# ИСПДн: как выбрать уровень защищенности по 152-ФЗ

Canonical: https://www.kt-team.ru/blog/personal-data-security-system-152fz-guide

Source: https://www.kt-team.ru/blog/personal-data-security-system-152fz-guide

02.11.2025

Руководство по ИСПДн: классификация данных, уровни защищенности, требования к защите и шаги по соблюдению 152-ФЗ.

Canonical URL: https://www.kt-team.ru/blog/personal-data-security-system-152fz-guide

Original URI: /blog/personal-data-security-system-152fz-guide

## SEO / GEO Metadata

- Title: ИСПДн: как выбрать уровень защищенности по 152-ФЗ

- Description: Руководство по ИСПДн: классификация данных, уровни защищенности, требования к защите и шаги по соблюдению 152-ФЗ.

- Canonical: https://www.kt-team.ru/blog/personal-data-security-system-152fz-guide

- Robots: not specified

- JSON-LD blocks: 2

Российский бизнес ежегодно выплачивает многомиллионные штрафы за нарушения требований к обработке персональных данных. Причина большинства инцидентов - непонимание, что такое система персональных данных (ИСПДн) и как правильно ее защищать. Разбираемся, что входит в ИСПДн, как ее классифицировать, какие уровни защищенности существуют и какие последствия ждут бизнес при нарушениях.

## Коротко

- ИСПДн — это любая система, работающая с данными клиентов или сотрудников: CRM, базы данных, кадровые программы, даже Excel-таблица с телефонами.
- Уровень защищённости (УЗ-1…УЗ-4) задаёт Постановление №1119 по категории данных, числу субъектов и типу угроз — он определяет и набор мер, и затраты.
- Специальные и биометрические данные требуют строгой защиты независимо от количества записей.
- Технические меры (Приказ ФСТЭК №21) идут вместе с организационными документами; человеческий фактор остаётся главной причиной утечек.
- С 30 мая 2025 года штрафы для юрлиц — от 3 до 20 млн рублей, за повторное нарушение — оборотные 1–3% от выручки.

## Что такое система персональных данных

Любая организация, которая хранит данные сотрудников, клиентов или партнеров, является оператором персональных данных. **Информационная система персональных данных (ИСПДн)** - это автоматизированная система компании, работающая с персональной информацией. Это CRM, базы данных, кадровые программы и любое другое ПО, которое собирает, хранит или обрабатывает личную информацию.

Проще говоря, если ваш бизнес _использует компьютеры и программы для работы с данными клиентов или сотрудников_ - у вас есть ИСПДн.

### Какие данные считаются персональными

Закон разделяет ПДн на 4 категории по степени их чувствительности:

- **Особые** - самая чувствительная информация: о здоровье человека, национальной принадлежности, политических убеждениях и т.д. (например, медицинские карты сотрудников или результаты медосмотров).

- **Биометрические** - информация, которая идентифицирует человека по физическим признакам: сканы сетчатки, дактилоскопические отпечатки, образцы речевых данных.

- **Общедоступные** - сведения, которые человек сам сделал публичными (например, указал в открытом профиле в соцсети ФИО или профессию).

- **Иные персональные данные** - самый частый тип данных в бизнесе. Сюда входит все, что не попало в предыдущие категории: паспортные данные, номера банковских карт, адреса, сведения о зарплате и др.

**Важно!** Если ваша система обрабатывает _специальные или биометрические категории данных,_к ней применяются самые строгие требования по защите, независимо от количества обрабатываемых записей.

### Виды ИСПДн

Чтобы не переплачивать за безопасность и не нарушать закон, бизнесу важно правильно классифицировать систему ПДн.

- **Кросс-функциональные (перекрестные):** обрабатывают данные разных категорий людей - например, клиентов, сотрудников и партнеров. Крупные компании создают их, чтобы оптимизировать бизнес-процессы и сократить издержки. К примеру, банк может использовать единую платформу для скоринга заемщиков и расчета зарплат.

- **Функциональные:** решают конкретные задачи в отдельных подразделениях компании. Это CRM-платформы для отдела продаж, кадровые системы в HR-подразделении или маркетинговые платформы для аналитики.

- **Системы учета и управления:**автоматизируют внутренние процессы - ведут учет рабочего времени, рассчитывают отпуска и больничные, управляют доступом в помещения.

- **Информационно-справочные:** предоставляют сведения ограниченному кругу пользователей. Например, система проверки контрагентов в юридическом отделе или база лояльности в розничной сети.

### Обязанности оператора ИСПДн

Оператор отвечает за безопасность персональных данных постоянно - от момента их получения до удаления. Бизнес обязан внедрить [систему защиты](https://www.kt-team.ru/solutions/informacionnaya-bezopasnost), способную эффективно противостоять актуальным угрозам. Конкретные требования к построению такой системы устанавливают _152-ФЗ и Постановление Правительства №1119._

**Закон 152-ФЗ**отвечает за базовые правила: что можно, что нельзя и кто за это отвечает. **Постановление №1119**подсказывает, какие меры безопасности нужно использовать и в какой ситуации. Именно оно устанавливает _4 уровня защищенности (УЗ)_для системы, в зависимости от того, какие данные вы обрабатываете и сколько у вас клиентов или сотрудников.

Что необходимо сделать на практике:

1. **Определите уровень защищенности (УЗ)**-****какие именно данные вы храните (стандартные или чувствительные). От этого зависит, какие средства защиты вам потребуются.

2. **Выберите лицензированные средства защиты (СЗИ)**-****ФСТЭК и ФСБ утверждают перечень допустимых программ и аппаратных решений. Нельзя использовать любые понравившиеся инструменты - они должны быть одобрены регуляторами.

3. **Сформируйте пакет внутренних документов**-****политику обработки данных, регламенты для сотрудников и реестр процессов, чтобы пройти проверку без вопросов.

4. **Уведомите Роскомнадзор** - как только начали собирать персональные данные вы обязаны сообщить об этом в контролирующий орган.

5. **Заключите правильные договоры с подрядчиками**- если вы передаете сведения на аутсорсинг (например, в облако), договор должен обязывать подрядчика защищать данные так же, как это делаете вы.

За соблюдением этих требований следят:

- **Роскомнадзор** - проверяет, как вы собираете данные и реагируете на запросы граждан.

- **ФСТЭК** - оценивает, как вы организовали техническую защиту информации.

- **ФСБ** - контролирует использование шифрования (криптографии).

**Закон требует от бизнеса не просто наличия документов, но и активной, непрерывной**[**защиты информации**](https://www.kt-team.ru/blog/information-security-requirements-business-guide)**. Ошиблись с категорией данных или не учли требования - рискуете получить штраф до 15 млн рублей.**

{{cta}}

## Уровни защищенности ИСПДн: как определить и не ошибиться

Правильный выбор уровня защищенности определяет, сколько вы потратите на системы безопасности и какие меры внедрите. Ошибка ведет _к двум рискам:_ вы переплатите за ненужную защиту или оставите данные уязвимыми, что грозит утечками и штрафами.

‍

Чтобы понять, как защитить систему, нужно учесть 4 ключевых аспекта:

- Категория обрабатываемой информации.

- Принадлежность данных (только сотрудникам оператора или внешним субъектам).

- Количество субъектов, чьи данные обрабатываются.

- Тип угроз безопасности.

Законодательство разделяет угрозы на три категории:

1. **Угрозы 1-го типа** - возникают из-за уязвимостей в системном ПО (в ОС, СУБД). Использование таких уязвимостей позволяет злоумышленникам получить полный контроль над инфраструктурой компании.

2. **Угрозы 2-го типа**- пробелы в безопасности прикладных программ, которые вы используете ежедневно: CRM-системы, бухгалтерские программы, системы управления сайтом. Через них преступник может похитить конкретные базы данных.

3. **Угрозы 3-го типа** - общие риски, не связанные с программными ошибками: кража паролей сотрудниками, утечки из-за небрежности, действия инсайдеров.

**Как уровень защищенности влияет на риски и затраты бизнеса:**

| УЗ | Тип угроз | Что нужно сделать | Практическая польза для бизнеса |

| --- | --- | --- | --- |

| УЗ-1 | Угрозы 1-го типа (уязвимости ОС и СУБД) | Внедрить максимальный набор средств защиты, включая системы против утечек информации (DLP) и строгое шифрование. Получить аттестат соответствия. | Гарантированно проходите проверки Роскомнадзора и ФСТЭК. Повышаете доверие крупных партнеров. |

| УЗ-2 | Угрозы 2-го типа (уязвимости прикладного ПО) | Установить межсетевой экран, антивирусную защиту, программы контроля доступа. | Эффективно защищаете самые уязвимые данные, минимизируя репутационные риски. |

| УЗ-3 | Угрозы 3-го типа (человеческий фактор, инсайдеры) | Внедрить парольную политику, разграничить права доступа сотрудников, вести журналы действий. | Соблюдаете закон с минимальными затратами, фокусируясь на базовой, но надежной защите. |

| УЗ-4 | Угрозы 3-го типа в ограниченном проявлении | Принять внутреннюю политику обработки данных и получить согласия от субъектов. | Легально ведете маркетинг, не неся избыточных затрат на сложные системы безопасности. |

‍

**Приведем пример.**Завод со штатом 5000 сотрудников обрабатывает паспортные данные, медицинские справки для допуска к работе и использует систему контроля доступа с идентификацией по отпечаткам пальцев.

- _Какие данные есть_ - иные (паспорта), специальные (медсправки) и биометрические (отпечатки).

- _Уровень защищенности_ - наличие биометрии и специальных данных автоматически требует УЗ-2 для этих систем.

- _Тип угроз_ - для системы, хранящей паспорта и медсправки, характерен 2-й тип угроз (уязвимости в кадровом ПО), а для системы с отпечатками пальцев - угрозы 1-го типа (атаки на операционную систему сервера).
‍

## Требования к защите и организации ИСПДн

После того, как вы определили УЗ, можно приступать к проектированию системы защиты. Конкретные требования к защите ПДн устанавливает_Приказ ФСТЭК № 21. 
‍_

**Организационные меры**-****это основа, по которой вас будут проверять в случае жалобы или аудита. Они подразумевают разработку и утверждение обязательных документов, регламентирующих порядок взаимодействия с данными, права доступа, процедуры реагирования на инциденты и персональную ответственность сотрудников. 
‍

Вам нужно подготовить:

- Положение об обеспечении безопасности ПДн.

- Инструкцию для пользователя ИСПДн.

- Список сотрудников, имеющих доступ к системе.

- Регламент резервного копирования данных.

- Акт о уничтожении персональных данных.

- Согласия на обработку ПДн и журналы для ознакомления персонала.

**Важно!** Нужно не только разработать правила доступа персонала к обработке ПДн, но и ознакомить сотрудников с положениями ФЗ-152 и локальными актами. [Статистика показывает](https://safe.cnews.ru/news/line/2025-02-20_48_rossijskih_kompanij_stolknulis), что человеческий фактор остается главной причиной утечки данных.
‍

**К техническим мерам**защиты относятся следующие инструменты:

- Межсетевые экраны - контролируют весь сетевой трафик и блокируют несанкционированные подключения извне. Например, российские решения _UserGate или Ideco Hardware Firewall._

- Инструменты блокировки несанкционированного доступа - позволяют точно ограничить доступ к данным и выявлять подозрительные действия сотрудников. Минимизируют утечки изнутри и позволяют пройти проверку ФСТЭК без дополнительных настроек. Рассмотрите _Secret Net Studio или АПКШ "Континент"._

- Антивирусное ПО - защищает корпоративную сеть от заражений и блокирует попытки похищения данных через вредоносные файлы. Устраняет до 90 % типовых угроз, особенно при работе с внешними носителями и электронной почтой _(Kaspersky Endpoint Security и Dr.Web Security Space)._

- Средства регистрации событий (SIEM) - решения типа _MaxPatrol SIEM или Solar MSS_фиксируют все действия с персональными данными, позволяют быстро находить причину инцидента, а также сокращают время расследования утечки с нескольких дней до 1-2 часов.

- Системы мониторинга сетевых атак (IDS/IPS) - продукты _RuSIEM или Infowatch Traffic Monitor_в режиме реального времени анализируют сетевую активность и выявляют попытки взлома. Предупреждают об атаке до того, как злоумышленник получит доступ к базе.

## Пошаговый план защиты ИСПДн: от аудита до аттестации системы

Компании, которые внедрили защищенные ИСПДн, не только избегают штрафов, но и получают реальное конкурентное преимущество, демонстрируя клиентам и партнерам свою надежность. Следуйте плану - четкий алгоритм действий поможет минимизировать издержки и выстроить систему безопасности последовательно и обоснованно.

### Шаг 1: Проведите аудит и классифицируйте систему

Составьте полный реестр всех процессов и мест хранения персональной информации. Фиксируете, где и как обрабатываете данные: в CRM, отделах кадров, бухгалтерии. Точно определите категории данных - стандартные (ФИО, телефоны) или специальные (состояние здоровья). На основе этой информации классифицируете ИСПДн по уровням защищенности.

### Шаг 2: Сформируйте организационно-распорядительную документацию

Вам нужно создать пакет локальных актов, который станет основой для всех процессов (о них мы писали выше). Такие документы доказывают проверяющему органу: у вас порядок, а не хаос.

### Шаг 3: Внедрите технические средства защиты

Определив уровень защищенности, выберите и внедрите сертифицированные СЗИ.__Вам поможет подрядчик - [системный интегратор](https://www.kt-team.ru/#services), который подберет сертифицированные СЗИ в соответствии с уровнем защищенности, протестирует и внедрит решения на пилотных зонах перед полномасштабным запуском. Подрядчик также настроит интеграцию средств защиты с вашей IT-инфраструктурой и разработает техническую документацию на систему защиты.

### Шаг 4: Подготовьте персонал и аттестуйте систему

Обучите команду: проведите инструктажи по использованию защитных механизмов и соблюдению регламентов. Введите в действие все разработанные документы и получите _аттестат соответствия_ (выдается на 3 года и служит весомым доказательством вашей добросовестности).

**Обратите внимание:**аттестация ИСПДн в обязательном порядке требуется только для государственных информационных систем. Бизнесу аттестат не обязателен, но если вы работаете с крупными клиентами - без него могут не подписать контракт.

### Финансовые риски

С 30 мая 2025 года штрафные санкции для юрлиц стали значительно выше, а за повторные нарушения введены _оборотные санкции_, исчисляемые в процентах от выручки компании, а не в виде фиксированной суммы.

**Прямое влияние на бизнес-показатели:**

- Сокращение операционной прибыли - штрафы в размере 1-3% от выручки могут "поглотить" значительную часть квартальной прибыли среднего бизнеса.

- Блокировка развития - средства, запланированные на маркетинг, закупки или модернизацию, придется направлять на оплату санкций.

- Потеря инвестиционной привлекательности - компания с репутацией "нарушителя" и риском приостановки деятельности становится менее интересна инвесторам и партнерам.

**Санкции для юридических лиц за утечку персональной информации:**

| Нарушение | Штраф |

| --- | --- |

| Компрометация данных 1 000-10 000 человек | 3-5 млн рублей |

| Разглашение информации 10 000-100 000 физических лиц | 5-10 млн рублей |

| Нарушение при обработке свыше 100 000 записей | 10-15 млн рублей |

| Раскрытие специальных категорий сведений (состояние здоровья, убеждения) | 10-15 млн рублей |

| Компрометация биометрических данных | 15-20 млн рублей |

| Повторный случай нарушения требований защиты | Оборотный штраф 1-3% от годового объема выручки (нижний порог - 20-25 млн рублей, верхний лимит - 500 млн рублей) |

## Реальный кейс реализации ИСПДн и последствия недостаточной защиты

### Успешная модернизация системы защиты в страховой компании

Крупная страховая организация инициировала _масштабное обновление системы защиты ПДн_ при обработке медицинских полисов ДМС. Компания обрабатывала специальные категории данных о здоровье _500 000+_клиентов, что требовало соответствия _УЗ-2._

На первом этапе команда экспертов провела [аудит ИТ‑инфраструктуры](https://www.kt-team.ru/product-pages/it-audit), который выявил зоны риска в ИТ-системах компании. По результатам аудита специалисты развернули комплексную систему безопасности:

- настроили DLP-систему;

- зашифровали каналы передачи данных между филиалами;

- разграничили доступ к медицинской информации между страховыми агентами, медучреждениями и бухгалтерией.

После установки [системы мониторинга инцидентов](https://www.kt-team.ru/product-pages/ai-monitoring) бизнес начал реагировать на угрозы не за сутки, а за 15 минут.

**Результаты через 6 месяцев:**

- На 67% снизилось количество инцидентов безопасности.

- Компания успешно прошла внеплановую проверку Роскомнадзора.

- На 23% увеличилась скорость обработки страховых случаев.

- Заключено 5 новых корпоративных контрактов с промышленными предприятиями.

### Судебные последствия недостаточной защиты данных в МФО

Рассмотрим другой пример - как слабая [система безопасности](https://www.kt-team.ru/blog/10-steps-to-information-security) и идентификации приводит к прямым финансовым и репутационным потерям. 
‍

Микрофинансовая организация столкнулась с иском от гражданина, который утверждал, что никогда не подписывал договор займа и не давал согласия на использование своих персональных данных.
‍

В ходе судебного разбирательства выяснилось, что договор был заключен _дистанционно через сайт с использованием_ _SMS-кода,_отправленного на номер, зарегистрированный на другое лицо. Суд установил, что в компании отсутствовала надежная система идентификации клиентов, что привело к несанкционированной обработке данных и заключению договора. 
‍

**Результат:** суд обязал компанию удалить персональные данные истца и прекратить их обработку, что подтвердило прямую связь между недостатками в системе защиты и финансовыми потерями.

## FAQ

‍

**Что такое система персональных данных (ИСПДн)?**

Система персональных данных - это любые программы и базы, где вы храните и обрабатываете данные клиентов, сотрудников или партнеров: CRM, кадровые системы и даже Excel-таблицы с телефонами и email клиентов.
‍

**Каким компаниям нужно защищать персональные данные?**

Всем. Если вы храните данные сотрудников, клиентов или контрагентов, вы являетесь оператором ПДн. Это относится даже к небольшим компаниям с базой клиентов в Excel.
‍

**Обязательно ли регистрировать ИСПДн?**

Да, но не саму систему, а факт обработки конфиденциальных сведений. Закон обязывает организации информировать Роскомнадзор до начала работы с персональными данными. Исключения - случаи, когда:

- обрабатываете только данные сотрудников;

- собираете контакты для разовых пропусков;

- получили данные из общедоступных источников.
‍

**Как понять, насколько защищена ИСПДн?**

Чтобы понять, насколько защищена система, необходимо установить уровень защищенности. УЗ зависит от категории данных и числа людей, чьи сведения вы храните. Чем выше уровень - тем серьезнее должны быть меры защиты: от паролей до шифрования и специального ПО.
‍

**Что будет, если не защищать систему персональных данных?**

Бизнесу грозят штрафные санкции: от 3 до 20 млн руб., а за повтор - до 3 % от выручки. Кроме денег вы теряете клиентов, партнёров и репутацию.

{{cta}}
