Бесплатная проверка
Безопасность

HTTPS на сайте по 152-ФЗ: обязателен ли и какой сертификат выбрать

HTTPS на сайте по 152-ФЗ: обязателен ли и какой сертификат выбрать. Что обязательно по 152-ФЗ в 2026 году, актуальные штрафы по ст. 13.11 КоАП и практические рекомендации владельцу сайта.

Технические требования к сайту оператора ПДн прописаны в постановлении Правительства № 1119, приказах ФСТЭК № 21 и ФСБ № 378. Невыполнение – основание для штрафа и предписания Роскомнадзора. Разбираем тему «https на сайте по 152-фз: обязателен ли и какой сертификат выбрать» с практическим взглядом на 2026 год.

Базовые технические меры

Минимальный набор технических мер защиты ПДн:

HTTPS и SSL-сертификат

HTTPS не указан в 152-ФЗ напрямую, но является обязательным элементом адекватной защиты по ст. 19. Любой сертификат с действующей цепочкой валидации подходит – Let's Encrypt, ZeroSSL, российские центры (ТЛС-СЕРТ, ITCOM). Самоподписанные сертификаты не подходят: браузер выдаёт предупреждение, и пользователь не может безопасно отправить форму. Для государственных сайтов и финансовых сервисов рекомендуются сертификаты от российских ЦС (например, Минцифры).

Защита форм и приёма ПДн

Каждая форма со сбором ПДн должна быть защищена:

  • передача данных только по HTTPS (никаких HTTP POST);
  • капча или альтернативная защита от ботов (hCaptcha, Yandex SmartCaptcha);
  • серверная валидация данных (нельзя полагаться только на JavaScript);
  • защита от SQL-инъекций и XSS – параметризованные запросы и экранирование;
  • ограничение длины и формата вводимых данных;
  • при отправке – фиксация IP, времени, факта проставления галочки согласия в логе.

Хранение и резервирование

Базы с ПДн граждан РФ хранятся на серверах в России (ч. 5 ст. 18 152-ФЗ). Резервные копии – тоже. Шифрование баз и резервных копий – рекомендованная мера защиты для УЗ-2 и обязательная для УЗ-1. Журналы доступа и операций с ПДн – минимум 6 месяцев. При выводе данных из эксплуатации – акт об уничтожении с указанием способа (очистка дисков, физическое уничтожение носителей, удаление с подтверждением).

Реакция на инциденты

При обнаружении утечки или попытки несанкционированного доступа – задействуется регламент реагирования: локализация инцидента, оценка объёма пострадавших данных, уведомление Роскомнадзора в течение 24 часов, уведомление пострадавших субъектов, отчёт о расследовании за 72 часа. За неуведомление об утечке в течение 24 часов (ч. 11 ст. 13.11 КоАП) – штраф 1–3 млн ₽ для юрлица. За утечки ПДн (ч. 12–14 ст. 13.11 КоАП) штраф составляет 3–15 млн ₽ в зависимости от объёма пострадавших. Оборотный штраф за повторную утечку (ч. 15 ст. 13.11 КоАП) – от 1% до 3% выручки за прошлый год, минимум 20 млн ₽, максимум 500 млн ₽.

Что делать прямо сейчас

Проверить сайт на нарушения 152-ФЗ можно бесплатно за 30 секунд – без регистрации и оплаты. Сервис help152.ru выполняет 78+ автоматических проверок и показывает общую оценку, количество нарушений по категориям и риск штрафа. Если нужен подробный PDF-отчёт со ссылками на статьи закона и размерами штрафов – доступны три тарифа платного аудита:

  • Визитка / Лендинг – 1 490 ₽ для сайтов-визиток, лендингов, портфолио.
  • Коммерческий – 2 990 ₽ для корпоративных сайтов, сервисов и SaaS, с юридическими и техническими рекомендациями.
  • Бизнес – 4 900 ₽ с расширенными проверками ЗоЗПП, оферты, оплаты и маркировки рекламы.

База правил обновляется при каждом изменении законодательства – аудит учитывает поправки 420-ФЗ, изменения локализации, требования к маркировке рекламы и куки. Сравнить тарифы или запустить бесплатную экспресс-проверку.

Проверьте свой сайт прямо сейчас

Бесплатно, без регистрации, результат за 30 секунд.
Более 426 830 сайтов уже проверено.

Начать бесплатную проверку