Перейти к содержанию
инструкция 14 апреля 2027 По состоянию на 14 апреля 2027

Модель нарушителя ИСПДн

Модель нарушителя ИСПДн — обязательный раздел ОРД оператора ПДн, описывающий типы актуальных угроз и их источники применительно к конкретной информационной системе персональных данных.
Без актуальной модели нарушителя оператор не может обоснованно установить уровень защищённости по ПП РФ №1119 и выбрать меры защиты по Приказу ФСТЭК №21. РКН при проверке вправе квалифицировать отсутствие документа как нарушение ст. 18.1 ФЗ-152 — штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽ и обязательное предписание об устранении.
Если вы юрист, которому поручили собрать полный пакет ОРД, — эта инструкция даёт пошаговый порядок составления модели нарушителя и её встраивания в систему документов оператора.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Неполный пакет ОРД — самостоятельное нарушение, фиксируемое при плановых и внеплановых проверках РКН. Модель нарушителя входит в этот пакет наряду с политикой обработки ПДн, согласиями субъектов и приказом о назначении ответственного по ст. 22.1 ФЗ-152. Ниже — шесть последовательных шагов, позволяющих юристу подготовить документ, выдерживающий проверку.

Шаг 1. Определите состав ИСПДн и категории обрабатываемых данных

Прежде чем описывать нарушителя, необходимо понять, что именно он может атаковать. Юрист совместно с техническим специалистом формирует перечень ИСПДн организации: наименование системы, её функциональное назначение, состав субъектов (работники, клиенты, пациенты), перечень категорий ПДн и их объём.

По ст. 10 ФЗ-152 выделяют специальные категории (сведения о здоровье, убеждениях, судимости), биометрические данные по ст. 11 ФЗ-152 и общедоступные. Для каждой ИСПДн фиксируют: обрабатываются ли спецкатегории, превышает ли число субъектов 100 000 — это напрямую влияет на уровень защищённости (УЗ) по ПП РФ №1119.

«Ст. 19 ФЗ-152 обязывает оператора принимать организационные и технические меры защиты. Их конкретный состав определяется уровнем защищённости, установленным по ПП РФ №1119 от 01.11.2012, исходя из категорий ПДн, типа угроз и числа субъектов.»

Результат шага — таблица ИСПДн организации с указанием категорий ПДн. Этот раздел войдёт в преамбулу модели нарушителя и обоснует выбор типов угроз на следующем шаге.

Шаг 2. Классифицируйте типы угроз и актуализируйте их для вашей ИСПДн

Приказ ФСТЭК №21 от 18.02.2013 выделяет три типа угроз в зависимости от наличия недекларированных возможностей в системном ПО, прикладном ПО и аппаратной среде. Тип угрозы определяет итоговый уровень защищённости.

На практике большинство коммерческих операторов обоснованно принимают угрозы 3-го типа (недекларированные возможности отсутствуют) как актуальные — это снижает требования к защите и позволяет работать на УЗ-3 или УЗ-4. Решение должно быть задокументировано и обосновано: нельзя просто написать «угрозы 1-го типа неактуальны» без анализа инфраструктуры.

Юрист фиксирует результаты оценки в акте определения актуальных угроз — этот документ служит основанием для раздела «Актуальные угрозы» в модели нарушителя.

Пакет ОРД ещё не собран или требует обновления?

Модель нарушителя — один из 38 документов, которые РКН проверяет при аудите ОРД. Если пакет неполный, каждый отсутствующий документ создаёт самостоятельное основание для штрафа. Юристы DATUM соберут полный комплект ОРД под ключ: от политики конфиденциальности до модели нарушителя и журнала обращений субъектов. Срок — от 10 рабочих дней.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Опишите типы нарушителей и их возможности

Модель нарушителя классифицирует источники угроз по категориям. Минимальный состав, достаточный для большинства коммерческих операторов:

  • Внешний нарушитель без специальных прав — хакеры, конкуренты, использующие общедоступные технические средства атаки через внешние интерфейсы ИСПДн.
  • Внешний нарушитель с ресурсами спецслужб — актуален для государственных операторов и операторов КИИ; для рядового коммерческого оператора — как правило, неактуален с документальным обоснованием.
  • Внутренний нарушитель с правами пользователя — работник, имеющий легитимный доступ к ИСПДн в пределах своих полномочий.
  • Внутренний нарушитель с расширенными правами — системный администратор, разработчик, технический персонал с привилегированным доступом.
  • Лица, имеющие физический доступ к техническим средствам — обслуживающий персонал, подрядчики, службы ИТ-поддержки.

Для каждого типа описывают: цели, мотивацию, уровень технических знаний, доступные ресурсы и возможные каналы реализации угрозы. Методологический ориентир — Банк данных угроз ФСТЭК России (bdu.fstec.ru), хотя обязанности использовать именно его для коммерческих операторов ФЗ-152 не устанавливает.

Шаг 4. Установите уровень защищённости и свяжите его с моделью нарушителя

После того как типы нарушителей и актуальность угроз определены, юрист формирует матрицу для расчёта УЗ по ПП РФ №1119. Параметры расчёта:

  • категория ПДн (специальные, биометрические, общедоступные, иные);
  • число субъектов (до 100 000 или более);
  • тип актуальных угроз (1-й, 2-й или 3-й).

Результат расчёта — итоговый УЗ от 1 (максимальные требования) до 4 (минимальные). Уровень защищённости фиксируется в акте или отдельном разделе модели нарушителя и становится основанием для выбора базового набора мер по Приказу ФСТЭК №21.

«ПП РФ №1119 от 01.11.2012 устанавливает четыре уровня защищённости ИСПДн. УЗ-4 применяется при обработке общедоступных или иных ПДн, не превышающих 100 000 субъектов, при актуальных угрозах 3-го типа. УЗ-1 — при обработке специальных категорий ПДн с угрозами 1-го типа.»

На этом шаге важна согласованность документов: уровень защищённости, указанный в модели нарушителя, должен совпадать с уровнем в техническом паспорте ИСПДн и в политике обработки ПДн.

Шаг 5. Оформите документ и включите его в пакет ОРД

Модель нарушителя оформляется как самостоятельный внутренний документ оператора. Обязательные реквизиты: наименование организации, наименование документа, дата утверждения, подпись руководителя или уполномоченного лица. Документ утверждается приказом или подписью руководителя на титульном листе.

Минимальная структура модели нарушителя:

  • Общие положения и нормативная база.
  • Перечень ИСПДн организации с характеристиками.
  • Описание угроз и обоснование их актуальности.
  • Классификация нарушителей с описанием возможностей.
  • Итоговый уровень защищённости ИСПДн.
  • Выводы и перечень применяемых мер защиты (ссылка на Приказ ФСТЭК №21).

Документ передаётся ответственному за организацию обработки ПДн, назначенному по ст. 22.1 ФЗ-152, и хранится совместно с остальным пакетом ОРД. Пересмотр — не реже одного раза в год или при существенном изменении инфраструктуры.

Если вы юрист и собираете ОРД впервые — модель нарушителя требует технической экспертизы инфраструктуры. Без неё документ не выдержит проверку РКН. Юристы и технические специалисты DATUM проведут аудит ИСПДн и подготовят корректную модель нарушителя в составе полного пакета.

Заказать аудит 152-ФЗ

Шаг 6. Синхронизируйте модель нарушителя с остальными документами ОРД

Модель нарушителя не существует изолированно. Юрист обязан проверить согласованность с пятью смежными документами:

Что синхронизировать с моделью нарушителя

  • Политика обработки ПДн (ст. 18.1 ФЗ-152) — должна ссылаться на установленный уровень защищённости и перечень ИСПДн.
  • Уведомление в реестр РКН (ст. 22 ФЗ-152, Приказ РКН №180) — сведения о целях обработки и перечне ПДн должны совпадать с описанием ИСПДн в модели.
  • Приказ об ответственном (ст. 22.1 ФЗ-152) — ответственный подписывает план устранения уязвимостей, вытекающих из модели нарушителя.
  • Согласия субъектов (ст. 9 ФЗ-152, в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 отдельный документ) — перечень обрабатываемых ПДн в согласии не должен выходить за границы, описанные в модели.
  • Технический паспорт ИСПДн — содержит описание аппаратных и программных компонентов, на которые опирается анализ угроз.

Рассогласование документов — типичная находка при проверках РКН. Если в уведомлении заявлена одна цель обработки, а в модели нарушителя описана ИСПДн с расширенным составом ПДн, инспектор квалифицирует это как обработку сверх заявленных целей по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽.

Как это применяется на практике

Кейс 1. Юрист производственной компании (Уральский ФО, осень 2025) получил задачу собрать пакет ОРД перед плановой проверкой РКН. Модель нарушителя была составлена без привлечения технического специалиста: угрозы 3-го типа признаны актуальными формально, описание нарушителей скопировано из шаблона без адаптации к инфраструктуре. При проверке инспектор установил, что в ИСПДн обрабатываются биометрические данные (отпечатки пальцев для СКУД), однако в модели биометрия не отражена и уровень защищённости занижен. Компания получила предписание об устранении нарушений и протокол по ч. 3 ст. 13.11 КоАП. Штраф — в диапазоне десятков тысяч рублей, срок устранения — 30 дней.

Кейс 2. IT-компания (Центральный ФО, начало 2026) провела аудит ОРД силами внешних юристов перед подачей уведомления в реестр РКН по ст. 22 ФЗ-152. Аудит выявил расхождение между техническим паспортом ИСПДн и моделью нарушителя: в системе обрабатывались ПДн более 100 000 субъектов, тогда как модель содержала анализ для «до 100 000». Это влекло переход с УЗ-4 на УЗ-3 и необходимость дополнительных мер по Приказу ФСТЭК №21. После корректировки документов и реализации дополнительных мер компания подала уведомление без нарушений и прошла первичный контроль РКН без предписаний.

Услуги DATUM по теме

  • Комплект ОРД под ключ — разработка полного пакета из 38 документов, включая модель нарушителя и технический паспорт ИСПДн.
  • Аудит соответствия 152-ФЗ — проверка актуальности документов ОРД, выявление рассогласований перед проверкой РКН.
  • DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1, включая актуализацию модели нарушителя при изменении инфраструктуры.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный состав ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), уведомление в реестр РКН (ст. 22 ФЗ-152, Приказ РКН №180), согласия субъектов в соответствии со ст. 9 ФЗ-152 — с 01.09.2025 каждое согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025, — а также модель угроз и нарушителя, технический паспорт ИСПДн, инструкции для работников и журнал учёта обращений субъектов. Полный перечень насчитывает 38 позиций.

2. Как составить политику обработки ПДн?

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: цели обработки, правовые основания, категории и перечень ПДн, категории субъектов, порядок и условия обработки, сроки хранения и уничтожения, порядок реализации прав субъектов, сведения о трансграничной передаче при её наличии. Документ публикуется на сайте оператора в свободном доступе. Отсутствие публикации — нарушение ч. 3 ст. 13.11 КоАП, штраф до 60 000 ₽.

3. Кого назначить ответственным по ст. 22.1?

По ст. 22.1 ФЗ-152 ответственным за организацию обработки ПДн может быть назначен любой работник организации — специального образования закон не требует. На практике назначают юриста, ИТ-специалиста или сотрудника службы безопасности. Ответственный обязан: проводить внутренний контроль, знакомить работников с требованиями ФЗ-152, принимать обращения субъектов и взаимодействовать с РКН. Функцию ответственного можно передать по договору на аутсорсинг — это законно и снижает операционную нагрузку.

4. Можно ли использовать шаблон модели нарушителя из интернета?

Готовый шаблон допустимо использовать как основу, однако применять его без адаптации к конкретной инфраструктуре нельзя. РКН при проверке анализирует, отражает ли модель реальный состав ИСПДн, категории ПДн и фактические угрозы. Документ, составленный по универсальному шаблону без привязки к инфраструктуре, расценивается как формальный и не устраняет нарушения ст. 19 ФЗ-152. Минимум — адаптировать разделы о составе ИСПДн, категориях ПДн и числе субъектов.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 не может объединяться с другими документами — договором, офертой, политикой конфиденциальности или трудовым договором. Согласие оформляется отдельным документом с обязательными реквизитами: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия, включённые в состав иных документов, считаются несоответствующими требованиям — нарушение ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽.

6. Когда нужно пересматривать модель нарушителя?

Законодательство не устанавливает жёсткой периодичности, однако практика проверок РКН и требования Приказа ФСТЭК №21 предполагают пересмотр не реже одного раза в год, а также при существенных изменениях инфраструктуры ИСПДн: подключении новых систем, смене обработчика, расширении перечня обрабатываемых ПДн или изменении числа субъектов за пороговое значение 100 000. Актуальность модели фиксируется в листе пересмотра документа.

Итог

Модель нарушителя ИСПДн — технико-правовой документ, без которого невозможно обоснованно установить уровень защищённости и выбрать меры по Приказу ФСТЭК №21. Рассогласование модели с другими документами ОРД — типичное нарушение, выявляемое при проверках РКН и влекущее предписания и штрафы по нескольким частям ст. 13.11 КоАП одновременно.

DATUM сопровождает операторов ПДн при разработке и актуализации полного пакета ОРД, включая модель нарушителя: юристы и технические специалисты практики обеспечивают согласованность документов и соответствие требованиям ФЗ-152, ПП РФ №1119 и Приказа ФСТЭК №21.

Смотрите также

Есть задача по ОРД или готовитесь к проверке РКН?

Юристы и технические специалисты DATUM помогут собрать или актуализировать полный пакет ОРД, включая модель нарушителя. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и информационной безопасности. Специализация: уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

14 апреля 2027 года