Перейти к содержанию
инструкция 21 февраля 2027 По состоянию на 21 февраля 2027

Журнал учёта машинных носителей с ПДн: ФСТЭК

Журнал учёта машинных носителей с ПДн — обязательный документ оператора, установленный мерой ЗНИ.1 Приказа ФСТЭК № 21. Его отсутствие фиксируется при проверке РКН как нарушение ст. 18.1 ФЗ-152.
Штраф за ненадлежащий учёт носителей — до 300 000 ₽ по ч. 1 ст. 13.11 КоАП. При повторном нарушении — до 500 000 ₽ по ч. 1.1 в редакции с 30.05.2025.
Если вы юрист и проверяете комплаенс по ОРД — эта инструкция покажет, что включить в журнал, кто его подписывает и как он связан с остальными 38 документами пакета. → Перейти к инструкции

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо семи. Отсутствие учётных журналов носителей становится самостоятельным основанием для протокола. Для юриста, который собирает или проверяет пакет ОРД, важно понимать: журнал учёта машинных носителей — не факультативный акт, а базовая мера группы ЗНИ Приказа ФСТЭК № 21, обязательная для всех уровней защищённости УЗ-1 — УЗ-4. Ниже — пошаговая инструкция: от определения состава носителей до подписания записей и хранения журнала.

Шаг 1. Определите состав машинных носителей, подлежащих учёту

Машинные носители персональных данных — это физические объекты, на которых хранятся ПДн в электронном виде. Приказ ФСТЭК № 21 не даёт закрытого перечня, но практика проверок выработала устойчивый список:

  • жёсткие диски (HDD, SSD) серверов и рабочих станций, на которых хранятся или обрабатываются ПДн;
  • съёмные накопители — флеш-накопители, карты памяти, внешние жёсткие диски;
  • оптические диски (DVD, CD), если на них резервируются или переносятся базы с ПДн;
  • магнитные ленты резервного копирования;
  • SIM-карты корпоративных устройств, если на них допускается хранение контактных данных пациентов, клиентов или работников;
  • накопители в МФУ и принтерах, если устройство использовалось для печати документов с ПДн.

На этом шаге юрист совместно с системным администратором составляет инвентаризационную ведомость всех носителей. Без этого списка невозможно корректно заполнить журнал: каждая запись в нём привязана к конкретному инвентарному номеру носителя.

Отдельного внимания требуют носители в мобильных устройствах. Если работник использует корпоративный смартфон для доступа к базе клиентов или обработки заявлений — встроенная память такого устройства формально подпадает под требования учёта, особенно при УЗ-1 и УЗ-2.

Шаг 2. Присвойте каждому носителю инвентарный номер

Мера ЗНИ.1 Приказа ФСТЭК № 21 требует не только вести учёт, но и обеспечивать идентификацию носителей. На практике это означает физическую маркировку: инвентарный или учётный номер наносится на носитель (наклейка, гравировка, штрих-код).

Номер должен быть уникальным в пределах организации и воспроизводиться в журнале. Рекомендуемый формат: префикс типа носителя + год + порядковый номер. Например: HDD-2025-001, USB-2025-047, TAPE-2025-003.

«Ст. 18.1 ФЗ-152 обязывает оператора принять меры, необходимые для соблюдения требований к защите ПДн, в том числе обеспечить ведение локальных документов. Приказ ФСТЭК № 21 конкретизирует: мера ЗНИ.1 — учёт машинных носителей информации — обязательна на всех уровнях защищённости (УЗ-1 — УЗ-4).»

Юристу важно убедиться, что приказ о назначении ответственного за учёт носителей (отдельный либо включённый в приказ по ст. 22.1 ФЗ-152) явно поручает именно этому лицу ведение журнала и присвоение инвентарных номеров. Иначе при проверке РКН возникнет вопрос: кто несёт персональную ответственность за записи.

Есть задача собрать пакет ОРД с нуля или проверить существующий?

Юрист, который готовит комплект документов под ключ, сталкивается с тем, что журнал учёта носителей должен быть согласован с политикой обработки ПДн, приказом по ст. 22.1 и регламентом реагирования на инциденты. Несогласованность документов — типовая причина предписаний РКН. Срок включения в реестр после уведомления по ст. 22 ФЗ-152 — 30 дней: если пакет ОРД не готов к этому моменту, оператор открывает риски по ч. 1 ст. 13.11.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте форму журнала и утвердите её приказом

Приказ ФСТЭК № 21 не устанавливает унифицированной формы журнала учёта машинных носителей. Оператор разрабатывает её самостоятельно. Типовая форма включает следующие столбцы:

  • порядковый номер записи;
  • инвентарный (учётный) номер носителя;
  • тип носителя (HDD, USB, DVD и др.) и модель;
  • наименование информационной системы ПДн (ИСПДн), для которой используется носитель;
  • уровень защищённости ИСПДн (УЗ-1 — УЗ-4 по ПП РФ № 1119);
  • дата постановки на учёт;
  • ФИО и подпись лица, принявшего носитель на учёт;
  • местонахождение (сервер, рабочая станция, сейф, хранилище);
  • отметка о передаче (кому, когда, основание);
  • отметка об уничтожении (дата, метод, акт об уничтожении);
  • примечания.

Журнал утверждается либо отдельным приказом руководителя, либо как приложение к политике обработки ПДн. Второй вариант удобен, если оператор планирует регулярно обновлять политику: при каждом обновлении форма журнала будет автоматически актуализироваться. Однако первый вариант — отдельный приказ — нагляднее при проверке: инспектор сразу видит документ с подписью директора.

Как вести журнал учёта машинных носителей: типичные ошибки юриста

Юристы, которые берутся за ОРД без технического сопровождения, допускают три устойчивые ошибки.

Ошибка 1: учёт только съёмных носителей. Оператор ставит на учёт только USB-накопители, забывая про жёсткие диски серверов. При проверке РКН выясняется, что основная база ПДн хранится на сервере, диск которого не имеет инвентарного номера и не внесён в журнал. Это нарушение меры ЗНИ.1 Приказа ФСТЭК № 21 в полном объёме.

Ошибка 2: отсутствие записей о передаче и уничтожении. Журнал содержит записи о постановке на учёт, но не содержит записей о том, что носитель был передан на уничтожение. Если носитель фактически уничтожен, а запись в журнале отсутствует — нет и акта об уничтожении. В случае утечки данных с уничтоженного носителя это создаёт серьёзные риски при доказывании принятых мер защиты.

Ошибка 3: несоответствие журнала политике обработки ПДн. Политика конфиденциальности описывает одни ИСПДн, а в журнале носители привязаны к другим наименованиям систем. Расхождение в наименованиях — типовое основание для предписания об устранении нарушений.

«Ст. 19 ФЗ-152 обязывает оператора применять технические и организационные меры для защиты ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения. Ведение журнала учёта носителей — часть организационных мер, требования к которым конкретизированы в Приказе ФСТЭК № 21.»

Если вы юрист и обнаружили, что журнал учёта носителей не ведётся или форма не утверждена — у вас есть время исправить это до проверки РКН. Юристы DATUM проведут аудит пакета ОРД по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Шаг 4. Организуйте хранение журнала и порядок внесения записей

Журнал учёта машинных носителей ведётся в бумажном виде, в электронном виде с квалифицированной электронной подписью, либо в обоих форматах одновременно. Выбор формата закрепляется в политике обработки ПДн или отдельном регламенте.

Требования к хранению:

  • журнал должен быть доступен только уполномоченным лицам — ответственному за обработку ПДн по ст. 22.1 ФЗ-152 и лицам, которым это прямо поручено;
  • бумажный вариант хранится в запираемом шкафу или сейфе в помещении, где ведётся обработка ПДн;
  • электронный вариант — в защищённой информационной системе с разграничением прав доступа (мера УПД.1 Приказа ФСТЭК № 21);
  • срок хранения журнала после прекращения обработки ПДн рекомендуется устанавливать не менее 5 лет — это коррелирует со сроком исковой давности и возможным сроком проверки РКН.

Записи в журнале вносятся своевременно: не позднее следующего рабочего дня после события (постановка на учёт, передача, уничтожение). Задним числом журнал не заполняется — это выявляется при экспертизе дат и фактических обстоятельств.

Шаг 5. Свяжите журнал с остальными документами пакета ОРД

Журнал учёта машинных носителей не работает как изолированный документ. Он встроен в систему ОРД оператора ПДн и должен быть согласован с:

  • Политикой обработки персональных данных (ст. 18.1 ФЗ-152) — политика описывает цели, категории ПДн и ИСПДн; журнал воспроизводит те же наименования систем;
  • Приказом о назначении ответственного (ст. 22.1 ФЗ-152) — в приказе должна быть явная ссылка на ведение журнала учёта носителей как одна из функций;
  • Регламентом реагирования на инциденты (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187) — при утечке через носитель журнал становится первичным доказательством при уведомлении РКН за 24 часа;
  • Актами об уничтожении носителей — каждое уничтожение закрывается актом, ссылка на который вносится в журнал;
  • Уведомлением в реестре РКН (ст. 22 ФЗ-152, Приказ РКН № 180) — перечень ИСПДн в журнале должен соответствовать тому, что оператор указал в уведомлении.

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие субъекта на обработку ПДн оформляется отдельным документом. Это не влияет напрямую на форму журнала, но означает, что юрист при сборке ОРД должен убедиться: согласие с 01.09.2025 содержит все обязательные реквизиты ст. 9 ФЗ-152 и перечисляет те ИСПДн и носители, которые фигурируют в журнале учёта.

Что подготовить для корректного ведения журнала носителей

  • Инвентаризационная ведомость всех машинных носителей с ПДн (HDD, SSD, USB, ленты, диски МФУ) — основа для первоначального заполнения журнала.
  • Утверждённая форма журнала учёта — отдельным приказом руководителя или как приложение к политике обработки ПДн по ст. 18.1 ФЗ-152.
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с явным указанием на функцию ведения журнала носителей.
  • Регламент уничтожения носителей с ПДн и форма акта об уничтожении, ссылка на который вносится в журнал.
  • Политика конфиденциальности с наименованиями ИСПДн, совпадающими с теми, что используются в журнале и в уведомлении РКН по Приказу РКН № 180.

Что происходит при проверке РКН: три сценария для юриста

Сценарий 1. Журнал ведётся, но форма не утверждена. Инспектор РКН запрашивает журнал учёта носителей. Документ существует, записи есть, но форма нигде не утверждена — нет ни приказа, ни ссылки в политике. Ситуация квалифицируется как ненадлежащее исполнение требований ст. 18.1 ФЗ-152. Исход: предписание об устранении + потенциальный протокол по ч. 3 ст. 13.11 КоАП (невыполнение обязанности по опубликованию/наличию политики с необходимыми разделами), штраф 30 000 — 60 000 ₽ для юридического лица. Стратегия: немедленно утвердить форму приказом, внести ссылку в политику, представить исправления до составления протокола.

Сценарий 2. Журнал отсутствует, ИСПДн обрабатывает более 100 000 субъектов (УЗ-3 / УЗ-2). Отсутствие журнала при высоком уровне защищённости — нарушение меры ЗНИ.1 Приказа ФСТЭК № 21 в совокупности с требованиями ст. 18.1 ФЗ-152. Дополнительно РКН может квалифицировать это как ненадлежащие меры защиты по ст. 19 ФЗ-152. При наличии утечки — штраф по ч. 12 ст. 13.11 (3 000 000 — 5 000 000 ₽ при утечке от 1 000 до 10 000 субъектов). Стратегия: немедленно разработать и утвердить журнал, провести инвентаризацию носителей, зафиксировать это в актах до проверки. Юрист оформляет всё с датировкой до даты начала проверки, что подтверждает принятые меры.

Сценарий 3. Журнал ведётся корректно, оператор назначен ответственный по ст. 22.1, уведомление в реестре РКН актуально. Инспектор не выявляет нарушений по группе ЗНИ. Журнал становится доказательством надлежащей организационной защиты при оспаривании иных претензий. Стратегия: поддерживать журнал в актуальном состоянии, ежеквартально сверять записи с фактическим парком носителей.

Как это применяется на практике

Кейс 1. IT-компания (Уральский ФО, весна 2026): юрист организации при подготовке к плановой проверке РКН обнаружила, что журнал учёта носителей велся только для USB-накопителей. Жёсткие диски трёх серверов с базой клиентов не были поставлены на учёт. По итогам аудита ОРД DATUM был сформирован полный перечень носителей, утверждена форма журнала, проведена инвентаризация с присвоением инвентарных номеров. Проверка РКН прошла без предписаний по группе ЗНИ.

Кейс 2. Медицинская организация (Центральный ФО, осень 2025): после инцидента с несанкционированным копированием данных пациентов на USB-носитель РКН запросил журнал учёта носителей. Журнал отсутствовал. РКН составил протокол по ч. 1 ст. 13.11 КоАП (обработка ПДн с нарушением требований к мерам защиты). Штраф составил сумму в нижней части диапазона от 150 000 до 300 000 ₽. При оспаривании протокола юрист указал на отсутствие умысла и принял меры по разработке журнала в ходе рассмотрения дела, что суд учёл как смягчающее обстоятельство.

Услуги DATUM по теме

  • Комплект ОРД под ключ — разработка всех 38 документов, включая журналы учёта носителей, политику, согласия и регламенты.
  • Аудит соответствия 152-ФЗ — проверка пакета ОРД по чек-листу из 38 пунктов с приоритизированным планом устранения.
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), согласия субъектов (ст. 9 ФЗ-152 в редакции ФЗ-156 с 01.09.2025), уведомление в реестре РКН (ст. 22 ФЗ-152, Приказ РКН № 180), журнал учёта машинных носителей (мера ЗНИ.1 Приказа ФСТЭК № 21), регламент реагирования на инциденты (ч. 3.1 ст. 21 ФЗ-152), акты об уничтожении носителей и журнал обращений субъектов. Полный перечень — 38 документов в зависимости от уровня защищённости и категорий обрабатываемых ПДн.

2. Как составить политику обработки ПДн?

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование оператора и его реквизиты, цели и правовые основания обработки (ст. 6 ФЗ-152), перечень обрабатываемых категорий ПДн, сроки обработки и хранения, порядок передачи ПДн третьим лицам, права субъектов и порядок их реализации, меры защиты. Политика публикуется в открытом доступе (на сайте) и вручается работникам под роспись. Использование шаблона без адаптации под конкретные ИСПДн — типовая причина предписания РКН.

3. Кого назначить ответственным по ст. 22.1?

По ст. 22.1 ФЗ-152 оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн. Это может быть штатный работник (юрист, сотрудник ИБ, HR-директор) или внешний DPO-аутсорсер. Назначение оформляется приказом руководителя с указанием конкретных функций: ведение журналов, ответы на запросы субъектов по ст. 20 ФЗ-152 в течение 10 рабочих дней, взаимодействие с РКН. Ч. 4 ст. 22.1 устанавливает требования к квалификации: ответственный должен знать требования ФЗ-152 и подзаконных актов.

4. Можно ли использовать шаблон политики из интернета?

Использовать шаблон как отправную точку — допустимо. Но применять его без адаптации — нельзя. РКН при проверке сопоставляет политику с реальной обработкой: наименования ИСПДн, перечень целей, категории ПДн. Если политика не отражает фактическую обработку — это нарушение ст. 18.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 КоАП — 30 000 — 60 000 ₽ для юридического лица. Шаблоны из открытых источников также не учитывают требования к согласиям после 01.09.2025 (ФЗ-156 от 24.06.2025) и актуальный порядок уведомления по Приказу РКН № 180.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн по ст. 9 ФЗ-152 оформляется отдельным документом — его нельзя включать в трудовой договор, оферту, политику или любой другой документ. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия и способ отзыва. Ранее оформленные согласия, которые включены в другие документы, после 01.09.2025 создают риск протокола по ч. 2 ст. 13.11 КоАП — штраф для юридического лица 300 000 — 700 000 ₽. Обратной силы ФЗ-156 не имеет: согласия, полученные до 01.09.2025, переоформлять не требуется.

6. Что грозит за отсутствие журнала учёта носителей при проверке РКН?

Отсутствие журнала учёта машинных носителей фиксируется как нарушение обязанности по принятию мер защиты (ст. 18.1 и ст. 19 ФЗ-152). В зависимости от квалификации — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽ для юридического лица. При повторном нарушении по ч. 1.1 — от 300 000 до 500 000 ₽. Если отсутствие учёта носителей привело к утечке ПДн — применяются ч. 12 — 14 ст. 13.11 в зависимости от числа пострадавших субъектов (от 3 000 000 ₽ и выше). Все штрафы указаны в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

Итог

Журнал учёта машинных носителей с ПДн — не бюрократический формализм, а элемент доказательной базы оператора при любом инциденте или проверке. Его отсутствие или ненадлежащее ведение превращает носитель данных в неуправляемый риск: от протокола по ч. 1 ст. 13.11 КоАП до усугубления ответственности при утечке по ч. 12 — 14. Связность журнала с политикой, приказом по ст. 22.1, уведомлением РКН и согласиями по ФЗ-156 — обязательное условие корректного пакета ОРД.

Практика DATUM по сопровождению операторов ПДн охватывает полный цикл разработки ОРД: от формы журнала учёта носителей до регламента реагирования на инциденты за 24 часа по Приказу РКН № 187.

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4 (ПП РФ № 1119), Приказ ФСТЭК № 21, обезличивание ПДн, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

21 февраля 2027 года