Перейти к содержанию
инструкция 14 января 2027 По состоянию на 14 января 2027

Политика разграничения доступа

Политика разграничения доступа — внутренний документ оператора персональных данных, определяющий, кто из сотрудников и на каком основании вправе работать с персональными данными.
Её отсутствие или несоответствие требованиям ст. 18.1 ФЗ-152 при проверке Роскомнадзора влечёт штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽ за отсутствие политики и протокол по ч. 1 ст. 13.11 — до 300 000 ₽ за незаконную обработку данными сотрудниками без надлежащего допуска.
Если вы юрист компании и проверяете пакет ОРД — ниже пошаговая инструкция по разработке и внедрению политики разграничения доступа в соответствии с действующими нормами 152-ФЗ.

Политика разграничения доступа входит в обязательный пакет организационно-распорядительной документации оператора персональных данных. Ст. 18.1 ФЗ-152 требует принять меры, обеспечивающие выполнение обязанностей, предусмотренных законом, — и ограничение круга лиц, допущенных к обработке ПДн, прямо перечислено в числе таких мер. Приказ ФСТЭК №21 добавляет технический контекст: группа мер УПД (управление правами доступа) — базовая для любого уровня защищённости, начиная с УЗ-4. Без политики разграничения доступа ни технические, ни организационные меры не образуют замкнутого контура защиты.

Шаг 1. Определите, кто является субъектами доступа

Прежде чем описывать правила, установите полный перечень должностей и структурных подразделений, которые в ходе работы соприкасаются с персональными данными. Это не только те, кто вводит данные в систему, — сюда входят администраторы баз данных, специалисты технической поддержки, руководители, подписывающие документы с ПДн, а также подрядчики, получающие доступ по договору поручения (ст. 6 ч. 3 ФЗ-152).

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры, в том числе ограничить доступ к ПДн лицами, не допущенными к их обработке. Перечень таких лиц должен быть определён внутренним актом.»

На этом шаге формируется матрица ролей: каждая должность или группа должностей получает условное обозначение, которое затем используется при описании прав доступа. Типовые роли: оператор ввода ПДн, куратор базы данных, ответственный за обработку по ст. 22.1 ФЗ-152, системный администратор, аудитор. Подрядчики выделяются в отдельную категорию с ограниченными правами.

Результат шага — таблица ролей с кратким описанием трудовых функций, закреплённая приложением к политике или отдельным приказом. Без неё политика останется формальной: РКН при проверке запрашивает именно перечень допущенных лиц с обоснованием.

Юрист компании готовит ОРД — с чего начать?

Политика разграничения доступа — один из 38 документов обязательного пакета ОРД. Если часть документов уже есть, а часть требует разработки с нуля, важно проверить их согласованность: разрыв между политикой и реальным перечнем допущенных лиц — типовое замечание РКН. Юристы DATUM соберут комплект ОРД под ключ и сверят действующие документы с новыми требованиями ФЗ-156 от 24.06.2025, вступившими в силу с 01.09.2025.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Опишите права доступа по каждой роли

Для каждой роли из матрицы фиксируются: перечень категорий ПДн, к которым роль имеет доступ; допустимые действия (просмотр, ввод, изменение, выгрузка, уничтожение); информационные системы и носители, в которых разрешена работа; временные ограничения, если применимы.

«Ст. 19 ФЗ-152 — оператор обязан применять организационные и технические меры защиты. Приказ ФСТЭК №21 включает группу мер УПД: назначение минимально необходимых прав, разграничение доступа к объектам, управление учётными записями — обязательны для всех уровней защищённости УЗ-1...УЗ-4.»

Принцип минимальных привилегий — центральный: каждая роль получает только те права, без которых выполнение трудовой функции невозможно. Бухгалтер, начисляющий зарплату, не должен иметь доступа к медицинским данным сотрудников, даже если они хранятся в той же системе. Оператор call-центра не должен иметь права на выгрузку базы клиентов в CSV.

Права доступа фиксируются в тексте политики в виде структурированного перечня: роль — категория ПДн — действия — система. Если организация использует несколько информационных систем, по каждой из них составляется отдельный раздел или приложение. Это критично для прохождения проверки: инспектор сверяет текст политики с фактической конфигурацией прав в системе.

Шаг 3. Установите порядок предоставления, изменения и отзыва доступа

Политика должна описывать не только статичную матрицу прав, но и процессы управления доступом в динамике. Три ключевых процесса: предоставление доступа при приёме на работу или переводе, изменение при смене должности, прекращение при увольнении или расторжении договора с подрядчиком.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Именно оно, как правило, согласовывает заявки на предоставление доступа или делегирует эту функцию руководителям подразделений через локальный акт.»

Для предоставления доступа определяется заявочный порядок: кто инициирует (непосредственный руководитель), кто согласовывает (ответственный по ст. 22.1 или уполномоченное лицо), кто исполняет (системный администратор). Срок исполнения заявки фиксируется — обычно 1–3 рабочих дня. Заявки хранятся как подтверждение законности предоставления доступа.

При увольнении сотрудника или завершении договора с подрядчиком доступ должен быть прекращён в день последнего рабочего дня или не позднее следующего рабочего дня. Этот срок фиксируется в политике. На практике задержка отзыва доступа — одна из наиболее частых причин утечек через бывших сотрудников; одновременно это самостоятельное нарушение при проверке РКН.

Если юрист компании обнаружил, что политика разграничения доступа не актуализировалась после последних кадровых изменений или не отражает фактическую структуру прав в системах — это основание для протокола по ч. 1 ст. 13.11 КоАП (до 300 000 ₽). Юристы DATUM проведут аудит ОРД и устранят расхождения до проверки РКН.

Заказать аудит 152-ФЗ

Шаг 4. Включите требования к подрядчикам и поручению обработки

Если оператор передаёт обработку ПДн третьим лицам (облачные платформы, аутсорсинговые службы, IT-подрядчики), это поручение должно быть оформлено по ст. 6 ч. 3 ФЗ-152. Политика разграничения доступа должна описывать, какие права предоставляются таким лицам и какие ограничения на них распространяются.

Ключевые требования к разделу о подрядчиках: перечень допустимых действий подрядчика с ПДн; запрет на передачу данных третьим лицам без отдельного разрешения; требование к техническим мерам защиты на стороне подрядчика; порядок контроля соблюдения требований (аудит, запрос отчётности, проверка). Перечисленное воспроизводится в договоре поручения, но должно присутствовать и в политике как внутреннем документе оператора.

«Ст. 6 ч. 3 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом ПДн в любом случае несёт оператор. Подрядчик несёт ответственность перед оператором.»

Если подрядчик находится за рубежом, раздел политики должен также содержать ссылку на порядок трансграничной передачи и соответствующее уведомление РКН по ст. 12 ФЗ-152. Отсутствие уведомления при наличии зарубежного подрядчика с доступом к ПДн — самостоятельное нарушение.

Шаг 5. Зафиксируйте порядок ознакомления сотрудников и ведения журнала

Политика разграничения доступа действует только если с ней ознакомлены все, на кого она распространяется. Ст. 18.1 ч. 6 ФЗ-152 прямо предусматривает обязанность оператора ознакомить работников, непосредственно осуществляющих обработку, с законодательством о ПДн, включая требования к защите. Ознакомление фиксируется подписью в листе ознакомления или в системе КЭДО.

Что подготовить для внедрения политики разграничения доступа

  • Утверждённый текст политики с приложением — матрицей ролей и прав доступа по каждой информационной системе с ПДн
  • Приказ о введении в действие политики с датой и подписью руководителя организации
  • Листы ознакомления всех сотрудников, допущенных к обработке ПДн, или выгрузка из КЭДО с отметками об ознакомлении
  • Журнал учёта заявок на предоставление, изменение и отзыв доступа за последние 12 месяцев
  • Договоры поручения обработки ПДн с подрядчиками, доступ которых к данным отражён в политике

Журнал учёта заявок на доступ — важный элемент доказательной базы при проверке. Он показывает, что предоставление прав носило санкционированный характер, а не было произвольным. При инциденте журнал позволяет установить, кто имел доступ к скомпрометированным данным в период, предшествовавший утечке.

С 01.09.2025 требования к согласиям работников ужесточились: согласие на обработку ПДн работника оформляется отдельным документом, не объединяется с трудовым договором (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152 в новой редакции). Если политика разграничения доступа ссылается на согласие работника как на основание обработки, соответствующий раздел необходимо привести в соответствие с новыми требованиями.

Как применяется политика разграничения доступа на практике

Кейс 1. Производственная компания Уральского ФО (осень 2025) прошла внеплановую проверку РКН по жалобе бывшего сотрудника. Инспектор установил, что учётные записи уволенных работников в системе кадрового учёта не блокировались в день увольнения, а политика разграничения доступа не содержала срока отзыва прав. Протокол был составлен по ч. 1 ст. 13.11 КоАП (обработка ПДн с нарушением условий). Штраф для юрлица составил в пределах нижней трети установленного диапазона. После получения консультации юрист компании внёс изменения в политику, установил срок отзыва доступа не позднее последнего рабочего дня, что позволило представить суду план устранения нарушений и добиться минимального размера санкции.

Кейс 2. IT-компания Северо-Западного ФО (начало 2026) в ходе аудита обнаружила, что разработчики имели прямой доступ к продуктовой базе с ПДн клиентов, хотя в политике разграничения доступа такой доступ был предусмотрен только для тестовых сред с обезличенными данными. Несоответствие создавало риск протокола по ч. 1 ст. 13.11 и — при инциденте — по ч. 12–14 ст. 13.11 КоАП (штраф от 3 до 15 млн ₽ в зависимости от числа затронутых субъектов). CTO закрыл доступ за 2 дня; юрист актуализировал политику и договор с ответственным за обработку по ст. 22.1 ФЗ-152. Уведомление в реестре РКН было обновлено по Приказу РКН №180.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Обязательный минимум включает политику обработки персональных данных по ст. 18.1 ФЗ-152, согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельным документом), уведомление в реестре РКН по ст. 22 ФЗ-152, приказ о назначении ответственного за обработку по ст. 22.1 ФЗ-152, а также внутренние регламенты — включая политику разграничения доступа. Полный пакет ОРД, который проверяет РКН, насчитывает около 38 документов. Отсутствие любого из них — самостоятельное основание для протокола.

2. Как составить политику обработки ПДн?

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование и контактные данные оператора, цели обработки, правовые основания по ст. 6 ФЗ-152, перечень категорий ПДн и субъектов, порядок и условия обработки, права субъектов и порядок их реализации. Политика публикуется в открытом доступе — на сайте или в помещениях оператора. Политика разграничения доступа — отдельный внутренний документ, не подлежащий публикации, но обязательный как мера обеспечения по ст. 19 ФЗ-152.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Требования к должности законом не установлены, однако на практике РКН проверяет наличие у назначенного лица знаний в области защиты ПДн. Ответственным может быть штатный юрист, специалист по информационной безопасности или привлечённый DPO-аутсорсер. При аутсорсинге ответственность оператора перед субъектами и РКН сохраняется — меняется лишь функциональный исполнитель.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников не учитывает специфику конкретного оператора: категории обрабатываемых ПДн, используемые системы, перечень подрядчиков, уровень защищённости по ПП РФ №1119. Если политика разграничения доступа не отражает реальную структуру прав в системах компании, она не только не защищает от штрафа, но и создаёт дополнительный риск: несоответствие документа и факта — самостоятельное нарушение при проверке РКН по ч. 1 ст. 13.11 КоАП (до 300 000 ₽).

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом. Оно не может быть частью трудового договора, оферты, пользовательского соглашения или политики конфиденциальности. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень допустимых действий, срок действия согласия, способ его отзыва. Ранее полученные согласия, соответствующие этим реквизитам, обратной силой не затрагиваются — переоформлять не требуется.

6. Что проверяет РКН в части разграничения доступа?

При плановой или внеплановой проверке инспектор РКН запрашивает текст политики разграничения доступа, перечень должностей, допущенных к обработке ПДн, листы ознакомления сотрудников и журнал заявок на доступ. Дополнительно проверяется соответствие политики фактической конфигурации прав в информационных системах: выгрузка из Active Directory, ролевая модель в CRM или ERP, журналы аудита действий пользователей. Расхождение между документом и фактом — основание для протокола независимо от наличия самого документа.

Итог

Политика разграничения доступа — не формальный документ для галочки, а рабочий инструмент управления рисками. Её задача — зафиксировать, кто, к каким данным и на каком основании имеет доступ, и создать процессы, исключающие несанкционированный доступ при найме, переводе и увольнении. При наличии актуальной политики, соответствующей фактическому положению дел, позиция оператора при проверке РКН и в суде принципиально сильнее.

Юристы DATUM сопровождают разработку и актуализацию пакета ОРД, включая политику разграничения доступа, с учётом изменений ФЗ-156 от 24.06.2025 и действующих требований Приказа ФСТЭК №21. Практика по 152-ФЗ — с 2014 года.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025, подсудность мировым судьям после ФЗ-508.

14 января 2027 года