Перейти к содержимому
152-ФЗперсональные данныеcomplianceштрафы

152-ФЗ и API: что нужно знать бизнесу в 2026

9 минVAHREST Team

Новая реальность: оборотные штрафы за утечки

С 30 мая 2025 года вступили в силу поправки к КоАП, которые кардинально изменили экономику защиты персональных данных. Если раньше штраф за утечку составлял 60-100 тысяч рублей (что многие компании воспринимали как «стоимость ведения бизнеса»), то теперь ситуация принципиально иная.

Новая шкала штрафов

За первичную утечку персональных данных:

  • От 1 000 до 10 000 субъектов: штраф от 3 до 5 млн рублей
  • От 10 000 до 100 000 субъектов: от 5 до 10 млн рублей
  • Более 100 000 субъектов: от 10 до 15 млн рублей

За повторную утечку:

  • Оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей

За утечку специальных категорий ПДн (биометрия, здоровье, политические взгляды):

  • Штрафы увеличиваются кратно

Для среднего финтех-стартапа с выручкой 500 млн рублей повторная утечка может обойтись в 5-15 млн рублей. Для крупного банка -- в сотни миллионов.

Почему API -- главный канал утечек

По статистике ФСТЭК и отраслевых отчётов за 2025 год, API являются причиной более 40% утечек персональных данных в технологических компаниях. Причины:

1. API напрямую работают с ПДн. Каждый эндпоинт регистрации, профиля пользователя, истории заказов -- это точка, через которую ПДн передаются, хранятся и обрабатываются.

2. Shadow API. Компании в среднем не знают о 30-40% своих API-эндпоинтов. Устаревшие версии, тестовые эндпоинты, внутренние сервисы -- все они могут содержать ПДн без надлежащей защиты.

3. BOLA-уязвимости. Самая распространённая уязвимость API: подмена идентификатора в запросе позволяет получить данные другого пользователя. Один запрос -- одна утечка.

4. Отсутствие логирования. Многие API не логируют доступ к ПДн, что делает невозможным обнаружение и расследование утечки.

16 организационно-распорядительных документов (ОРД)

Помимо технической защиты, 152-ФЗ требует наличия пакета организационных документов. Для компании, обрабатывающей ПДн через API, минимальный комплект включает:

  1. 1Политика обработки ПДн -- публикуется на сайте
  2. 2Приказ о назначении ответственного за организацию обработки ПДн
  3. 3Перечень ПДн -- какие данные обрабатываете, в каких системах
  4. 4Модель угроз -- актуальные угрозы для ваших ИСПДн
  5. 5Уровень защищённости -- определяется по ПП-1119
  6. 6Приказ об установлении УЗ для каждой ИСПДн
  7. 7Перечень СЗИ -- используемые средства защиты
  8. 8Регламент реагирования на инциденты -- включая уведомление Роскомнадзора в течение 24 часов
  9. 9Акт оценки вреда субъектам ПДн
  10. 10Согласия на обработку -- формы для каждой цели обработки
  11. 11Поручения на обработку -- для передачи ПДн подрядчикам
  12. 12Регламент уничтожения ПДн
  13. 13Журнал учёта обращений субъектов
  14. 14Акт классификации ИСПДн
  15. 15Приказ о допуске сотрудников к обработке ПДн
  16. 16Инструкция пользователя ИСПДн

Отсутствие любого из этих документов -- основание для предписания и штрафа при проверке Роскомнадзора.

Техническая защита API в контексте 152-ФЗ

Закон требует принимать технические меры защиты, соответствующие установленному уровню защищённости (УЗ-1 -- УЗ-4). Для API это означает:

Идентификация и аутентификация (ИАФ)

  • Многофакторная аутентификация для доступа к ПДн
  • Сильные механизмы API-аутентификации (OAuth 2.0, JWT с ротацией)
  • Блокировка после N неудачных попыток
  • Логирование всех попыток аутентификации

Управление доступом (УПД)

  • Ролевая модель доступа к API-эндпоинтам с ПДн
  • Принцип минимальных привилегий
  • Разграничение доступа на уровне объектов (защита от BOLA)
  • Регулярный пересмотр прав доступа

Защита информации при передаче (ЗИС)

  • TLS 1.2+ для всех API-соединений
  • Шифрование ПДн в теле запросов/ответов
  • Certificate pinning для мобильных клиентов
  • Защита от MITM-атак

Регистрация событий (РСБ)

  • Логирование всех операций с ПДн через API
  • Хранение логов не менее 6 месяцев
  • Защита логов от модификации
  • Мониторинг аномалий доступа

Контроль целостности (ОЦЛ)

  • Контроль целостности API-спецификаций
  • Проверка подписей webhook-запросов
  • Валидация входных данных (защита от injection)

Уведомление Роскомнадзора: 24 часа

С 2025 года оператор ПДн обязан уведомить Роскомнадзор об утечке в течение 24 часов с момента обнаружения. В течение 72 часов -- предоставить результаты внутреннего расследования.

Для API-утечек это создаёт дополнительные требования:

  • Автоматическое обнаружение аномального доступа к данным
  • Готовый playbook реагирования на API-инциденты
  • Инструменты для быстрого определения масштаба утечки (какие данные, скольких субъектов затронуло)

Как VAHREST помогает соответствовать 152-ФЗ

VAHREST не заменяет юридическую работу с ОРД, но закрывает техническую сторону:

Инвентаризация API. Автоматическое обнаружение всех эндпоинтов, включая shadow API. Вы точно знаете, где в вашей инфраструктуре обрабатываются ПДн.

Проверка авторизации. Тестирование BOLA/BFLA -- основных причин утечек через API. VAHREST проверяет каждый эндпоинт на возможность несанкционированного доступа к данным.

Анализ TLS. Проверка конфигурации шифрования: версия TLS, cipher suites, сертификаты.

Отчёт для регулятора. Генерация отчёта с маппингом на требования 152-ФЗ и Приказа ФСТЭК No 21. Документ, который можно предъявить при проверке как подтверждение проведения оценки защищённости.

Регулярное сканирование. Расписание сканирования позволяет демонстрировать непрерывный контроль защищённости -- ключевое требование при проверках.

Практический чеклист для бизнеса

Минимальный набор действий для снижения рисков:

  • Провести инвентаризацию всех API, работающих с ПДн
  • Определить уровень защищённости для каждой ИСПДн
  • Внедрить авторизацию на уровне объектов (защита от BOLA)
  • Настроить TLS 1.2+ на всех API-эндпоинтах
  • Включить логирование операций с ПДн
  • Подготовить 16 ОРД
  • Настроить мониторинг аномалий доступа
  • Уведомить Роскомнадзор об обработке ПДн (если ещё не сделано)
  • Запустить регулярное сканирование API на уязвимости
  • Разработать playbook реагирования на утечки

Итоги

152-ФЗ с оборотными штрафами -- не теоретическая угроза. Роскомнадзор уже выписывает штрафы по новым ставкам. API -- главный канал утечек, и техническая защита API -- необходимое условие соответствия закону.

Инвестиция в безопасность API сегодня -- это не только защита от штрафов, но и защита репутации. Одна публичная утечка может стоить бизнесу значительно больше любого штрафа.

Попробуйте VAHREST бесплатно

Запустите сканирование вашего API и получите отчёт с оценкой соответствия требованиям 152-ФЗ. Бесплатный тариф включает базовый compliance-анализ.

Попробуйте VAHREST бесплатно

Зарегистрируйтесь и запустите первый пентест вашего API за 5 минут.

Начать бесплатно
Все статьи