Как устроены ИСПДн: состав, типы, в 2026

Что такое ИСПДн — информационные системы персональных данных: виды, классификация, защита

Информационные системы персональных данных (ИСПДн) — это технологическая основа работы с персональными данными в любой организации. Простыми словами, если вы храните ФИО клиентов, номера телефонов или адреса электронной почты, то у вас есть ИСПДн.

Почему это важно? Во-первых, закон обязывает защищать персональные данные, и для этого нужно понимать, с какой именно системой мы работаем. Во-вторых, от типа и класса ИСПДн зависят требования Роскомнадзора: какие уведомления подавать, какие меры защиты внедрять, нужна ли аттестация во ФСТЭК.

Вы можете заказать создание МЧД у наших специалистов, просто оставьте заявку в форме Создать МЧД

В этом материале мы разберём, что входит в состав ИСПДн, как различать собственные и сторонние системы, по каким признакам их классифицировать и как определить необходимый уровень защищенности. Знание этих нюансов поможет избежать штрафов и построить эффективную систему защиты данных.

Что такое ИСПДн и из чего они состоят

ИСПДн — это не просто база данных с именами и телефонами. Это комплексная система, включающая персональные данные, технологии их обработки, оборудование для хранения, программное обеспечение и средства защиты информации.

Представьте интернет-магазин: клиенты оставляют свои данные при регистрации, менеджеры обрабатывают заказы в CRM, а бухгалтерия ведёт учёт в 1С. Все эти элементы вместе образуют ИСПДн компании.

Основные компоненты ИСПДн:

• Персональные данные — ФИО, адреса, телефоны, email, паспортные данные, сведения о семейном положении, биометрические данные и любая другая информация, позволяющая идентифицировать человека
• Базы данных — структурированные хранилища информации, где размещаются персональные данные
• Серверы и ЦОДы — физическое оборудование для хранения и обработки данных, включая собственные серверы и арендованные мощности
• ПО для обработки — CRM-системы, ERP-решения, бухгалтерские программы, веб-приложения и любые другие программы, работающие с персональными данными
• Рабочие устройства — компьютеры, планшеты, смартфоны сотрудников, имеющих доступ к персональным данным
• Системы защиты — антивирусы, межсетевые экраны, системы контроля доступа, средства шифрования и другие технические средства защиты информации

Важно понимать: даже копировальная техника в офисе может стать частью ИСПДн, если на ней печатают документы с персональными данными.

Зачем нужно разграничение собственных и сторонних ИСПДн

Хотя законодательство прямо не разделяет ИСПДн на собственные и сторонние, такая классификация критически важна для практической работы. От неё зависит объём обязанностей оператора и подходы к обеспечению безопасности данных.

Собственная ИСПДн — система, расположенная внутри организации, где компания выступает полноценным оператором. Сторонняя ИСПДн — внешняя система, принадлежащая другой организации, но используемая в рамках деятельности вашей компании.

Разграничение влияет на три ключевые области:

Техническая ответственность. Для собственных ИСПДн оператор обязан самостоятельно реализовать весь комплекс организационных и технических мер защиты: от установки антивирусов до разработки политик безопасности. В случае сторонних систем техническую защиту обеспечивает их владелец, а ваша ответственность ограничивается соблюдением условий договора.

Взаимодействие с Роскомнадзором. При подаче уведомлений необходимо указывать местонахождение всех баз данных и лиц, ответственных за техническое обеспечение. Для собственных ИСПДн это ваша организация, для сторонних — нужно выяснить, где физически расположены серверы и кто является владельцем ЦОД.

Локальные нормативные акты. Собственные ИСПДн требуют детального описания в положениях о персональных данных, разработки отдельных регламентов и инструкций. Сторонние системы упоминаются при описании процессов обработки данных и в матрицах доступа, но не требуют создания специальных внутренних документов.

Правильное разграничение помогает избежать избыточных требований к сторонним системам и, наоборот, не упустить обязанности по собственным ИСПДн.

Как определить, собственная или сторонняя ИСПДн

На практике достаточно проанализировать один-два ключевых признака, чтобы понять природу системы. Не обязательно, чтобы все критерии совпадали — иногда ситуация может быть неоднозначной и требовать анализа договорных отношений.

Признаки для определения типа ИСПДн:

Показательный пример — корпоративный сайт. Если ЦОД не принадлежит оператору, но именно оператор решает, какие персональные данные собирать, как их использовать и передавать ли третьим лицам, то система может рассматриваться и как собственная, и как сторонняя. Этот вопрос урегулируется договором с владельцем ЦОД.

Мы видим, что граница между собственными и сторонними ИСПДн не всегда очевидна, особенно в эпоху облачных технологий и гибридных инфраструктур. Главное — понимать, кто фактически контролирует данные и несёт ответственность за их защиту.

Примеры разграничения ИСПДн

Рассмотрим конкретные ситуации, которые помогут понять логику разграничения систем:

• Системы туроператоров и турагентов. Туроператор создаёт систему бронирования, где хранятся данные туристов. Для туроператора это собственная ИСПДн — он определяет функциональность, правила сбора данных и меры защиты. Турагент получает доступ к части системы для внесения информации о клиентах, но не контролирует её архитектуру. Для турагента это сторонняя ИСПДн.
• Интернет-банкинг для зарплатных проектов. Работодатель через систему онлайн-банка передаёт персональные данные сотрудников для начисления зарплаты. Банк является полноценным оператором собственной ИСПДн, а работодатель выступает пользователем сторонней системы с ограниченными правами доступа.
• Системы расчётных центров ЖКХ. Управляющая компания получает удалённый доступ к части ИСПДн расчётного центра, вносит показания счётчиков и данные жильцов. Расчётный центр использует эту информацию для формирования квитанций. УК работает со сторонней системой, хотя и влияет на процессы обработки данных.
• Работа с SaaS-сервисами. Использование 152DOC или аналогичных платформ означает взаимодействие со сторонней ИСПДн. Вы имеете доступ только к определённой части функциональности, а владелец сервиса устанавливает правила работы системы и несёт ответственность за техническую защиту.

Эти примеры показывают: один и тот же массив данных может быть собственной ИСПДн для одной организации и сторонней — для другой.

Классификация ИСПДн по признакам

ФСТЭК определяет несколько групп классификации ИСПДн, каждая из которых имеет свой уровень базовой защищённости. Понимание этих групп критически важно для оценки актуальных угроз и выбора адекватных мер защиты.

Общий уровень защищённости системы рассчитывается по простой формуле: если 70% критериев имеют высокий уровень защищённости, а остальные — средний, то вся ИСПДн получает высокий уровень. Если 70% критериев имеют высокий или средний уровень, а остальные — низкий, система получает средний уровень. В остальных случаях уровень защищённости считается низким.

Важный нюанс: низкий уровень защищённости по какому-либо параметру не означает, что система обречена на уязвимость. Это лишь сигнал о необходимости дополнительных мер защиты в конкретной области.

По территориальному размещению

Географическое расположение компонентов ИСПДн влияет на сложность обеспечения безопасности и контроля за системой:

Логика проста: чем больше расстояние между компонентами системы, тем сложнее обеспечить физическую безопасность и оперативное реагирование на инциденты. Локальная система в одном здании позволяет максимально контролировать доступ к оборудованию, а распределённая требует координации защитных мер на больших расстояниях.

По наличию выхода в интернет

Подключение к глобальной сети кардинально влияет на количество и характер угроз безопасности:

Многоточечный доступ создаёт множественные векторы атак — каждое подключённое устройство становится потенциальной точкой проникновения. Одноточечный выход позволяет централизованно контролировать трафик и применять единые правила безопасности. Изолированные системы защищены от внешних сетевых угроз, но могут быть уязвимы для внутренних нарушителей.

По доступным операциям с данными

Функциональные возможности системы определяют потенциальный ущерб от компрометации:

Системы только для чтения ограничивают возможности злоумышленника — даже при получении доступа он не сможет изменить или уничтожить данные. Полнофункциональные системы предоставляют максимальные возможности для работы, но и максимальные риски при нарушении безопасности.

По разграничению доступа сотрудников

Принцип минимальных привилегий — основа информационной безопасности, и его реализация напрямую влияет на защищённость системы:

Ограниченный доступ снижает вероятность случайного или умышленного нарушения конфиденциальности, но требует дополнительных затрат на администрирование. Открытый доступ упрощает работу, но превращает каждого сотрудника в потенциальную угрозу безопасности данных.

По уровню обезличивания данных

Обезличивание — эффективный способ снижения рисков, связанных с обработкой персональных данных:

Полное обезличивание практически исключает возможность идентификации субъектов данных даже при утечке информации. Частичное обезличивание защищает данные при взаимодействии с внешними организациями, сохраняя функциональность для внутренних процессов.

По объёму предоставления базы третьим лицам

Политика передачи данных внешним организациям определяет масштаб возможного ущерба:

Закрытая политика минимизирует риски, но может ограничивать бизнес-процессы. Открытая передача данных расширяет возможности сотрудничества, но экспоненциально увеличивает количество потенциальных точек утечки информации.

Как рассчитывается общий уровень защищенности ИСПДн

Методика ФСТЭК предусматривает комплексную оценку защищённости на основе анализа всех классификационных признаков. Общий уровень определяется по принципу «слабого звена» с учётом долевого распределения критериев.

Алгоритм расчёта:

• Если 70% и более критериев имеют высокий уровень защищённости, а остальные — средний, то общий уровень высокий
• Если 70% и более критериев имеют высокий или средний уровень, а остальные — низкий, то общий уровень средний
• Во всех остальных случаях общий уровень защищённости низкий

Практический пример расчёта: Представим компанию с филиалами в разных городах:

• Территориальное размещение: корпоративная распределённая (средний уровень)
• Выход в интернет: многоточечный (низкий уровень)
• Операции с данными: только чтение и поиск (высокий уровень)
• Разграничение доступа: только определённые сотрудники (средний уровень)
• Обезличивание: при передаче третьим лицам (средний уровень)
• Передача базы: нет передачи (высокий уровень)

Итого: 2 критерия с высоким уровнем (33%), 3 критерия со средним (50%), 1 критерий с низким (17%). Поскольку высокий + средний = 83% > 70%, общий уровень защищённости системы — средний.

Полученный уровень используется для определения актуальных угроз и выбора соответствующих мер защиты согласно требованиям ФСТЭК.

ФСТЭК, актуальные угрозы и требования законодательства

Определение уровня защищённости ИСПДн — это только первый шаг. Следующий этап — оценка актуальных угроз и выбор адекватных мер защиты на основе требований регуляторов.

Методические документы ФСТЭК устанавливают единые подходы к анализу угроз:

• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» — базовый документ для выявления релевантных угроз
• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» — типовой перечень угроз с привязкой к характеристикам ИСПДн

Правовая основа включает Федеральный закон № 152-ФЗ «О персональных данных» и Постановление Правительства № 1119, которое устанавливает четыре уровня защищённости персональных данных и соответствующие им требования к техническим и организационным мерам.

Роль оператора персональных данных заключается в комплексной реализации мер защиты: от проведения анализа угроз до внедрения технических средств защиты информации. Ответственность включает не только соблюдение формальных требований, но и обеспечение реальной безопасности обрабатываемых данных.

Важный момент: оценка угроз — это техническая процедура, которая требует участия IT-специалистов, знакомых с архитектурой конкретной ИСПДн. Формальный подход к анализу угроз может привести к выбору неэффективных мер защиты и созданию ложного ощущения безопасности.

Уровни защищенности персональных данных и аттестация ИСПДн

В 2013 году произошла важная трансформация нормативного регулирования: классы защищённости ИСПДн были упразднены, а им на смену пришли уровни защищённости персональных данных. Это изменение переместило фокус с технических характеристик системы на важность обрабатываемой информации.

Четыре уровня защищённости персональных данных (УЗ):

• УЗ-4 (низший) — общедоступные персональные данные
• УЗ-3 — обычные персональные данные при угрозах нарушения конфиденциальности
• УЗ-2 — специальные категории данных или обычные при комплексных угрозах
• УЗ-1 (высший) — биометрические данные и критически важная информация

Уровень определяется на основе двух факторов: категории персональных данных (обычные, специальные, биометрические) и актуальных угроз безопасности для конкретной ИСПДн.

Аттестация во ФСТЭК обязательна для систем с УЗ-3 и выше. Процедура включает:

• Техническое обследование ИСПДн
• Проверку соответствия мер защиты требованиям приказа ФСТЭК № 21
• Анализ актуальности угроз и адекватности противодействия
• Тестирование эффективности защитных механизмов

По итогам аттестации выдаётся аттестат соответствия, подтверждающий, что ИСПДн обеспечивает требуемый уровень защиты персональных данных.

Практическая рекомендация: не дожидайтесь формальных требований. Понимание уровня защищённости ваших данных поможет выстроить пропорциональную и экономически обоснованную систему защиты.

Как упростить работу с ИСПДн и документами

Управление ИСПДн требует не только технических мер защиты, но и грамотного документооборота. Операторы персональных данных обязаны ведить учёт систем, разрабатывать локальные нормативные акты и своевременно уведомлять Роскомнадзор об изменениях.

Автоматизированные решения значительно упрощают эти процессы. Сервис 152DOC позволяет:

• Автоматически формировать уведомления в Роскомнадзор с учётом специфики собственных и сторонних ИСПДн
• Создавать типовые локальные акты: положения о персональных данных, регламенты обработки, инструкции по обеспечению безопасности
• Вести реестр ИСПДн с указанием их классификационных признаков и уровней защищённости
• Отслеживать сроки обновления документов и продления согласий субъектов данных

Ключевое преимущество подобных платформ — учёт всех нюансов законодательства и практики правоприменения. Система автоматически подставляет корректные формулировки для различных типов ИСПДн и категорий данных, исключая типичные ошибки самостоятельной подготовки документов.

Такой подход особенно важен при работе со сложными инфраструктурами, включающими как собственные, так и сторонние системы. Правильное описание архитектуры обработки данных в документах — залог успешного взаимодействия с регулятором и минимизации рисков.

Заключение

Понимание природы ИСПДн — это не формальная обязанность, а практическая необходимость для любого бизнеса, работающего с персональными данными. Правильная классификация систем определяет объём ваших обязательств перед регулятором, влияет на выбор мер защиты и, в конечном счёте, на размер возможных штрафов.

Мы рассмотрели, как различать собственные и сторонние ИСПДн, по каким критериям оценивается их защищённость и когда требуется аттестация во ФСТЭК. Эти знания помогают строить пропорциональную систему защиты данных — не переплачивать за избыточные меры и не экономить там, где это критично.

Главный вывод: каждая ИСПДн уникальна, и универсальных рецептов защиты не существует. Анализ угроз, выбор мер защиты и подготовка документов должны учитывать специфику именно вашей системы и обрабатываемых данных.

В эпоху цифровизации количество и сложность ИСПДн будет только расти. Сегодняшние инвестиции в понимание требований законодательства и построение культуры защиты данных — это инвестиции в устойчивость бизнеса завтра. Потому что штраф в 75 миллионов рублей — это не абстрактная угроза, а вполне реальная перспектива для тех, кто относится к персональным данным легкомысленно.