1
Общие положения
Цель документа, нормативные основания (ФЗ-152, ПП 1119, Приказ ФСТЭК № 21), область применения, используемые термины.
Обязательный документ
152-ФЗ20265 мин
Положение об обеспечении безопасности персональных данных
Готовый образец положения об обеспечении безопасности ПДн на 2026 год: организационные и технические меры по ПП 1119, связь с моделью угроз и актом УЗ. Скачайте .docx или создайте в конструкторе.
* В раннем доступе — первые 3 документа бесплатно с автозаполнением под вашу организацию из 27 реестров.
Соответствие законодательству
- 152-ФЗ — «О персональных данных»
- ПП-1119 — «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказ ФСТЭК №21 — «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»
Почему этот документ важен
Положение об обеспечении безопасности ПДн — обязательный документ по п. 2 ПП РФ от 01.11.2012 № 1119. Его отсутствие — нарушение ст. 19 ФЗ-152, штраф по ч. 6 ст. 13.11 КоАП: до 150 000 руб., повторно — до 500 000 руб. Именно этот документ фиксирует, КАК вы защищаете персональные данные технически и организационно. [Рассчитайте сумму штрафа для вашей организации](/shtrafy/calculator/).
Что такое положение об обеспечении безопасности ПДн
Положение об обеспечении безопасности персональных данных (также распространённое название — «положение о защите персональных данных») — это внутренний нормативный акт организации, определяющий комплекс организационных и технических мер по защите ПДн при их обработке в информационных системах.
Требование разработать этот документ установлено п. 2 Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Документ:
- Фиксирует конкретные меры по обеспечению безопасности ПДн для каждой ИСПДн;
- Определяет ответственных за реализацию мер защиты;
- Устанавливает порядок контроля выполнения мер безопасности;
- Служит основанием для аттестации ИСПДн и проверок ФСТЭК/РКН.
Подробнее о системе защиты ПДн и связанных документах — в полном гиде «Защита персональных данных по 152-ФЗ».
Отличие от положения об обработке ПДн
Операторы часто путают два документа — положение об обработке ПДн и положение об обеспечении безопасности ПДн. Это разные документы с разными задачами:
Положение об обработке ПДн — описывает ПРОЦЕССЫ: какие данные собираем, на каком основании, кому передаём, сколько храним. Основание — ст. 18.1 ФЗ-152. Это юридический документ о правилах обработки.
Положение об обеспечении безопасности ПДн — описывает ЗАЩИТУ: какие технические и организационные меры применяем, чтобы ПДн не утекли, не были изменены или уничтожены. Основание — ст. 19 ФЗ-152 и ПП 1119. Это технический документ о мерах безопасности.
На практике нужны оба документа. Первый отвечает на вопрос «ЧТО мы делаем с данными», второй — «КАК мы их защищаем». Проверяющие органы запрашивают оба при проверке. Проверьте готовность документации с помощью бесплатного аудита.
Структура положения об обеспечении безопасности ПДн
Типовая структура документа включает следующие разделы:
2
Организационные меры
- Назначение ответственного за безопасность ПДн
- Разграничение прав доступа к ПДн
- Определение перечня лиц, допущенных к обработке ПДн
- Порядок допуска сотрудников в помещения с ИСПДн
- Обучение персонала правилам работы с ПДн
- Контроль выполнения мер безопасности
3
Технические меры
- Идентификация и аутентификация пользователей
- Управление доступом (матрица доступа)
- Антивирусная защита
- Межсетевое экранирование
- Криптографическая защита каналов связи
- Резервное копирование
- Мониторинг и аудит событий безопасности
4
Порядок обнаружения и реагирования на инциденты
Действия при утечке ПДн, уведомление РКН, журнал инцидентов.
5
Контроль и пересмотр мер
Периодичность внутренних проверок, порядок актуализации документа.
Создайте положение в конструкторе за 15 минут
Конструктор автоматически подберёт организационные и технические меры на основании уровня защищённости вашей ИСПДн и сформирует готовый документ.
Открыть конструкторСвязь с моделью угроз и актом определения УЗ
Положение об обеспечении безопасности ПДн не создаётся изолированно. Оно опирается на результаты двух ключевых документов:
1. Модель угроз ПДн определяет, какие угрозы актуальны для вашей ИСПДн и к какому типу они относятся. Перечень актуальных угроз становится основой для выбора мер защиты в положении.
2. Акт определения уровня защищённости фиксирует УЗ-1 — УЗ-4. От уровня защищённости зависит набор обязательных мер по Приказу ФСТЭК № 21:
- УЗ-4 — базовый набор мер (большинство малого бизнеса);
- УЗ-3 — расширенный набор (спецкатегории ПДн, более 100 000 субъектов);
- УЗ-2 — усиленный набор (биометрия, госорганы);
- УЗ-1 — максимальный набор (1-й тип угроз).
Таким образом, правильная последовательность: модель угроз → акт УЗ → положение об обеспечении безопасности.
Меры защиты по уровням защищённости (ПП 1119)
| Мера защиты | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|
| Назначение ответственного за безопасность ПДн | Да | Да | Да | Да |
| Ограничение доступа к ПДн (только уполномоченные лица) | Да | Да | Да | Да |
| Контроль выполнения требований + оценка эффективности мер | — | Да | Да | Да |
| Ограничение доступа к содержимому электронного журнала сообщений | — | — | Да | Да |
| Автоматическая регистрация изменений полномочий сотрудника | — | — | — | Да |
| Создание подразделения по защите информации | — | — | — | Да |
Образец: фрагмент положения для ИСПДн малого бизнеса (УЗ-4)
Раздел 3. Технические меры обеспечения безопасности ПДн
3.1. В ИСПДн «Кадры» (1С:ЗУП) реализованы следующие технические меры:
- Идентификация и аутентификация пользователей — логин/пароль, минимальная длина 8 символов, смена каждые 90 дней;
- Управление доступом — ролевая модель: «Администратор», «Кадровик», «Бухгалтер»;
- Антивирусная защита — Kaspersky Endpoint Security, обновление баз ежедневно;
- Межсетевое экранирование — встроенный МЭ Windows Defender Firewall;
- Резервное копирование — ежедневно, хранение 30 дней, на отдельном носителе.
3.2. Передача ПДн по сети Интернет осуществляется с использованием TLS 1.2+.
Получите документ бесплатно
Первые 3 документа — бесплатно в раннем доступе. С автозаполнением из 27 реестров и поддержкой актуальных НПА.
Что должно быть в положении об обеспечении безопасности ПДн
- Нормативные основания (ФЗ-152, ПП 1119, Приказ ФСТЭК № 21)
- Перечень ИСПДн с указанием уровня защищённости каждой
- Организационные меры защиты (допуск, обучение, контроль)
- Технические меры защиты (аутентификация, антивирус, МЭ, шифрование)
- Ответственный за обеспечение безопасности ПДн
- Порядок разграничения и контроля доступа к ПДн
- Порядок обнаружения и реагирования на инциденты
- Порядок резервного копирования и восстановления ПДн
- Порядок контроля и пересмотра мер безопасности
- Утверждение руководителем организации
- Дата утверждения и порядок внесения изменений
Сформируйте полный пакет документов по безопасности ПДн
Конструктор создаст положение об обеспечении безопасности, модель угроз, акт УЗ и все связанные документы на основании единого набора данных о вашей организации.
Создать документыТипичные ошибки при составлении положения
**Ошибка 1:** Путают с положением об обработке ПДн. Это разные документы с разными основаниями и содержанием. Нужны оба.
**Ошибка 2:** Указывают меры «на бумаге» без реальной реализации. Проверяющие ФСТЭК могут запросить доказательства (логи, скриншоты настроек, лицензии на СЗИ).
**Ошибка 3:** Не привязывают меры к конкретному уровню защищённости. Для УЗ-4 и УЗ-1 набор мер существенно отличается — нельзя использовать один шаблон.
**Ошибка 4:** Забывают про раздел реагирования на инциденты. С 2025 года оператор обязан уведомить РКН об инциденте в течение 72 часов.
Разработка положения экспертами Кибероснова
Сложная инфраструктура, несколько ИСПДн разных уровней защищённости, СКЗИ или КИИ? Наши специалисты разработают положение с учётом специфики вашей ИТ-инфраструктуры.
Заказать разработкуЧасто задаваемые вопросы
Положение об обработке ПДн (по ст. 18.1 ФЗ-152) описывает правовые основы и процессы обработки: какие данные собираются, для каких целей, на каком основании, кому передаются, сколько хранятся. Положение об обеспечении безопасности ПДн (по п. 2 ПП 1119 и ст. 19 ФЗ-152) описывает конкретные технические и организационные меры защиты: антивирус, межсетевые экраны, разграничение доступа, шифрование, порядок реагирования на инциденты. Оператору нужны оба документа, и они дополняют друг друга.
Готовы создать документ под вашу организацию?
В раннем доступе — 3 документа бесплатно с автозаполнением из 27 реестров. Или закажите полный пакет под ключ от 120 000 ₽.
Связанные материалы
Модель угроз ПДнМодель угроз безопасности персональных данных: как составить, методика ФСТЭК, образец 2026.Акт определения уровня защищённостиАкт определения уровня защищённости ПДн — образец 2026, как составить.Политика информационной безопасностиПолитика ИБ организации: образец 2026, структура, обязательные разделы, кому нужна.Политика обработки ПДнОбразец политики обработки персональных данных для ООО, ИП и сайта.Положение об обработке ПДнОбразец положения об обработке персональных данных для организации 2026 года.Приказ о назначении ответственного за ПДнОбразец приказа о назначении ответственного за обработку персональных данных.