инструкция 22 октября 2026 По состоянию на 22 октября 2026

Описание мер защиты в уведомлении: формулировки

Описание мер защиты — обязательный раздел уведомления об обработке персональных данных по ст. 22 ФЗ-152 и форме Приказа РКН №180. Неточные или шаблонные формулировки создают риск отклонения уведомления регулятором и основание для штрафа по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 ₽.

Большинство операторов копируют формулировки мер защиты из случайных образцов — и получают уведомление с замечанием РКН или пустой раздел, который при проверке становится поводом для протокола. Приказ РКН №180 требует конкретики: организационные и технические меры, применяемые оператором фактически.

→ Если вы юрист, готовящий или обновляющий уведомление, эта инструкция даёт рабочие формулировки под каждую группу мер и разъясняет, как их соотнести с реальной инфраструктурой компании.

Раздел «Меры по обеспечению безопасности ПДн» в уведомлении — не формальность. РКН при плановой проверке сопоставляет задекларированные меры с фактическим состоянием ИСПДн. Несоответствие — самостоятельный состав нарушения по ч. 1 ст. 13.11 КоАП. С 30.05.2025 за это грозит штраф до 300 000 ₽ для юридического лица. Ниже — пошаговое руководство: как определить перечень мер, как сформулировать их в уведомлении и как не создать себе ловушку в виде деклараций, которые невозможно подтвердить.

Шаг 1. Определите уровень защищённости вашей ИСПДн

Прежде чем формулировать меры защиты в уведомлении, необходимо установить уровень защищённости информационной системы персональных данных (ИСПДн). От него напрямую зависит базовый набор мер по Приказу ФСТЭК №21.

Уровень защищённости (УЗ-1 — УЗ-4) определяется по трём параметрам: категория обрабатываемых ПДн (специальные, биометрические, общедоступные, иные), тип угроз (1-й, 2-й или 3-й), количество субъектов (менее или более 100 000 человек). Матрица установлена ПП РФ №1119 от 01.11.2012.

Для большинства коммерческих операторов, обрабатывающих ФИО, контакты и платёжные данные сотрудников и клиентов при угрозах 3-го типа, применим УЗ-3 или УЗ-4. Специальные категории (состояние здоровья, судимость) автоматически поднимают уровень. Биометрия без ЕБС — отдельный случай по ст. 11 ФЗ-152.

«ПП РФ №1119 от 01.11.2012 устанавливает 4 уровня защищённости ИСПДн в зависимости от категории ПДн, типа актуальных угроз и числа субъектов. УЗ определяет минимально необходимый набор мер технической защиты.»

Зафиксируйте УЗ в акте классификации ИСПДн — это отдельный внутренний документ. Формулировки в уведомлении должны соответствовать мерам именно для вашего УЗ, а не взятым из произвольного шаблона.

Шаг 2. Составьте перечень фактически применяемых мер

Описание мер в уведомлении — это не план, а фиксация того, что уже внедрено. Декларация мер, которые не применяются, хуже, чем честное неполное описание: при проверке это квалифицируется как предоставление недостоверных сведений.

Приказ ФСТЭК №21 делит меры на 15 функциональных групп: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), защита носителей (ЗНИ), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), анализ уязвимостей (АНЗ), обеспечение целостности (ОЦЛ), обеспечение доступности (ОДТ), защита виртуализации (ЗСВ), защита технических средств (ЗТС), защита информационных систем (ЗИС), управление конфигурациями (УКФ), защита персональных данных при передаче (ОПО). Базовый набор для каждого УЗ — в Приложении к Приказу №21.

Что проверить перед заполнением раздела мер

Акт классификации ИСПДн с зафиксированным УЗ подписан и датирован
Модель угроз составлена — хотя бы в упрощённом виде
Перечень фактически применяемых технических мер согласован с IT-подразделением
Организационные меры задокументированы (приказ об ответственном, политика, инструктаж работников)
Шифрование каналов передачи ПДн — подтверждено (TLS-версия, VPN при наличии)

Составьте таблицу: группа мер по Приказу №21 — применяется / не применяется / частично — конкретное техническое средство или регламент. Из этой таблицы формируются формулировки для уведомления.

Уведомление уже подано, но меры сформулированы шаблонно?

Если юрист обнаружил, что в уведомлении стоят общие фразы типа «соблюдается режим конфиденциальности» без привязки к реальным мерам — это нужно исправить до плановой проверки. РКН сопоставляет декларацию с фактом: расхождение фиксируется в акте. Юристы DATUM проведут аудит уведомления, сопоставят задекларированные меры с реальной инфраструктурой и подготовят уточнённую версию по форме Приказа РКН №180.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Сформулируйте организационные меры

Организационные меры описывают административный контур защиты: кто отвечает за обработку ПДн, какие документы регулируют доступ и режим конфиденциальности. В уведомлении они отражаются компактно — 3–5 позиций без лишней детализации, но с опорой на реальные документы.

Рабочие формулировки для раздела уведомления:

«Назначено лицо, ответственное за организацию обработки персональных данных (ст. 22.1 ФЗ-152). Должностная инструкция утверждена приказом руководителя.»
«Разработана и опубликована политика обработки персональных данных в соответствии с ч. 2 ст. 18.1 ФЗ-152. Политика размещена на сайте оператора в открытом доступе.»
«Работники, допущенные к обработке ПДн, ознакомлены с требованиями ФЗ-152 и локальными актами оператора. Ознакомление фиксируется в журнале.»
«Доступ к персональным данным предоставляется работникам строго в рамках их должностных обязанностей на основании матрицы доступа.»
«Обработка ПДн по поручению оператора осуществляется на основании договоров с третьими лицами, содержащих обязанности по соблюдению конфиденциальности (ст. 6 ФЗ-152).»

Не указывайте меры, которые не внедрены. Если ответственный по ст. 22.1 ещё не назначен — не включайте эту формулировку. Лучше назначить сотрудника до подачи уведомления.

Шаг 4. Сформулируйте технические меры

Технические меры описывают программно-аппаратный контур защиты ИСПДн. Приказ ФСТЭК №21 определяет минимальный набор для каждого УЗ. В уведомлении технические меры приводятся без указания конкретных вендоров — достаточно функционального описания.

Рабочие формулировки для раздела уведомления:

«Применяется парольная аутентификация пользователей информационной системы с установленными политиками сложности и ротации паролей (ИАФ).»
«Ведётся журнал регистрации событий доступа к ПДн: дата, время, идентификатор пользователя, объект доступа (РСБ).»
«Используется антивирусное программное обеспечение с актуальными базами сигнатур на серверах и рабочих станциях, имеющих доступ к ИСПДн (АВЗ).»
«Передача ПДн по каналам связи осуществляется с применением криптографической защиты (TLS 1.2/1.3 или ГОСТ-шифрование при необходимости).»
«Доступ к серверному оборудованию с ПДн физически ограничен. Серверные помещения оборудованы контролем доступа (ЗТС).»
«Резервное копирование данных ИСПДн выполняется по установленному регламенту с проверкой восстановления (ОДТ).»

«Приказ ФСТЭК №21 от 18.02.2013 устанавливает базовый набор мер защиты в 15 группах для каждого уровня защищённости. Оператор вправе адаптировать меры с учётом реальных угроз, но не ниже базового набора для своего УЗ.»

Для УЗ-3 и УЗ-4 достаточно базового набора из примерно 30–40 мер. Для УЗ-1 и УЗ-2 — расширенный набор с аттестацией. Если система аттестована ФСТЭК — укажите это отдельно: «ИСПДн аттестована на соответствие требованиям безопасности информации, аттестат соответствия №__ выдан __.»

Если юрист готовит уведомление впервые — без аудита реального состояния ИСПДн формулировки мер будут либо завышены, либо занижены. Оба варианта создают риск при проверке РКН. Юристы DATUM соберут ОРД под ключ, включая корректные формулировки для уведомления.

Собрать ОРД под ключ

Шаг 5. Заполните раздел уведомления по форме Приказа РКН №180

Приказ РКН №180 от 28.10.2022 утвердил форму уведомления об обработке ПДн. Раздел, касающийся мер безопасности, предусматривает два поля: «Перечень мер по обеспечению безопасности ПДн» (организационные) и «Сведения об используемых средствах защиты информации» (технические). Форма заполняется через портал pd.rkn.gov.ru с УКЭП или через ЕСИА.

Практические правила заполнения:

Используйте нейтральные функциональные формулировки — без названий конкретных продуктов (Kaspersky, Cisco, 1С). Продукт может смениться; функция — нет.
Не копируйте законодательные требования как описание мер («соблюдаем требования ФЗ-152» — это не мера).
Не перечисляйте меры, которые планируете внедрить. Уведомление — о том, что уже есть.
При изменении состава мер (например, после внедрения новой системы) в течение 10 рабочих дней подайте уведомление об изменении сведений по той же форме Приказа №180.
Объём раздела — 5–12 позиций в каждом поле. Слишком краткое описание («применяются организационные и технические меры») вызывает замечания; слишком подробное — риск декларирования лишнего.

После подачи уведомления оператор включается в реестр РКН в течение 30 дней (ч. 4 ст. 22 ФЗ-152). Отсутствие в реестре при фактической обработке ПДн — самостоятельное нарушение по ч. 10 ст. 13.11 КоАП с штрафом для юрлица 100 000 — 300 000 ₽.

Как работает это на практике: два сценария

Сценарий 1. Уведомление подано с «типовыми» формулировками

Ситуация: юрист заполнил раздел мер фразами из шаблона — «применяется антивирус, ведётся журнал» — без сверки с реальной инфраструктурой. При плановой проверке инспектор РКН запросил документальное подтверждение: акт классификации, политику, журнал событий. Оказалось, что журнал регистрации событий не ведётся, а антивирус установлен только на части рабочих станций. Стратегия: расхождение между уведомлением и фактом фиксируется в акте как нарушение ч. 1 ст. 13.11 КоАП. Штраф — в диапазоне 150 000–300 000 ₽ для юрлица. Исправить ситуацию проще до проверки: подать уточнённое уведомление и закрыть пробелы в документации.

Сценарий 2. Уведомление обновлено после внедрения новой ИСПДн

Ситуация: компания внедрила CRM-систему с обработкой ПДн клиентов — отдельно от ранее задекларированной кадровой ИСПДн. Юрист не подал уведомление об изменении сведений. Инспектор при проверке установил, что фактически обрабатываемые цели и системы шире, чем указано в реестре. Стратегия: ч. 10 ст. 13.11 КоАП применяется за неуведомление о намерении осуществлять обработку. Штраф для юрлица — 100 000–300 000 ₽. Подача уточнённого уведомления до проверки снижает риск; наличие проекта уведомления в материалах дела — смягчающее обстоятельство по ст. 4.1 КоАП.

Сценарий 3. Раздел мер заполнен корректно, но ответственный не назначен

Ситуация: в уведомлении указано «назначен ответственный по ст. 22.1 ФЗ-152», однако приказа нет. При проверке РКН запросил приказ о назначении — документ не предъявлен. Стратегия: помимо нарушения ст. 18.1 (непринятие мер), фиксируется несоответствие уведомления реальности. Это создаёт два состава одновременно. Назначение ответственного — первый и быстрый шаг: достаточно приказа в свободной форме с указанием ФИО, должности и перечня задач по ч. 4 ст. 22.1 ФЗ-152.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая уведомление РКН и формулировки мер защиты
Аудит соответствия 152-ФЗ — проверка уведомления, ИСПДн и фактических мер по чек-листу из 38 пунктов
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая сопровождение уведомления РКН

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Обязательный минимум включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн с реквизитами по ч. 2 ст. 18.1, приказ о назначении ответственного (ст. 22.1), формы согласий субъектов (ст. 9), акт классификации ИСПДн, модель угроз, договоры с подрядчиками-обработчиками (ст. 6), журнал учёта обращений субъектов. Полный пакет — 38 позиций согласно практике DATUM.

2. Как составить политику обработки ПДн?

Политика должна содержать: наименование и контакты оператора, цели и правовые основания обработки, перечень обрабатываемых категорий ПДн, условия передачи третьим лицам, описание мер защиты, порядок реализации прав субъектов, сроки хранения и порядок уничтожения. Структура вытекает из ч. 2 ст. 18.1 ФЗ-152. Политика публикуется на сайте в открытом доступе и обновляется при любом изменении состава обработки.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть штатный сотрудник (юрист, специалист по ИБ, HR) или внешний аутсорсер — закон не требует специальной лицензии. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152: знание законодательства о ПДн, умение организовать работу с обращениями субъектов и взаимодействие с РКН. Назначение оформляется приказом с перечнем задач.

4. Можно ли использовать шаблон политики из интернета?

Шаблон — только отправная точка. Политика должна отражать реальные цели, категории ПДн, технические системы и правовые основания конкретного оператора. Шаблон с чужими целями или несуществующими системами создаёт риск при проверке: инспектор сопоставит политику с фактом и зафиксирует несоответствие. Кроме того, с 01.09.2025 требования к составу согласий изменились по ФЗ-156 от 24.06.2025 — большинство шаблонов в интернете устарели.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025) оформляется отдельным документом — его нельзя встраивать в трудовой договор, пользовательское соглашение или оферту. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия, соответствующие старым требованиям, обратной силы не имеют — переоформлять их принудительно не нужно, но новые согласия с 01.09.2025 — только по новой форме.

Итог

Описание мер защиты в уведомлении — это зеркало реального состояния системы обработки ПДн. Формулировки, которые не подкреплены документами и техническими средствами, превращаются в доказательную базу для РКН при проверке. Правило простое: сначала внедрить, потом описать.

DATUM сопровождает операторов ПДн в подготовке уведомлений, формулировке мер защиты и построении полного пакета ОРД — от акта классификации до актуальных форм согласий по ФЗ-156.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

22 октября 2026 года