Статья 13.1 152‑ФЗ: Особенности обработки в информационных системах

Статья 13.1 152‑ФЗ: Особенности обработки в информационных системах

Обновлено: 2025 год. Материал носит обзорный характер и поможет операторам ПДн понять, какие организационные и технические меры требуются при обработке данных в ИСПДн.

Краткое содержание и место статьи в законе

Статья 13.1 152‑ФЗ (далее — ст. 13.1) устанавливает особенности обработки персональных данных (ПДн) в информационных системах персональных данных (ИСПДн). Иными словами, это о том, как организовать безопасную и законную обработку ПДн с применением программно‑технических средств: от разграничения доступа до журналирования и защиты каналов связи.

Ст. 13.1 работает в комплексе с другими нормами закона и подзаконными актами: общими требованиями к обработке, обязанностям оператора, мерами защиты и отраслевыми требованиями регуляторов. Актуальную редакцию закона смотрите здесь: 152‑ФЗ — текст, последняя редакция. Обзор структуры закона — на странице Структура и статьи 152‑ФЗ.

Что такое ИСПДн и кому применима статья

ИСПДн — это любая система, в которой персональные данные хранятся и/или обрабатываются с использованием средств автоматизации (ПО, базы данных, серверы, облака, сайты, CRM, ERP и т. п.). Подробности и признаки — на странице ИСПДн: определение и требования.

Статья 13.1 распространяется на всех операторов ПДн (компании, ИП, госорганы), которые используют ИСПДн. Исключения и специальные режимы могут быть предусмотрены иными федеральными законами.

Ключевые требования ст. 13.1 к обработке в ИСПДн

В формулировках ст. 13.1 и связанных норм отражены следующие обязанности и практики (перечень ориентирный, применять с учётом модели угроз и класса/уровня защищённости ИСПДн):

• Регламентация процессов. Обработка в ИСПДн должна быть описана в локальных документах: цели, состав ПДн, роли, доступы, сроки хранения, порядок блокирования и уничтожения. См. Политика обработки ПДн и Пакет документов по 152‑ФЗ.
• Идентификация и аутентификация. Все пользователи ИСПДн должны однозначно идентифицироваться; аутентификация — в соответствии с риск‑профилем (пароли, 2FA, токены).
• Разграничение прав доступа. Минимально необходимый доступ, матрицы ролей, регулярный пересмотр прав, запрет «общих» учёток. Подробнее: Меры безопасности ПДн.
• Журналирование и мониторинг. Учет операций над ПДн (создание, изменение, удаление, передача, просмотр), контроль административных действий, хранение логов.
• Защита каналов связи. Использование защищённых протоколов и шифрования при передаче ПДн, особенно через открытые сети. См. Криптография и шифрование по 152‑ФЗ.
• Резервное копирование и восстановление. Регулярные бэкапы с проверкой восстановления, защита копий.
• Управление уязвимостями. Актуализация ПО, патч‑менеджмент, безопасная разработка и внедрение изменений.
• Модель угроз и уровень защищённости. Определение актуальных угроз и выбор мер защиты. См. Модель угроз ИСПДн и Уровни защищённости ИСПДн.
• Обезличивание и минимизация. Использование обезличивания и принципа минимизации данных по возможности.
• Контроль передачи и трансграницы. Фиксация всех получателей ПДн, правовые основания и договорные гарантии; при вывозе данных — правила трансграничной передачи.

Важно: ст. 13.1 применяется совместно с нормами о специальных и биометрических ПДн, если такие данные присутствуют: Специальные категории, Биометрические ПДн, Медицинские ПДн, Дети и ПДн.

Связь ст. 13.1 с другими нормами 152‑ФЗ

Чтобы корректно выполнить ст. 13.1 152‑ФЗ, учитывайте связанные требования:

• Ст. 18.1: обязанности оператора — организационные меры, публикация политики, назначение ответственного и др.
• Ст. 19: меры безопасности ПДн — ключевые технические и организационные меры защиты в ИСПДн.
• Ст. 22: уведомление Роскомнадзора — когда и как подавать уведомление, внесение в реестр операторов ПДн.
• Передача третьим лицам и Поручение обработки — требования к договорам и контролю подрядчиков.
• Требования регуляторов: ФСТЭК и ФСБ — методические документы, профили защиты, сертифицированные средства.

С актуальными изменениями закона можно ознакомиться на странице Изменения 152‑ФЗ в 2025.

Практическая дорожная карта оператора

1. Инвентаризация и классификация. Определите ИСПДн, категории ПДн, цели, правовые основания обработки. Поможет раздел Принципы и цели обработки.
2. Назначьте ответственного. Оформите приказ, определите полномочия и KPI. Подробнее: Ответственный за обработку ПДн.
3. Подготовьте документы. Политика, положение об ИСПДн, регламенты доступа, порядок уничтожения, формы согласий. См. Пакет документов, Шаблоны и формы.
4. Уведомление РКН. При необходимости подайте уведомление (исключения см. в статье и разъяснениях). Инструкция: Уведомление Роскомнадзор.
5. Оцените риски и угрозы. Разработайте модель угроз, определите уровень защищённости, выберите средства защиты.
6. Реализуйте меры. Контроль доступа, шифрование, сегментация, журналирование, бэкапы, антивирус, СЗИ и т. п. См. Меры безопасности и Требования ФСТЭК и ФСБ.
7. Настройте внутренний контроль и обучение. Регулярные проверки и обучение персонала: Внутренний контроль и обучение.
8. Управляйте инцидентами. Процедуры фиксации, уведомления и расследования: Инциденты и утечки ПДн, Действия при нарушении.
9. Сроки хранения и уничтожение. Определите регламенты: Сроки хранения ПДн, Уничтожение и блокировка, Прекращение обработки.

Локальные акты по 152‑ФЗ: что обязательно

Термин «локальные акты 152‑ФЗ» включает набор документов, которыми оператор управляет обработкой ПДн. Минимум:

• Политика обработки ПДн (публичная) — шаблон политики конфиденциальности и Политика обработки ПДн.
• Положение об ИСПДн и модель доступа (матрица ролей, порядок выдачи/отзыва прав).
• Реестр процессов и баз ПДн, перечень категорий и субъектов.
• Приказ о назначении ответственного — Обязанности оператора.
• Порядок реагирования на инциденты и уведомления — Инциденты и утечки.
• Регламент «внутренний контроль 152 ФЗ»: план проверок, аудит прав доступа, тест восстановления бэкапов.
• Договорные положения с подрядчиками — Поручение обработки и Передача третьим лицам.

Готовые пакеты: Пакет документов 152‑ФЗ и Примеры документов.

Внутренний контроль и аудит

Ст. 13.1 тесно связана с постоянным мониторингом соблюдения требований. Рекомендуем:

• Проводить самоаудит минимум раз в полугодие — см. Аудит соответствия 152‑ФЗ.
• Готовиться к проверкам — Проверки Роскомнадзор и Подготовка к проверке.
• Использовать чек‑листы — Чек‑лист по 152‑ФЗ.
• Систематически обучать сотрудников — Внутренний контроль и обучение.

Если ИСПДн — сайт или облако

Для веб‑проектов и SaaS применяются все общие нормы ст. 13.1, плюс практические требования к сайтам:

• HTTPS и корректная настройка SSL — SSL/HTTPS по 152‑ФЗ.
• Куки и баннеры, прозрачность трекинга — Cookie и баннеры, Яндекс.Метрика.
• Формы и согласия — Формы на сайте и согласие, Согласие на обработку, Согласие на распространение.
• Инфраструктура и локализация данных — Серверы, хостинг, ЦОД, Облака: Yandex Cloud.

Для популярных CMS: Tilda, WordPress, 1C‑Битрикс. Полезно также запустить онлайн‑проверку сайта и аудит.

Типовые ошибки и риски

• Отсутствуют или устарели регламенты ИСПДн (локальные акты 152 ФЗ не обновлялись годами).
• Не ведётся журналирование доступа/операций, лог‑хранилище не защищено.
• Нет регулярного тестирования восстановления бэкапов.
• Не оформлены поручения на обработку для подрядчиков (облака, колл‑центры, интеграторы).
• Использование общих учётных записей и отсутствие 2FA для админов.
• Непрозрачные сценарии веб‑сбора ПДн: скрытый трекинг, некорректные баннеры cookie.
• Не учтены особенности специальных/биометрических ПДн при разработке модели угроз.

Чек‑лист соответствия ст. 13.1

Что требует ст. 13.1 / связанные нормы	Как выполнить на практике	Документы и инструменты
Регламентированная обработка в ИСПДн	Описать процессы, роли, права; утвердить регламенты	Политика, Пакет документов
Разграничение доступа	Матрица ролей, RBAC, заявки на доступ/отзыв	Положение об ИСПДн, журнал заявок
Журналирование и мониторинг	Логи действий, хранение, контроль целостности	SIEM/лог‑сервер, регламент мониторинга
Шифрование и защищённые каналы	TLS, VPN, СКЗИ при необходимости	Криптография
Модель угроз и меры защиты	Классификация ИСПДн, выбор средств защиты	Модель угроз, Уровни защищённости
Управление инцидентами	Процедуры фиксации, уведомления, расследования	Инциденты, Действия при нарушении
Контроль, обучение, аудит	План проверок, обучение, устранение несоответствий	Внутренний контроль, Аудит

FAQ по ст. 13.1 152‑ФЗ

Вопрос: Обязательно ли уведомлять Роскомнадзор, если ИСПДн только для кадров?
Ответ: Уведомление не требуется в ряде случаев, закреплённых в законе (например, обработка ПДн сотрудников для кадрового учета при соблюдении условий). Проверьте основания и исключения: Уведомление Роскомнадзор.

Вопрос: Требует ли ст. 13.1 хранить ПДн только в России?
Ответ: Требование локализации хранения при первичном сборе установлено нормами 152‑ФЗ (в связке с 242‑ФЗ). Ст. 13.1 фокусируется на особенностях обработки в ИСПДн; вопросы размещения и маршрутизации данных рассмотрите здесь: Серверы/ЦОД и локализация.

Вопрос: Достаточно ли антивируса и фаервола для выполнения ст. 13.1?
Ответ: Нет. Нужен комплексный подход: модель угроз, разграничение доступа, журналирование, шифрование каналов, бэкапы, контроль подрядчиков и т. д. См. Меры безопасности ПДн и Требования ФСТЭК и ФСБ.

Вывод и что делать дальше

Статья 13.1 152‑ФЗ (ст. 13.1 152 ФЗ) подчёркивает: любая ИСПДн должна эксплуатироваться в рамках формализованных процедур, с прозрачным доступом, учётом действий и достаточными мерами защиты. Начните с инвентаризации ИСПДн, оформите локальные акты, определите уровень защищённости и реализуйте необходимые технические и организационные меры. Для ускорения работ:

• Проведите экспресс‑аудит: Аудит соответствия 152‑ФЗ
• Получите помощь экспертов: Консалтинг и документы «под ключ»
• Подготовьте публичные документы: Генератор политики и согласий

Соблюдение требований ст. 13.1 снижает риски утечек и претензий регулятора, повышает доверие клиентов и партнёров и упрощает прохождение проверок.