Что указать в пункте «Средства обеспечения безопасности» при отсутствии СОУТ и СЗИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Даже если у вас нет сертифицированных средств защиты информации (СЗИ) и не проводилась специальная оценка условий труда (СОУТ), вы обязаны указать базовые организационные и технические меры, которые реально применяете.

Роскомнадзор не ждёт от малого бизнеса сложных решений уровня ФСТЭК, но ждёт подтверждения, что данные не лежат «без защиты».

Обоснование по законодательству

• ФЗ-152, ст. 19: оператор обязан принимать правовые, организационные и технические меры по защите ПДн.
• Постановление Правительства РФ № 1119: меры должны быть адекватны уровню угроз и реальным условиям.
• Даже если у компании нет сертифицированных СЗИ, ответственность за организацию защиты всё равно лежит на операторе.

Что можно указать в уведомлении

Примеры формулировок для компаний и ИП без сложной ИБ-инфраструктуры:

• «Ограничение доступа к персональным данным, использование паролей, антивирусное программное обеспечение, регулярное обновление системного и прикладного ПО, резервное копирование данных».
• «Назначен ответственный за организацию обработки ПДн, сотрудники ознакомлены с требованиями ФЗ-152, доступ к данным ограничен паролями и ключами, используются антивирусные программы».
• «Применяются организационные и технические меры: контроль доступа к компьютерам, разграничение прав доступа, хранение бумажных документов в закрытых шкафах».

Важно: не пишите «меры не применяются» или оставлять поле пустым — Роскомнадзор вернёт уведомление.

Пример ситуации

ИП хранит базу клиентов на ноутбуке. В уведомлении он указал: «Используются антивирусные программы, ограничение доступа паролем, резервное копирование, хранение бумажных документов в сейфе». Роскомнадзор принял уведомление без замечаний.

Рекомендации и выводы

• Даже без СЗИ и СОУТ укажите простые меры: пароли, антивирус, резервные копии, ограничение доступа.
• Внутренними приказами закрепите назначение ответственного (чаще всего — руководителя).
• Бумажные данные храните в сейфах или закрытых шкафах.
• Если база в облаке (CRM, хостинг), уточните, что используются меры безопасности провайдера и локализация на территории РФ.

Нет времени разбираться в нюансах?

Заполним уведомление за Вас!

Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.

Оставить заявку