В каждой компании есть информационные системы, где хранятся и обрабатываются персональные данные сотрудников, клиентов, пациентов или пользователей сайта. Именно такие системы закон 152‑ФЗ называет ИСПДн. Ниже — простым языком о том, что это такое, какие уровни защищенности бывают, чем «классы» отличаются от уровней и какие требования к безопасности необходимо выполнить.
Информационная система персональных данных (ИСПДн) — это совокупность баз данных и информационных технологий/технических средств, обеспечивающих обработку персональных данных. Формулировка закреплена в определениях закона и смежных подзаконных актах. См. терминологию в ст. 3 152‑ФЗ и обзор закона в разделе О законе 152‑ФЗ.
Запрос «информационная система персональных данных это 152 фз» часто возникает у компаний, которые впервые сталкиваются с регулированием. Коротко: 152‑ФЗ задает правовые рамки обработки ПДн, а детальные требования к защите в ИСПДн раскрывают регуляторы (ФСТЭК и ФСБ).
ИСПДн бывают разными:
Полезно: принципы обработки ПДн — в разделе Принципы и цели обработки. Требования к сайтам — в материале Требования к сайту по 152‑ФЗ.
Исторически применялись «классы ИСПДн» (К1–К4). Сейчас действует подход «уровни защищенности ИСПДн» (1–4), который увязан с типом и объемом ПДн, а также с актуальными угрозами. На практике термин «классы» по‑прежнему встречается в тендерах и документах, но по сути речь идет об уровнях защищенности.
Подробнее см. отдельный материал Уровни защищенности ИСПДн.
Примерная ориентация по уровням (итоговый уровень определяется по методикам ФСТЭК с учетом актуальных угроз):
| Уровень защищенности | Когда встречается | Ключевые акценты защиты |
|---|---|---|
| 1 | Критичные процессы, большие массивы специальных/биометрических ПДн, высокая оценка угроз | Сегментация, изоляция контуров, СЗИ НСД, двухфакторная, СКЗИ, мониторинг событий безопасности |
| 2 | Значимые массивы ПДн, в т.ч. спецкатегории; распределенный доступ | Жесткая политика доступа, управление уязвимостями, шифрование каналов/носителей, расширенный журналинг |
| 3 | Типовые корпоративные ИСПДн (HR, CRM) с общими ПДн | Базовая ИБ‑гигиена, резервирование, контроль носителей, антивирус/EDR, МФА, VPN |
| 4 | Небольшие объёмы ПДн, низкая оценка угроз, локальные решения | Организационные меры и минимальный технологический контур защиты |
Важно: запрос «уровни защищенности испдн 152 фз» относится к требованиям безопасности, а не к самим правовым основаниям обработки. Правовые основания — в 152‑ФЗ; защита — в подзаконных актах и методиках регуляторов.
Ключевые статьи закона:
До начала обработки оператор, как правило, подает уведомление — см. Уведомление в Роскомнадзор. Полный текст закона: 152‑ФЗ — последняя редакция, структура и статьи — здесь.
Чтобы корректно определить уровень защищенности и меры, начните с инвентаризации:
Результат инвентаризации — границы ИСПДн и исходные данные для модели угроз.
Закон требует обеспечить безопасность ПДн, включая:
Организационные меры:
Технические меры (примерный перечень):
Сопоставляйте набор мер с рассчитанным уровнем защищенности и требованиями регуляторов — см. Меры безопасности ПДн и Требования ФСТЭК и ФСБ.
Если в вашей ИСПДн применяются криптографические средства (в т.ч. VPN, защищенная почта, токены), они должны соответствовать требованиям ФСБ/ФСТЭК. Для некоторых сценариев нужны сертифицированные СКЗИ и соблюдение регламентов их эксплуатации. Подробно: Криптография и шифрование и Требования ФСТЭК и ФСБ.
Термин «аттестат соответствия 152 фз» часто используют как обобщение результата проверки ИСПДн на соответствие требованиям по защите ПДн. Фактический формат и необходимость оцениваются по типу ИСПДн, уровню защищенности и отраслевым требованиям (в т.ч. договорным/госзаказу):
Рекомендуем проходить независимую оценку для уровней 1–3, а также при внешних проверках и крупных интеграциях. Подробнее — Аудит соответствия 152‑ФЗ и Проверки Роскомнадзора.
Базовый «пакет 152‑ФЗ» включает:
Собрать всё поможет раздел Пакет документов 152‑ФЗ и наши шаблоны и формы.
Последствия — предписания и штрафы. Подробнее: Ответственность и штрафы. Для сайтов используйте аудит сайта и онлайн‑проверку.
Зафиксировать правовые основания обработки и роли — см. Принципы и цели обработки
Провести инвентаризацию активов и данных, определить границы ИСПДн
Разработать модель угроз и определить уровень защищенности (исpdн 152 фз)
Выбрать и внедрить меры защиты — Меры безопасности ПДн
Настроить криптографию/СКЗИ при необходимости — Криптография и шифрование
Подготовить документы — Пакет документов, Политика
Обучить персонал и запустить внутренний контроль — Внутренний контроль
Подать уведомление (при необходимости) — Уведомление в Роскомнадзор
Провести аудит/оценку соответствия — Аудит соответствия
Для удобства используйте наш чек‑лист и гид по подготовке к проверке.
Информационная система персональных данных — это (152‑ФЗ)? Это любая ИС, где осуществляется обработка ПДн с использованием средств автоматизации. Правовые требования — в 152‑ФЗ, защитные меры — в актах ФСТЭК/ФСБ. Точные определения — ст. 3.
Сколько уровней защищенности ИСПДн 152 фз? Четыре уровня (1–4). Определяются по методикам регуляторов с учетом категорий ПДн, масштабов и актуальных угроз. Подробности — Уровни защищенности ИСПДн.
Нужен ли аттестат соответствия 152‑ФЗ? Зависит от требований вашего заказчика/отрасли и уровня защищенности. Иногда достаточно внутреннего аудита, в иных случаях требуется аттестация по ФСТЭК и заключения по СКЗИ. См. Аудит соответствия.
Сайт — это ИСПДн? Если сайт собирает ПДн через формы, куки или метрики — да, у вас есть ИСПДн. Обязательно проверьте: Требования к сайту, Cookie и баннеры, Яндекс.Метрика и 152‑ФЗ.
Что будет при нарушениях? Предписания, блокировки отдельных процессов, штрафы. Подробнее — Ответственность и штрафы и кейсы в Судебной практике.
ИСПДн — это не только юридические основания, но и выстроенная система защиты. Определите уровень защищенности, внедрите меры, оформите документы и подтвердите соответствие. Нужна помощь с оценкой уровня, моделью угроз, документами или «аттестатом соответствия 152‑ФЗ»? Обратитесь к нашим экспертам: консалтинг и документы под ключ или обучение и курсы. Так вы ускорите соответствие, снизите риски и уверенно пройдете проверки.