Списали сервер. Диск не стерли. Данные HR-отдела уехали на свалку

от автора

Разговор, который регулярно повторяется в компаниях, где списание оборудования оформлено, а вывод из эксплуатации — нет.

— Сервер списали?
— Да, еще в прошлом квартале.
— А носители данных обработали?
— Какие носители?

Именно в этот момент компания обычно теряет не актив, а контроль над носителями, данными и доказательной базой по их уничтожению. Списание в бухгалтерском контуре не означает завершение жизненного цикла актива в ITAM: до тех пор, пока не завершены санация данных, передача на утилизацию или возврат контрагенту и фиксация подтверждающих документов, риск остается открытым.

Во многих компаниях учет ИТ-активов выстроен по понятной логике: закупка, постановка на баланс, эксплуатация, ремонт, перемещения. Но последний этап — списание и утилизация — часто остается не операционным процессом, а набором разрозненных действий между ИТ, бухгалтерией, ИБ, юристами, закупками и подрядчиком. В результате карточка актива закрывается раньше, чем компания действительно теряет право хранить на нем данные.

«Списано» и «утилизировано» описывают разные события. Списание снимает оборудование с баланса. Что происходит с дисками после — зависит от того, есть ли в компании регламент, назначенный ответственный и система, которая не даст ничему выпасть. В большинстве компаний нет ни того, ни другого, ни третьего.

Мы — команда SimpleOne ITAM, и в этой статье разберём три сценария, в которых данные ушли именно потому, что утилизацию никто не контролировал, объясним, чем это грозит по 152-ФЗ, и покажем, как выстроить процесс так, чтобы у регулятора не было вопросов.

Дисклеймер: мы разработчики ITAM-системы, поэтому у нас есть коммерческий интерес в теме. Но кейсы и цифры в статье не привязаны к конкретному продукту — они актуальны независимо от того, какое решение для управления ИТ-активами вы выберете.

Три истории, которые заканчиваются одинаково

У каждой из трёх историй ниже своя обстановка — серверная, склад, бухгалтерия — но одна и та же механика сбоя: в какой-то момент между решением о списании и реальным выводом из эксплуатации разрывается цепочка контроля. Нет ответственного за следующий шаг, нет обязательного чеклиста, нет статуса, который нельзя выставить, пока не завершены нужные действия. Именно в этот зазор уходят данные.

1. Сервер с данными HR-отдела уехал на свалку

Компания обновляла серверное оборудование: старые машины передали подрядчику-утилизатору, документы по списанию подписали, заявки закрыли. Позже выяснилось, что на этапе вывода из эксплуатации никто не проверил состав оборудования и наличие носителей: диски не были выделены как отдельный объект контроля, не были извлечены и не прошли санацию. На них оставались персональные данные сотрудников — паспорта, СНИЛС, трудовые договоры, зарплатные ведомости. После передачи оборудования подрядчику цепочка владения носителями уже не отслеживалась, а подтвердить, кто и когда получил доступ к данным, стало невозможно.

Проблема в таком сценарии возникает не в момент утилизации, а раньше — когда у компании нет обязательного шага «проверить наличие носителей данных и зафиксировать их судьбу». Если актив можно списать, не подтвердив, что с носителями данных выполнены необходимые действия, жизненный цикл актива фактически обрывается в самой уязвимой точке.

2. Новый сотрудник получил ноутбук с чужими данными

Сотрудник уволился, ноутбук вернули на склад и через некоторое время выдали следующему пользователю. Перед повторной выдачей устройство не прошло нормальный redeployment: систему не переустановили, локальные данные не очистили, привязки к учетным записям и защитным средствам не перепроверили.

В результате на устройстве могли сохраниться рабочие документы, кэш браузера, токены сессий, сохраненные пароли и другие следы предыдущего пользователя.

Это не только риск утечки данных, но и признак того, что в компании не связаны между собой offboarding, управление корпоративными устройствами и ITAM. Отдельная проблема — лицензионные и программные зависимости: не все лицензии можно просто «перенести», а часть из них требует корректной деактивации или формального reassignment в соответствии с правилами вендора.

3. Списанное оборудование простояло в углу три года

МФУ вышло из строя, бухгалтерия закрыла позицию в учете, и на этом контроль фактически закончился.

Это классический разрыв между техническим и бухгалтерским учетом — мы разбирали его отдельно в нашей статье на Хабре.

Договор с утилизирующей организацией к тому моменту истек, новый договор застрял на согласовании, а сотрудник, который вел тему, уволился без формальной передачи задачи. Через несколько лет уже никто не может уверенно сказать, что именно хранилось во внутренней памяти устройства, какие документы на нем печатались, сканировались или кэшировались.

Именно такие активы особенно опасны в enterprise-среде: не только серверы, но и МФУ, ноутбуки, рабочие станции, сетевые устройства и прочее оборудование со встроенной памятью легко выпадают из поля зрения после списания. Пока актив в эксплуатации, у него обычно есть владелец, локация и operational context; после списания у многих компаний исчезает и владелец процесса, и контрольная дата, и обязанность довести вывод из эксплуатации до конца.

Это не гипотетика

В 2016 году Morgan Stanley закрывал два дата-центра и нанял подрядчика для вывода оборудования из эксплуатации. Подрядчик, вместо того чтобы уничтожить диски, продал устройства с незачищенными данными на вторичный рынок — часть из них ушла на онлайн-аукцион.

На дисках хранились персональные данные 15 миллионов клиентов: номера социального страхования, данные счетов, даты рождения. OCC оштрафовал банк на $60 млн ещё в 2020 году, SEC — на $35 млн в 2022-м, а групповой иск клиентов урегулировали на $60 млн.

Итого: одна ошибка при утилизации обошлась в $155 млн.

Сколько стоит забытый сервер

Потери в такой ситуации не сводятся к стоимости самого оборудования. Если на списанном активе остались персональные данные, вопрос быстро выходит за рамки ИТ и становится проблемой юридической, регуляторной и управленческой: компании нужны не объяснения, почему сервер уже «не на балансе», а доказательства того, что носители были обработаны надлежащим образом и что процедура была воспроизводимой и документированной.

С 30.05.2025 в России действуют ужесточенные санкции за нарушения в сфере персональных данных.

Для организаций штрафы за утечки зависят от масштаба инцидента и могут доходить до 15 млн рублей, за непредставление уведомления об утечке — до 3 млн рублей, а за повторные нарушения предусмотрены оборотные штрафы в процентах от выручки в установленных законом пределах.

Поэтому при проверке или расследовании критичен не только сам факт списания оборудования, а комплект подтверждающих документов по выводу из эксплуатации. Если компания не может показать, кто принял решение, какие носители были выявлены, каким методом проводилась санация, кто подтвердил результат и на каком основании актив был передан подрядчику или уничтожен, ее позиция резко слабеет — даже если оборудование физически давно вывезено.

Штраф — только видимая часть ущерба. На практике после такого инцидента начинаются внеплановая инвентаризация, внутреннее расследование, проверка подрядчиков, аудит хвостов в учетных системах, ручной поиск документов и пересборка процесса задним числом. Для инфраструктурной и операционной команды это почти всегда дороже и болезненнее, чем изначально построить нормальный процесс вывода оборудования из эксплуатации.

По данным совместного исследования InfoWatch и ЦИРКОН (2024), средний ущерб российской компании от одного инцидента с утечкой данных составляет 11,5 млн рублей, а по максимальным оценкам — более 41 млн. Самые дорогие статьи расходов — до 5 млн рублей каждая: сорванные сделки, аудит информационной безопасности, обучение персонала. 

Как закрыть риск: от списания до подтвержденной утилизации

Такой процесс не сводится к одному акту и не должен зависеть от памяти конкретного сотрудника. На практике нужен формализованный сценарий вывода из эксплуатации, в котором есть владелец процесса, обязательные контрольные шаги, точки эскалации и запрет на финальное закрытие актива без подтверждающих артефактов.

Так процесс вывода из эксплуатации выглядит в SimpleOne ITAM

Так процесс вывода из эксплуатации выглядит в SimpleOne ITAM

1. Зафиксировать решение о списании

Решение о списании должно оформляться не только как бухгалтерское, но и как операционное событие, которое запускает обязательный сценарий вывода из эксплуатации. Основания могут быть разными: техническая неисправность, EOL/EOS, экономическая нецелесообразность ремонта, плановое обновление парка оборудования, возврат из аренды или лизинга, несоответствие стандарту. Важно не само основание, а то, что с этого момента актив нельзя считать «закрытым», пока не завершены все действия по выводу из эксплуатации.

О том, как устроены все шесть этапов жизненного цикла актива, мы уже рассказывали в нашей статье на Хабре «Жизненный цикл ИТ-актива».

2. Найти и зафиксировать носители данных и работоспособные компоненты

На этом этапе сначала нужно выявить все носители и компоненты с памятью, а уже потом отдельно решать вопрос с пригодными к повторному использованию частями. Речь идет не только о жестких дисках и SSD, но и о встроенной памяти МФУ, flash-накопителях, кэш-модулях, накопителях в сетевом оборудовании и других data-bearing media, которые часто не воспринимаются как самостоятельный объект контроля.

Если сведения об активе, его составе и конфигурации не поддерживаются в актуальном реестре активов или CMDB, этот шаг быстро превращается в ручной поиск «по памяти инженеров».

Параллельно нужно проверить программные и лицензионные зависимости: какие лицензии привязаны к устройству, какие можно корректно деактивировать или перенести по условиям вендора, а какие прекращаются вместе с выводом оборудования из эксплуатации.

3. Уничтожить или гарантированно очистить данные

Удаление файлов, быстрое форматирование или переустановка ОС сами по себе не считаются достаточной санацией данных.

Для защищенного сценария нужен формализованный метод гарантированного уничтожения данных на носителях, который соответствует типу носителя и уровню чувствительности данных; NIST (стандарт 800-88 «Media Sanitization») определяет гарантированное уничтожение данных как процесс, при котором доступ к информации на носителе становится практически невозможным при заданном уровне усилий, и подчеркивает важность не только выбора метода, но и выстроенной программы управления, проверки применимости метода и подтверждения результата.

На практике это означает, что подходы к HDD, SSD и встроенной flash-памяти не должны описываться одной строкой «стерли диск». Для части носителей допустима логическая санация, для части — более жесткие методы, а в некоторых случаях разумнее и безопаснее физическое уничтожение. Выбор метода, подтверждение применимости и фиксация результата должны быть обязательной частью процесса, а не импровизацией инженера в последний момент.

4. Передать оборудование на утилизацию по договору

Передача подрядчику должна быть завершающим, а не первым шагом контроля. До этого компания должна понимать, кто именно отвечает за извлечение носителей, кто за санацию данных, кто за физическое уничтожение, какие документы выдаются по итогам и в какой момент ответственность переходит другой стороне. Все это должно быть зафиксировано не «по договоренности», а в договоре, приложениях и операционной практике взаимодействия.

Для части активов возможна не только утилизация, но и возврат лизингодателю, поставщику, производителю по trade-in или другой схеме. В этих сценариях требования к санации носителей не снижаются: если актив уходит за пределы компании, то вопрос «кто и чем подтвердил отсутствие данных» становится еще важнее.

5. Закрыть карточку актива и сохранить документы

Карточка актива не должна переходить в финальный статус, пока не заполнены обязательные атрибуты вывода из эксплуатации: дата, основание, владелец процесса, судьба носителей, метод санации, контрагент, номер и дата подтверждающих документов. Это критично и для операционного контроля, и для последующих проверок, когда восстановить историю нужно быстро и без ручного поиска по почте и чатам.

Зрелый процесс обычно устроен так, что статус «утилизировано» или его эквивалент нельзя установить без полного набора обязательных полей и артефактов. Иначе система фиксирует не завершение жизненного цикла, а только административное желание поскорее закрыть карточку и убрать неудобный актив из поля зрения.

Чего точно не надо делать: антигайд

Ошибки при выводе техники из эксплуатации — почти никогда не злой умысел. Обычно это «думали, кто-нибудь разберётся»: процесса нет, ответственность размыта, а «стёрли и ладно» считается достаточным. Три ошибки ниже повторяются из компании в компанию и заканчиваются одинаково — все уверены, что всё сделано правильно, а на проверке подтвердить это нечем.

1. Считать, что удалил файлы — значит уничтожил данные

Удаление, форматирование и переустановка системы данные не стирают — их несложно восстановить. Пока носитель не прошёл настоящую санацию или физическое уничтожение, да ещё с документом на руках, для проверяющего данные никуда не делись.

2. Отдать технику подрядчику, не договорившись, кто отвечает за очистку

Передали железо «на утилизацию», а кто вытаскивает диски, кто их чистит и чем это подтверждается — заранее не оговорили. Дальше сценарий один: оборудование вывезли, а на вопрос «где гарантия, что данные стёрли?» ответить некому.

3. Не назначить ответственного прямо в момент списания

Пока у задачи нет конкретного человека, срока и точки эскалации, она всегда проигрывает более срочным делам. А если весь контроль держится на одном сотруднике — он рухнет в первый же отпуск, увольнение или смену подрядчика.

О том, что бывает, когда учёт активов живёт в голове одного человека, рассказывали на Хабре.

Утилизация — последний контрольный пункт жизненного цикла актива

Утилизация — это не «хвост» процесса, а последний обязательный контрольный пункт жизненного цикла актива.

Ошибки на этапах закупки, эксплуатации или ремонта часто можно исправить; ошибку, из-за которой данные ушли вместе со списанным активом, исправить уже нельзя, потому что после потери контроля над носителем компания перестает контролировать и масштаб последствий.

Поэтому вывод из эксплуатации должен жить в том же контуре управления, что и закупка, ввод в эксплуатацию, перемещения, ремонты и возвраты. Пока этот этап не связан с реестром активов, задачами, статусами, документами и запретом на преждевременное закрытие актива, жизненный цикл остается незамкнутым — а значит, контроль над данными в реальности не завершён.

Резюме

Данные на списанном оборудовании остаются данными до тех пор, пока носитель не прошел корректную санацию или физическое уничтожение, а результат не подтвержден документально. Риск закрывается не актом списания, а управляемым процессом вывода из эксплуатации: с владельцем, контролем носителей, корректным методом обработки данных, проверяемыми артефактами и запретом финально закрыть актив до завершения всех шагов.

***

А как у вас выстроен этот процесс — есть регламент и назначенный ответственный, или утилизация пока живёт в серой зоне?

ссылка на оригинал статьи https://habr.com/ru/articles/1056422/