Перейти к содержанию
инструкция 17 февраля 2027 По состоянию на 17 февраля 2027

Описание ИСПДн: 8 разделов по ФСТЭК

Описание информационной системы персональных данных (ИСПДн) — обязательный внутренний документ оператора, без которого невозможно определить уровень защищённости по ПП РФ №1119 и выбрать меры защиты по Приказу ФСТЭК №21.
Отсутствие описания ИСПДн — основание для протокола по ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽ в редакции с 30.05.2025). При проверке РКН инспектор запрашивает этот документ в числе первых — как часть пакета ОРД, подтверждающего соответствие ст. 19 ФЗ-152.
Если вы юрист и формируете пакет ОРД — эта инструкция даёт структуру описания ИСПДн: 8 обязательных разделов с указанием норм ФСТЭК и ФЗ-152.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей, оборотный штраф до 500 млн ₽ при повторной утечке. Описание ИСПДн закрывает сразу несколько оснований ответственности: подтверждает, что оператор определил цели обработки (ст. 5 ФЗ-152), установил уровень защищённости (ПП РФ №1119) и выбрал меры защиты (Приказ ФСТЭК №21). Инструкция ниже построена по требованиям ФСТЭК и структуре, которую принимают при проверках.

Что такое описание ИСПДн и зачем оно нужно юристу?

Описание ИСПДн — это организационно-распорядительный документ, который фиксирует характеристики информационной системы: какие ПДн в ней обрабатываются, кто имеет доступ, какие угрозы актуальны и какой уровень защищённости определён. Документ не является публичным — он входит во внутренний пакет ОРД и предъявляется по запросу регулятора.

Юрист отвечает за юридическую корректность описания: соответствие категорий ПДн ст. 10 ФЗ-152, правильное указание правовых оснований обработки по ст. 6 ФЗ-152, корректную ссылку на назначенного ответственного по ст. 22.1 ФЗ-152. Технические параметры (архитектура, средства защиты) готовит IT-подразделение или CISO совместно.

Без описания ИСПДн невозможно:

  • определить уровень защищённости УЗ-1...УЗ-4 по ПП РФ №1119;
  • сформировать базовый набор мер по Приказу ФСТЭК №21;
  • подтвердить при проверке РКН, что оператор оценил риски по ст. 18.1 ФЗ-152;
  • корректно заполнить уведомление по Приказу РКН №180 от 28.10.2022.
«Ст. 19 ФЗ-152 обязывает оператора принимать организационные и технические меры для обеспечения безопасности ПДн. Конкретный состав мер определяется по ПП РФ №1119 от 01.11.2012 (уровни защищённости) и Приказу ФСТЭК №21 от 18.02.2013 (109 мер в 15 группах). Основой для выбора мер служит описание ИСПДн.»

Формируете пакет ОРД с нуля или под проверку?

Описание ИСПДн — один из 38 документов стандартного пакета ОРД. Если документ отсутствует или не соответствует требованиям ФСТЭК, РКН при плановой проверке выдаёт предписание. Устранить нарушение нужно в установленный срок — иначе повторный протокол по ч. 1.1 ст. 13.11 КоАП (до 500 000 ₽). Юристы DATUM соберут полный пакет ОРД: политика, согласия, приказы, описания ИСПДн, регламент реагирования, журналы учёта.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Идентификация системы и цели обработки

Первый раздел описания ИСПДн фиксирует наименование системы, её назначение и цели обработки ПДн. Наименование должно совпадать с тем, которое указано в уведомлении РКН по Приказу №180 и в политике обработки ПДн по ст. 18.1 ФЗ-152. Расхождения — типовое замечание при проверке.

Цели обработки формулируются исходя из ст. 5 ФЗ-152: конкретные, заранее определённые, не допускающие обработки в целях, несовместимых с заявленными. Типовые варианты: «ведение кадрового учёта», «исполнение трудового договора», «обработка заказов клиентов», «бухгалтерский учёт». Каждая цель — отдельная строка.

Что включить в раздел: наименование ИСПДн; структурное подразделение-владелец; цели обработки (перечень); ссылка на уведомление РКН (номер в реестре операторов, если есть).

Шаг 2. Категории и объём обрабатываемых ПДн

Второй раздел определяет, какие именно данные обрабатывает система. Категории ПДн влияют на уровень защищённости: специальные (ст. 10 ФЗ-152) и биометрические (ст. 11 ФЗ-152) требуют более высоких УЗ по ПП РФ №1119.

По объёму субъектов порог 100 000 человек меняет уровень защищённости — это нужно зафиксировать отдельно. Если система содержит данные менее 100 000 субъектов, укажите приблизительный порядок (до 1 000, до 10 000, до 100 000).

Что включить в раздел:

  • перечень категорий ПДн с разбивкой по ст. 10, 11 и общим по ст. 3 ФЗ-152;
  • оценочный объём субъектов ПДн;
  • категории субъектов: работники, клиенты, контрагенты, несовершеннолетние (требуют отдельного обоснования);
  • правовые основания обработки каждой категории по ст. 6 ФЗ-152.
«ПП РФ №1119 от 01.11.2012 устанавливает матрицу: категория ПДн × тип угрозы × объём субъектов (порог — 100 000) = уровень защищённости УЗ-1...УЗ-4. Специальные категории и биометрия при любом числе субъектов не могут быть ниже УЗ-3.»

Шаг 3. Описание технологии обработки

Третий раздел описывает, как технически обрабатываются ПДн: автоматизированно, неавтоматизированно или смешанно. Это различие влияет на применимые меры защиты и на состав нарушения при инциденте (ч. 6 ст. 13.11 КоАП — несоблюдение условий хранения при неавтоматизированной обработке).

Для автоматизированной обработки указывают: программную платформу (1С, SAP, собственная разработка, облачный SaaS), тип развёртывания (локальное, облако РФ, облако за рубежом), каналы передачи данных. Облако за рубежом — маркер для проверки локализации по ч. 5 ст. 18 ФЗ-152 и уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152.

Что включить в раздел: тип обработки (авт./неавт./смешанный); программное обеспечение и версия; место обработки (адрес серверов или тип облака); наличие передачи ПДн третьим лицам (обработчикам); основание для поручения обработки по п. 3 ст. 6 ФЗ-152.

Шаг 4. Структура системы и границы ИСПДн

Четвёртый раздел описывает архитектуру системы: серверная часть, рабочие места, каналы связи, внешние интерфейсы. Это раздел преимущественно технический, но юрист должен проверить соответствие описанных границ тому, что указано в уведомлении РКН: наименование системы и состав ПДн должны совпадать.

Если ИСПДн состоит из нескольких компонентов (основная база + резервная копия + аналитический модуль), каждый компонент отражается отдельно. Нередко компании описывают только «ядро» системы, оставляя резервные копии и аналитику за рамками — это создаёт риск при проверке, если инспектор обнаружит незадекларированные хранилища.

Что включить в раздел: схема или текстовое описание компонентов; список рабочих мест с доступом к ПДн; описание каналов связи (LAN, VPN, интернет); перечень внешних систем-интеграций.

Шаг 5. Актуальные угрозы безопасности

Пятый раздел — определение актуальных угроз. ФСТЭК выделяет три типа угроз по ПП РФ №1119: угрозы 1-го типа (уязвимости в системном ПО, встроенные закладки), 2-го типа (уязвимости в прикладном ПО), 3-го типа (иные угрозы — без недокументированных возможностей в ПО). Тип угроз напрямую определяет уровень защищённости.

На практике большинство коммерческих операторов декларируют угрозы 3-го типа как актуальные — это даёт минимально допустимый УЗ для данной категории ПДн. Исключения: государственные информационные системы, критическая инфраструктура, медицинские организации с подключением к ЕГИСЗ — для них актуальность угроз 1-го и 2-го типов проверяется отдельно.

«ПП РФ №1119: если оператор признаёт угрозы 1-го типа актуальными для ИСПДн со специальными категориями ПДн — требуется УЗ-1. Если актуальны только угрозы 3-го типа, а число субъектов менее 100 000 — достаточен УЗ-4.»

Что включить в раздел: вывод о типе актуальных угроз с обоснованием; ссылка на методику оценки угроз (ФСТЭК, Банк данных угроз bdu.fstec.ru); кто проводил оценку (внутренняя служба ИБ или внешний аттестатор).

Если юрист формирует описание ИСПДн, а в компании нет выделенного специалиста по ИБ — определение актуальных угроз и уровня защищённости без технической экспертизы создаёт риск некорректного УЗ. DATUM совмещает юридическую и техническую экспертизу при подготовке ОРД.

Заказать аудит 152-ФЗ

Шаг 6. Уровень защищённости и применяемые меры

Шестой раздел — итоговое определение уровня защищённости (УЗ-1, УЗ-2, УЗ-3 или УЗ-4) на основе матрицы ПП РФ №1119 из разделов 2 и 5 описания. УЗ фиксируется как вывод с формулировкой: «По совокупности характеристик ИСПДн [название] устанавливается уровень защищённости УЗ-[N]».

На основании установленного УЗ из Приказа ФСТЭК №21 выбирается базовый набор мер в 15 группах: ИАФ (идентификация и аутентификация), УПД (управление правами доступа), РСБ (регистрация событий безопасности), АВЗ (антивирусная защита), ЗИС (защита информационной системы) и другие. Для УЗ-4 применяется минимальный набор, для УЗ-1 — максимальный.

Что включить в раздел: итоговый вывод об уровне защищённости; перечень применяемых мер защиты с указанием групп Приказа ФСТЭК №21; применяемые средства защиты информации (сертифицированные ФСТЭК или ФСБ — при необходимости).

Шаг 7. Лица, допущенные к обработке, и ответственный

Седьмой раздел описывает организационную составляющую: кто имеет доступ к ИСПДн и кто несёт ответственность за организацию обработки. Оператор-юрлицо обязан назначить ответственного по ст. 22.1 ФЗ-152 — это отдельный приказ, ссылку на который вносят в этот раздел.

Перечень лиц с доступом — не поимённый список всех сотрудников, а перечень должностей или структурных подразделений с описанием уровней доступа (чтение, запись, администрирование). Это соответствует принципу минимизации из ст. 5 ФЗ-152 и требованиям группы УПД Приказа ФСТЭК №21.

С 01.09.2025 согласия работников на обработку ПДн, в том числе для доступа к корпоративным системам, оформляются отдельным документом по требованиям ФЗ-156 от 24.06.2025 (новая редакция ст. 9 ФЗ-152). Если ИСПДн обрабатывает ПДн работников — в разделе 7 нужно указать ссылку на актуальное согласие.

«Ст. 22.1 ФЗ-152: оператор-юрлицо назначает лицо, ответственное за организацию обработки ПДн. Ч. 4 ст. 22.1 устанавливает квалификационные требования к этому лицу. Отсутствие назначенного ответственного фиксируется при проверке РКН как нарушение ст. 18.1 ФЗ-152.»

Что включить в раздел: реквизиты приказа о назначении ответственного по ст. 22.1 ФЗ-152; перечень должностей/подразделений с доступом; уровни доступа; ссылки на действующие согласия работников (при обработке ПДн работников).

Шаг 8. Порядок контроля и пересмотра документа

Восьмой раздел регулирует жизненный цикл самого описания ИСПДн. Документ не является статичным: при изменении состава ПДн, смене платформы, добавлении интеграций или изменении числа субъектов описание должно быть актуализировано. Рекомендуемая периодичность плановой проверки — ежегодно.

Внеплановый пересмотр обязателен при: утечке ПДн (ч. 3.1 ст. 21 ФЗ-152 — 24 часа на уведомление РКН), смене программного обеспечения, передаче обработки подрядчику по п. 3 ст. 6 ФЗ-152, изменении уведомления в реестре РКН по Приказу №180.

В разделе также фиксируется порядок ознакомления: все лица с доступом к ИСПДн должны быть ознакомлены с документом под подпись согласно ст. 18.1 ФЗ-152. Журнал ознакомления — отдельный приложенный документ.

Что включить в раздел: периодичность планового пересмотра; основания для внепланового пересмотра; ответственный за актуализацию (должность); порядок ознакомления и журнал.

Типовые ошибки при составлении описания ИСПДн

При проверке РКН и при аудите ОРД встречаются три повторяющихся нарушения.

Ситуация 1. Несоответствие категорий ПДн в описании и уведомлении РКН. Компания указала в описании ИСПДн обработку общих категорий ПДн работников, но в уведомлении по Приказу №180 не отразила категорию «состояние здоровья», хотя система содержит данные о больничных листах. Инспектор при проверке сравнивает оба документа. Расхождение — предписание с обязанностью скорректировать уведомление и обновить описание. При повторном нарушении — протокол по ч. 1.1 ст. 13.11 КоАП (штраф до 500 000 ₽). Стратегия: синхронизировать описание ИСПДн и уведомление РКН при каждой актуализации.

Ситуация 2. УЗ занижен из-за неверной оценки угроз. Медицинская организация обрабатывает ПДн пациентов (специальные категории по ст. 10 ФЗ-152) и декларирует угрозы 3-го типа как единственно актуальные, устанавливая УЗ-3. При проверке выясняется, что система подключена к ЕГИСЗ — это меняет оценку угроз. Правильный УЗ — не ниже УЗ-2 или УЗ-1. Разрыв между задекларированным и фактически требуемым уровнем защищённости — основание для предписания ФСТЭК и протокола РКН. Стратегия: оценку угроз проводить с привлечением специалиста по ИБ, знакомого с методикой ФСТЭК.

Ситуация 3. Описание не обновлено после смены платформы. Компания (Уральский ФО, осень 2025) перенесла CRM в облако зарубежного провайдера. Описание ИСПДн осталось с указанием локального сервера. При проверке РКН обнаружена незадекларированная трансграничная передача по ст. 12 ФЗ-152 — уведомление о трансграничной передаче не подавалось. Штраф по ч. 1 ст. 13.11 КоАП и предписание об уведомлении. Стратегия: изменение технологии обработки — обязательный триггер для обновления описания ИСПДн и проверки трансграничной составляющей.

Что подготовить перед составлением описания ИСПДн

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru — для сверки состава заявленных ИСПДн.
  • Перечень всех информационных систем, где обрабатываются ПДн: ERP, CRM, кадровая система, бухгалтерия, сайт с формами сбора данных.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — реквизиты вносятся в раздел 7.
  • Актуальные согласия субъектов: с 01.09.2025 — отдельный документ по ФЗ-156 от 24.06.2025 (новая редакция ст. 9 ФЗ-152).
  • Политика обработки ПДн по ст. 18.1 ФЗ-152 — описание ИСПДн должно быть согласовано с ней по целям и категориям.

Связанные услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов, включая описание ИСПДн, политику, согласия и регламент реагирования на утечку.
  • Аудит соответствия 152-ФЗ — проверка корректности описания ИСПДн, уровня защищённости и соответствия уведомления РКН.
  • DPO-аутсорсинг — возьмём функцию ответственного по ст. 22.1 ФЗ-152 на абонентское обслуживание.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн по ст. 18.1 ФЗ-152, описание ИСПДн с установленным уровнем защищённости по ПП РФ №1119, приказ о назначении ответственного по ст. 22.1 ФЗ-152, согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156), журналы учёта обращений субъектов, регламент реагирования на инциденты с ПДн. Всего стандартный пакет — около 38 документов. Отсутствие любого из них фиксируется при проверке РКН как нарушение.

2. Как составить политику обработки ПДн?

Политика обработки ПДн публикуется на официальном сайте и должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, перечень обрабатываемых ПДн, порядок и условия обработки, права субъектов, меры защиты. Политика должна быть согласована с описанием ИСПДн: категории ПДн и цели обработки — одинаковые в обоих документах. Использовать шаблон из интернета без адаптации под реальные процессы компании — типовая ошибка при проверке.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к лицу, ответственному за организацию обработки ПДн: оно должно иметь представление о законодательстве в сфере ПДн, организовывать работу по соответствию, вести взаимодействие с субъектами и регулятором. Назначается приказом руководителя. На практике это штатный юрист, начальник службы ИБ или руководитель IT-отдела — закон не запрещает совмещение. Внешний DPO-аутсорсер закрывает эту функцию при отсутствии подходящего специалиста.

4. Можно ли использовать шаблон политики из интернета?

Формально — можно взять за основу, но недостаточно просто подставить название компании. Политика должна отражать реальные процессы обработки: конкретные цели, перечень систем (ИСПДн), категории субъектов, фактические правовые основания. При проверке РКН инспектор сравнивает текст политики с уведомлением в реестре и фактической практикой. Несоответствие — основание для предписания по ч. 3 ст. 13.11 КоАП. Шаблон — отправная точка, а не итоговый документ.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 (новая редакция ст. 9 ФЗ-152) согласие на обработку ПДн оформляется отдельным документом — не встраивается в трудовой договор, оферту или политику конфиденциальности. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель и перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия в составной форме обратной силы не теряют — переоформление требуется для новых согласий и при существенном изменении целей обработки.

6. Что проверяет РКН при плановой проверке по ОРД?

При плановой проверке инспектор РКН запрашивает: уведомление в реестре операторов (pd.rkn.gov.ru), политику обработки ПДн (опубликованную на сайте), описание ИСПДн с указанием уровня защищённости, приказ о назначении ответственного по ст. 22.1 ФЗ-152, образцы согласий субъектов, журнал учёта обращений субъектов ПДн, договоры поручения с обработчиками. Отсутствие или несоответствие любого из документов — основание для протокола по соответствующей части ст. 13.11 КоАП (в редакции с 30.05.2025).

Итог

Описание ИСПДн — структурообразующий документ пакета ОРД: он связывает цели обработки (ст. 5 ФЗ-152), правовые основания (ст. 6), категории ПДн (ст. 10, 11) и технические меры защиты (ПП РФ №1119, Приказ ФСТЭК №21) в единую картину для регулятора. Восемь разделов, описанных в инструкции, — минимально достаточный состав для прохождения проверки РКН и обоснования выбранного уровня защищённости.

Практика DATUM по подготовке ОРД включает работу с операторами из промышленности, торговли, здравоохранения и IT. Наиболее частая причина предписаний по результатам проверок — несинхронизированность описания ИСПДн с уведомлением РКН и политикой конфиденциальности.

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

17 февраля 2027 года