") Алексей Постригайло согласился, что главным препятствием в маскировке ПД является отсутствие единых критериев и четких требований. Он отметил, что компании вынуждены сами трактовать нормы закона 152-ФЗ "О персональных данных" и это приводит к повышению рисков и разнородности практик. Среди других препятствий он назвал низкую подготовку специалистов, ручные процессы и потерю ценности данных после обработки.

"Формально обязанность обезличивать данные закреплена, но механизмы доказательства и критерии безопасности не определены. Из-за этого бизнес оказывается между "буквой закона" и реальной защитой. На практике драйверами любых изменений выступают либо санкции, либо четкие требования государства. Сейчас ни того, ни другого нет: регуляторная база расплывчата, и поэтому внедрение идет вяло", - рассказал он.

По его мнению, ответственность за процесс маскирования лежит на стыке ИТ и ИБ. Первые реализуют процесс и поддерживают инструменты, вторые - задают правила и методологию. Но он заметил, что пока процесс осуществляется в полуручном режиме, он остается трудоемким и затратным.

"В будущем, я уверен, что при должном уровне вовлечения и необходимости на рынке будут появляться сервисы и продукты на базе искусственного интеллекта, которые помогут автоматизировать маскирование и подобные процессы станут обыденной историей с высокой долей вовлеченности бизнеса", - сказал Алексей Постригайло.

https://www.comnews.ru/content/240926/2025-08-28/2025-w35/1007/proshla-…

О важности проверки работы системы в "боевых" (реальных) условиях упомянула и руководитель продукта Solar Dozor Группы компаний "Солар" Мария Мозгалева. Она отметила, что для создание синтетических данных не всегда помогает для решения этой задачи, так как сложно воссоздать все разнообразие последних.

"Но создание обезличенной базы для тестирования и проверки работы прототипа продуктов часто трудозатратный процесс, который компания может принять решение не делать. Если же по какой-то причине сервер для тестирования или проверки работы прототипа размещен вне периметра, то при отсутствии маскирования данных риск утечки резко возрастает", - сказала она.

По мнению Марии Мозгалевой, за процесс маскирования обычно отвечает ИБ-отдел, так как он отвечает за безопасность компании в целом и всех ее частей. Но при разговоре про ПД ответственность лежит не только на них, но и на владельце данных, и на ИТ-подразделениях.

comnews.ru/content/241144/1010/

По мнению руководителя SOC UserGate uFactor ООО "Юзергейт" Юрия Димова, проблемы с маскированием ПД связаны не с отсутствием четких критериев и границ в законодательстве, а с архитектурными ограничениями. Среди них он назвал интеграционные конфликты (необходимость маскирования могла быть не учтена при разработке), проблемы производительности (увеличение времени обработки, дополнительная нагрузка на "железо") и сложность тестирования на "боевых" системах (риск нарушения работоспособности, сложность отката изменений).

"В случае, когда контролирующая функция возложена на ИТ, при необходимости выполнения бизнес задач есть риск отступления от регуляторных требований, поэтому зоны ответственности лучше разделить", - отметил он.

https://www.comnews.ru/content/233287/2024-05-22/2024-w21/1008/rossii-o…

Генеральный директор компании компании "Тантор Лабс" (входит в "Группу Астра") Вадим Яценко рассказал, что на пути успешного внедрения маскирования персональных данных компании сталкиваются с несколькими ключевыми препятствиями. Среди них недостаток внутренней экспертизы, разработчики или аналитики не могут самостоятельно и точно идентифицировать все чувствительные поля, создать процедуры и правильно выбрать алгоритмы маскирования без потери функциональности данных для бизнес-задач, отсутствие единого центра ответственности за процесс и отсутствие автоматизированных инструментов, что приводит к необходимости маскировать данные вручную для разнородных систем.

"Случается, что нормативы часто носят рамочный и недостаточно детализированный характер, пространство для субъективного толкования как со стороны компаний, так и со стороны регуляторов. Компаниям приходится одновременно учитывать требования не только 152-ФЗ, но и отраслевых стандартов, что создает сложный клубок правил, который трудно унифицировать. Есть и проблема "доказательности", когда требования регуляторов предоставить доказательства того, что данные обезличены могут быть не подкреплены формализованными и общепринятыми механизмами такого аудита. Компании оказываются в ситуации, когда они должны самостоятельно разрабатывать и доказывать адекватность выбранных методов. Таким образом, основная проблема – это детализация требований и утверждение на государственном уровне методик, стандартов и чек-листов, которые снимут основную неопределенность", - рассказал Вадим Яценко.

https://www.comnews.ru/content/241000/2025-09-02/2025-w36/1008/koliches…

По его мнению, успех процесса маскирования возможен только при тесном партнерстве и разделении зон ответственности между ИБ- и ИТ-отделами. В данном случае специалисты первого становятся архитекторами контроля и экспертами комплаенса, определяющими какие данные являются являются чувствительными, оценивающие риски и выбирающие методы маскирования, и работающие над проверкой эффективности внутренних мер и обеспечением доказательности обезличивания для аудита. А вторые - займуться внедрением выбранных методов и инструментов непосредственно в инфраструктуру.

"Также ИТ может встраивать процессы маскирования в жизненный цикл разработки, следить за бесперебойной работой инструментов, поддерживать производительность, ведь даже маскирование при определенных условиях может стать "бутылочным горлышком". Как нам кажется, модель, при которой ИБ-департамент выступает в роли заказчика требований, а ИТ-команды - в роли исполнителя, вполне разумна и жизнеспособна. Создание кросс-функциональной рабочей группы с участием юристов и бизнес-аналитиков также будет эффективно, поскольку позволит сочетать глубокое понимание нормативных требований с адекватными техническими возможностями их реализации", - заключил Вадим Яценко.