Разговор, который регулярно повторяется в компаниях, где списание оборудования оформлено, а вывод из эксплуатации — нет.
— Сервер списали?
— Да, еще в прошлом квартале.
— А носители данных обработали?
— Какие носители?
Здесь и происходит подмена: в бухгалтерии галочка стоит, а диски с данными всё ещё где-то есть — просто теперь за ними никто не следит. Списать сервер и вывести его из эксплуатации — две разные задачи. Первую закрывает бухгалтер одной проводкой. Вторую не закрывает никто, пока кто-то не вынул диск, не стёр его и не оформил бумагу, что стёр.

Обычно учёт актива ведут аккуратно, пока он работает: купили, поставили на баланс, выдали, чинили, перемещали. А как доходит до «пора выбрасывать» — процесс рассыпается. Списанием занимается бухгалтерия, дисками — ИТ, бумагами — юристы, вывозом — подрядчик, и между ними никто не главный. Актив закрывают в учёте раньше, чем реально разбираются с данными на нём.
«Списано» и «утилизировано» описывают разные события. Списание снимает оборудование с баланса. Что происходит с дисками после — зависит от того, есть ли в компании регламент, назначенный ответственный и система, которая не даст ничему выпасть. В большинстве компаний нет ни того, ни другого, ни третьего.
Мы — команда SimpleOne ITAM, и в этой статье разберём три сценария, в которых данные ушли именно потому, что утилизацию никто не контролировал, объясним, чем это грозит по 152-ФЗ, и покажем, как выстроить процесс так, чтобы у регулятора не было вопросов.
Дисклеймер: мы разработчики ITAM-системы, поэтому у нас есть коммерческий интерес в теме. Но кейсы и цифры в статье не привязаны к конкретному продукту — они актуальны независимо от того, какое решение для управления ИТ-активами вы выберете.
Три истории, которые заканчиваются одинаково
Три истории ниже — из разных мест: серверная, склад, бухгалтерия. Но ломается везде одинаково. Между «решили списать» и «реально вывели из эксплуатации» есть промежуток, за который никто не отвечает. Нет человека, который обязан сделать следующий шаг, — и данные утекают ровно в этот промежуток.
1. Сервер с данными HR-отдела уехал на свалку
Компания обновляла серверное оборудование: старые машины передали подрядчику-утилизатору, документы по списанию подписали, заявки закрыли. Позже выяснилось, что на этапе вывода из эксплуатации никто не проверил состав оборудования и наличие носителей: диски не были выделены как отдельный объект контроля, не были извлечены и не прошли санацию. На них оставались персональные данные сотрудников — паспорта, СНИЛС, трудовые договоры, зарплатные ведомости. После передачи оборудования подрядчику цепочка владения носителями уже не отслеживалась, а подтвердить, кто и когда получил доступ к данным, стало невозможно.

И сломалось это не на свалке, а гораздо раньше — в тот момент, когда сервер разрешили списать, ни разу не спросив: «а диски-то вынули?». Пока в процессе нет шага, который нельзя пропустить, — всё держится на том, вспомнит инженер про диск или нет. В этот раз не вспомнил.
2. Новый сотрудник получил ноутбук с чужими данными
Сотрудник уволился, ноутбук вернули на склад и через некоторое время выдали следующему пользователю. Перед повторной выдачей устройство не прошло нормальный redeployment: систему не переустановили, локальные данные не очистили, привязки к учетным записям и защитным средствам не перепроверили.
В результате на устройстве могли сохраниться рабочие документы, кэш браузера, токены сессий, сохраненные пароли и другие следы предыдущего пользователя.

Это не только риск утечки данных, но и признак того, что в компании не связаны между собой offboarding, управление корпоративными устройствами и ITAM. Отдельная проблема — лицензионные и программные зависимости: не все лицензии можно просто «перенести», а часть из них требует корректной деактивации или формального reassignment в соответствии с правилами вендора.
3. Списанное оборудование простояло в углу три года
МФУ вышло из строя, бухгалтерия закрыла позицию в учете, и на этом контроль фактически закончился.
Это классический разрыв между техническим и бухгалтерским учетом — мы разбирали его отдельно в нашей статье на Хабре.
Договор с утилизирующей организацией к тому моменту истек, новый договор застрял на согласовании, а сотрудник, который вел тему, уволился без формальной передачи задачи. Через несколько лет уже никто не может уверенно сказать, что именно хранилось во внутренней памяти устройства, какие документы на нем печатались, сканировались или кэшировались.

Именно такие активы особенно опасны в enterprise-среде: не только серверы, но и МФУ, ноутбуки, рабочие станции, сетевые устройства и прочее оборудование со встроенной памятью легко выпадают из поля зрения после списания. Пока актив в эксплуатации, у него обычно есть владелец, локация и operational context; после списания у многих компаний исчезает и владелец процесса, и контрольная дата, и обязанность довести вывод из эксплуатации до конца.
Это не гипотетика
В 2016 году Morgan Stanley закрывал два дата-центра и нанял подрядчика для вывода оборудования из эксплуатации. Подрядчик, вместо того чтобы уничтожить диски, продал устройства с незачищенными данными на вторичный рынок — часть из них ушла на онлайн-аукцион.
На дисках хранились персональные данные 15 миллионов клиентов: номера социального страхования, данные счетов, даты рождения. OCC оштрафовал банк на $60 млн ещё в 2020 году, SEC — на $35 млн в 2022-м, а групповой иск клиентов урегулировали на $60 млн.
Итого: одна ошибка при утилизации обошлась в $155 млн.
Сколько стоит забытый сервер
Дело не в цене самого сервера. Как только на списанном железе находят персональные данные, история перестаёт быть айтишной — приходят юристы, регулятор и начальство. И спрашивают не «почему сервер уже не на балансе», а «докажите, что диски стёрли, и покажите, как именно». Нет бумаги, что стёрли, — считай, не стёр.
С 30.05.2025 в России действуют ужесточенные санкции за нарушения в сфере персональных данных.
Для организаций штрафы за утечки зависят от масштаба инцидента и могут доходить до 15 млн рублей, за непредставление уведомления об утечке — до 3 млн рублей, а за повторные нарушения предусмотрены оборотные штрафы в процентах от выручки в установленных законом пределах.
Поэтому при проверке или расследовании критичен не только сам факт списания оборудования, а комплект подтверждающих документов по выводу из эксплуатации. Если компания не может показать, кто принял решение, какие носители были выявлены, каким методом проводилась санация, кто подтвердил результат и на каком основании актив был передан подрядчику или уничтожен, ее позиция резко слабеет — даже если оборудование физически давно вывезено.
Штраф — это то, что видно. Дальше начинается то, что в отчёт не попадает: поднимают всю инвентаризацию, ищут по почте, кто что подписывал, трясут подрядчиков, задним числом собирают процесс, которого не было. Недели работы команды на разгребание того, что один нормальный регламент закрыл бы заранее.
По данным совместного исследования InfoWatch и ЦИРКОН (2024), средний ущерб российской компании от одного инцидента с утечкой данных составляет 11,5 млн рублей, а по максимальным оценкам — более 41 млн. Самые дорогие статьи расходов — до 5 млн рублей каждая: сорванные сделки, аудит информационной безопасности, обучение персонала.
Как закрыть риск: от списания до подтвержденной утилизации
Такой процесс не сводится к одному акту и не должен зависеть от памяти конкретного сотрудника. На практике нужен формализованный сценарий вывода из эксплуатации, в котором есть владелец процесса, обязательные контрольные шаги, точки эскалации и запрет на финальное закрытие актива без подтверждающих артефактов.

1. Зафиксировать решение о списании
Списание — это не только проводка в бухгалтерии. Это ещё и сигнал ИТ: с этой минуты запускается вывод из эксплуатации, и до его конца актив трогать нельзя. Причина, по которой списываем, роли не играет — сломался, устарел (EOL/EOS), вышел из аренды, дешевле заменить, чем чинить. Важно другое: пока не сделаны все шаги по выводу, актив не «закрыт», чем бы ни говорила бухгалтерская карточка.
О том, как устроены все шесть этапов жизненного цикла актива, мы уже рассказывали в нашей статье на Хабре «Жизненный цикл ИТ-актива».
2. Найти и зафиксировать носители данных и работоспособные компоненты
На этом этапе сначала нужно выявить все носители и компоненты с памятью, а уже потом отдельно решать вопрос с пригодными к повторному использованию частями. Речь идет не только о жестких дисках и SSD, но и о встроенной памяти МФУ, flash-накопителях, кэш-модулях, накопителях в сетевом оборудовании и других data-bearing media, которые часто не воспринимаются как самостоятельный объект контроля.

Если сведения об активе, его составе и конфигурации не поддерживаются в актуальном реестре активов или CMDB, этот шаг быстро превращается в ручной поиск «по памяти инженеров».
Параллельно нужно проверить программные и лицензионные зависимости: какие лицензии привязаны к устройству, какие можно корректно деактивировать или перенести по условиям вендора, а какие прекращаются вместе с выводом оборудования из эксплуатации.
3. Уничтожить или гарантированно очистить данные
Удаление файлов, быстрое форматирование или переустановка ОС сами по себе не считаются достаточной санацией данных.
Для защищенного сценария нужен формализованный метод гарантированного уничтожения данных на носителях, который соответствует типу носителя и уровню чувствительности данных; NIST (стандарт 800-88 «Media Sanitization») определяет гарантированное уничтожение данных как процесс, при котором доступ к информации на носителе становится практически невозможным при заданном уровне усилий, и подчеркивает важность не только выбора метода, но и выстроенной программы управления, проверки применимости метода и подтверждения результата.
На практике это означает, что подходы к HDD, SSD и встроенной flash-памяти не должны описываться одной строкой «стерли диск». Для части носителей допустима логическая санация, для части — более жесткие методы, а в некоторых случаях разумнее и безопаснее физическое уничтожение. Выбор метода, подтверждение применимости и фиксация результата должны быть обязательной частью процесса, а не импровизацией инженера в последний момент.
4. Передать оборудование на утилизацию по договору
Передача подрядчику должна быть завершающим, а не первым шагом контроля. До этого компания должна понимать, кто именно отвечает за извлечение носителей, кто за санацию данных, кто за физическое уничтожение, какие документы выдаются по итогам и в какой момент ответственность переходит другой стороне. Все это должно быть зафиксировано не «по договоренности», а в договоре, приложениях и операционной практике взаимодействия.
Для части активов возможна не только утилизация, но и возврат лизингодателю, поставщику, производителю по trade-in или другой схеме. В этих сценариях требования к санации носителей не снижаются: если актив уходит за пределы компании, то вопрос «кто и чем подтвердил отсутствие данных» становится еще важнее.
5. Закрыть карточку актива и сохранить документы
Карточка актива не должна переходить в финальный статус, пока не заполнены обязательные атрибуты вывода из эксплуатации: дата, основание, владелец процесса, судьба носителей, метод санации, контрагент, номер и дата подтверждающих документов. Это критично и для операционного контроля, и для последующих проверок, когда восстановить историю нужно быстро и без ручного поиска по почте и чатам.
Зрелый процесс обычно устроен так, что статус «утилизировано» или его эквивалент нельзя установить без полного набора обязательных полей и артефактов. Иначе система фиксирует не завершение жизненного цикла, а только административное желание поскорее закрыть карточку и убрать неудобный актив из поля зрения.
Чего точно не надо делать: антигайд
Ошибки при выводе техники из эксплуатации — почти никогда не злой умысел. Обычно это «думали, кто-нибудь разберётся»: процесса нет, ответственность размыта, а «стёрли и ладно» считается достаточным. Три ошибки ниже повторяются из компании в компанию и заканчиваются одинаково — все уверены, что всё сделано правильно, а на проверке подтвердить это нечем.
1. Считать, что удалил файлы — значит уничтожил данные
Удаление, форматирование и переустановка системы данные не стирают — их несложно восстановить. Пока носитель не прошёл настоящую санацию или физическое уничтожение, да ещё с документом на руках, для проверяющего данные никуда не делись.
2. Отдать технику подрядчику, не договорившись, кто отвечает за очистку
Передали железо «на утилизацию», а кто вытаскивает диски, кто их чистит и чем это подтверждается — заранее не оговорили. Дальше сценарий один: оборудование вывезли, а на вопрос «где гарантия, что данные стёрли?» ответить некому.
3. Не назначить ответственного прямо в момент списания
Пока у задачи нет конкретного человека, срока и точки эскалации, она всегда проигрывает более срочным делам. А если весь контроль держится на одном сотруднике — он рухнет в первый же отпуск, увольнение или смену подрядчика.
О том, что бывает, когда учёт активов живёт в голове одного человека, рассказывали на Хабре.
Утилизация — последний контрольный пункт жизненного цикла актива
Утилизация — это не «хвост» процесса, а последний обязательный контрольный пункт жизненного цикла актива.
Ошибки на этапах закупки, эксплуатации или ремонта часто можно исправить; ошибку, из-за которой данные ушли вместе со списанным активом, исправить уже нельзя, потому что после потери контроля над носителем компания перестает контролировать и масштаб последствий.

Поэтому вывод из эксплуатации нельзя держать в стороне — он такой же этап, как закупка, выдача или ремонт, и жить должен там же, в общей системе учёта. Пока списание висит отдельно от карточки актива и его можно закрыть, не доведя до конца, — жизненный цикл разорван. А раз он разорван, значит и данные всё ещё где-то есть, просто вы об этом не знаете.
Резюме
Данные на списанном оборудовании остаются данными до тех пор, пока носитель не прошел корректную санацию или физическое уничтожение, а результат не подтвержден документально. Риск закрывается не актом списания, а управляемым процессом вывода из эксплуатации: с владельцем, контролем носителей, корректным методом обработки данных, проверяемыми артефактами и запретом финально закрыть актив до завершения всех шагов.
***
А как у вас выстроен этот процесс — есть регламент и назначенный ответственный, или утилизация пока живёт в серой зоне?
