Интеграция ISO 27001 с требованиями 152-ФЗ «О персональных данных»

Содержание

1. Почему ISO 27001 и 152-ФЗ нужно рассматривать вместе
2. Матрица пересечений: какие требования 152-ФЗ закрывает ISO 27001
3. Что изменилось в 152-ФЗ в 2025 году и как это влияет на СУИБ
4. Модель угроз ИСПДн в рамках системы менеджмента ИБ
5. Пошаговый алгоритм интеграции: от реестра ПДн до единого аудита
6. Какие контроли Annex A обязательны для оператора персональных данных
7. Штрафы за нарушение 152-ФЗ: почему СУИБ снижает риски
8. Чек-лист готовности: 152-ФЗ + ISO 27001

Почему ISO 27001 и 152-ФЗ нужно рассматривать вместе

Российские компании, обрабатывающие персональные данные, обязаны соблюдать Федеральный закон № 152-ФЗ «О персональных данных». Одновременно многие из них внедряют или планируют внедрение СУИБ по ГОСТ Р ИСО/МЭК 27001 — для участия в тендерах, работы с банками или выхода на зарубежные рынки. На практике эти два набора требований пересекаются на 60–70%, но организации часто работают с ними как с двумя изолированными проектами — тратя вдвое больше ресурсов на документацию, аудиты и обучение.

Системный подход предполагает интеграцию: единая модель угроз, единый реестр информационных активов, единая программа обучения сотрудников, единая процедура реагирования на инциденты. Такой подход экономит 30–40% бюджета на комплаенс и позволяет одновременно готовиться к проверке Роскомнадзора, аудиту ФСТЭК и сертификационному аудиту по ISO 27001.

Рассмотрим конкретные примеры экономии. Разработка модели угроз ИСПДн «с нуля» обходится компании среднего размера в 800–1 200 тыс. рублей. Если модель угроз создаётся как расширение оценки рисков СУИБ, стоимость снижается до 300–500 тыс. рублей — экономия более 50%. Аналогичная ситуация с аудитами: проведение отдельного внутреннего аудита по 152-ФЗ и отдельного аудита СУИБ занимает суммарно 10–14 рабочих дней. Единый интегрированный аудит укладывается в 6–8 дней при том же охвате требований.

Ещё один важный аспект — обучение персонала. Вместо двух отдельных программ (курс по 152-ФЗ и курс по ИБ в рамках СУИБ) организация проводит единое обучение, которое покрывает оба направления. Для компании со штатом в 200 человек это экономит 150–250 часов рабочего времени ежегодно, не считая расходов на внешних тренеров.

По нашему опыту, компании, которые изначально строят СУИБ с учётом российского законодательства, тратят на приведение в соответствие 152-ФЗ на 60% меньше времени, чем те, кто делает это параллельно. Ключевая причина — общая инфраструктура: реестр рисков, политики, процедуры и журналы мониторинга работают на оба требования одновременно. В денежном выражении для компании с оборотом 500 млн рублей интегрированный подход экономит от 2 до 4 млн рублей в год на поддержание комплаенса.

---

Матрица пересечений: какие требования 152-ФЗ закрывает ISO 27001

Ниже — сопоставление ключевых требований 152-ФЗ с контролями ISO/IEC 27001:2022 (Annex A). Матрица показывает, где международный стандарт полностью покрывает российские требования, а где необходимы дополнительные меры:

Как видно из таблицы, ISO 27001 полностью закрывает технические и организационные требования 152-ФЗ в части защиты информации. Однако два специфических российских требования нуждаются в дополнительных процедурах: локализация ПДн (первичная база должна находиться на территории РФ) и определение уровня защищённости по постановлению Правительства № 1119. Эти процедуры легко встраиваются в СУИБ как дополнительные документированные процессы.

---

Что изменилось в 152-ФЗ в 2025 году и как это влияет на СУИБ

В 2025 году Федеральный закон № 152-ФЗ претерпел наиболее серьёзные изменения за последние 10 лет. Изменения вступают в силу поэтапно и напрямую затрагивают компании, имеющие или внедряющие СУИБ:

С 1 июня 2025 года:

• Многократное увеличение штрафов за утечки ПДн — до 15 млн рублей за единичный инцидент и до 3% от годовой выручки за повторные нарушения. На практике это означает, что для компании с выручкой 1 млрд рублей повторная утечка может обойтись в 30 млн рублей — сумма, сопоставимая с годовым бюджетом всего ИТ-отдела среднего предприятия
• Введение персональной ответственности для должностных лиц — штрафы для руководителей до 600 тыс. рублей. Это касается не только CISO или DPO, но и генерального директора как лица, ответственного за организацию обработки ПДн. Руководители больше не могут «делегировать» ответственность — они несут её лично
• Расширение полномочий Роскомнадзора по проведению внеплановых проверок. Теперь проверка может быть инициирована не только по жалобе субъекта ПДн, но и на основании данных мониторинга утечек в открытых источниках. Роскомнадзор активно использует автоматизированные системы обнаружения утечек, что повышает вероятность выявления нарушений

С 1 сентября 2025 года:

• Согласие на обработку ПДн оформляется отдельным документом. Запрещено «вшивать» согласие в пользовательские соглашения, оферты или договоры. Для СУИБ это означает ревизию всех форм согласий и обновление политики обработки ПДн. На практике компаниям необходимо пересмотреть все точки сбора ПДн: формы на сайте, мобильные приложения, бумажные анкеты, CRM-системы — и для каждой создать отдельную форму согласия с конкретным перечнем целей обработки
• Обязательное уведомление Роскомнадзора об утечке в течение 24 часов, а ГосСОПКА — в течение 72 часов. Контроли A.5.24–A.5.28 из Annex A должны быть дополнены конкретными инструкциями с указанием форм уведомлений и контактных данных. Важно: отсчёт 24 часов начинается с момента обнаружения инцидента, а не с момента подтверждения факта утечки. Поэтому критически важно иметь отлаженную процедуру эскалации, где дежурный специалист может инициировать уведомление без ожидания решения руководства
• Расширение перечня операторов — практически любая организация, собирающая данные клиентов через сайт, CRM или мобильное приложение, обязана соблюдать полный набор требований. Даже ИП, использующий онлайн-форму записи на услуги, теперь подпадает под действие закона в полном объёме

Влияние на СУИБ: если в организации уже действует система менеджмента ИБ по ISO 27001, адаптация к новым требованиям 152-ФЗ сводится к обновлению нескольких процедур: ревизии форм согласий, дополнению плана реагирования на инциденты сроками уведомления и актуализации реестра рисков с учётом новых размеров штрафов. Если СУИБ нет — компания вынуждена создавать всю инфраструктуру защиты ПДн с нуля, что требует в 3–5 раз больше ресурсов и занимает от 6 до 12 месяцев.

---

Модель угроз ИСПДн в рамках системы менеджмента ИБ

152-ФЗ и приказ ФСТЭК № 21 обязывают оператора составить модель угроз для информационных систем персональных данных (ИСПДн). В контексте СУИБ эта модель органично встраивается в процесс оценки рисков по разделу 6 ISO 27001. Вместо двух параллельных документов создаётся один — расширенный.

Алгоритм интеграции модели угроз:

1. Инвентаризация: все ИСПДн включаются в реестр информационных активов СУИБ как системы с повышенным уровнем критичности. Для каждой ИСПДн фиксируются: категории обрабатываемых ПДн, объём субъектов, тип обработки (автоматизированная/неавтоматизированная), уровень защищённости по ПП 1119
2. Оценка угроз: используется банк данных угроз ФСТЭК (bdu.fstec.ru) как источник для идентификации. Каждая угроза из банка сопоставляется с категориями рисков ISO 27001. Например, угроза УБИ.001 «Угроза несанкционированного доступа к аутентификационной информации» из банка ФСТЭК напрямую маппится на категорию рисков «Access Control» в ISO 27001 и покрывается контролями A.8.3 (управление доступом) и A.8.5 (аутентификация). Угроза УБИ.067 «Угроза неправомерного ознакомления с защищаемой информацией» соответствует рискам утечки конфиденциальных данных и адресуется контролями A.8.12 (DLP), A.8.11 (маскирование) и A.7.7 (чистый стол и экран)
3. Анализ рисков: единая шкала вероятности и ущерба применяется и к ИБ-рискам по ISO, и к угрозам ПДн по ФСТЭК. Результат — единый реестр рисков. Для практического маппинга рекомендуется следующее соответствие: «актуальная угроза» по ФСТЭК = уровень риска «высокий» или «критический» по ISO; «неактуальная угроза» = уровень «низкий» или «приемлемый». Промежуточные состояния определяются экспертной оценкой с учётом вероятности реализации и масштаба возможного ущерба
4. План обработки: для каждого риска назначаются контроли — как из Annex A ISO 27001, так и из приказов ФСТЭК № 21 и 17. Например, для угрозы перехвата ПДн при передаче по сети назначаются: контроль A.8.24 (шифрование) из ISO 27001 и мера ЗИС.3 (обеспечение защиты информации при передаче) из приказа ФСТЭК № 21 — оба требования закрываются одним техническим решением (например, TLS 1.3 для веб-трафика и IPsec для межсетевых соединений)

Подводный камень: методика ФСТЭК и подход ISO к оценке рисков используют разные шкалы, терминологию и классификацию. ФСТЭК оперирует понятиями «актуальная/неактуальная угроза» с бинарной классификацией на основе потенциала нарушителя и возможностей реализации, а ISO — «уровень риска» с числовой шкалой, рассчитываемой как произведение вероятности и последствий. Кроме того, ФСТЭК классифицирует угрозы по типам нарушителей (внешние/внутренние, с базовым/повышенным/высоким потенциалом), тогда как ISO 27001 группирует риски по категориям активов и сценариям воздействия. Решение: создать единую маппинг-таблицу, которая транслирует одну терминологию в другую. В такой таблице каждой угрозе из банка ФСТЭК ставится в соответствие категория риска ISO, числовая оценка и набор применимых контролей из обоих нормативных источников. Это позволяет одному процессу оценки рисков удовлетворять обоим требованиям.

Для кого эта услуга

О нашей компании

Клиенты

Благодарственные письма

Была ли полезна вам данная статья?

Да Нет

Услуги