Обязателен ли перечень ИСПДн?

Прямого требования о составлении перечня ИСПДн в 152-ФЗ нет, однако обязанность его ведения вытекает из совокупности норм. Статья 19 152-ФЗ обязывает оператора принимать организационные и технические меры защиты ПДн при обработке в ИСПДн. Постановление Правительства РФ № 1119 требует определять уровень защищённости для каждой ИСПДн. Без перечня выполнить эти требования невозможно. На практике Роскомнадзор и ФСТЭК запрашивают перечень ИСПДн при проверках, и его отсутствие расценивается как нарушение.

Как часто нужно обновлять перечень ИСПДн?

Перечень ИСПДн актуализируется при каждом изменении состава информационных систем: внедрении новой системы, выводе из эксплуатации, изменении категорий обрабатываемых данных или объёма субъектов. Помимо этого, рекомендуется проводить плановую ревизию не реже одного раза в год. Изменения в перечне оформляются приказом руководителя организации.

Кто утверждает перечень ИСПДн?

Перечень ИСПДн утверждается приказом руководителя организации (генерального директора, директора, ректора). Подготовку перечня, как правило, осуществляет ответственный за организацию обработки персональных данных совместно с ИТ-подразделением и специалистом по информационной безопасности. В приказе назначается лицо, ответственное за ведение и актуализацию перечня.

Нужно ли включать облачные сервисы в перечень ИСПДн?

Да, облачные сервисы (SaaS), в которых обрабатываются персональные данные, включаются в перечень ИСПДн. Это касается CRM-систем, облачной бухгалтерии, почтовых сервисов, систем аналитики сайта и других сервисов, которым передаются ПДн. При использовании облачного сервиса оператор заключает поручение на обработку ПДн с провайдером (ст. 6 ч. 3 152-ФЗ) и указывает в перечне тип размещения системы — «облачная (SaaS)» или «распределённая».

Сколько ИСПДн обычно бывает в типовой организации?

В типовой коммерческой организации обычно от 3 до 7 ИСПДн: 1С (кадры и бухгалтерия), CRM-система, корпоративная почта, сайт с формами обратной связи, СКУД или система видеонаблюдения. Каждая система, в которой обрабатываются ПДн, выделяется как отдельная ИСПДн согласно определению из ст. 3 152-ФЗ. Не забудьте облачные сервисы: Битрикс24, amoCRM, Google Workspace — каждый может быть отдельной ИСПДн.

Нужен ли перечень ИСПДн, если в организации всего одна информационная система?

Да, перечень ИСПДн необходим даже при одной системе. Документ фиксирует не только название ИСПДн, но и категории обрабатываемых данных, объём субъектов, тип угроз и уровень защищённости. Без перечня невозможно корректно составить модель угроз и акт определения УЗ по ПП-1119. При проверке Роскомнадзора отсутствие перечня — типичное замечание по ст. 18.1 152-ФЗ.

Что указывается в перечне информационных систем персональных данных?

Перечень ИСПДн включает: наименование системы, назначение и правовое основание обработки ПДн, категории ПДн (общие, специальные, биометрические), категории субъектов (сотрудники, клиенты, контрагенты), объём обрабатываемых записей (до или свыше 100 000), тип актуальных угроз (1, 2 или 3-й), определённый уровень защищённости (УЗ-1 — УЗ-4), местоположение серверов и ответственного за систему. Формат не регламентирован — можно в виде таблицы.

Перечень ИСПДн организации — образец 2026

Что такое перечень ИСПДн

Перечень информационных систем персональных данных (ИСПДн) — внутренний организационно-распорядительный документ оператора, содержащий систематизированный список всех информационных систем, в которых осуществляется обработка персональных данных. Документ фиксирует состав ИСПДн, их назначение, категории обрабатываемых данных, типы субъектов и установленный уровень защищённости.

Зачем нужен перечень ИСПДн

Перечень ИСПДн выполняет несколько ключевых функций в системе защиты персональных данных организации:

Инвентаризация систем обработки — позволяет зафиксировать все системы, в которых фактически обрабатываются ПДн, включая те, которые оператор может упустить (сайт, видеонаблюдение, облачные сервисы).
Определение уровня защищённости — для каждой ИСПДн устанавливается уровень защищённости (УЗ) в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119. Без перечня невозможно корректно определить УЗ.
Разработка модели угроз — модель угроз безопасности ПДн составляется для каждой ИСПДн отдельно или для группы систем с одинаковым УЗ. Перечень ИСПДн является исходным документом для этой работы.
Подготовка к проверкам — Роскомнадзор и ФСТЭК при проверках запрашивают перечень ИСПДн как один из базовых документов. Его отсутствие расценивается как нарушение требований ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ.
Основание для паспортов ИСПДн — на каждую систему из перечня оформляется паспорт ИСПДн с детализированным техническим описанием.

Нормативная база

Обязанность оператора вести учёт информационных систем, в которых обрабатываются ПДн, вытекает из совокупности норм:

Статья 18.1 152-ФЗ — обязывает оператора принимать меры по обеспечению выполнения обязанностей, предусмотренных законом, в том числе издавать локальные акты по вопросам обработки ПДн.
Статья 19 152-ФЗ — обязывает оператора при обработке ПДн принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного доступа.
Постановление Правительства РФ от 01.11.2012 № 1119 — устанавливает требования к защите ПДн при их обработке в ИСПДн и порядок определения уровня защищённости.
Приказ ФСТЭК России от 18.02.2013 № 21 — определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.

Чем перечень ИСПДн отличается от перечня ПДн

Это два различных документа с разным предметом:

Характеристика	Перечень ПДн	Перечень ИСПДн
Предмет	Категории и виды данных (ФИО, паспорт, телефон)	Информационные системы (1С, CRM, сайт)
Отвечает на вопрос	Какие данные обрабатываем?	Где (в каких системах) обрабатываем?
Для чего нужен	Минимизация данных, уведомление РКН	Определение УЗ, модель угроз, меры защиты
Кто использует	Юрист, ответственный за ПДн	ИТ-специалист, специалист по ИБ

На практике оба перечня часто утверждаются одним приказом руководителя и дополняют друг друга: перечень ПДн определяет что обрабатывается, перечень ИСПДн — где и как обрабатывается.

Какие системы включать в перечень ИСПДн

В перечень включаются все информационные системы, в которых осуществляется обработка персональных данных — автоматизированная или с использованием средств автоматизации. Типичная ошибка организаций — учитывать только основные учётные системы и упускать вспомогательные, которые также обрабатывают ПДн.

Типовые ИСПДн организации

Ниже приведены категории систем, которые чаще всего включаются в перечень:

Бухгалтерские и кадровые системы — 1С:Бухгалтерия, 1С:ЗУП, СБИС, Контур.Экстерн. Обрабатывают ПДн работников: ФИО, паспортные данные, ИНН, СНИЛС, банковские реквизиты, сведения о доходах.
CRM-системы — Bitrix24, amoCRM, Мегаплан, Salesforce. Обрабатывают ПДн клиентов и контрагентов: ФИО, телефон, email, история взаимодействий, записи звонков.
Веб-сайт организации — формы обратной связи, личный кабинет, регистрация пользователей. Обрабатывает ПДн посетителей: ФИО, email, телефон, cookies, IP-адрес.
Корпоративная почта — Microsoft Exchange, Google Workspace, Яндекс 360. Содержит ПДн в тексте писем и вложениях.
Система видеонаблюдения — камеры видеонаблюдения с записью, СКУД (системы контроля и управления доступом). Обрабатывают биометрические ПДн: изображение лица, данные пропускной системы.
Системы электронного документооборота (СЭД) — 1С:Документооборот, Directum, ELMA. Содержат документы с ПДн работников и контрагентов.
Облачные хранилища и мессенджеры — Яндекс.Диск, Google Drive, корпоративный Telegram. Могут содержать файлы с ПДн (сканы документов, таблицы с данными клиентов).
Системы аналитики сайта — Яндекс.Метрика, Google Analytics. Собирают данные о поведении пользователей, IP-адреса, идентификаторы устройств.
ERP-системы — SAP, 1С:ERP, Галактика. Обрабатывают ПДн в модулях HR, закупок, продаж.
Медицинские информационные системы (МИС) — для медицинских организаций: данные пациентов, диагнозы (специальная категория ПДн).

Как выявить все ИСПДн

Для полноты перечня рекомендуется провести аудит обработки ПДн:

Опрос руководителей подразделений — выяснить, какие системы используются в каждом отделе для работы с данными физических лиц.
Анализ ИТ-инфраструктуры — получить от ИТ-службы список всех используемых программных продуктов и сервисов.
Проверка договоров с SaaS-провайдерами — облачные сервисы, в которые передаются ПДн, также являются ИСПДн (или их компонентами).
Проверка бумажных процессов — если бумажные документы с ПДн систематически обрабатываются (например, картотека пациентов), соответствующая картотека также фиксируется в перечне.

По итогам аудита формируется полный перечень, который утверждается приказом руководителя.

Как составить перечень ИСПДн

Составление перечня ИСПДн — поэтапный процесс, который включает инвентаризацию систем, классификацию данных и определение уровня защищённости для каждой системы.

Шаг 1. Провести инвентаризацию информационных систем

Составьте список всех программных продуктов, сервисов и баз данных, используемых в организации. Для каждой системы определите, обрабатываются ли в ней персональные данные. Систему следует включить в перечень ИСПДн, если в ней хранятся, собираются, передаются, изменяются или удаляются данные, позволяющие идентифицировать физическое лицо.

Шаг 2. Определить характеристики каждой ИСПДн

Для каждой выявленной системы зафиксируйте следующие параметры:

Наименование ИСПДн — внутреннее название системы (например, «1С:Зарплата и управление персоналом», «CRM Bitrix24», «Веб-сайт компании»).
Назначение (цель обработки) — для чего система обрабатывает ПДн (кадровый учёт, взаимодействие с клиентами, бухгалтерский учёт).
Категории обрабатываемых ПДн — общие, специальные, биометрические или иные (в терминологии ПП 1119).
Категории субъектов — работники, клиенты, посетители сайта, пациенты, обучающиеся.
Объём обработки — количество субъектов, чьи данные обрабатываются в системе (менее 100 000 или более 100 000).
Тип ИСПДн — автономная, локальная или распределённая; расположена на собственных серверах или в облаке.
Наличие подключения к сетям общего пользования — подключена ли система к интернету.

Шаг 3. Определить уровень защищённости (УЗ)

Для каждой ИСПДн определяется уровень защищённости в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119. УЗ зависит от трёх факторов:

Категория ПДн — специальные, биометрические, общедоступные или иные.
Тип актуальных угроз — 1-го, 2-го или 3-го типа (наличие недекларированных возможностей в системном ПО, прикладном ПО или их отсутствие).
Объём обрабатываемых данных — менее или более 100 000 субъектов.

Существует 4 уровня защищённости (УЗ-1 — максимальный, УЗ-4 — базовый). Для большинства коммерческих организаций, обрабатывающих общие ПДн менее 100 000 субъектов при актуальных угрозах 3-го типа, устанавливается УЗ-4.

Шаг 4. Оформить перечень

Перечень оформляется в виде таблицы и утверждается приказом руководителя организации. Рекомендуется оформить перечень как приложение к приказу — это упрощает актуализацию (при изменении состава ИСПДн достаточно переиздать приложение).

Шаг 5. Актуализировать регулярно

Перечень ИСПДн подлежит пересмотру:

при внедрении новых информационных систем;
при выводе систем из эксплуатации;
при изменении состава обрабатываемых данных или категорий субъектов;
не реже одного раза в год в рамках планового аудита.

Образец перечня ИСПДн организации

Ниже приведён типовой образец перечня информационных систем персональных данных для коммерческой организации среднего размера. Таблица содержит основные графы, рекомендуемые ФСТЭК и Роскомнадзором.

ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приложение к приказу [должность руководителя] [наименование организации] от «___» _________ 202__ г. № ___

№ п/п	Наименование ИСПДн	Назначение (цель обработки)	Категории ПДн	Категории субъектов	Объём (кол-во субъектов)	УЗ
1	1С:Зарплата и управление персоналом 8	Кадровый учёт, расчёт заработной платы, формирование отчётности	Иные	Работники, бывшие работники	Менее 100 000	УЗ-4
2	1С:Бухгалтерия предприятия 8	Бухгалтерский и налоговый учёт	Иные	Работники, контрагенты (физ. лица)	Менее 100 000	УЗ-4
3	CRM Bitrix24	Управление взаимоотношениями с клиентами, воронка продаж	Иные	Клиенты, потенциальные клиенты	Менее 100 000	УЗ-4
4	Веб-сайт организации (example.ru)	Приём заявок, регистрация пользователей, обратная связь	Иные	Посетители сайта, зарегистрированные пользователи	Менее 100 000	УЗ-4
5	Корпоративная почта (Яндекс 360)	Деловая переписка, обмен документами	Иные	Работники, контрагенты	Менее 100 000	УЗ-4
6	Система видеонаблюдения	Обеспечение безопасности, контроль доступа на территорию	Биометрические	Работники, посетители	Менее 100 000	УЗ-3
7	СБИС (Тензор)	Электронный документооборот, сдача отчётности	Иные	Работники	Менее 100 000	УЗ-4

Данный образец приведён в качестве примера. Конкретный перечень ИСПДн каждой организации формируется по результатам аудита и может включать иной состав систем. Для медицинских организаций в перечень добавляются МИС с категорией «специальные ПДн» и более высоким УЗ. Для образовательных учреждений — системы учёта обучающихся.

Обратите внимание: система видеонаблюдения (строка 6) обрабатывает биометрические персональные данные (изображение лица), поэтому для неё устанавливается более высокий уровень защищённости — УЗ-3 вместо УЗ-4.

Приказ об утверждении перечня ИСПДн

Перечень ИСПДн вводится в действие приказом руководителя организации. Приказ фиксирует утверждение перечня, назначает ответственных за актуализацию и устанавливает периодичность пересмотра.

ПРИКАЗ № ___ об утверждении перечня информационных систем персональных данных

г. [город] «___» _________ 202__ г.

В целях выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

ПРИКАЗЫВАЮ:

1. Утвердить Перечень информационных систем персональных данных [наименование организации] (Приложение № 1 к настоящему приказу).

2. Назначить ответственным за ведение и актуализацию Перечня ИСПДн [должность, ФИО] (далее — Ответственный).

3. Ответственному обеспечить:

3.1. Актуализацию Перечня ИСПДн при вводе в эксплуатацию новых информационных систем, осуществляющих обработку персональных данных, и при выводе существующих систем из эксплуатации — в срок не более 10 рабочих дней с момента соответствующего события.

3.2. Проведение плановой ревизии Перечня ИСПДн не реже одного раза в год.

3.3. При выявлении изменений — подготовку проекта приказа о внесении изменений в Перечень ИСПДн.

4. Руководителям структурных подразделений незамедлительно информировать Ответственного о внедрении новых информационных систем, в которых осуществляется обработка персональных данных.

5. Признать утратившим силу приказ от [дата предыдущего приказа] № [номер] (при наличии).

6. Контроль исполнения настоящего приказа оставляю за собой.

[Должность руководителя] _______________ / [ФИО]

Приказ доводится до сведения всех руководителей структурных подразделений под подпись. Перечень ИСПДн (Приложение № 1) хранится у ответственного за организацию обработки ПДн и предъявляется по запросу Роскомнадзора или ФСТЭК при проведении проверок.

Создать перечень ИСПДн в конструкторе → — автоматически заполнит перечень на основании данных реестра информационных систем вашей организации.

Перечень информационных систем персональных данных (ИСПДн)