Регуляторика 2026

152-ФЗ для оператора персональных данных

Q: Что такое 152-ФЗ и кто обязан его соблюдать?

152-ФЗ «О персональных данных» (от 27.07.2006, с изменениями) обязателен для любого оператора ПДн — юридического лица, ИП или государственного органа, который определяет цели и средства обработки ПДн физических лиц. Это касается практически всех компаний РФ: HR (данные сотрудников), CRM (данные клиентов), HRM. Штрафы (ст. 13.11 КоАП, ред. 420-ФЗ с 30.05.2025): утечка — до 15–20 млн ₽, повторная утечка — оборотный штраф 1–3% выручки (до 500 млн ₽).

Q: Какие требования 152-ФЗ касаются управления доступом?

Главные требования: (1) ПП № 1119 п. 6 — утверждённый перечень лиц, доступ которых к ПДн необходим (+ст. 19 — общие меры защиты); (2) ФСТЭК № 21, меры ИАФ — идентификация и аутентификация субъектов; (3) меры УПД — управление доступом по принципу наименьших привилегий; (4) меры ОПС — ограничение программной среды; (5) ПП № 1119 — 4 уровня защищённости (УЗ-1...УЗ-4) определяют конкретные технические меры.

Q: Какие уровни защищённости (УЗ) устанавливает ПП 1119?

Постановление Правительства № 1119 устанавливает 4 уровня защищённости персональных данных: УЗ-1 (биометрические/специальные ПДн + массовая обработка) — обязательная сертификация СЗИ + сертифицированная криптография; УЗ-2 (специальные ПДн или биометрия + умеренная обработка); УЗ-3 (общедоступные/иные ПДн + массовая); УЗ-4 (иные ПДн + малая обработка). Уровень определяется типом ПДн × количеством субъектов × актуальностью угроз.

Q: Какие IDM/IGA-функции автоматизируют соответствие 152-ФЗ?

Lifecycle учётных записей (JML) — автоматическое закрытие учётных записей при увольнении; ролевая модель RBAC + матрица прав — наименьшие привилегии (ФСТЭК № 21, меры УПД); MFA — идентификация и аутентификация (меры ИАФ); SoD-движок — разделение полномочий; журнал событий доступа — учёт лиц (ПП 1119 п. 6); сертификация прав (recertification) — регулярный пересмотр доступов. IDM-система = 70-80% автоматизации compliance.

Q: Какие штрафы за нарушение 152-ФЗ в части управления доступом?

Ст. 13.11 КоАП РФ (ред. 420-ФЗ, с 30.05.2025): утечка ПДн — до 15 млн ₽ (биометрия — до 20 млн); повторная утечка — оборотный штраф 1–3% годовой выручки (мин 20–25 млн, макс 500 млн ₽); неуведомление РКН об утечке — до 3 млн ₽. Ст. 137 УК РФ — за нарушение неприкосновенности частной жизни до 2 лет лишения свободы. Кроме штрафов: репутационный ущерб (Роскомнадзор публикует реестр нарушителей), приостановка обработки ПДн.

Q: Как Identigy помогает с compliance к 152-ФЗ?

Identigy с 2007 года внедряет IDM/IGA-системы для соответствия 152-ФЗ и связанным регуляторам (ФСТЭК № 21, ПП 1119, ГОСТ Р 71753). 39 заказчиков, 79 проектов. Покрываем: оценку зрелости IDM (gap-анализ к 152-ФЗ), внедрение платформ (1IDM, Evolveum MidPoint, собственный Imperium), миграцию с зарубежных IDM (Oracle, SailPoint, OneIdentity), сопровождение. Для импортозамещения — платформы из реестра отечественного ПО (1IDM; собственный Imperium — на регистрации).

Что требует Федеральный закон «О персональных данных» и как закрыть требования через автоматизацию управления доступом (IDM/IGA). Маппинг к ФСТЭК № 21, ПП 1119, ГОСТ Р 71753. Identigy опыт: банки, телеком, ритейл — с 2007 года, 39 заказчиков.

Оставить заявку

Контекст

Что такое 152-ФЗ и кто оператор персональных данных

Когда принят и кто обязан соблюдать

Федеральный закон № 152-ФЗ «О персональных данных» принят 27.07.2006, с тех пор претерпел существенные изменения (последние — 2024-2025). Применим к любому оператору ПДн: юридическому лицу, ИП или госоргану, который определяет цели и средства обработки ПДн физических лиц.

Это касается практически всех компаний РФ — HR-системы (данные сотрудников), CRM (клиенты), ритейл (программы лояльности), банки (счета), телеком (абоненты), медицина (карты пациентов).

Связанные подзаконные акты

Приказ ФСТЭК № 21 — состав и содержание организационных и технических мер защиты ПДн
ПП РФ № 1119 — 4 уровня защищённости (УЗ-1...УЗ-4)
Приказ ФСТЭК № 117 (с 01.03.2026, ранее № 17) — применяется, только если ИСПДн отнесена к ГИС / ИС госорганов
Ст. 22 152-ФЗ (форма — приказ РКН № 180) — уведомление об обработке ПДн
ГОСТ Р 71753-2024 — функциональные требования к IDM-системе для соответствия

Топ-5 требований

Что 152-ФЗ требует от управления доступом

Без IDM/IGA-системы автоматизировать compliance в крупной компании практически невозможно: ручной учёт обновляется с задержкой 7-30 дней, что нарушает ст. 19.

ПП 1119 п. 6

152-ФЗ — учёт лиц с доступом к ПДн

Оператор обязан вести перечень лиц, имеющих доступ к ПДн, и обеспечивать его актуальность. IDM/IGA-система автоматизирует ведение этого перечня через каталог пользователей + журнал событий доступа.

ФСТЭК № 21 · ИАФ

Идентификация и аутентификация субъектов и объектов

Однозначная идентификация пользователей (включая привилегированных) и информационных ресурсов. Многофакторная аутентификация (MFA) для критичных систем — рекомендация для УЗ-1/УЗ-2.

ФСТЭК № 21 · УПД

Управление доступом субъектов

Реализация принципов наименьших привилегий и разделения полномочий. Управление ролевой моделью (RBAC), эталонная матрица прав, регистрация всех изменений прав доступа.

ФСТЭК № 21 · ОПС

Ограничение программной среды

Запрет несанкционированного запуска ПО + контроль установки. IDM-система интегрируется с системами application control + LDAP/AD для применения политик на уровне учётной записи.

ПП № 1119

4 уровня защищённости (УЗ-1...УЗ-4)

Уровень определяется типом ПДн (специальные / биометрические / иные / общедоступные) × масштабом обработки. УЗ-1 (биометрия + массовая обработка) — наивысшие требования: обязательная сертификация СЗИ + сертифицированная криптография.

Hands-on mapping

Какие IDM-функции закрывают какие требования 152-ФЗ

IDM-функция	Закрывает требования	Польза для оператора ПДн
Lifecycle учётных записей (JML)	ПП 1119 п. 6 (перечень лиц) + ФСТЭК № 21, меры УПД (своевременное закрытие при увольнении/переводе)	Автоматическое создание/блокировка учётных записей из 1С:ЗУП — нет «забытых» учёток уволенных
Ролевая модель (RBAC) + матрица прав	ФСТЭК № 21, меры УПД (наименьшие привилегии + разделение полномочий)	Эталонная матрица «должность → роль → права» с регулярной рецертификацией
Идентификация и аутентификация	ФСТЭК № 21, меры ИАФ + ПП 1119 п. 6 (учёт доступа)	Единая точка входа + MFA для УЗ-1/УЗ-2 систем + журнал событий доступа
SoD (разделение полномочий)	ФСТЭК № 21, меры УПД + ГОСТ Р 57580.1 (для НФО)	Автоматическое обнаружение SoD-конфликтов до их возникновения + workflow согласования исключений
Аудит и журнал событий	ФСТЭК № 21, меры РСБ (регистрация событий) + ст. 19 + ГОСТ Р 71753 п.10.4.2	Полная цепочка действий по доступу + автоматические отчёты для ФСТЭК / ЦБ / внутреннего аудита
Сертификация (recertification) прав	ст. 19 (актуальность) + Приказ ФСТЭК № 21 (контроль соответствия)	Регулярные campaigns пересмотра прав владельцами ресурсов + автоматическое снятие неподтверждённых прав

Опыт Identigy

Как мы внедряли 152-ФЗ compliance

Anonymized примеры из портфеля 39 заказчиков и 79 проектов. Полный список — на странице /projects/.

Банк (топ-30 РФ)

11,000 пользователей, 4 IT-системы

Задача: Compliance к 152-ФЗ + ЦБ 851-П (геолокация identity-сессий с 01.10.2025)

Результат: Развернули MidPoint с MFA + геолокация-аналитика. Время реакции на инцидент доступа — 5 минут. Проходим аудит ЦБ без замечаний 3 года.

Телеком (топ-5 РФ)

36,000 сотрудников, 700+ ИС, 7 каталогов

Задача: 152-ФЗ + 187-ФЗ КИИ (значимый объект). Импортозамещение Oracle IM на отечественный стек

Результат: Мигрировали на 1IDM + Imperium с асинхронным коннектором для высоконагруженной AD. Учётка обрабатывается за 30 минут (было 3 дня).

Розница (федеральная сеть)

23,000 пользователей + 35,000 ритейл-точек, 6 ERP

Задача: 152-ФЗ + защита ПДн клиентов (программы лояльности) + 187-ФЗ для платёжной инфраструктуры

Результат: Внедрили централизованную IDM с разделением «сотрудники / партнёры / клиенты». Сократили SoD-конфликты на 87%. Прошли ФСТЭК-аудит.

Все проекты в портфеле

Practical guide

10-пунктовый чек-лист для оператора ПДн

Если у вас есть пробелы по этим пунктам — это риск штрафов по ст. 13.11 КоАП РФ — при повторной утечке оборотных, до 500 млн ₽ (420-ФЗ, с 30.05.2025).

Назначить ответственного за организацию обработки ПДн (приказ)
Определить перечень обрабатываемых ПДн + цели обработки (Политика ПДн)
Категоризировать ИС по ПП 1119: УЗ-1 / УЗ-2 / УЗ-3 / УЗ-4
Внедрить идентификацию и аутентификацию (MFA для УЗ-1/УЗ-2)
Внедрить управление доступом по ролевой модели (RBAC) + наименьшие привилегии
Настроить регистрацию событий доступа (журнал) + защиту от модификации
Организовать защиту от НСД (СЗИ от НСД + криптография для УЗ-1/УЗ-2)
Назначить ответственного за защиту ПДн (приказ) + ввести политику ИБ
Регулярно проводить аудит фактических прав vs эталонной матрицы
Уведомить Роскомнадзор о начале обработки ПДн + ежегодные отчёты

Выбор подхода

Custom-разработка vs импорт vs Imperium

Custom-разработка

Полный контроль, но: 12-24 месяца разработки, $500k+ TCO, риск несоответствия ГОСТ Р 71753 (не сертифицировано). Нет авто-обновления при изменении регуляторов. Подходит только <5% компаний с уникальной IT-инфраструктурой.

Импорт (Oracle, SailPoint, OneIdentity)

Зрелые платформы, но: нет в Реестре Минцифры; для госорганов, субъектов КИИ и др. (Указ № 250) запрещены с 01.01.2025. Санкционные риски на support. Уже не вариант для нового внедрения.

Identigy Imperium (рекомендуем)

Готовится в Реестр Минцифры, ГОСТ Р 71753-совместим, асинхронный коннектор для высокой нагрузки, глубокая локализация. Внедрение 3-9 месяцев. Поддержка ваших регуляторных аудитов (152-ФЗ, ФСТЭК, ЦБ).

Подробнее про Imperium

Дополнительные варианты в портфеле: 1IDM (на стеке 1С) и Evolveum MidPoint (open-source). Identigy внедряет все 3 платформы — выбираем под задачу, а не под партнёрский интерес.

Получить assessment под 152-ФЗ

Identigy проведёт gap-анализ вашего текущего управления доступом по 10-пунктовому чек-листу 152-ФЗ. На выходе — отчёт с конкретными findings + roadmap внедрения IDM на 12-18 месяцев. Без обязательств.

✓ Identigy на рынке IDM в РФ с 2007 года
✓ 39 заказчиков, 79 проектов
✓ Сертифицированные специалисты по ФСТЭК + 1С
✓ Связанные практики: аудит ИБ, DevOps, AI

Смежные требования: 187-ФЗ КИИ для значимых объектов и приказ ФСТЭК № 117 для ГИС. Сам gap-анализ доступа делаем в рамках практики аудита ИБ и пентеста, а закрываем findings внедрением IDM/IGA.

FAQ

Частые вопросы

Что такое 152-ФЗ и кто обязан его соблюдать?

152-ФЗ «О персональных данных» (от 27.07.2006, с изменениями) обязателен для любого оператора ПДн — юридического лица, ИП или государственного органа, который определяет цели и средства обработки ПДн физических лиц. Это касается практически всех компаний РФ: HR (данные сотрудников), CRM (данные клиентов), HRM. Штрафы (ст. 13.11 КоАП, ред. 420-ФЗ с 30.05.2025): утечка — до 15–20 млн ₽, повторная утечка — оборотный штраф 1–3% выручки (до 500 млн ₽).

Какие требования 152-ФЗ касаются управления доступом?

Главные требования: (1) ПП № 1119 п. 6 — утверждённый перечень лиц, доступ которых к ПДн необходим (+ст. 19 — общие меры защиты); (2) ФСТЭК № 21, меры ИАФ — идентификация и аутентификация субъектов; (3) меры УПД — управление доступом по принципу наименьших привилегий; (4) меры ОПС — ограничение программной среды; (5) ПП № 1119 — 4 уровня защищённости (УЗ-1...УЗ-4) определяют конкретные технические меры.

Какие уровни защищённости (УЗ) устанавливает ПП 1119?

Постановление Правительства № 1119 устанавливает 4 уровня защищённости персональных данных: УЗ-1 (биометрические/специальные ПДн + массовая обработка) — обязательная сертификация СЗИ + сертифицированная криптография; УЗ-2 (специальные ПДн или биометрия + умеренная обработка); УЗ-3 (общедоступные/иные ПДн + массовая); УЗ-4 (иные ПДн + малая обработка). Уровень определяется типом ПДн × количеством субъектов × актуальностью угроз.

Какие IDM/IGA-функции автоматизируют соответствие 152-ФЗ?

Lifecycle учётных записей (JML) — автоматическое закрытие учётных записей при увольнении; ролевая модель RBAC + матрица прав — наименьшие привилегии (ФСТЭК № 21, меры УПД); MFA — идентификация и аутентификация (меры ИАФ); SoD-движок — разделение полномочий; журнал событий доступа — учёт лиц (ПП 1119 п. 6); сертификация прав (recertification) — регулярный пересмотр доступов. IDM-система = 70-80% автоматизации compliance.

Какие штрафы за нарушение 152-ФЗ в части управления доступом?

Ст. 13.11 КоАП РФ (ред. 420-ФЗ, с 30.05.2025): утечка ПДн — до 15 млн ₽ (биометрия — до 20 млн); повторная утечка — оборотный штраф 1–3% годовой выручки (мин 20–25 млн, макс 500 млн ₽); неуведомление РКН об утечке — до 3 млн ₽. Ст. 137 УК РФ — за нарушение неприкосновенности частной жизни до 2 лет лишения свободы. Кроме штрафов: репутационный ущерб (Роскомнадзор публикует реестр нарушителей), приостановка обработки ПДн.

Как Identigy помогает с compliance к 152-ФЗ?

Identigy с 2007 года внедряет IDM/IGA-системы для соответствия 152-ФЗ и связанным регуляторам (ФСТЭК № 21, ПП 1119, ГОСТ Р 71753). 39 заказчиков, 79 проектов. Покрываем: оценку зрелости IDM (gap-анализ к 152-ФЗ), внедрение платформ (1IDM, Evolveum MidPoint, собственный Imperium), миграцию с зарубежных IDM (Oracle, SailPoint, OneIdentity), сопровождение. Для импортозамещения — платформы из реестра отечественного ПО (1IDM; собственный Imperium — на регистрации).