Постановление Правительства РФ по защите персональных данных №1119: что такое и что требует от бизнеса — Контур.Эгида

В этой статье

Постановление Правительства РФ по защите персональных данных №1119: что такое и что требует от бизнеса

10 февраля 2026

Постановление Правительства РФ №1119 — нормативный документ, который определяет требования к защите персональных данных в информационных системах персональных данных (ИСПДн). Если 152-ФЗ задает общие правовые рамки обработки персональных данных, то № 1119 отвечает на практический вопрос: какие именно меры информационной безопасности обязан реализовать оператор, чтобы защитить ИСПДн от актуальных угроз. Эксперты Контур.Эгиды рассказывают, как правильно классифицировать данные, оценить угрозы и выстроить систему защиты, которая пройдет проверку у регулятора.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Что такое Постановление № 1119

История принятия и редакции документа

Постановление Правительства РФ № 1119 было принято для конкретизации требований, закрепленных в Федеральном законе о персональных данных. Его задача — зафиксировать, какие именно организационные и технические меры защиты нужно применять для защиты ИСПДн, и связать их с реальными условиями обработки персональных данных и актуальными угрозами. Документ применяется много лет без кардинальных изменений, и его логика по-прежнему используется как базовая: именно с помощью постановления № 1119 регуляторы оценивают, насколько меры защиты ИСПДн соответствуют реальным рискам и условиям работы компаний. Поэтому в 2026 году постановление № 1119 продолжает использоваться как базовый ориентир при проектировании систем защиты.

Связь с 152-ФЗ «О персональных данных»

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» определяет понятия субъекта персональных данных, оператора и базовые принципы обработки персональных данных. Постановление № 1119 дополняет эти нормы требованиями к защите информации. Проще говоря, закон говорит, что персональные данные нужно защищать, а постановление — как именно это делать в информационных системах. Несоответствие требованиям № 1119 автоматически означает нарушение 152-ФЗ и создает риски ответственности для оператора.

ИСПДн и актуальные угрозы

Что такое информационная система персональных данных

Информационная система персональных данных — это любая система, где персональные данные обрабатывают в электронном виде. На практике это не только специализированные реестры или клиентские базы, но и CRM, кадровые системы, сервисы удаленного доступа и корпоративные порталы. Если по данным в системе можно понять, о каком конкретном человеке идет речь, такая система считается ИСПДн и подпадает под требования постановления №1119.

Типы актуальных угроз по постановлению

Постановление №1119 опирается на понятие актуальных угроз безопасности персональных данных. Здесь имеют в виду не формальный список атак, а реальные сценарии утечек и несанкционированного доступа — с учетом архитектуры ИСПДн, сетевого взаимодействия и ролей пользователей. К таким угрозам относят несанкционированный доступ, злоупотребление привилегиями, утечки через технические каналы и ошибки в настройках систем.

Как составить модель угроз

Разрабатывать модели угроз начинают с анализа конкретной информационной системы. На первом шаге описывают состав ИСПДн: 

  • какие персональные данные обрабатываются, 
  • какие компоненты участвуют в обработке, 
  • где данные хранятся, 
  • по каким каналам передаются. 

Это позволяет зафиксировать границы системы и точки потенциального воздействия.

Далее анализируют, какие типовые сценарии утечек и несанкционированного доступа вообще возможны для этой системы — с учетом ее архитектуры, способов доступа и ролей пользователей. Для этого учитывают архитектуру ИСПДн, уровень доступа пользователей, наличие удаленных подключений, интеграции с внешними сервисами и используемые средства защиты. На этом этапе формируется перечень угроз, которые реально могут возникнуть в этой системе на практике, а не абстрактный список «возможных атак вообще».

На завершающем этапе проверяют, где система уязвима и какие из выявленных угроз действительно могут возникнуть на практике. На этой основе формируется актуальная модель угроз — она нужна, чтобы определить уровень защищенности ИСПДн и понять, какие организационные и технические меры защиты действительно необходимы. Грамотно составленная модель угроз помогает обосновать требования по постановлению № 1119 и избежать как избыточной защиты «на всякий случай», так и опасных пробелов в безопасности.

Уровни защищенности ПДн

Чтобы связать угрозы и меры защиты, постановление № 1119 вводит четыре уровня защищенности персональных данных. От выбранного уровня зависит, какие именно организационные и технические меры защиты оператор обязан реализовать и насколько строгими должны быть требования к защите ИСПДн.

1 уровень защищенности: условия и требования

Уровень защищенности УЗ-1 применяется в ИСПДн, где последствия утечки или компрометации ПДн наиболее чувствительны, а вероятность инцидентов выше из-за архитектуры системы, объема данных или характера доступа. Для таких систем требуется максимальный набор организационных и технических мер защиты, строгий контроль доступа и развитые механизмы журналирования событий.

Пример. К УЗ-1 часто относятся ИСПДн крупных банков, федеральных медицинских информационных систем или государственных реестров. Например, единая медицинская система региона, в которой хранятся данные о диагнозах, лечении и медицинской истории пациентов. Утечка или искажение таких данных может напрямую повлиять на здоровье людей и повлечь серьезные юридические последствия, поэтому для подобных ИСПДн применяются самые жесткие требования к контролю доступа, аутентификации пользователей и мониторингу действий администраторов.

2 уровень защищенности персональных данных

Уровень защищенности УЗ‑2 предполагает значимые угрозы безопасности, но с меньшим потенциальным ущербом. Здесь допускается использование масштабируемых мер защиты, однако требования к аутентификации пользователей, контролю доступа и антивирусной защите остаются высокими.

Пример. УЗ‑2 характерен, например, для крупных коммерческих компаний, которые обрабатывают персональные данные клиентов и партнеров, но не работают с критически чувствительными категориями ПДн. Это может быть федеральная розничная сеть с централизованной CRM‑системой: данные о клиентах используются в маркетинге и обслуживании, имеют ценность для бизнеса, но потенциальный ущерб от инцидента ниже, чем в системах, связанных с медициной или госреестрами.

3 уровень защищенности по №1119

Уровень защищенности УЗ‑3 — самый распространенный на практике. Он характерен для большинства корпоративных ИСПДн. Основной акцент делается на предотвращение несанкционированного доступа, корректную авторизацию и регулярный аудит системы защиты.

Пример. УЗ‑3 чаще всего применяется в типовых корпоративных системах: кадровых ИСПДн, внутренних порталах, системах учета персонала или документооборота. Например, HR‑система средней компании с доступом сотрудников через корпоративную сеть. Здесь важно ограничить права пользователей, контролировать доступ к персональным данным и регулярно проверять, соответствуют ли настройки безопасности реальной модели угроз.

4 уровень защищенности: минимальные меры

Уровень защищенности УЗ‑4 применяется при минимальных рисках, однако это не означает отсутствие требований. Даже для УЗ‑4 обязательны базовые организационные меры защиты, контроль доступа и физическая защита помещений.

Меры защиты по постановлению

Организационные меры защиты ПДн

Организационные меры защиты включают разработку политики обработки ПДн, распределение ролей и ответственности, обучение персонала и ведение документации оператора ПДн. Эти меры формируют основу системы защиты и обеспечивают управляемость процессов.

Технические меры по уровням защищенности

Технические меры защиты ПДн подбирают с учетом уровня защищенности. К ним относятся аутентификация пользователей, авторизация доступа, журналирование событий, антивирусная защита, шифрование данных и средства контроля целостности. Важно, чтобы меры были не просто внедрены, а корректно настроены и интегрированы между собой.

Требования к помещениям и носителям данных

Постановление №1119 также предъявляет требования к физической защите помещений и работе с носителями информации. Контроль доступа в серверные, защита рабочих мест и порядок хранения резервных копий напрямую влияют на устойчивость ИСПДн к инцидентам.

Как обеспечить соответствие №1119

Проверка уровня защищенности ИСПДн

Соответствие постановлению №1119 начинается с корректного определения уровня защищенности ИСПДн. На практике именно здесь операторы персональных данных могут допускать ошибки: или завышать уровень «на всякий случай», получая избыточные требования и затраты, или занижать его, не учитывая реальные актуальные угрозы безопасности ПДн.

Проверка уровня защищенности строится на актуальной модели угроз ИСПДн. Например, если в системе есть удаленный доступ сотрудников, интеграции с внешними сервисами и обработка значимых объемов персональных данных, формальное отнесение ИСПДн к УЗ‑4 почти всегда будет ошибочным. В таких случаях требования постановления 1119 к ИСПДн предполагают более высокий уровень защищенности и расширенный набор технических мер защиты.

На практике проверка соответствия постановлению №1119 включает анализ архитектуры ИСПДн, прав доступа пользователей, используемых средств аутентификации и журналирования, а также реальных сценариев обработки персональных данных. Независимый аудит системы защиты позволяет выявить расхождения между формально заявленным уровнем и фактическим состоянием системы ИБ до проверок регуляторов.

Документы и политики оператора

Соответствовать постановлению № 1119 невозможно без актуальной документации оператора персональных данных. Речь идет не о «пакете ради проверяющих», а о документах, которые реально используются в работе. В их числе — политика обработки ПДн, регламенты разграничения и контроля доступа, материалы по модели угроз по постановлению № 1119, порядок реагирования на инциденты и учета событий безопасности.

Отдельное внимание нужно уделить уведомлению Роскомнадзора и актуальности сведений об ИСПДн. При изменении архитектуры системы, состава персональных данных или способов обработки ПДн документы необходимо пересматривать. Для отдельных классов ИСПДн требования могут включать аттестацию и регулярный аудит системы защиты, особенно если система используется в критичных бизнес‑процессах.

Штрафы за нарушение постановления

Постановление № 1119 — это инструкция по защите персональных данных, само по себе его невыполнение штрафами не наказывается. Однако если система защиты ИСПДн не соответствует требованиям этого постановления, это считается нарушением Федерального закона № 152-ФЗ «О персональных данных». А за нарушение этого закона уже предусмотрена административная ответственность по КоАП РФ.

Для юридических лиц ключевые санкции связаны со статьей 13.11 КоАП РФ. В зависимости от состава нарушения штрафы могут составлять:

  • от 30 000 до 60 000 рублей — за обработку ПДн с нарушением требований 152-ФЗ, например без соблюдения требований защиты;
  • от 40 000 до 90 000 рублей — за нарушение обязанностей оператора, например, непредоставление информации субъекту ПДн или нарушение сроков блокирования / удаления данных;
  • от 300 000 до 500 000 рублей — при повторных нарушениях или совокупности выявленных несоответствий.

Если нарушение требований постановления № 1119 выявляют на фоне инцидента с утечкой персональных данных, штрафы могут применяться по нескольким составам одновременно. Например, регуляторы могут суммировать санкции за отсутствие надлежащих мер защиты, неправильное определение уровня защищенности ИСПДн и нарушение обязанностей оператора персональных данных.

При проверках регуляторы оценивают не формальное наличие средств защиты, а то, как они реально используются. Например, система журналирования может быть установлена, но логи не собираются централизованно и не анализируются, а контроль доступа существует только «на бумаге». В такой ситуации даже при формально определенном уровне защищенности УЗ-3 ИСПДн считается несоответствующей требованиям постановления № 1119, что становится основанием для штрафа.

Дополнительный риск — инциденты с утечками персональных данных. Если проверка показывает, что уровень защищенности ИСПДн изначально определили неправильно или меры защиты не соответствовали актуальным угрозам безопасности ПДн, это усугубляет ответственность оператора. К штрафам добавляются репутационные потери, требования контрагентов и необходимость срочной переработки системы защиты.

Таким образом, штрафы за нарушение постановления № 1119 — лишь часть последствий. Именно поэтому для операторов персональных данных критично не просто формально соблюдать требования, а контролировать, чтобы защита ИСПДн фактически соответствовала реальным угрозам и условиям обработки персональных данных.

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться