Внутренний контроль и обучение персонала по 152‑ФЗ: как выстроить систему, которая работает

Table of contents

• Нормативная основа и требования закона
• Роли и ответственность в системе внутреннего контроля
• Локальные акты 152‑ФЗ: что должно быть в организации
• Журналы 152‑ФЗ: учет, фиксация и доказательства
• Процессы контроля: цикл PDCA и риск‑ориентированный подход
• Обучение по 152‑ФЗ: программа, форматы, периодичность
• Проверки и подтверждение выполнения обязанностей
• Типовые ошибки и как их избежать
• Чек‑лист внедрения внутреннего контроля и обучения
• Инструменты и автоматизация
• Примеры документов и шаблоны
• FAQ
• Заключение и следующий шаг

Внутренний контроль и системное обучение сотрудников — обязательные элементы выполнения обязанностей, предусмотренных 152‑ФЗ. Без них невозможно ни ежедневное соблюдение принципов обработки персональных данных, ни успешная подготовка к проверкам Роскомнадзора, ни устойчивое снижение рисков утечек.

Нормативная основа и требования закона

• Ст. 18.1 152‑ФЗ прямо обязывает операторов назначать ответственных, утверждать локальные акты и организовывать внутренний контроль. Подробнее: Статья 18.1.
• Ст. 19 152‑ФЗ устанавливает меры по обеспечению безопасности ПДн, включая обучение персонала и проведение оценки эффективности мер защиты. Подробнее: Статья 19, Меры безопасности ПДн.
• Базовые понятия, принципы и обязанности — в разделах: О законе, Структура и статьи, Обязанности оператора, Принципы и цели обработки.

Итог: внутренний контроль, локальные акты 152‑ФЗ и обучение — не «желательно», а обязательно для любой организации, обрабатывающей ПДн.

Роли и ответственность в системе внутреннего контроля

• Собственник/руководитель: утверждает политику, назначает ответственных, выделяет ресурсы.
• Ответственный за обработку ПДн: организует контроль, ведет журналы 152‑ФЗ, инициирует обучение, координирует проверки. Подробнее: Ответственный за обработку ПДн.
• ИТ/ИБ: реализуют технические меры, ведут учет доступов, резервное копирование, криптографию (Криптография, Требования ФСТЭК и ФСБ).
• HR/Кадры: обучают сотрудников, оформляют обязательства о конфиденциальности, управляют увольнениями и доступами.
• Бизнес‑подразделения и подрядчики: соблюдают процедуры, работают с запросами субъектов.

Локальные акты 152‑ФЗ: что должно быть в организации

Минимальный набор локальных документов, подтверждающих выполнение обязанностей, предусмотренных 152‑ФЗ:

• Политика обработки ПДн (публичный документ): Политика обработки ПДн.
• Положение о защите ПДн и ИСПДн (внутренний документ): ИСПДн: определение и требования.
• Модель угроз, уровни защищенности и меры: Модель угроз ИСПДн, Уровни защищенности ИСПДн.
• Реестр операций обработки (цели, категории ПДн, правовые основания, сроки хранения): Принципы и цели обработки.
• Порядок реагирования на инциденты и уведомления: Инциденты и утечки ПДн, Уведомление Роскомнадзор.
• Регламент работы с правами субъектов: Права субъектов, Заявления и отзыв согласия, Согласие на обработку ПДн, Согласие на распространение ПДн.
• Порядки передачи третьим лицам и трансграничной передачи: Передача третьим лицам.
• Регламенты по сайту и cookies: Требования к сайту, Cookie и баннеры, Формы на сайте и согласие, Yandex.Metrika и 152‑ФЗ.
• План‑график внутреннего контроля и обучение.

Готовые комплекты: Пакет документов 152‑ФЗ, Шаблоны и формы.

Журналы 152‑ФЗ: учет, фиксация и доказательства

Журналы — ключевые доказательства при проверках Роскомнадзора. Их можно вести в электронном виде (с разграничением доступа и резервным копированием) или на бумаге.

Журнал (152‑ФЗ)	Назначение	Кто ведет	Периодичность	Форма
Инструктажей и обучения	Фиксация обучения по 152‑ФЗ	HR/ответственный	По факту	Бумага/электронно
Учет обращений субъектов	Отслеживание запросов и ответов	Ответственный/юрист	По факту	Электронный реестр
Инцидентов ПДн	Регистрация нарушений, сроки уведомлений	ИБ/ответственный	По факту	Система тикетов
Выдачи/отзыва доступов	Контроль жизненного цикла доступа	ИТ/HR	Постоянно	IAM/таблица
Резервного копирования	Контроль бэкапов и восстановлений	ИТ	Ежедневно/еженедельно	Система бэкапов
Носителей/бумаг	Учет физ. носителей, печати, уничтожения	Канцелярия/ИБ	По факту	Акт/журнал
Передачи третьим лицам	Кому и какие ПДн переданы	Ответственный	По факту	Реестр передач
Уничтожения/блокировки	Подтверждение сроков хранения	Архив/ответственный	По факту	Акт уничтожения

Сопутствующие процедуры: Уничтожение и блокировка ПДн, Инциденты и утечки, Уведомление Роскомнадзор.

Процессы контроля: цикл PDCA и риск‑ориентированный подход

• Plan: инвентаризация данных и процессов, классификация, выбор мер защиты по ст. 19; учет требований ИБ (Требования ФСТЭК и ФСБ).
• Do: внедрение мер (IAM, шифрование, DLP), оформление локальных актов 152‑ФЗ, запуск журналов и обучения.
• Check: регулярные внутренние проверки, тесты знаний, аудит доступа, контроль сроков хранения. Внешний аудит: Аудит соответствия 152‑ФЗ.
• Act: корректирующие меры, обновление политики, дообучение, изменения по итогам инцидентов или изменений в бизнесе. Следите за обновлениями: Изменения 2025.

Полезно использовать KPI/KRI: процент обученных сотрудников, SLA ответов субъектам, доля просроченных бэкапов, инциденты за период, успешность тестов.

Обучение по 152‑ФЗ: программа, форматы, периодичность

Цель обучения — обеспечить осознанное выполнение обязанностей, предусмотренных 152‑ФЗ, каждым сотрудником.

Форматы:

• Вводный инструктаж (при приеме на работу)
• Первичный инструктаж на рабочем месте (роль‑специфичный)
• Ежегодное обучение/аттестация
• Внеплановое (после инцидентов/изменений)
• E‑learning (LMS), вебинары, очные тренинги

Пример программы модулей:

Модуль	Ключевые темы	ЦА	Длительность
Правовые основы 152‑ФЗ	Понятия ПДн, принципы, основания обработки	Все	45–60 мин
Права субъектов и согласия	Сроки ответов, формы заявлений, правила согласий	Бэк‑офис/юристы	45 мин
Практика в ИСПДн	Доступы, журналы, резервное копирование	ИТ/ИБ	60–90 мин
Сайт и маркетинг	Формы, cookies, счетчики, рассылки	Маркетинг	45 мин
Подрядчики и передачи	Договоры, DPIA, трансграничная передача	Закупки/юристы	45 мин
Инциденты и уведомления	Эскалация, сроки, доказательства	Все/ИБ	45 мин

Рекомендуемые материалы к модулям: Принципы, Права субъектов, Заявления, Требования к сайту, Cookie и баннеры, Yandex.Metrika, ИСПДн, Уровни защищенности, Криптография, Инциденты.

Как часто обучать:

• Все сотрудники: при приеме + ежегодно (минимум). 20–60 минут с тестом.
• ИТ/ИБ: при приеме + ежегодно + при изменениях систем/угроз.
• Руководители: акцент на ответственность, риски и проверочные действия — ежегодно.
• Подрядчики: включать в договоры обязательство пройти инструктаж и соблюдать процедуры.

Фиксация: протокол/сертификат + запись в журнале обучения, хранение материалов и результатов тестов.

Готовые курсы и тренинги: Обучение и курсы по 152‑ФЗ.

Проверки и подтверждение выполнения обязанностей

Чтобы уверенно пройти проверки Роскомнадзора и снизить риск санкций (КоАП 13.11, Ответственность и штрафы), подготовьте «пакет доказательств»:

• Приказы о назначении ответственного и утверждении локальных актов.
• Актуальная Политика и внутренние положения.
• Заполненные журналы 152‑ФЗ и акты (инструктажи, доступы, бэкапы, уничтожение).
• Протоколы обучения, тесты, списки участников.
• Реестр операций обработки и матрица доступов.
• Договоры с порученными лицами и контрагентами с условиями ПДн.
• Отчеты по инцидентам, уведомления и переписка (при наличии).
• Скриншоты и конфигурации по сайту: согласия, cookie‑баннер, политика, HTTPS.

Ускорить подготовку помогает: Подготовка к проверке и Аудит соответствия.

Типовые ошибки и как их избежать

• Обучение один раз «для галочки». Решение: ежегодная программа + тестирование.
• Нет журналов или они пустые. Решение: назначить владельцев журналов и KPI по заполнению.
• Документы не отражают фактические процессы. Решение: ревизия и регулярное обновление.
• Игнорирование подрядчиков. Решение: DPIA/оценка, договорные обязательства, инструктаж.
• Избыточный сбор данных и бессрочное хранение. Решение: минимизация и график уничтожения.
• Доступ «по умолчанию». Решение: матрица ролей, принцип наименьших привилегий.
• Нет плана реагирования на инциденты и уведомления. Решение: регламент + учения.
• Несоответствие сайта: нет согласий, некорректные формы, трекеры без правового основания. Решение: Требования к сайту, Формы на сайте, Cookie, Yandex.Metrika.

Чек‑лист внедрения внутреннего контроля и обучения

• Инвентаризация ПДн и процессов, определение правовых оснований.
• Назначение ответственного; утверждение матрицы ролей и доступов.
• Разработка и утверждение локальных актов 152‑ФЗ.
• Настройка журналов 152‑ФЗ и регистров в удобной системе.
• Проектирование ИСПДн: меры защиты, резервирование, шифрование.
• Подготовка программы «обучение по 152‑ФЗ», расписание, материалы, тесты.
• Проведение вводного и первичного инструктажей; фиксация результатов.
• Пилотная внутренняя проверка и корректирующие действия.
• Регламент реагирования на инциденты и уведомления Роскомнадзора.
• Ежегодное обновление документов, повторное обучение, отчет руководителю.

Дополнительно: используйте наш Чек‑лист 152‑ФЗ.

Инструменты и автоматизация

• LMS/обучение: e‑learning с тестированием и автопротоколами.
• IAM и управление доступами: автоматизация онбординга/оффбординга, журналирование.
• SIEM/DLP: мониторинг событий и предотвращение утечек.
• Системы бэкапов и репликации с отчетами.
• Трекеры заявок (ITSM) для журналов и согласований.
• Облачная инфраструктура с соответствием: Облака Yandex Cloud, Серверы, хостинг, ЦОД.
• Для сайтов: менеджеры cookie‑баннеров и конструкторы форм согласий.

Примеры документов и шаблоны

Сэкономьте время на подготовке:

• Пакет документов 152‑ФЗ
• Шаблоны и формы
• Примеры документов
• Политика конфиденциальности — шаблон
• Генератор политики и согласий
• Для работодателей и ИП: Документы для работодателя, Документы для ИП

FAQ

• Кого обязательно обучать? Всех сотрудников, имеющих доступ к ПДн, включая временных и дистанционных. Отдельные углубленные модули — для ИТ/ИБ, HR, юристов, маркетинга, руководителей.
• Можно вести журналы только в электронном виде? Да, если обеспечены целостность, доступность, разграничение прав и резервное копирование.
• Сколько часов нужно на обучение по 152‑ФЗ? Базово 45–60 минут вводного + 30–60 минут ежегодного обновления; для ИТ/ИБ — 2–4 часа в год.
• Нужно ли обучать подрядчиков? Да. Закладывайте требования в договоры, проводите вводный инструктаж и контролируйте подтверждения.

Заключение и следующий шаг

Грамотно выстроенные внутренний контроль, журналы 152‑ФЗ и регулярное обучение по 152‑ФЗ позволяют не только пройти проверки, но и реально снизить риск инцидентов, защитить клиентов и репутацию. Начните с ревизии процессов, утверждения локальных актов и запуска программы обучения, чтобы обеспечить устойчивое выполнение обязанностей, предусмотренных 152‑ФЗ.

Готовы ускориться? Закажите аудит и программу обучения:

• Аудит соответствия 152‑ФЗ
• Обучение и курсы по 152‑ФЗ
• Консалтинг и документы под ключ