Система персональных данных: как классифицировать ИСПДн, выбрать уровень защищенности и соблюсти 152-ФЗ

Российский бизнес ежегодно выплачивает многомиллионные штрафы за нарушения требований к обработке персональных данных. Причина большинства инцидентов — непонимание, что такое система персональных данных (ИСПДн) и как правильно ее защищать. Разбираемся, что входит в ИСПДн, как ее классифицировать, какие уровни защищенности существуют и какие последствия ждут бизнес при нарушениях.

Что такое система персональных данных 

Любая организация, которая хранит данные сотрудников, клиентов или партнеров, является оператором персональных данных. Информационная система персональных данных (ИСПДн) — это автоматизированная система компании, работающая с персональной информацией. Это CRM, базы данных, кадровые программы и любое другое ПО, которое собирает, хранит или обрабатывает личную информацию.

Проще говоря, если ваш бизнес использует компьютеры и программы для работы с данными клиентов или сотрудников — у вас есть ИСПДн.

Какие данные считаются персональными

Закон разделяет ПДн на 4 категории по степени их чувствительности:

• Особые — самая чувствительная информация: о здоровье человека, национальной принадлежности, политических убеждениях и т.д. (например, медицинские карты сотрудников или результаты медосмотров). 
• Биометрические — информация, которая идентифицирует человека по физическим признакам: сканы сетчатки, дактилоскопические отпечатки, образцы речевых данных.
• Общедоступные — сведения, которые человек сам сделал публичными (например, указал в открытом профиле в соцсети ФИО или профессию).
• Иные персональные данные — самый частый тип данных в бизнесе. Сюда входит все, что не попало в предыдущие категории: паспортные данные, номера банковских карт, адреса, сведения о зарплате и др. 

Важно! Если ваша система обрабатывает специальные или биометрические категории данных, к ней применяются самые строгие требования по защите, независимо от количества обрабатываемых записей.

Виды ИСПДн

Чтобы не переплачивать за безопасность и не нарушать закон, бизнесу важно правильно классифицировать систему ПДн.

• Кросс-функциональные (перекрестные): обрабатывают данные разных категорий людей — например, клиентов, сотрудников и партнеров. Крупные компании создают их, чтобы оптимизировать бизнес-процессы и сократить издержки. К примеру, банк может использовать единую платформу для скоринга заемщиков и расчета зарплат.
• Функциональные: решают конкретные задачи в отдельных подразделениях компании. Это CRM-платформы для отдела продаж, кадровые системы в HR-подразделении или маркетинговые платформы для аналитики.
• Системы учета и управления: автоматизируют внутренние процессы — ведут учет рабочего времени, рассчитывают отпуска и больничные, управляют доступом в помещения.
• Информационно-справочные: предоставляют сведения ограниченному кругу пользователей. Например, система проверки контрагентов в юридическом отделе или база лояльности в розничной сети.

Обязанности оператора ИСПДн

Оператор отвечает за безопасность персональных данных постоянно — от момента их получения до удаления. Бизнес обязан внедрить систему защиты, способную эффективно противостоять актуальным угрозам. Конкретные требования к построению такой системы устанавливают 152-ФЗ и Постановление Правительства №1119.

Закон 152-ФЗ отвечает за базовые правила: что можно, что нельзя и кто за это отвечает. Постановление №1119 подсказывает, какие меры безопасности нужно использовать и в какой ситуации. Именно оно устанавливает 4 уровня защищенности (УЗ) для системы, в зависимости от того, какие данные вы обрабатываете и сколько у вас клиентов или сотрудников.

Что необходимо сделать на практике:

1. Определите уровень защищенности (УЗ) — какие именно данные вы храните (стандартные или чувствительные). От этого зависит, какие средства защиты вам потребуются.
2. Выберите лицензированные средства защиты (СЗИ) — ФСТЭК и ФСБ утверждают перечень допустимых программ и аппаратных решений. Нельзя использовать любые понравившиеся инструменты — они должны быть одобрены регуляторами.
3. Сформируйте пакет внутренних документов — политику обработки данных, регламенты для сотрудников и реестр процессов, чтобы пройти проверку без вопросов.
4. Уведомите Роскомнадзор — как только начали собирать персональные данные вы обязаны сообщить об этом в контролирующий орган. 
5. Заключите правильные договоры с подрядчиками — если вы передаете сведения на аутсорсинг (например, в облако), договор должен обязывать подрядчика защищать данные так же, как это делаете вы.

За соблюдением этих требований следят:

• Роскомнадзор — проверяет, как вы собираете данные и реагируете на запросы граждан.
• ФСТЭК — оценивает, как вы организовали техническую защиту информации.
• ФСБ — контролирует использование шифрования (криптографии).

Закон требует от бизнеса не просто наличия документов, но и активной, непрерывной защиты информации. Ошиблись с категорией данных или не учли требования — рискуете получить штраф до 15 млн рублей.

{{cta}}

Уровни защищенности ИСПДн: как определить и не ошибиться

Правильный выбор уровня защищенности определяет, сколько вы потратите на системы безопасности и какие меры внедрите. Ошибка ведет к двум рискам: вы переплатите за ненужную защиту или оставите данные уязвимыми, что грозит утечками и штрафами.

‍

Чтобы понять, как защитить систему, нужно учесть 4 ключевых аспекта:

• Категория обрабатываемой информации.
• Принадлежность данных (только сотрудникам оператора или внешним субъектам).
• Количество субъектов, чьи данные обрабатываются.
• Тип угроз безопасности.

Законодательство разделяет угрозы на три категории:

1. Угрозы 1-го типа — возникают из-за уязвимостей в системном ПО (в ОС, СУБД). Использование таких уязвимостей позволяет злоумышленникам получить полный контроль над инфраструктурой компании.
2. Угрозы 2-го типа — пробелы в безопасности прикладных программ, которые вы используете ежедневно: CRM-системы, бухгалтерские программы, системы управления сайтом. Через них преступник может похитить конкретные базы данных.
3. Угрозы 3-го типа — общие риски, не связанные с программными ошибками: кража паролей сотрудниками, утечки из-за небрежности, действия инсайдеров.

Как уровень защищенности влияет на риски и затраты бизнеса:

‍

Приведем пример. Завод со штатом 5000 сотрудников обрабатывает паспортные данные, медицинские справки для допуска к работе и использует систему контроля доступа с идентификацией по отпечаткам пальцев.

• Какие данные есть — иные (паспорта), специальные (медсправки) и биометрические (отпечатки).
• Уровень защищенности — наличие биометрии и специальных данных автоматически требует УЗ-2 для этих систем.
• Тип угроз — для системы, хранящей паспорта и медсправки, характерен 2-й тип угроз (уязвимости в кадровом ПО), а для системы с отпечатками пальцев — угрозы 1-го типа (атаки на операционную систему сервера).
  ‍

Требования к защите и организации ИСПДн

После того, как вы определили УЗ, можно приступать к проектированию системы защиты. Конкретные требования к защите ПДн устанавливает Приказ ФСТЭК № 21. 
‍

Организационные меры — это основа, по которой вас будут проверять в случае жалобы или аудита. Они подразумевают разработку и утверждение обязательных документов, регламентирующих порядок взаимодействия с данными, права доступа, процедуры реагирования на инциденты и персональную ответственность сотрудников. 
‍

Вам нужно подготовить:

• Положение об обеспечении безопасности ПДн.
• Инструкцию для пользователя ИСПДн.
• Список сотрудников, имеющих доступ к системе.
• Регламент резервного копирования данных.
• Акт о уничтожении персональных данных.
• Согласия на обработку ПДн и журналы для ознакомления персонала.

Важно! Нужно не только разработать правила доступа персонала к обработке ПДн, но и ознакомить сотрудников с положениями ФЗ-152 и локальными актами. Статистика показывает, что человеческий фактор остается главной причиной утечки данных.
‍

К техническим мерам защиты относятся следующие инструменты:

• Межсетевые экраны — контролируют весь сетевой трафик и блокируют несанкционированные подключения извне. Например, российские решения UserGate или Ideco Hardware Firewall. 
• Инструменты блокировки несанкционированного доступа — позволяют точно ограничить доступ к данным и выявлять подозрительные действия сотрудников. Минимизируют утечки изнутри и позволяют пройти проверку ФСТЭК без дополнительных настроек. Рассмотрите Secret Net Studio или АПКШ «Континент». 
• Антивирусное ПО — защищает корпоративную сеть от заражений и блокирует попытки похищения данных через вредоносные файлы. Устраняет до 90 % типовых угроз, особенно при работе с внешними носителями и электронной почтой (Kaspersky Endpoint Security и Dr.Web Security Space). 
• Средства регистрации событий (SIEM) — решения типа MaxPatrol SIEM или Solar MSS фиксируют все действия с персональными данными, позволяют быстро находить причину инцидента, а также сокращают время расследования утечки с нескольких дней до 1-2 часов.
• Системы мониторинга сетевых атак (IDS/IPS) — продукты RuSIEM или Infowatch Traffic Monitor в режиме реального времени анализируют сетевую активность и выявляют попытки взлома. Предупреждают об атаке до того, как злоумышленник получит доступ к базе.

Пошаговый план защиты ИСПДн: от аудита до аттестации системы

Компании, которые внедрили защищенные ИСПДн, не только избегают штрафов, но и получают реальное конкурентное преимущество, демонстрируя клиентам и партнерам свою надежность. Следуйте плану — четкий алгоритм действий поможет минимизировать издержки и выстроить систему безопасности последовательно и обоснованно.

Шаг 1: Проведите аудит и классифицируйте систему

Составьте полный реестр всех процессов и мест хранения персональной информации. Фиксируете, где и как обрабатываете данные: в CRM, отделах кадров, бухгалтерии. Точно определите категории данных — стандартные (ФИО, телефоны) или специальные (состояние здоровья). На основе этой информации классифицируете ИСПДн по уровням защищенности.

Шаг 2: Сформируйте организационно-распорядительную документацию

Вам нужно создать пакет локальных актов, который станет основой для всех процессов (о них мы писали выше). Такие документы доказывают проверяющему органу: у вас порядок, а не хаос.

Шаг 3: Внедрите технические средства защиты

Определив уровень защищенности, выберите и внедрите сертифицированные СЗИ. Вам поможет подрядчик — системный интегратор, который подберет сертифицированные СЗИ в соответствии с уровнем защищенности, протестирует и внедрит решения на пилотных зонах перед полномасштабным запуском. Подрядчик также настроит интеграцию средств защиты с вашей IT-инфраструктурой и разработает техническую документацию на систему защиты.

Шаг 4: Подготовьте персонал и аттестуйте систему

Обучите команду: проведите инструктажи по использованию защитных механизмов и соблюдению регламентов. Введите в действие все разработанные документы и получите аттестат соответствия (выдается на 3 года и служит весомым доказательством вашей добросовестности).

Обратите внимание: аттестация ИСПДн в обязательном порядке требуется только для государственных информационных систем. Бизнесу аттестат не обязателен, но если вы работаете с крупными клиентами — без него могут не подписать контракт.

Финансовые риски

С 30 мая 2025 года штрафные санкции для юрлиц стали значительно выше, а за повторные нарушения введены оборотные санкции, исчисляемые в процентах от выручки компании, а не в виде фиксированной суммы. 

Прямое влияние на бизнес-показатели:

• Сокращение операционной прибыли — штрафы в размере 1-3% от выручки могут «поглотить» значительную часть квартальной прибыли среднего бизнеса.
• Блокировка развития — средства, запланированные на маркетинг, закупки или модернизацию, придется направлять на оплату санкций.
• Потеря инвестиционной привлекательности — компания с репутацией «нарушителя» и риском приостановки деятельности становится менее интересна инвесторам и партнерам.

Санкции для юридических лиц за утечку персональной информации:

Реальный кейс реализации ИСПДн и последствия недостаточной защиты

Успешная модернизация системы защиты в страховой компании

Крупная страховая организация инициировала масштабное обновление системы защиты ПДн при обработке медицинских полисов ДМС. Компания обрабатывала специальные категории данных о здоровье 500 000+ клиентов, что требовало соответствия УЗ-2.

На первом этапе команда экспертов провела аудит ИТ‑инфраструктуры, который выявил зоны риска в ИТ-системах компании. По результатам аудита специалисты развернули комплексную систему безопасности: 

• настроили DLP-систему;
• зашифровали каналы передачи данных между филиалами; 
• разграничили доступ к медицинской информации между страховыми агентами, медучреждениями и бухгалтерией. 

После установки системы мониторинга инцидентов бизнес начал реагировать на угрозы не за сутки, а за 15 минут. 

Результаты через 6 месяцев:

• На 67% снизилось количество инцидентов безопасности.
• Компания успешно прошла внеплановую проверку Роскомнадзора.
• На 23% увеличилась скорость обработки страховых случаев.
• Заключено 5 новых корпоративных контрактов с промышленными предприятиями.

Судебные последствия недостаточной защиты данных в МФО

Рассмотрим другой пример — как слабая система безопасности и идентификации приводит к прямым финансовым и репутационным потерям. 
‍

Микрофинансовая организация столкнулась с иском от гражданина, который утверждал, что никогда не подписывал договор займа и не давал согласия на использование своих персональных данных.
‍

В ходе судебного разбирательства выяснилось, что договор был заключен дистанционно через сайт с использованием SMS-кода, отправленного на номер, зарегистрированный на другое лицо. Суд установил, что в компании отсутствовала надежная система идентификации клиентов, что привело к несанкционированной обработке данных и заключению договора. 
‍

Результат: суд обязал компанию удалить персональные данные истца и прекратить их обработку, что подтвердило прямую связь между недостатками в системе защиты и финансовыми потерями.

FAQ

‍

Что такое система персональных данных (ИСПДн)?

Система персональных данных — это любые программы и базы, где вы храните и обрабатываете данные клиентов, сотрудников или партнеров: CRM, кадровые системы и даже Excel-таблицы с телефонами и email клиентов.
‍

Каким компаниям нужно защищать персональные данные?

Всем. Если вы храните данные сотрудников, клиентов или контрагентов, вы являетесь оператором ПДн. Это относится даже к небольшим компаниям с базой клиентов в Excel.
‍

Обязательно ли регистрировать ИСПДн?

Да, но не саму систему, а факт обработки конфиденциальных сведений. Закон обязывает организации информировать Роскомнадзор до начала работы с персональными данными. Исключения — случаи, когда:

• обрабатываете только данные сотрудников;
• собираете контакты для разовых пропусков;
• получили данные из общедоступных источников.
  ‍

Как понять, насколько защищена ИСПДн?

Чтобы понять, насколько защищена система, необходимо установить уровень защищенности. УЗ зависит от категории данных и числа людей, чьи сведения вы храните. Чем выше уровень — тем серьезнее должны быть меры защиты: от паролей до шифрования и специального ПО.
‍

Что будет, если не защищать систему персональных данных?

Бизнесу грозят штрафные санкции: от 3 до 20 млн руб., а за повтор — до 3 % от выручки. Кроме денег вы теряете клиентов, партнёров и репутацию.

{{cta}}