инструкция 26 ноября 2026 По состоянию на 26 ноября 2026

Что писать в защите от НСД в уведомлении РКН

Защита от несанкционированного доступа — обязательный раздел уведомления об обработке персональных данных по ст. 22 ФЗ-152 и Приказу РКН №180 от 28.10.2022.

Неправильно или формально заполненный раздел — основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлиц) и повода для внеплановой проверки. С 30.05.2025 повторное нарушение стоит 300–500 тыс. ₽.

Если вы юрист и заполняете уведомление впервые или обновляете сведения — ниже пошаговый разбор каждого поля раздела с конкретными формулировками.

Уведомление об обработке персональных данных подаётся через портал pd.rkn.gov.ru по форме Приказа РКН №180. Один из разделов — описание мер защиты от несанкционированного доступа (НСД). На практике операторы либо копируют бессодержательные формулировки («предусмотрен комплекс организационных и технических мер»), либо указывают конкретные продукты, которые не имеют сертификатов ФСТЭК. Оба варианта вызывают вопросы при проверке. Инструкция объясняет, что именно писать, на каких нормах это основано и как связать раздел НСД с остальным пакетом ОРД.

Шаг 1. Установите уровень защищённости перед заполнением

Раздел о защите от НСД нельзя заполнить корректно, не зная уровня защищённости информационной системы персональных данных (ИСПДн). Уровень защищённости (УЗ) определяется по ПП РФ №1119 от 01.11.2012 и зависит от трёх параметров: категории ПДн (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1, 2 или 3) и числа субъектов (порог — 100 000).

«ПП РФ №1119 устанавливает четыре уровня защищённости ИСПДн. УЗ-4 — минимальный, применяется при обработке общих ПДн сотрудников без актуальных угроз типа 1–2 и числе субъектов до 100 000. УЗ-1 — максимальный, требует сертифицированных средств защиты информации.»

Для большинства юридических лиц — работодателей, интернет-магазинов, B2B-сервисов — применим УЗ-3 или УЗ-4. Если компания обрабатывает медицинские данные (ст. 10 ФЗ-152) или биометрию (ст. 11 ФЗ-152) — минимум УЗ-3 с расширенным набором мер. Зафиксируйте УЗ в акте определения уровня защищённости — это отдельный документ ОРД, на него можно сослаться в уведомлении.

В уведомлении РКН поле «Описание мер по обеспечению безопасности ПДн» не требует указания конкретного УЗ-номера, но описанные меры должны соответствовать базовому набору Приказа ФСТЭК №21 для вашего уровня. Несоответствие выявляется при запросе документации на проверке.

Заполняете уведомление РКН и сомневаетесь в формулировках?

Ошибка в разделе о защите от НСД — не технический вопрос, а правовой. При проверке РКН запрашивает документацию ИСПДн, политику и акт определения УЗ. Если формулировки уведомления расходятся с реальными мерами — протокол по ч. 1 ст. 13.11 КоАП гарантирован. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и готовят корректное уведомление с комплектом ОРД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Что писать в поле «Меры по обеспечению безопасности»

Приказ РКН №180 не устанавливает строгого формата поля — оператор заполняет его в свободной форме, но содержание должно отражать реальную систему защиты. Регулятор ожидает описание трёх блоков мер: организационных, технических и правовых.

Организационные меры — это то, что фиксируется в ОРД. Перечислите: назначение ответственного за обработку ПДн по ст. 22.1 ФЗ-152 (приказ по организации), утверждение политики обработки персональных данных по ст. 18.1 ФЗ-152, проведение инструктажа сотрудников, имеющих доступ к ПДн, введение режима конфиденциальности и подписание соглашений о неразглашении.

Технические меры — описывайте классами, а не конкретными продуктами. Формулировки типа «антивирусная защита рабочих станций», «разграничение прав доступа к ИСПДн на основе ролевой модели», «шифрование каналов передачи данных (HTTPS/TLS)», «резервное копирование баз данных ПДн» — корректны и соответствуют группам мер Приказа ФСТЭК №21 (ИАФ, УПД, ЗИС). Называть конкретный вендор не запрещено, но если сертификат ФСТЭК на продукт истёк или его нет — это риск при проверке.

Правовые меры — включение условий об обработке ПДн в договоры с контрагентами и сотрудниками, заключение поручений на обработку по п. 3 ст. 6 ФЗ-152 с подрядчиками, имеющими доступ к данным.

Что включить в описание мер защиты от НСД

Ссылка на акт определения уровня защищённости ИСПДн (УЗ по ПП РФ №1119)
Организационные меры: политика ПДн (ст. 18.1), приказ об ответственном (ст. 22.1), инструктаж сотрудников
Технические меры: антивирусная защита, разграничение прав доступа, шифрование каналов, резервное копирование
Правовые меры: поручения на обработку с подрядчиками (п. 3 ст. 6 ФЗ-152), соглашения о конфиденциальности
Указание на соответствие Приказу ФСТЭК №21 и перечень применяемых групп мер для установленного УЗ

Шаг 3. Как связать раздел НСД с политикой конфиденциальности

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна содержать описание мер по обеспечению безопасности ПДн. Это тот же перечень, что и в уведомлении, но более развёрнутый. Если в уведомлении вы написали «применяются организационные и технические меры согласно Приказу ФСТЭК №21» — в политике этот раздел раскрывается по каждому типу мер отдельно.

«Ст. 18.1 ФЗ-152 обязывает оператора принимать меры для обеспечения выполнения обязанностей, предусмотренных законом. В числе обязательных — разработка и публикация политики обработки ПДн с разделом о мерах безопасности.»

Расхождение между уведомлением и политикой — типовая ошибка. Оператор пишет в уведомлении одно, в политике — другое, на сайте публикует третье. При проверке инспектор РКН сверяет все три источника. Используйте единый перечень мер во всех документах — уведомлении, политике, внутренних регламентах.

Обратите внимание на требования к согласию с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой или политикой. Это не влияет напрямую на раздел НСД в уведомлении, но меняет структуру пакета ОРД — политика теперь не может одновременно быть текстом согласия.

Если вы юрист и обнаружили расхождение между уведомлением и политикой ПДн — это основание для внеплановой проверки РКН. Штраф по ч. 3 ст. 13.11 КоАП за ненадлежащую политику составляет 30–60 тыс. ₽, а штраф по ч. 1 — до 300 тыс. ₽. Юристы DATUM собирают комплект ОРД под ключ с согласованными формулировками во всех документах.

Собрать ОРД под ключ

Шаг 4. Назначение ответственного по ст. 22.1 и его связь с уведомлением

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Реквизиты этого лица — ФИО и должность — указываются в уведомлении. Если ответственный меняется, оператор обязан направить в РКН уведомление об изменении сведений по форме Приказа РКН №180.

Ответственный не обязан быть штатным юристом или иметь специальный сертификат. Достаточно приказа по организации с описанием функций. Ключевое требование ч. 4 ст. 22.1 — ответственный не может занимать должность, при которой его интересы противоречат интересам субъектов ПДн. На практике это означает: нельзя назначить ответственным того, кто одновременно принимает решения о коммерческом использовании данных без ограничений.

В разделе НСД уведомления упоминание ответственного выглядит так: «Назначено лицо, ответственное за организацию обработки персональных данных в соответствии со ст. 22.1 ФЗ-152. Ответственный осуществляет внутренний контроль за соблюдением законодательства о ПДн, проводит инструктаж сотрудников и обеспечивает доступность политики обработки.»

Шаг 5. Типовые ошибки и сценарии проверки

Ниже — три практические ситуации, с которыми сталкиваются юристы при подготовке уведомления.

Ситуация 1. Уведомление подано, но раздел НСД заполнен формально. Оператор написал «приняты организационные и технические меры» без детализации. РКН направляет запрос о конкретизации. Оператор не может предоставить документы, подтверждающие меры, — политики нет, приказа об ответственном нет. Итог: протокол по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и предписание об устранении в течение 10 рабочих дней. Стратегия: до подачи уведомления сформировать минимальный пакет ОРД — политику, приказ об ответственном, перечень ИСПДн с указанием УЗ.

Ситуация 2. Уведомление содержит перечень конкретных технических средств без сертификатов ФСТЭК. Оператор указал конкретный антивирус и межсетевой экран. При проверке инспектор запросил документы о сертификации для ИСПДн с УЗ-3. Сертификаты отсутствуют или устарели. Итог: нарушение требований ст. 19 ФЗ-152 и Приказа ФСТЭК №21 с риском штрафа по ч. 1. Стратегия: называть классы мер («сертифицированные средства антивирусной защиты», «средства криптографической защиты»), конкретные продукты указывать только при наличии актуальных сертификатов.

Ситуация 3. После 01.09.2025 согласия сотрудников и клиентов остались в теле трудового договора или оферты. Юрист обнаружил расхождение при подготовке ответа на запрос субъекта. Уведомление в РКН ссылается на «законные основания обработки», но согласие как самостоятельный документ отсутствует. Итог: нарушение ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽) при проверке. Стратегия: провести ревизию оснований обработки по каждой категории субъектов, переоформить согласия в соответствии с ФЗ-156 от 24.06.2025.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление об обработке ПДн (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1), приказ о назначении ответственного (ст. 22.1), акт определения уровня защищённости ИСПДн (ПП РФ №1119), перечень ИСПДн, согласия субъектов (ст. 9), поручения на обработку с подрядчиками (п. 3 ст. 6), журнал учёта обращений субъектов. Всего в полном пакете ОРД — около 38 документов.

2. Как составить политику обработки ПДн?

Политика формируется по требованиям ч. 2 ст. 18.1 ФЗ-152. Обязательные разделы: цели обработки, правовые основания по каждой цели, категории субъектов и перечень обрабатываемых ПДн, сроки хранения, порядок уничтожения, описание мер защиты, порядок обращения субъектов. Политика публикуется на сайте оператора в открытом доступе. Шаблоны из интернета, как правило, не учитывают специфику конкретного оператора — категории его данных, фактические цели и применяемые системы.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть любой сотрудник организации, которого назначат приказом. Обычно это юрист, специалист по ИБ или HR-директор в зависимости от структуры компании. Ограничение одно: должность не должна создавать конфликт интересов с правами субъектов ПДн (ч. 4 ст. 22.1 ФЗ-152). Требований к наличию специального образования или сертификата в законе нет — достаточно компетентности в вопросах обработки ПДн и понимания обязанностей оператора.

4. Можно ли использовать шаблон политики из интернета?

Формально закон не запрещает использование готовых форм. На практике универсальные шаблоны создают риски: они не отражают реальные цели обработки конкретного оператора, категории данных, применяемые системы и подрядчиков. При проверке РКН сверяет политику с фактической деятельностью. Расхождение — основание для штрафа. Политику необходимо адаптировать под конкретную организацию, а не использовать «как есть».

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом. Его нельзя включать в договор, оферту, политику или трудовой договор. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Ранее полученные согласия, оформленные в соответствии с прежними требованиями, переоформлять не нужно — ФЗ-156 обратной силы не имеет.

6. Что делать, если уведомление уже подано с ошибками?

Оператор вправе в любой момент подать уведомление об изменении сведений по форме Приказа РКН №180 через портал pd.rkn.gov.ru. Это не влечёт автоматического штрафа. Если проверка уже началась — направьте уведомление об изменении до завершения проверочных мероприятий: это учитывается как смягчающее обстоятельство по ст. 4.1 КоАП.

Итог

Раздел о защите от НСД в уведомлении РКН — не формальность, а отражение реальной системы защиты ИСПДн. Корректное заполнение требует предварительного определения УЗ по ПП РФ №1119, сформированного пакета ОРД и согласованных формулировок во всех документах — уведомлении, политике и внутренних регламентах. Несоответствие фактических мер задекларированным при проверке РКН превращается в протокол по ст. 13.11 КоАП с штрафом от 150 тыс. ₽ для юрлица.

Юристы DATUM сопровождают подготовку уведомлений и полных пакетов ОРД для операторов с различными категориями ПДн — от малых компаний до крупных производственных групп. Практика по 152-ФЗ с 2014 года.

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет из 38 документов с учётом УЗ и категорий ПДн
Аудит соответствия 152-ФЗ — проверка уведомления, политики и реальных мер защиты
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

26 ноября 2026 года