Статья 19 152‑ФЗ: Меры по обеспечению безопасности персональных данных

Статья 19 152‑ФЗ: меры по обеспечению безопасности персональных данных

![Схема мер по ст. 19 ФЗ‑152: организационные, технические, криптографические, физическая защита, обучение, контроль]

Введение

Статья 19 152‑ФЗ — ключевая норма о том, какие меры по обеспечению безопасности персональных данных обязан выполнять оператор. Если кратко, ст. 19 федерального закона 152‑ФЗ требует выстроить системный контур информационной безопасности: от политики, доступа и обучения сотрудников до технических средств защиты, криптографии и управления инцидентами. Ниже разберем, что именно следует сделать, чтобы соответствовать требованиям, и как связать «мера 152 ФЗ» с практикой: ИСПДн, модель угроз, уровни защищенности и контроль.

Для контекста см. обзорную страницу о законе 152‑ФЗ, структуру и статьи и текст в последней редакции. Об актуальных правках — в разделе изменения 2025.

Что требует статья 19 152‑ФЗ

Статья 19 152‑ФЗ формулирует обязанность оператора обеспечить защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Для этого оператор должен:

Получить CloudPayments бесплатно

определить угрозы безопасности ПДн и реализовать соответствующие меры защиты;
применять организационные, технические и криптографические средства в составе ИСПДн;
ограничивать доступ и вести учет действий пользователей, администраторов и системных процессов;
проводить внутренний контроль и оценку соответствия,
обучать персонал и обеспечивать безопасность помещений и носителей;
обеспечивать реагирование на инциденты и восстановление данных.

Проще говоря, «ст 19 152 ФЗ о персональных данных» задает рамку для комплекса мер: от политики и регламентов до конкретных средств защиты информации (информационная безопасность ФЗ 152).

Связь с другими нормами закона

Статья 19 тесно связана с:

Статьей 18 — общие обязанности оператора (планирование, назначение ответственных, организация процессов);
Статьей 18.1 — внутренний контроль, оценка соответствия и обучение персонала;
Статьей 20 — обеспечение конфиденциальности и безопасность при поручении обработки третьим лицам (см. также поручение обработки ПДн).

Полезные материалы по смежным вопросам: ИСПДн: определение и требования, принципы и цели обработки, обязанности оператора.

Ключевые меры: организационные и технические

Ниже — практическая раскладка того, как превратить формулировки «защита информации 152‑ФЗ» в работающую систему.

Категория меры	Что сделать	Документы/записи	Инструменты/примеры
Организационные	Утвердить политику, регламенты доступа, порядок реагирования	Политика обработки ПДн, реестр ИСПДн, матрица доступа	Система документооборота, пакет документов 152‑ФЗ
Управление доступом	Роли, минимальные привилегии, двухфакторная аутентификация	Журналы выдачи прав, акты блокировки учеток	IDM/IAM, AD/LDAP, MFA
Сетевая безопасность	Сегментация, межсетевые экраны, VPN	Схемы сети, акты проверок	NGFW, WAF, IPS/IDS
Антивирус/EDR	Защита конечных точек, контроль устройств	Отчеты сканирования	EDR/XDR, DLP
Криптография	Шифрование каналов и данных	Реестр СКЗИ, ключевые журналы	СКЗИ, TLS, шифрование по 152‑ФЗ
Логирование и SIEM	Централизованный сбор и корреляция событий	Политика журналирования, отчеты	SIEM, syslog, SOAR
Резервное копирование	Правило 3‑2‑1, регулярные тесты восстановления	Журналы бэкапов, отчеты DR‑тестов	Backup, репликация
Физическая защита	Контроль доступа в серверные, хранение носителей	Журналы доступа, акты уничтожения	СКУД, сейфы, видеонаблюдение
Обучение и НТД	Обучение сотрудников, тесты фишинга	Протоколы обучения	Внутренний контроль и обучение
Управление подрядчиками	Договоры с ПДн‑условиями, проверки	Реестр операторов по поручению	Вендор‑риск менеджмент

Важно: набор мер должен соотноситься с реальными угрозами и уровнем защищенности вашей ИСПДн — просто «список галочек» не гарантирует соответствия ст. 19 152‑ФЗ.

Уровни защищенности ИСПДн и выбор мер

Фактический состав мер зависит от класса/уровня защищенности ИСПДн и типа актуальных угроз. Оценка проводится с учетом состава ПДн (специальные, биометрические, общедоступные), количества субъектов и сценариев обработки.

Подробнее — в разделе уровни защищенности ИСПДн.
Обоснование выбора мер — через модель угроз ИСПДн.
Требования регуляторов и профильных ведомств — см. требования ФСТЭК и ФСБ.

Таким образом, «ст 19 федерального закона 152‑ФЗ» реализуется не шаблонно, а по результатам риск‑ориентированного анализа.

Модель угроз и криптографическая защита

Статья 19 предусматривает необходимость учитывать угрозы безопасности ПДн и применять соответствующие меры, в том числе криптографические, если это требуется. Практические шаги:

составить и утвердить модель угроз (акторы, векторы, активы, уязвимости);
определить границы ИСПДн, точки входа/выхода и потоки данных;
выбрать СКЗИ и режимы шифрования для каналов и хранения при необходимости;
обеспечить защиту каналов связи (TLS, VPN), подписывать критичные операции;
организовать управление ключами и контроль использования СКЗИ.

См. подробности: модель угроз ИСПДн, криптография и шифрование по 152‑ФЗ, требования ФСТЭК и ФСБ.

Документы, подтверждающие выполнение ст. 19

Для демонстрации соответствия «статья 19 152‑ФЗ» рекомендуется подготовить и поддерживать:

Политику обработки ПДн и Положение об ИСПДн — см. политика обработки ПДн.
Реестр процессов обработки, категорий ПДн, ИСПДн и систем — см. ИСПДн: определение и требования.
Модель угроз, перечень мер, карту контролей — см. мера 152‑ФЗ: безопасность ПДн.
Регламенты доступа, инцидент‑респонс, резервное копирование, уничтожение и блокировку — см. уничтожение и блокировка ПДн.
Программы обучения и внутреннего контроля — см. внутренний контроль и обучение.
Пакет договоров с операторами по поручению — см. поручение обработки ПДн.
Публичные документы для сайта — см. документы для сайта, политика конфиденциальности: шаблон, шаблоны и формы.

Готовое решение: пакет документов 152‑ФЗ и генератор политики и согласий.

Меры для сайтов и онлайн‑сервисов

Для веб‑ресурсов и мобильных приложений меры по ст. 19 включают:

HTTPS для всех форм и личного кабинета — см. SSL/HTTPS по 152‑ФЗ.
Прозрачность трекеров, баннеры и управление cookie — см. cookie и баннеры.
Корректные формы согласия, журналирование согласий — см. формы на сайте и согласие, согласие на обработку, отзыв согласия.
Настройка аналитики — см. Яндекс.Метрика и 152‑ФЗ и Яндекс.Формы и 152‑ФЗ.
Подрядчики‑хостеры и облака — см. серверы, хостинг, ЦОД, облака и Yandex Cloud.
CMS‑практики: Tilda, WordPress, Bitrix.
Аудит и проверка — см. аудит сайта по 152‑ФЗ и онлайн‑проверка.

Также проверьте соответствие общим требованиям — см. требования к сайту по 152‑ФЗ.

Инциденты, уведомления и реагирование

Ключевые шаги при инцидентах с ПДн:

локализация и блокировка несанкционированного доступа;
первичный анализ и фиксация событий (журналы, снимки системы);
оценка масштаба и рисков для субъектов;
уведомление регулятора и/или субъектов в сроки и по формам, установленным порядком;
план корректирующих мер и предотвращение повторения.

Инструменты и процессы: инциденты и утечки ПДн, уведомление Роскомнадзор, действия при нарушении ПДн.

Проверки и ответственность

Соблюдение «статья 19 152‑ФЗ» проверяется в ходе контрольных мероприятий Роскомнадзора. Возможны требования документов, осмотр ИСПДн, тестовые выборки и др. Нарушения влекут административную ответственность по КоАП, включая штрафы.

Как готовиться — см. подготовка к проверке и проверки Роскомнадзора.
Состав и размеры санкций — см. ответственность и штрафы и КоАП 13.11 — ПДн.
Практика — см. судебная практика по 152‑ФЗ.

Дополнительно проверьте, внесены ли вы в реестр операторов ПДн (при необходимости уведомления).

Дорожная карта внедрения мер

Ниже — примерный план, как последовательно выполнить требования «ст 19 152‑ФЗ о персональных данных»:

Инвентаризация активов: какие ПДн, где, для чего и на каком основании обрабатываются — см. структура и статьи.
Определение ИСПДн и границ обработки — см. ИСПДн: определение и требования.
Оценка рисков и модель угроз.
Выбор уровня защищенности — см. уровни защищенности и требования ФСТЭК и ФСБ.
Проект мер: организационные, технические, криптография — см. меры безопасности ПДн и шифрование.
Внедрение контролей, настройка журналирования и резервирования.
Подготовка НТД и договоров — см. пакет документов 152‑ФЗ.
Обучение персонала и запуск внутреннего контроля.
Тестирование плана реагирования на инциденты — см. инциденты.
Регулярный аудит и улучшение — см. аудит соответствия, чек‑лист.

Если вы обрабатываете данные в облаке или у подрядчиков, проверьте условия и распределение ответственности: облака Yandex Cloud, серверы/ЦОД, другие законы, связанные законы 149/187/63/98.

Частые ошибки операторов

Отсутствует модель угроз и обоснование выбранных средств защиты — меры не соотносятся с рисками.
Политика и регламенты есть, но не работают на практике (учетки не блокируются, роли не применяются).
Нет централизованного логирования и мониторинга событий — инциденты обнаруживаются слишком поздно.
Резервное копирование выполняется, но не тестируется восстановление.
Не описаны процессы работы с подрядчиками и трансграничной передачей — см. передача третьим лицам и трансграничная передача.
Неполные публичные документы на сайте и некорректные согласия — см. документы для сайта и требования к сайту.
Отсутствие процедуры прекращения обработки, блокировки и удаления — см. прекращение обработки и сроки хранения.

Итоги и следующий шаг

Статья 19 152‑ФЗ — не про «установить антивирус и забыть». Это системное требование выстроить управляемую, риск‑ориентированную защиту ПДн: от политики и обучения до технических средств и реагирования. Правильная реализация «информационная безопасность ФЗ 152» опирается на модель угроз, уровень защищенности ИСПДн и постоянно действующий внутренний контроль.

Готовы перейти от теории к практике? Используйте наш чек‑лист и онлайн‑проверку сайта, а за комплексным сопровождением обращайтесь: аудит соответствия и консалтинг и документы под ключ.

Получить CloudPayments бесплатно