Защита персональных данных по 152-ФЗ — практический гид для организаций

Защита персональных данных — это совокупность правовых, организационных и технических мер, обеспечивающих конфиденциальность, целостность и доступность ПДн при их обработке. Цель защиты — предотвратить несанкционированный доступ, изменение, распространение, уничтожение или утечку данных, которые могут нанести вред субъектам.

Обязанность защищать персональные данные возложена на любого оператора — будь то ООО, ИП, государственный орган или школа. Даже сбор email-адресов через форму на сайте = обработка ПДн и требует защиты. Основной нормативный акт — Федеральный закон 152-ФЗ «О персональных данных».

Почему защита ПДн — это критично в 2026 году

• Финансовый риск: оборотные штрафы до 500 млн ₽ за повторную утечку (ФЗ-420 от 30.11.2024, ст. 13.11 ч. 15 и 18 КоАП). Первичная утечка — от 3 до 15 млн ₽ в зависимости от объёма
• Уголовная ответственность: новая статья 272.1 УК РФ с 11.12.2024 — до 10 лет лишения свободы за незаконную передачу ПДн
• Репутация: утечка = потеря доверия клиентов, отток трафика, попадание в публичный реестр нарушителей РКН
• Проверки РКН: инспектора приходят без предупреждения по жалобам граждан. Сайт — первое, что проверяют дистанционно
• Смягчающие обстоятельства: штраф снижается в 10 раз, если организация доказала систематическую работу по защите ПДн до инцидента, а не после

Защита — не разовая задача, а непрерывный процесс. Его нельзя заменить одним документом или одной программой. Требуется комплексный подход: документы + процессы + технические средства + обучение сотрудников.

Привести организацию в соответствие 152-ФЗ — это проект длительностью 1-6 месяцев. Стандартный маршрут:

Шаг 1. Инвентаризация обработки ПДн

Выявите все процессы обработки ПДн в организации: кадры, клиенты, маркетинг, сайт, видеонаблюдение, СКУД. Для каждого процесса зафиксируйте: какие данные обрабатываются, цель, правовое основание, кто имеет доступ, где хранятся. Результат — перечень обрабатываемых ПДн и реестр процессов обработки.

Шаг 2. Правовое обоснование

Для каждой цели обработки выберите одно из 11 правовых оснований ст. 6 152-ФЗ: согласие, договор, закон, защита жизни, законный интерес и другие. Оформите документально: согласия, договоры, поручения обработчикам.

Шаг 3. Определение уровня защищённости ИСПДн

Классифицируйте каждую информационную систему по ПП РФ № 1119 от 01.11.2012. 4 уровня защищённости (УЗ-1 — УЗ-4) определяют набор обязательных мер защиты. Практика: большинство коммерческих организаций имеют УЗ-3 или УЗ-4, медицина и финсектор — УЗ-2, госорганы — УЗ-1. Результат — акт определения уровня защищённости.

Шаг 4. Разработка модели угроз

Для каждой ИСПДн разработайте модель угроз безопасности ПДн по методике ФСТЭК России от 05.02.2021 (актуальная версия, не устаревшая 2008 года). Модель опирается на банк данных угроз ФСТЭК (БДУ, 227 угроз) и Приказ РКН № 178 от 27.10.2022 (66 видов возможного вреда). Это основа для выбора конкретных средств защиты.

Шаг 5. Внедрение мер защиты

Реализуйте организационные и технические меры, соответствующие УЗ, по Приказу ФСТЭК № 21 от 18.02.2013. Для УЗ-4 — около 15 мер, для УЗ-1 — более 40. Применяйте только сертифицированные СЗИ (реестр ФСТЭК) и СКЗИ (сертифицированные ФСБ, Приказ ФСБ № 378).

Шаг 6. Контроль и мониторинг

Установите регулярные внутренние проверки: ежеквартальная экспресс-проверка, ежегодный полный аудит. Для УЗ-2 и УЗ-1 — внешний аудит лицензированной организацией ФСТЭК не реже 1 раза в 3 года. Ведите журнал обращений субъектов и журнал инцидентов — их проверяют в первую очередь. Подробнее в статье «Проведение аудита 152-ФЗ».

Все меры защиты ПДн делятся на четыре взаимодополняющие категории. Эффективная защита требует реализации мер из всех четырёх — пропуск даже одной категории создаёт критический пробел.

Правовые меры

Закрепляют законное основание обработки и документально фиксируют согласие субъектов. Включают:

• Политика обработки ПДн — публичный документ (ст. 18.1 п. 2 152-ФЗ)
• Согласия субъектов (обработки, рассылки, трансграничной передачи, биометрии)
• Договоры-поручения с обработчиками (ст. 6 ч. 3 152-ФЗ)
• Условия пользовательских соглашений на сайте

Организационные меры

Описывают процедуры внутри организации: кто, когда, как работает с ПДн. Типичные документы:

• Приказ о назначении ответственного за обработку ПДн (ст. 22.1)
• Положение об обеспечении безопасности ПДн
• Инструкции для пользователей и администраторов ИСПДн
• Обязательства сотрудников о неразглашении (ст. 24 152-ФЗ)
• План внутренних проверок и регламент реагирования на инциденты

Технические меры

Средства защиты информации в ИСПДн. Детальный перечень — в Приказе ФСТЭК № 21:

• Контроль доступа: идентификация, аутентификация, разграничение прав (RBAC)
• Криптографическая защита: шифрование данных в покое и при передаче (для УЗ-2 и выше — обязательно)
• Антивирусная защита и обнаружение вторжений
• Регистрация событий безопасности (SIEM-подход)
• Резервное копирование и восстановление после сбоев

Физические меры

Защищают материальные носители ПДн и помещения. Часто недооцениваются:

• Контролируемые зоны размещения ИСПДн
• Видеонаблюдение и СКУД в помещениях с серверами
• Учёт и уничтожение бумажных носителей с ПДн
• Безопасное хранение резервных копий

Уровень защищённости — это характеристика ИСПДн, определяющая обязательный набор мер защиты. Устанавливается постановлением Правительства РФ № 1119 от 01.11.2012 по четырём критериям.

Критерии определения УЗ

1. Тип персональных данных: специальные (здоровье, расовая принадлежность, политические взгляды — ст. 10), биометрические (ст. 11), иные, общедоступные
2. Категория субъектов: сотрудники оператора (мягче) vs не-сотрудники — клиенты, пациенты (строже)
3. Объём обработки: до 100 000 субъектов или более
4. Тип актуальных угроз: 1-й тип — угрозы через недекларированные возможности системного ПО (ОС, СУБД), 2-й тип — через прикладное ПО, 3-й тип — внешние и внутренние нарушители без использования закладок

4 уровня защищённости

• УЗ-4 (минимальный): общедоступные ПДн, маленький объём. Типовой случай — интернет-магазин с базой ФИО, email, телефон до 100 000 клиентов. Около 15 мер защиты
• УЗ-3 (средний): иные ПДн большого объёма (более 100 000), либо спецкатегории сотрудников. Типовой случай — средний бизнес с кадровым учётом и CRM
• УЗ-2 (высокий): биометрические ПДн, спецкатегории клиентов, большие объёмы. Типовой случай — медицинские организации, банки, страховые компании
• УЗ-1 (максимальный): обрабатываются ПДн с угрозами 1-го типа. Типовой случай — государственные ИСПДн, системы с высоким риском. Более 40 мер защиты

Практика: ~90% коммерческих организаций попадают в УЗ-3 или УЗ-4. Определить уровень — обязательный шаг перед выбором средств защиты. Для онлайн-расчёта — калькулятор УЗ. Детальный разбор уровней — в статье «Уровни защищённости ПДн».

Базовый комплект организационно-распорядительной документации (ОРД) по защите ПДн включает 8-12 обязательных документов для любой организации и ещё столько же — для операторов с ИСПДн. Отсутствие любого из них — основание для штрафа при проверке РКН.

Базовый комплект (все операторы ПДн)

1. Политика обработки персональных данных — публикуется на сайте в футере (ст. 18.1 п. 2). Штраф за отсутствие 30 000-60 000 ₽
2. Уведомление в Роскомнадзор об обработке ПДн (ст. 22). 26 обязательных полей, подаётся через pd.rkn.gov.ru с ЭЦП
3. Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1)
4. Положение об обработке ПДн — внутренний регламент
5. Положение об обеспечении безопасности ПДн — основа системы защиты по ст. 19
6. Согласие на обработку ПДн — типовые формы для разных случаев
7. Акт оценки возможного вреда субъектам — новое требование (ст. 18.1 п. 5, Приказ РКН № 178 от 27.10.2022)
8. Перечень обрабатываемых ПДн — инвентаризация по категориям
9. Обязательства сотрудников о неразглашении (ст. 24)

Дополнительно для операторов с ИСПДн

10. Перечень ИСПДн — инвентаризация информационных систем
11. Акт определения уровня защищённости — по ПП-1119
12. Модель угроз безопасности ПДн — по методике ФСТЭК от 05.02.2021
13. Технический паспорт ИСПДн — описание архитектуры и СЗИ
14. Инструкции пользователя, администратора, администратора безопасности ИСПДн
15. Перечень сотрудников с доступом к ПДн + приказ о допуске

Для сайтов — расширенный пакет

• Политика cookies (отдельно от общей политики)
• Пользовательское соглашение
• Отдельное согласие на маркетинговую рассылку (не смешивать с согласием на обработку!)

Технические меры реализуются через сертифицированные средства защиты информации (СЗИ) и средства криптографической защиты (СКЗИ). Выбор конкретных СЗИ определяется уровнем защищённости ИСПДн и Приказом ФСТЭК № 21.

9 групп мер защиты по Приказу ФСТЭК № 21

1. ОДТ — обеспечение доверенной загрузки. Контроль целостности загрузчика, защита от подмены BIOS/UEFI. Для УЗ-3 и выше — обязательно
2. ОПС — обеспечение программной среды. Контроль устанавливаемого ПО, запрет неавторизованного. Whitelisting программ
3. УПД — управление доступом. Ролевая модель (RBAC), принцип минимальных привилегий, разделение обязанностей
4. ИАФ — идентификация и аутентификация. Логины, пароли, многофакторная аутентификация (2FA/MFA). Для УЗ-2 и выше — обязательно 2FA
5. ЗНИ — защита машинных носителей. Шифрование флешек, жёстких дисков, учёт и безопасное уничтожение
6. ОЦЛ — обеспечение целостности. Контроль изменений, цифровая подпись критичных данных, резервное копирование
7. РСБ — регистрация событий безопасности. Централизованные журналы (SIEM), мониторинг аномалий
8. АВЗ — антивирусная защита. Обновляемые базы, сканирование, защита почты и веб-трафика
9. СОВ — обнаружение вторжений. IDS/IPS системы, анализ сетевого трафика

Только сертифицированные СЗИ и СКЗИ

Ключевой принцип: технические меры должны использовать только сертифицированные средства. Использование непроверенных решений — отдельное нарушение. По данным реестра ФСТЭК на 2026 год доступно более 1 800 сертифицированных СЗИ и 646 сертифицированных СКЗИ ФСБ.

Для криптографической защиты (шифрование каналов, электронная подпись) применяются только СКЗИ класса КС1, КС2, КС3 или КВ2 в зависимости от модели нарушителя — это регламентирует Приказ ФСБ № 378 от 10.07.2014. Подробности ведения учёта — в статье «Журнал учёта СКЗИ».

Практика защиты по уровням

• УЗ-4: антивирус + базовый контроль доступа + резервное копирование + шифрование при передаче через интернет. Достаточно массовых решений
• УЗ-3: добавляются 2FA, централизованное журналирование, разграничение сетевых сегментов, контроль съёмных носителей
• УЗ-2: добавляются криптошифрование данных в покое, IDS/IPS, контроль утечек (DLP), усиленная аутентификация
• УЗ-1: все меры выше плюс доверенная загрузка, аттестация ИСПДн лицензиатом ФСТЭК

Анализ практики проверок Роскомнадзора показывает устойчивый перечень нарушений, которые допускают 70-80% проверяемых организаций. Знание этого списка позволяет пройти проверку без штрафов.

1. Политика обработки ПДн не опубликована или спрятана. Правильно: ссылка в футере на ВСЕХ страницах сайта + отдельный URL /privacy. Штраф по ч. 3 ст. 13.11 КоАП — до 60 000 ₽
2. Политика — копия закона, не описание своей обработки. РКН признаёт такую политику недействительной. Нужно: конкретные цели обработки, категории ПДн, сроки хранения применительно к вашей организации
3. Cookie-баннер просто информирует. Правильно: 3 уровня выбора — строго необходимые (без выбора), аналитические (по умолчанию выключены), маркетинговые (только по согласию)
4. Нет акта оценки возможного вреда. Новое требование, проверяется РКН активно с 2024 года. Штраф по ч. 7 ст. 13.11 КоАП — до 1 000 000 ₽
5. Неверное определение уровня защищённости. Типичная ошибка — УЗ-4 для медицинских данных. Специальные категории — минимум УЗ-3, биометрия без исключений — УЗ-3 или выше
6. Ответственный за ПДн — генеральный директор. Конфликт интересов: ответственный должен контролировать, а не быть контролируемым. Правильно — специалист по ИБ или отдельно нанятый DPO
7. Нарушение сроков уведомления РКН об инциденте. ФЗ-266 установил: 24 часа на первичное сообщение, 72 часа на подробное. Просрочка — отягчающее обстоятельство
8. Трансграничная передача без уведомления РКН. Передача ПДн за рубеж требует уведомления РКН за 10 дней. Использование AWS/Google Cloud без российского региона — нарушение ст. 27
9. Отсутствие внутренних проверок. Ст. 18.1 требует регулярного внутреннего контроля. Для УЗ-4 — минимум 1 раз в год, для УЗ-3 и выше — чаще
10. Использование несертифицированных СЗИ. Массовые VPN-сервисы, открытое шифрование вместо СКЗИ. Нужен реестр ФСТЭК / ФСБ

Большинство этих ошибок выявляется при аудите до прихода РКН — что обходится на порядки дешевле штрафов.

Защита ПДн регулируется не одним законом, а целой системой НПА. Полноценное соответствие требует учёта всех применимых актов.

Федеральные законы

• 152-ФЗ от 27.07.2006 — базовый закон «О персональных данных»
• ФЗ-242 от 21.07.2014 — требование локализации баз данных на серверах РФ (вступил 01.09.2015)
• ФЗ-266 от 14.07.2022 — обязанность уведомлять об инцидентах в 24 часа (вступил 01.09.2022)
• ФЗ-420 от 30.11.2024 — оборотные штрафы 1-3% выручки (действует с 30.05.2025)
• ФЗ-421 от 30.11.2024 — новая ст. 272.1 УК РФ — до 10 лет (действует с 11.12.2024)
• 187-ФЗ от 26.07.2017 — о критической информационной инфраструктуре (если вы субъект КИИ)

Постановления Правительства

• ПП РФ № 1119 от 01.11.2012 — уровни защищённости ИСПДн (УЗ-1 — УЗ-4)
• ПП РФ № 687 от 15.09.2008 — неавтоматизированная обработка ПДн (бумажные носители)

Приказы ФСТЭК России

• Приказ № 21 от 18.02.2013 — меры защиты ПДн для ИСПДн (основной документ по тех. защите)
• Приказ № 17 от 11.02.2013 — меры защиты ГИС (действует для ранее аттестованных систем)
• Приказ № 117 от 11.04.2025 — требования к защите информации в ГИС (замена Приказа № 17, применяется с 01.03.2026)
• Приказ № 239 от 25.12.2017 — меры защиты значимых объектов КИИ
• Методика ФСТЭК от 05.02.2021 — разработка модели угроз (актуальная, не 2008 года)

Приказы ФСБ и Роскомнадзора

• Приказ ФСБ № 378 от 10.07.2014 — требования к СКЗИ (криптосредствам)
• Приказ РКН № 128 от 12.09.2022 — перечень стран с адекватным уровнем защиты
• Приказ РКН № 178 от 27.10.2022 — порядок оценки возможного вреда
• Приказ РКН № 274 от 10.12.2018 — трансграничная передача ПДн

Трудовое законодательство

• ТК РФ ст. 86-88 — защита ПДн работников (дополнительные требования к кадровому учёту)

Подробный разбор самого закона 152-ФЗ по статьям — в статье «Закон 152-ФЗ о персональных данных: полный разбор 2026».

Общие требования 152-ФЗ применяются ко всем, но каждая отрасль имеет свои особенности из-за типа обрабатываемых ПДн, объёма и специфики процессов.

Медицина и фармацевтика

Обрабатывают специальные категории ПДн (данные о здоровье — ст. 10 152-ФЗ). Минимальный УЗ — УЗ-2. Дополнительно: согласие на обработку спецкатегорий, журнал доступа к медкартам, соблюдение врачебной тайны. Подробнее — «152-ФЗ в медицине».

Образование — школы и ДОУ

Обрабатывают ПДн несовершеннолетних — согласие даёт законный представитель. Требуется отдельная форма согласия для размещения фото/видео детей. Особенности передачи данных в органы МВД, опеки. Подробнее — «ПДн в школе».

Интернет-магазины и e-commerce

Массовая обработка общедоступных ПДн (ФИО, адрес, телефон, email). Частая УЗ-3 или УЗ-4. Ключевые проблемы: корректный cookie-баннер, отдельное согласие на маркетинг (не в чекбоксе обработки!), договоры с курьерскими службами и платёжными системами. Подробнее — «ПДн в интернет-магазине».

Отели и туризм

Обрабатывают паспортные данные, часто биометрию (отпечатки в некоторых странах), данные о пребывании. Специфика — интеграция с государственной системой учёта мигрантов, передача данных туроператорам. Подробнее — «ПДн в гостинице».

Салоны красоты, фитнес, авто

Стандартный пакет УЗ-4. Частая проблема — использование массовых CRM (например, YCLIENTS) без проверки, где хранятся данные. Специфика автосервиса — ПДн в заказ-наряде («ПДн в автосервисе»).

Государственные учреждения

Помимо 152-ФЗ применяется Приказ ФСТЭК № 17 (меры защиты ГИС), более строгие требования к аттестации, чаще всего УЗ-1 или УЗ-2. Использование иностранного ПО ограничено, требуется реестр российского ПО Минцифры.

Полный каталог отраслевых решений — каталог по отраслям.

Если защита ПДн в вашей организации ещё не выстроена — это нормальная стартовая ситуация. Полный цикл приведения в соответствие 152-ФЗ занимает 1-2 месяца при системном подходе и 3-6 месяцев в крупных компаниях.

Если вы в начале пути

1. Начните с аудита. Независимый взгляд найдёт все пробелы за 1-2 недели. Альтернатива — самопроверка по чек-листу 152-ФЗ (90+ пунктов)
2. Рассчитайте риски. Калькулятор штрафов покажет, какую сумму рискуете при утечке — это мотивирует руководство согласовать бюджет
3. Закажите комплект документов под ключ — быстрее, чем писать самим, и с гарантией соответствия. Минимальный бюджет от 120 000 ₽

Если базовая документация уже есть

1. Проверьте актуальность — поправки 2024-2025 (ФЗ-420, ФЗ-421, ФЗ-266) требуют обновления документов
2. Актуализируйте модель угроз по методике ФСТЭК от 05.02.2021 (не старой 2008 года)
3. Проведите внутренний аудит — выявите дрейф между документами и реальными процессами
4. Проверьте уведомление в РКН — соответствует ли оно текущей обработке (поправки 2022 года расширили форму до 26 полей)

Если был инцидент или предписание РКН

Срочные действия в порядке приоритета:

1. Уведомить РКН в 24 часа о факте инцидента (ФЗ-266)
2. Отправить подробное описание инцидента в 72 часа
3. Провести внутреннее расследование, оформить акт
4. Устранить нарушения и подготовить документы к проверке
5. Рассмотреть возможность смягчения штрафа по ст. 13.11 ч. 15/18 (доказать траты на ИБ)