Технические требования к сайту оператора ПДн прописаны в постановлении Правительства № 1119, приказах ФСТЭК № 21 и ФСБ № 378. Невыполнение – основание для штрафа и предписания Роскомнадзора. Разбираем тему «безопасные настройки куки (secure, httponly, samesite): как защитить» с практическим взглядом на 2026 год.
Базовые технические меры
Минимальный набор технических мер защиты ПДн:
- HTTPS на всём сайте – обязательно для форм со сбором ПДн;
- безопасные настройки куки – флаги Secure, HttpOnly, SameSite;
- защита от автоматизированных атак – капча на формах, rate limiting, защита админ-панели;
- двухфакторная авторизация для админов;
- регулярные обновления CMS и плагинов;
- резервное копирование баз с шифрованием;
- журналы доступа и логирование действий с ПДн;
- сертифицированные средства защиты информации (СЗИ) для уровня защищённости УЗ-3 и выше.
HTTPS и SSL-сертификат
HTTPS не указан в 152-ФЗ напрямую, но является обязательным элементом адекватной защиты по ст. 19. Любой сертификат с действующей цепочкой валидации подходит – Let's Encrypt, ZeroSSL, российские центры (ТЛС-СЕРТ, ITCOM). Самоподписанные сертификаты не подходят: браузер выдаёт предупреждение, и пользователь не может безопасно отправить форму. Для государственных сайтов и финансовых сервисов рекомендуются сертификаты от российских ЦС (например, Минцифры).
Защита форм и приёма ПДн
Каждая форма со сбором ПДн должна быть защищена:
- передача данных только по HTTPS (никаких HTTP POST);
- капча или альтернативная защита от ботов (hCaptcha, Yandex SmartCaptcha);
- серверная валидация данных (нельзя полагаться только на JavaScript);
- защита от SQL-инъекций и XSS – параметризованные запросы и экранирование;
- ограничение длины и формата вводимых данных;
- при отправке – фиксация IP, времени, факта проставления галочки согласия в логе.
Хранение и резервирование
Базы с ПДн граждан РФ хранятся на серверах в России (ч. 5 ст. 18 152-ФЗ). Резервные копии – тоже. Шифрование баз и резервных копий – рекомендованная мера защиты для УЗ-2 и обязательная для УЗ-1. Журналы доступа и операций с ПДн – минимум 6 месяцев. При выводе данных из эксплуатации – акт об уничтожении с указанием способа (очистка дисков, физическое уничтожение носителей, удаление с подтверждением).
Реакция на инциденты
При обнаружении утечки или попытки несанкционированного доступа – задействуется регламент реагирования: локализация инцидента, оценка объёма пострадавших данных, уведомление Роскомнадзора в течение 24 часов, уведомление пострадавших субъектов, отчёт о расследовании за 72 часа. За неуведомление об утечке в течение 24 часов (ч. 11 ст. 13.11 КоАП) – штраф 1–3 млн ₽ для юрлица. За утечки ПДн (ч. 12–14 ст. 13.11 КоАП) штраф составляет 3–15 млн ₽ в зависимости от объёма пострадавших. Оборотный штраф за повторную утечку (ч. 15 ст. 13.11 КоАП) – от 1% до 3% выручки за прошлый год, минимум 20 млн ₽, максимум 500 млн ₽.
Что делать прямо сейчас
Проверить сайт на нарушения 152-ФЗ можно бесплатно за 30 секунд – без регистрации и оплаты. Сервис help152.ru выполняет 78+ автоматических проверок и показывает общую оценку, количество нарушений по категориям и риск штрафа. Если нужен подробный PDF-отчёт со ссылками на статьи закона и размерами штрафов – доступны три тарифа платного аудита:
- Визитка / Лендинг – 1 490 ₽ для сайтов-визиток, лендингов, портфолио.
- Коммерческий – 2 990 ₽ для корпоративных сайтов, сервисов и SaaS, с юридическими и техническими рекомендациями.
- Бизнес – 4 900 ₽ с расширенными проверками ЗоЗПП, оферты, оплаты и маркировки рекламы.
База правил обновляется при каждом изменении законодательства – аудит учитывает поправки 420-ФЗ, изменения локализации, требования к маркировке рекламы и куки. Сравнить тарифы или запустить бесплатную экспресс-проверку.