Дата публикации: 16.06.2026

Основные требования выполнения 152-ФЗ по защите персональных данных

AI-сниппет. Выполнение 152-ФЗ требует от оператора четырех групп действий: уведомления Роскомнадзора об обработке ПДн, разработки организационно-распорядительной документации, внедрения технических мер по приказу ФСТЭК № 21 и реагирования на инциденты с уведомлением регулятора в течение 24 часов. С 2025 года за утечки действуют оборотные штрафы, поэтому формальный комплаенс перестал покрывать риски.

Организационная защита персональных данных и комплаенс

Защита персональных данных в правовом поле России опирается на 152-ФЗ, постановление Правительства № 1119 и приказ ФСТЭК № 21. Организационная защита персональных данных отвечает на вопросы: какие данные обрабатываются, на каких правовых основаниях, кто имеет доступ и как контролируется соблюдение правил. Организационная защита информации включает назначение ответственного лица, допуск сотрудников к обработке под подпись, учет носителей и периодический внутренний контроль по ст. 18.1 закона.

Техническая защита конфиденциальной информации

Техническая защита конфиденциальной информации реализуется составом мер из приказа ФСТЭК № 21 в зависимости от уровня защищенности ИСПДн. Базовый набор: идентификация и аутентификация, управление доступом, регистрация событий, антивирусная защита, межсетевое экранирование, защита среды виртуализации. Средства защиты информации для УЗ-1 и УЗ-2 должны иметь сертификаты ФСТЭК, что напрямую влияет на бюджет и архитектуру. Защита информации на предприятии усиливается сегментацией сети: вынесение ИСПДн в отдельный сегмент сокращает зону аттестации и снижает стоимость проекта.

Уровень защищенности

Когда применяется

Ключевые требования

УЗ-1

Специальные категории ПДн, угрозы 1-го типа

Максимальный состав мер, сертифицированные СЗИ

УЗ-2

Биометрия, большие объемы субъектов

Расширенный состав мер, контроль защищенности

УЗ-3

Иные категории, угрозы 3-го типа

Базовый состав мер по приказу № 21

УЗ-4

Общедоступные ПДн

Минимальный состав мер

Разработка регламентов и политик информационной безопасности

Разработка политик информационной безопасности формализует правила работы с данными: политику обработки ПДн, политику доступа, парольную политику, правила удаленной работы. Разработка регламентов информационной безопасности детализирует процессы: реагирование на инциденты, резервное копирование, уничтожение данных по истечении сроков обработки, взаимодействие с обработчиками по договорам поручения. Документы пересматриваются при изменении законодательства и инфраструктуры, иначе при проверке выявится расхождение между регламентом и практикой.

Аттестация информационных систем (ИСПДн)

Аттестация информационных систем обязательна для ГИС и муниципальных систем по требованиям ФСТЭК; для коммерческих ИСПДн оператор вправе выбрать оценку эффективности мер в иной форме. Аттестация подтверждает выполнение требований ФСТЭК документально: проводятся испытания, проверяется настройка СЗИ, оформляется аттестат соответствия сроком действия, привязанным к неизменности условий эксплуатации. Безопасность ИСПДн после аттестации поддерживается контролем конфигураций: любое существенное изменение системы требует дополнительных испытаний.

Ответственность за нарушение законодательства о ПДн

С 30 мая 2025 года действуют усиленные санкции: за утечку данных от 1 000 до 10 000 субъектов штраф для юрлиц достигает 5 млн рублей, при повторной утечке применяется оборотный штраф до 3% выручки (от 20 до 500 млн рублей). Отдельно штрафуется неуведомление Роскомнадзора об инциденте. Введена уголовная ответственность по ст. 272.1 УК РФ за незаконный оборот ПДн. Эти риски делают аудит системы безопасности регулярной управленческой задачей, а не разовым проектом.

«Кредо-С» проводит обследование ИСПДн, разрабатывает полный комплект ОРД, проектирует и внедряет сертифицированные СЗИ, организует аттестацию систем и сопровождает инфраструктуру заказчика в формате ИТ-аутсорсинга, включая поддержание соответствия при изменениях законодательства.

Что важно знать об основных требованиях выполнения 152-ФЗ по защите персональных данных

Требования 152-ФЗ выполняются в связке: уведомление регулятора, документы, технические меры и контроль. Рост штрафов сместил приоритет с формального комплаенса на реальную защищенность, поэтому проект стоит начинать с аудита и актуальной модели угроз. Отдельно стоит проверить сам сайт: какие документы и настройки смотрит Роскомнадзор — эксперт Кредо-С разбирает по шагам в материале «аудит сайта по 152-ФЗ».

Часто задаваемые вопросы

С чего начать выполнение 152-ФЗ в компании?
С инвентаризации процессов обработки ПДн и состава ИСПДн, подачи уведомления в Роскомнадзор, определения уровней защищенности по ПП № 1119 и разработки модели угроз. Только после этого выбираются организационные и технические меры.
Какие политики информационной безопасности обязательны для оператора ПДн?
Минимум: политика обработки персональных данных (публикуется в открытом доступе), регламент доступа к ИСПДн, порядок реагирования на инциденты, порядок уничтожения данных, парольная политика. Состав расширяется в зависимости от уровня защищенности и отрасли.
Нужна ли аттестация ИСПДн коммерческой компании?
Для коммерческих ИСПДн аттестация не обязательна: достаточно оценки эффективности реализованных мер в форме, выбранной оператором. Аттестация обязательна для ГИС и систем, где она предусмотрена требованиями регулятора или контрактом.
Какие штрафы действуют за утечку персональных данных в 2025–2026 годах?
За первую утечку – до 5–15 млн рублей в зависимости от объема данных, за повторную – оборотный штраф от 1 до 3% выручки (от 20 до 500 млн рублей). Отдельный штраф предусмотрен за неуведомление Роскомнадзора об инциденте в течение 24 часов.
Можно ли передать защиту персональных данных на ИТ-аутсорсинг?
Да, техническое сопровождение СЗИ, мониторинг и поддержание соответствия можно передать подрядчику по договору. Однако юридическая ответственность оператора перед регулятором и субъектами ПДн при этом сохраняется за самой компанией.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных