+7 991 533-90-46Запросить расчёт

Защита ИСПДн по 152-ФЗ и Приказу ФСТЭК № 21

С 30.05.2025 максимальный штраф Роскомнадзора за утечку ПДн — до 18 млн ₽ для юр.лиц и до 500 тыс. ₽ для должностных. С 01.01.2027 — оборотные штрафы до 3 %. Приведём ИСПДн в соответствие: модель угроз → класс защищённости → ОРД → СЗИ → аттестат. 40–60 рабочих дней.

Обследование бесплатно

Что подпадает под 152-ФЗ

Любая организация с ПДн

Клиенты, сотрудники, посетители сайта (cookies), CCTV — всё это ПДн. Обработчик обязан выполнить требования 152-ФЗ независимо от размера.

4 класса защищённости К1–К4

К1 — биометрия/спец. категории + более 100 тыс. субъектов. К4 — обычные ПДн, < 100 тыс. Класс определяет комплект мер.

3 типа актуальных угроз

УБИ-1 (недекларируемые возможности), УБИ-2 (уязвимости прикладного ПО), УБИ-3 (обычные угрозы). Это влияет на стоимость СЗИ.

Состав работ

1Аудит ИТ-инфраструктуры и потоков ПДн · 5 р.д.
2Модель угроз + модель нарушителя по МЕТОДИКЕ ФСТЭК 2021 · 7 р.д.
3Проект СЗПДн + 23 документа ОРД · 12 р.д.
4Внедрение СЗИ из реестра ФСТЭК · 10–15 р.д.
5Испытания + аттестат соответствия · 7 р.д.

Какой комплект получите

23 документа ОРД

Политика ПДн, приказы о назначении, журнал учёта, согласия, уведомление в РКН, инструкции операторам — готовые шаблоны под ваши процессы.

СЗИ из реестра

Secret Net Studio, Dallas Lock, vGate, Kaspersky EDR с сертификатом ФСТЭК, КриптоПро CSP, ViPNet Coordinator, Континент NGFW.

Аттестат соответствия

Действителен 3 года. Показываете при проверках РКН и ФСТЭК. Освобождает от дополнительных проверок до истечения срока.

Штрафы РКН 2025–2027 — за что списывают реально

Отсутствие уведомления о начале обработки

До 300 тыс. ₽. Самая частая претензия — бизнес «забыл» подать уведомление. Подаётся через Госуслуги за 15 минут.

Утечка ПДн без уведомления РКН

24 часа на первичное уведомление + 72 часа на результаты расследования. Пропуск сроков — 3–15 млн ₽ (ч.10 ст.13.11 КоАП).

Отсутствие ОРД и модели угроз

До 500 тыс. ₽. При повторе — до 1 млн ₽. Проверяется даже при обращении гражданина — РКН проверяет документы первым делом.

Необеспечение требований по безопасности

С 01.01.2027 — оборотный штраф 0,1–3 % годовой выручки. Для среднего бизнеса это от 2 млн ₽.

Подготовим ИСПДн под проверку РКН

Бесплатная диагностика за 24 часа: найдём разрывы с требованиями 152-ФЗ и дадим смету работ с фиксированной ценой.

Получить диагностику

Частые вопросы о защите ПДн (152-ФЗ)

Кто считается оператором персональных данных?
Любое юрлицо, ИП или госорган, обрабатывающий ПДн сотрудников, клиентов, подрядчиков. Достаточно одной трудовой книжки или базы клиентов — вы уже оператор и обязаны подать уведомление в РКН и выполнять требования 152-ФЗ.
Какой уровень защищённости (УЗ) выбрать?
УЗ определяется по ПП № 1119 от объёма и категории ПДн: УЗ-4 — малый объём обычных ПДн; УЗ-3 — специальные, биометрические или большой объём обычных; УЗ-2 / УЗ-1 — большие объёмы спецкатегорий. Определяется при обследовании вместе с моделью угроз.
Обязательна ли аттестация ИСПДн?
Для коммерческих операторов (УЗ-3 / УЗ-4) формальная аттестация необязательна, но требования приказа ФСТЭК № 21 обязательны. Для госорганов и ГИС — аттестация обязательна по приказу № 17.
Какие штрафы за утечку ПДн в 2026 году?
По новому закону об оборотных штрафах: до 3% от годовой выручки (минимум 3 млн ₽) за утечку свыше 100 000 записей, до 500 млн ₽ при рецидиве. Плюс уголовная ответственность для должностных лиц по ст. 272 УК РФ.
Нужно ли уведомлять РКН о каждом инциденте?
Да, по 152-ФЗ в редакции 2024 г.: уведомление в РКН в течение 24 часов с момента обнаружения инцидента, подробный отчёт — в течение 72 часов. Непредставление — штраф до 700 000 ₽ по ст. 13.11 КоАП.

Аттестация ИСПДн 152-ФЗ — ответ за 30 минут