Что такое ИСПДн
Информационная система персональных данных (ИСПДн) — это совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких данных с использованием средств автоматизации. Определение закреплено в пункте 10 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Проще говоря, ИСПДн — это любая система (программа, сервис, база данных), в которой хранятся и обрабатываются персональные данные физических лиц. Практически каждая организация использует несколько таких систем, даже если не осознаёт этого.
Типичные примеры ИСПДн в организации:
- 1С:Зарплата и управление персоналом — содержит ФИО, паспортные данные, ИНН, СНИЛС, адреса сотрудников, сведения о заработной плате;
- CRM-система (Bitrix24, AmoCRM) — хранит контактные данные клиентов: имена, телефоны, электронные адреса, историю обращений;
- Корпоративный сайт с формами обратной связи — собирает имена, e-mail, телефоны посетителей;
- Бухгалтерская система (1С:Бухгалтерия) — обрабатывает персональные данные контрагентов, сотрудников;
- Система контроля доступа (СКУД) — фиксирует биометрические данные, фотографии, сведения о перемещениях;
- Кадровый электронный документооборот — трудовые договоры, приказы, личные дела в электронном виде;
- Электронная почта — может содержать персональные данные в переписке и вложениях.
Каждая из перечисленных систем является отдельной ИСПДн и требует составления индивидуального паспорта. Важно понимать, что даже простая таблица Excel с контактами клиентов формально является информационной системой персональных данных, если обработка ведётся с использованием средств автоматизации.
Зачем нужен паспорт ИСПДн
Паспорт ИСПДн — это внутренний документ организации, в котором фиксируются все ключевые характеристики информационной системы персональных данных: какие данные обрабатываются, в каком объёме, какие угрозы актуальны и какой уровень защищённости установлен.
Правовые основания для составления паспорта:
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — устанавливает требования по определению уровня защищённости для каждой ИСПДн;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» — определяет конкретные меры защиты в зависимости от уровня защищённости;
- Статья 19 Федерального закона № 152-ФЗ — обязывает оператора принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
Для чего составляется паспорт ИСПДн:
- Инвентаризация систем — позволяет оператору чётко понимать, какие системы обрабатывают ПДн, какие данные в них содержатся и в каком объёме;
- Определение уровня защищённости — на основании данных паспорта (категория ПДн, объём, тип угроз) определяется один из четырёх уровней защищённости по ПП 1119;
- Выбор мер защиты — уровень защищённости определяет базовый набор мер по Приказу ФСТЭК № 21;
- Подготовка к проверкам — Роскомнадзор и ФСТЭК при проверках запрашивают документацию по каждой ИСПДн;
- Управление рисками — систематизированные данные позволяют своевременно выявлять уязвимости и реагировать на изменения.
Отсутствие паспорта ИСПДн может быть квалифицировано как нарушение требований по защите персональных данных при проверке Роскомнадзором или ФСТЭК. Штрафы за нарушения в сфере персональных данных по статье 13.11 КоАП РФ составляют до 6 млн рублей для юридических лиц, а с учётом последних изменений законодательства — могут быть ещё выше.
Структура паспорта ИСПДн
Паспорт информационной системы персональных данных не имеет единой утверждённой формы — организация разрабатывает его самостоятельно. Однако документ должен содержать исчерпывающую информацию, позволяющую определить уровень защищённости и выбрать адекватные меры защиты.
Обязательные разделы паспорта ИСПДн:
| Раздел | Содержание | Пример |
|---|---|---|
| Наименование ИСПДн | Полное и краткое название системы | «ИСПДн кадрового учёта» (1С:ЗУП) |
| Оператор | Полное наименование организации, ИНН, юридический адрес | ООО «Компания», ИНН 7712345678 |
| Ответственный за ИСПДн | ФИО, должность лица, ответственного за эксплуатацию системы | Иванов И.И., начальник отдела кадров |
| Назначение ИСПДн | Цели обработки ПДн в данной системе | Ведение кадрового учёта, расчёт заработной платы |
| Категории субъектов | Чьи данные обрабатываются | Сотрудники, бывшие сотрудники |
| Категории ПДн | Общие, специальные, биометрические или иные | Общие (ФИО, адрес, паспорт, ИНН, СНИЛС) |
| Объём ПДн | Количество субъектов: до 100 000 или более 100 000 | До 100 000 субъектов |
| Тип актуальных угроз | 1-й, 2-й или 3-й тип по ПП 1119 | 3-й тип (угрозы, не связанные с НДВ в системном и прикладном ПО) |
| Уровень защищённости | УЗ-1, УЗ-2, УЗ-3 или УЗ-4 | УЗ-4 |
| Архитектура ИСПДн | Автономная, локальная или распределённая | Локальная (сервер + рабочие станции в одной ЛВС) |
| Технические средства | Серверы, АРМ, сетевое оборудование | Сервер Windows Server 2022, 5 рабочих станций |
| Средства защиты | Применяемые СЗИ, антивирусы, СКЗИ | Kaspersky Endpoint Security, межсетевой экран |
| Режим обработки | Однопользовательский или многопользовательский | Многопользовательский с разграничением прав |
| Подключение к сетям | Наличие подключения к Интернету, другим сетям | Подключена к сети Интернет |
Помимо указанных разделов, рекомендуется включить в паспорт перечень правовых оснований обработки (согласия, договоры, закон), а также указать сроки хранения персональных данных в данной системе.
Как составить паспорт ИСПДн: пошаговая инструкция
Составление паспорта ИСПДн — это системная работа, которая требует участия нескольких подразделений: IT-отдела, кадровой службы, юристов и руководства. Ниже приведена пошаговая инструкция.
Шаг 1. Проведите инвентаризацию всех информационных систем
Определите все системы в организации, в которых обрабатываются персональные данные. Не забудьте про:
- облачные сервисы (SaaS) — CRM, бухгалтерия, HR-системы;
- локальные базы данных — 1С, Excel-таблицы с ПДн;
- корпоративные сайты и мобильные приложения;
- системы видеонаблюдения (если записи позволяют идентифицировать личность);
- системы электронного документооборота.
Шаг 2. Соберите характеристики каждой ИСПДн
Для каждой системы определите:
- какие категории персональных данных обрабатываются (общие, специальные, биометрические);
- какой объём субъектов (до 100 000 или свыше 100 000);
- чьи данные обрабатываются (сотрудники, клиенты, посетители сайта);
- цели обработки и правовое основание;
- технические характеристики системы (серверы, ПО, сеть).
Шаг 3. Определите тип актуальных угроз
Согласно пункту 6 Постановления Правительства РФ № 1119 различают три типа угроз:
- 1-й тип — актуальны угрозы, связанные с наличием недокументированных возможностей (НДВ) в системном программном обеспечении;
- 2-й тип — актуальны угрозы НДВ в прикладном программном обеспечении;
- 3-й тип — угрозы НДВ не актуальны (наиболее распространённый вариант для коммерческих организаций).
Шаг 4. Определите уровень защищённости
На основании категории ПДн, объёма субъектов и типа угроз определите уровень защищённости (УЗ-1, УЗ-2, УЗ-3 или УЗ-4) по таблицам из ПП 1119. Для большинства коммерческих организаций с общими ПДн, объёмом до 100 000 субъектов и 3-м типом угроз устанавливается УЗ-4.
Шаг 5. Оформите паспорт
Заполните все разделы паспорта, утвердите документ приказом руководителя организации. Присвойте паспорту регистрационный номер и дату. Рекомендуется хранить паспорт в составе комплекта документации по защите персональных данных.
Шаг 6. Согласуйте и утвердите
Паспорт подписывает ответственный за организацию обработки ПДн (назначенный приказом) и утверждает руководитель организации. Копию паспорта рекомендуется передать в IT-отдел для учёта при изменениях в инфраструктуре.
Образец паспорта ИСПДн 2026
Ниже приведён типовой образец заполнения паспорта ИСПДн для небольшой коммерческой организации. Данный пример можно использовать как основу для составления собственного документа.
ПАСПОРТ
информационной системы персональных данных
«ИСПДн кадрового учёта»
| Параметр | Значение |
|---|---|
| Наименование ИСПДн | ИСПДн кадрового учёта (1С:Зарплата и управление персоналом 8.3) |
| Оператор персональных данных | ООО «Пример», ИНН 7701234567, г. Москва, ул. Примерная, д. 1 |
| Ответственный за эксплуатацию | Петрова А.В., начальник отдела кадров |
| Цели обработки ПДн | Ведение кадрового учёта, расчёт и начисление заработной платы, исполнение трудовых договоров |
| Правовое основание | Трудовой кодекс РФ, трудовой договор, согласие субъекта ПДн |
| Категории субъектов | Работники, бывшие работники организации |
| Категории ПДн | Общие: ФИО, дата рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона, e-mail, сведения об образовании, должность, оклад |
| Объём субъектов | До 100 000 (фактически — 85 человек) |
| Тип актуальных угроз | 3-й тип (угрозы, не связанные с НДВ) |
| Уровень защищённости | УЗ-4 |
| Структура ИСПДн | Локальная |
| Режим обработки | Многопользовательский с разграничением прав доступа |
| Технические средства | Сервер: Windows Server 2022, Intel Xeon, 32 ГБ ОЗУ. Рабочие станции: 5 шт., Windows 11 Pro |
| Средства защиты информации | Kaspersky Endpoint Security 12, межсетевой экран UserGate, резервное копирование Veeam |
| Подключение к сети Интернет | Да, через межсетевой экран |
| Срок хранения ПДн | В течение срока действия трудового договора и 75 лет после увольнения (архивное хранение) |
Дата составления: «____» ____________ 2026 г.
Ответственный за организацию обработки ПДн: _________________ / ФИО /
Руководитель организации: _________________ / ФИО /
С помощью сервиса Кибероснова Документы вы можете автоматически сгенерировать паспорт ИСПДн, заполнив простую форму с параметрами вашей информационной системы. Документ будет сформирован с учётом актуальных требований законодательства.
Когда нужно обновлять паспорт ИСПДн
Паспорт ИСПДн — не статичный документ. Он должен актуализироваться при любых существенных изменениях в информационной системе или процессах обработки персональных данных.
Основания для обновления паспорта:
- Изменение состава обрабатываемых ПДн — добавлены новые категории данных (например, начали собирать биометрию для СКУД);
- Изменение объёма субъектов — количество субъектов превысило 100 000, что может повлиять на уровень защищённости;
- Смена программного обеспечения — переход на новую версию 1С, смена CRM-системы, миграция в облако;
- Изменение технической инфраструктуры — замена серверов, изменение сетевой топологии, подключение новых рабочих станций;
- Изменение средств защиты — внедрение новых СЗИ, замена антивирусного ПО, установка DLP-системы;
- Изменение типа угроз — по результатам актуализации модели угроз;
- Реорганизация оператора — смена юридического лица, наименования, адреса;
- Изменение законодательства — вступление в силу новых нормативных актов, влияющих на требования к защите ПДн.
Рекомендуемая периодичность пересмотра: не реже одного раза в год, даже если существенных изменений не произошло. Ежегодный пересмотр позволяет убедиться в актуальности документа и своевременно выявить несоответствия.
При обновлении паспорта рекомендуется сохранять предыдущие версии для подтверждения истории изменений. Каждая новая версия утверждается приказом руководителя организации.
