ИБ-меры по 152-ФЗ

ИБ-меры по 152-ФЗ — практическое руководство по нормам РФ 2026 года: сроки, суммы, процедура, ссылки на Персональные данные (расширение).

ФЗ-152ФЗ-149

ИБ-меры по 152-ФЗ

Защита персональных данных в РФ строится на требованиях ФЗ № 152 «О персональных данных» с учётом требований к информационной безопасности, закреплённых в ст. 19 ФЗ-152 и подзаконных актах регуляторов (ФСТЭК России, ФСБ России). Соблюдение этих норм обязательно для всех операторов ПДн: от государственных органов до малого бизнеса.

Требования к обеспечению ИБ при обработке ПДн

Согласно п. 8 ч. 1 ст. 19 ФЗ-152, оператор обязан обеспечивать безопасность персональных данных при их обработке в информационных системах (ИС) с использованием средств защиты информации — сертифицированных по требованиям доверия ФСБ России или ФСТЭК России.

Если ИС имеет класс защищённости не ниже 4-го (для государственных органов), к ней предъявляются требования приказа ФСТЭК №239: обязательная классификация ИСПДн, выбор модели угроз и применение определённого перечня средств защиты. Для объектов КИИ 1-й категории (к которым относятся госорганы) требуется проведение аудита защищённости не реже одного раза в год с составлением заключения.

Порядок классификации информационной системы

Классификация ИС — этап, определяющий уровень требований к защите. Решение принимает руководитель оператора или уполномоченный орган.

Для ИСПДн классифицируются:

  1. Количество учётных записей (от 0 до 5 тыс.) и объём обрабатываемых ПДн.
  2. Категория значимости объекта (1–4).
  3. Для госсектора — соответствие типовой модели угроз ФСТЭК России, утверждённой приказом № 138.

Классификация оформляется протоколом; сроки внесения изменений: не позднее трёх месяцев с момента ввода в эксплуатацию или изменения состава/функций ИС.

Средства защиты информации (СЗИ)

Выбор и применение СЗИ должно соответствовать требованиям приказов ФСТЭК России: — для КИИ, ИСПДн, ТСП — по классам 1–6 (в зависимости от значимости); — средства антивирусной защиты должны быть включены в реестр ФСТЭК; — межсетевые экраны (МЭ), средства обнаружения вторжений, СЗИ класса КС2 и выше — только после обязательной сертификации.

Срок действия сертификатов соответствия для СЗИ — до 3 лет; продление проводится на основании экспертизы или проведения новых испытаний. Использование несертифицированных средств в ИС с классом защищённости 4–5 запрещено.

Контроль и аудит информационной безопасности

Защита считается обеспеченной только при наличии результатов проверки:

  1. Акт классификации ИСПДн (формируется комиссией, срок — до 3 месяцев).
  2. Заключение ФСТЭК России о соответствии защиты требованиям приказа № 239 (для госсектора — ежегодный аудит).

Неотъемлемой частью контроля является журнал учёта инцидентов ПДн: в нём фиксируются дата, время, описание, принятые меры и результат. Срок хранения журнала — не менее 5 лет.

Ответственность за нарушения ИБ-мер

Нарушение требований к защите персональных данных квалифицируется по ст. 13.11 КоАП РФ (административная ответственность) и ст. 272–274.1 УК РФ (уголовная).

Административные штрафы (ст. 19.7, 13.11 КоАП РФ): — для должностных лиц: от 5 тыс. до 10 тыс. руб.; — для юридических лиц: от 50 тыс. до 100 тыс. руб.

Уголовная ответственность за неправомерный доступ к ПДн (ст. 272 УК РФ) или их использование в корыстных целях — штраф до 300 тыс. руб., ограничение свободы на срок до 4 лет, лишение свободы до 6 лет; при тяжких последствиях — до 10 лет.

За неисполнение требований по классификации ИС и применению СЗИ применяются штрафы по ст. 19.7 КоАП РФ: для должностных лиц — от 3 тыс. до 5 тыс. руб., для юрлиц — от 10 тыс. до 100 тыс. руб.

Что важно запомнить

  • Сертификация и аудит обязательны для ИС с классом не ниже 4 по ПДн (для госсектора).
  • Классификация системы проводится единожды, далее — при изменениях в составе ИС или функциях.
  • Средства защиты должны быть сертифицированы ФСТЭК: СЗИ класса КС2 и выше для ИСПДн; МЭ с сертификатом ФСБ/ФСТЭК — во всех случаях.
  • Контроль: журнал инцидентов ведётся 5 лет, итоговый акт проверки безопасности должен быть согласован с ФСТЭК.
  • Риски: штрафы до 100 тыс. руб., для юрлиц — вплоть до уголовной ответственности при тяжких последствиях; своевременное внедрение СЗИ и аудит снижают угрозу штрафов.

Похожие материалы

Информационный сервис, не юридическая консультация. Источник данных — pravo.gov.ru (ИПС «Законодательство России»). Для важных решений сверяйтесь с актуальной редакцией закона или обратитесь к юристу.