Статья 18.1 152‑ФЗ: Требования к безопасности ПДн

Статья 18.1 152‑ФЗ о персональных данных закрепляет базовые требования к безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн). Эта норма определяет, что, кем и на каком уровне должно быть защищено, а также отсылает к подзаконным актам Правительства РФ, ФСТЭК и ФСБ. В связке со статьями 18 и 19 она формирует каркас практической защиты ПДн.

Table of contents

• Что регулирует ст. 18.1 152‑ФЗ
• Кому и когда применять
• Связь со статьями 18 и 19 (18.1 и 19 ФЗ 152)
• Уровни защищенности ИСПДн
• Организационные и технические меры по 18.1
• Средства защиты, ФСТЭК/ФСБ и криптография
• Документы оператора
• Пошаговый алгоритм внедрения
• Типичные ошибки и риски
• Проверки, инциденты и ответственность
• Особенности для веб‑сайтов и облаков
• Изменения 2025 и практика
• Итоги и что делать дальше

![Схема цикла обеспечения безопасности ПДн: инвентаризация → модель угроз → уровень защищенности → меры → контроль]

Что регулирует ст. 18.1 152‑ФЗ

Ст. 18.1 ФЗ 152 о персональных данных устанавливает рамочные требования к безопасности ПДн при их обработке в ИСПДн: защита от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения. Норма обязывает оператора обеспечивать безопасность с учетом требований, установленных Правительством РФ и уполномоченными органами (ФСТЭК России и ФСБ России).

Ключевые акценты статьи:

• безопасность ПДн обеспечивается на протяжении всего жизненного цикла обработки;
• применяются организационные и технические меры, адекватные актуальным угрозам;
• требования и уровни защищенности устанавливаются подзаконными актами;
• допускается привлечение третьих лиц, но ответственность несет оператор.

Полный контекст закона — в последней редакции 152‑ФЗ и его структуре по статьям.

Кому и когда применять

Статья 18.1 распространяется на всех операторов ПДн, которые обрабатывают данные в ИСПДн — от корпоративных ИТ‑систем до веб‑сайтов и мобильных приложений. Определения и базовые требования к ИСПДн — здесь: ИСПДн: определение и требования.

Если вы:

• храните данные клиентов/сотрудников в CRM, HR‑системе, электронных таблицах, БД;
• принимаете заявки на сайте, используете веб‑аналитику;
• обмениваетесь ПДн через интеграции и облачные сервисы;

— требования ст. 18.1 закона 152‑ФЗ действуют для вас. Не забудьте об общих обязанностях оператора и роли ответственного за ПДн: обязанности оператора, ответственный за обработку ПДн.

Связь со статьями 18 и 19 (18.1 и 19 ФЗ 152)

• Статья 18 — про порядок обработки (правовые основания, локализация БД и т.д.). Подробнее: ст. 18.
• Статья 18.1 — про требования к безопасности ПДн именно в ИСПДн (рамка и отсылка к подзаконным нормативам).
• Статья 19 — детализирует «принятие мер 152‑ФЗ»: перечень организационных и технических мер для обеспечения безопасности. См. ст. 19 и обобщение в разделе Меры безопасности ПДн.

Таким образом, 18.1 и 19 ФЗ 152 работают в связке: первая задает «где и что защищать», вторая — «какие именно меры применять».

Уровни защищенности ИСПДн

Статья 18.1 ориентирует оператора на соблюдение требований к защите, устанавливаемых Правительством РФ. На практике используется модель уровней защищенности ИСПДн (1–4), выбор которых зависит от категории ПДн, количества субъектов и актуальных угроз. Подробно — в материале Уровни защищенности ИСПДн и Модель угроз ИСПДн.

Уровень	Когда применяется (упрощенно)	Примеры акцентов
1 (высокий)	Угрозы от организованных злоумышленников, крупные объемы, чувствительные данные	Жесткая сегментация, сертифицированные СЗИ, криптография, журналирование, SOC/мониторинг
2	Существенные риски НСД и утечек, персонал с расширенными правами	Межсетевые экраны, DLP, контроль привилегий, двухфакторная аутентификация
3	Типовая коммерческая ИСПДн (клиентские данные, заявки)	Регламенты доступа, защита периметра, резервное копирование, обучение персонала
4 (базовый)	Ограниченные объемы, низкая критичность	Минимально необходимые меры: пароли, антивирус, обновления, логирование

Важно: конкретный уровень определяется результатами категорирования и моделирования угроз для вашей ИСПДн.

Организационные и технические меры по 18.1

Хотя ст. 18.1 формулирует рамочные требования, их реализация опирается на меры из ст. 19. На практике это означает:

• назначение ответственного за ПДн и распределение ролей; см. ответственный за ПДн;
• утверждение политики и локальных актов; см. политика обработки ПДн;
• определение уровня защищенности, категорирование, модель угроз;
• правила управления доступом (минимально достаточные права, учет и аудит);
• своевременное обновление ПО, антивирусная защита, резервное копирование;
• журналирование событий безопасности и регулярный внутренний контроль; см. внутренний контроль и обучение;
• обучение персонала и тесты осведомленности;
• план реагирования на инциденты и восстановление данных.

Средства защиты, ФСТЭК/ФСБ и криптография

Статья 18.1 указывает на необходимость соблюдения требований уполномоченных органов. Важные ориентиры:

• применять организационные и технические меры в соответствии с актами Правительства и методическими документами ФСТЭК/ФСБ;
• использовать сертифицированные средства защиты информации, когда это требуется уровнем защищенности и составом угроз;
• применять криптографическую защиту (шифрование, ЭП, VPN) в случаях, определяемых моделью угроз и регуляторными требованиями.

Полезные материалы: требования ФСТЭК и ФСБ, криптография и шифрование.

Документы оператора

Для выполнения ст. 18.1 и корреспондирующих норм потребуются актуальные документы:

• политика обработки и защиты ПДн; см. политика обработки ПДн;
• положение (стандарт) по защите ПДн в ИСПДн с распределением ролей и уровней доступа;
• реестр ИСПДн, категорий ПДн, ИТ‑активов;
• модель угроз ИСПДн и план реализации мер;
• регламенты управления уязвимостями, обновлениями, резервным копированием;
• журналы учета носителей, событий и инцидентов;
• документы по обучению и проверке знаний персонала; см. внутренний контроль и обучение;
• формы согласий и уведомлений (по необходимости); см. шаблоны и формы, согласие на обработку ПДн.

Готовые пакеты помогут ускорить внедрение: пакет документов 152‑ФЗ.

Пошаговый алгоритм внедрения

• Инвентаризация: определить процессы, ИСПДн, категории ПДн, роли.
• Классификация и уровень: провести категорирование, выбрать уровень защищенности; см. уровни защищенности ИСПДн.
• Модель угроз: описать актуальные угрозы и нарушителя; см. модель угроз.
• Дорожная карта мер: сопоставить угрозы, уровень и меры (организационные, технические).
• Внедрение СЗИ: развернуть и настроить средства защиты, обеспечить их сопровождение; см. требования ФСТЭК и ФСБ.
• Обучение и контроль: обучить персонал, запустить внутренний аудит; см. внутренний контроль и обучение.
• Оценка соответствия: проверить выполнение требований, подготовиться к проверкам; см. аудит соответствия.
• Уведомление и реестр: при необходимости — уведомить Роскомнадзор и свериться с реестром операторов.
• Поддержка: регулярно обновлять модель угроз, ПО и документы.

Типичные ошибки и риски

• Подмена требований: ориентируются только на ИБ‑практики, игнорируя специфику ПДн и ст. 18.1/19.
• «Бумажная» модель угроз без связи с реальной архитектурой ИСПДн.
• Некорректный уровень защищенности (завышение/занижение) — лишние затраты или пробелы в защите.
• Отсутствие контроля прав доступа и журналирования ключевых событий.
• Неоформленные облака и подрядчики (нет договоров с требованиями по ПДн).
• Сайт без прозрачности: нет баннера cookies, HTTPS, корректных согласий.

Проверьте себя по кратким материалам: чек‑лист и подготовка к проверке.

Проверки, инциденты и ответственность

Роскомнадзор контролирует соблюдение требований 152‑ФЗ. При утечке или инциденте задействуйте план реагирования и уведомите регулятора, если это требуется: инциденты и утечки ПДн, уведомление Роскомнадзора. Ответственность — административная и, в отдельных случаях, уголовная: Ответственность и штрафы, КоАП 13.11, проверки Роскомнадзора, судебная практика.

Особенности для веб‑сайтов и облаков

Для интернет‑ресурсов соблюдение ст. 18.1 включает и прикладные требования:

• защита канала связи: SSL/HTTPS;
• информирование и согласия: cookies и баннеры, формы на сайте и согласие;
• настройка аналитики и виджетов: Яндекс.Метрика и 152‑ФЗ, мессенджеры;
• выбор платформы: Tilda, WordPress, 1C‑Битрикс;
• инфраструктура: серверы/хостинг/ЦОД, облака: Yandex Cloud.

См. общий гид: требования к сайту и быстрый скрининг: онлайн‑проверка сайта.

Изменения 2025 и практика

Закон о персональных данных эволюционирует: уточняются требования к уведомлениям, расширяются полномочия регулятора, обновляются методики оценки угроз и уровней защищенности. Актуальные изменения собраны здесь: изменения 2025 и в обзоре смежных законов об информации и критической инфраструктуре: 149/187/63/98.

Следите за практикой: судебные решения по 152‑ФЗ часто подсказывают, как трактуются «достаточность» мер и «надлежащая» защита ПДн.

Итоги и что делать дальше

Статья 18.1 152‑ФЗ о персональных данных задает рамку безопасности в ИСПДн, требуя выбрать уровень защищенности, построить модель угроз и реализовать организационно‑технические меры. Конкретика мер раскрывается в ст. 19 и подзаконных актах. Практический подход — инвентаризировать ИСПДн, определить уровень, спланировать меры, внедрить СЗИ, обучить персонал и регулярно контролировать соответствие.

Нужна помощь с анализом уровня, документами и внедрением? Обратитесь к нашим решениям: консалтинг и документы под ключ, аудит соответствия, обучение и курсы, генераторы и шаблоны: пакет документов и онлайн‑проверка сайта. Мы поможем внедрить требования ст. 18.1 ФЗ 152 быстро и без лишних рисков.