Требования ФСТЭК и ФСБ к защите ПДн: что учесть оператору

Table of contents

• Зачем оператору разбираться в требованиях ФСТЭК и ФСБ
• Как соотносится ФЗ‑152 и приказы ФСТЭК/ФСБ
• Классификация ИСПДн и уровни защищенности
• Модель угроз: с чего начинается проект защиты
• Требования ФСТЭК: организационные и технические меры
• Требования ФСБ: криптографическая защита ПДн
• Сертификация и аттестация: когда нужны и чем отличаются
• Практический чек‑лист оператора
• Типичные ошибки и ответственность
• Краткий FAQ
• Итоги и следующий шаг

Зачем оператору разбираться в требованиях ФСТЭК и ФСБ

Оператор персональных данных обязан не только получить согласия и вести документы, но и обеспечить безопасность ПДн техническими и организационными средствами. Требования к защите закреплены в ФЗ‑152 и подзаконных актах, а технические детали задают ФСТЭК России и ФСБ России. Если кратко:

• ФСТЭК — про организационные и технические меры (сегментация, контроль доступа, антивирус, журналирование, уязвимости и пр.).
• ФСБ — про криптографию (СКЗИ, шифрование каналов и баз, управление ключами, сертифицированные средства).

От корректного сочетания этих подходов зависит соответствие закону, устойчивость ИСПДн к инцидентам и итоги проверок Роскомнадзора.

Как соотносится ФЗ‑152 и приказы ФСТЭК/ФСБ

Федеральный закон задаёт обязательства оператора (см. обязанности, меры безопасности ПДн, последнюю редакцию закона). Детализация мер делается по подзаконным актам. На практике связку «фз 152 фстэк» понимают как применение приказов ФСТЭК для построения защиты ИСПДн, прежде всего по подходам приказа ФСТЭК № 21 (в тексте часто встречается как «фстэк 21 фз 152»).

ФСБ же регламентирует использование криптографических средств защиты информации (СКЗИ) при обработке и передаче ПДн. Поэтому соответствие ФЗ‑152 обычно требует одновременного учета обоих блоков требований.

Нюанс: закон говорит о «необходимых и достаточных» мерах с учётом актуальных угроз. Это означает, что набор мер индивидуален и опирается на уровень защищённости ИСПДн и модель угроз.

Классификация ИСПДн и уровни защищенности

Перед проектированием защиты определяют уровень защищенности ИСПДн (1–4). Он зависит от:

• категории ПДн (общие, специальные, биометрические);
• количества субъектов и возможного ущерба;
• актуальных угроз (наличие/отсутствие несанкционированного удаленного доступа и др.).

Подробнее см. уровни защищенности ИСПДн и что такое ИСПДн.

Чем выше уровень, тем шире состав мер ФСТЭК и жёстче требования к использованию сертифицированных СКЗИ по линии ФСБ (шифрование каналов, защита межсетевого периметра, изоляция сегментов, усиленное журналирование и пр.).

Модель угроз: с чего начинается проект защиты

Модель угроз — основной документ, который связывает бизнес-процессы с реальными рисками, определяет нарушителя, площадки размещения, потоки данных и точки контроля. На её основе формируется список мер: организационных, программно‑технических и криптографических. Рекомендуем начать с шаблонов и практики на странице модель угроз ИСПДн.

Краткие шаги:

1. Инвентаризация активов и ПДн (системы, каналы, подрядчики).
2. Описание архитектуры ИСПДн (сетевые сегменты, периметр, удаленный доступ).
3. Идентификация угроз и оценка рисков.
4. Назначение мер ФСТЭК/ФСБ под конкретные угрозы.
5. План внедрения и контроль эффективности.

Требования ФСТЭК: организационные и технические меры

ФСТЭК устанавливает состав и содержание мер защиты для ИСПДн, включая организационные регламенты и технические средства. На уровне практики это выглядит так:

• Политики и регламенты: положение ИБ, политика обработки ПДн, порядок доступа, резервного копирования, управления инцидентами, СКЗИ и носителями. См. пакет документов по 152‑ФЗ и политика обработки ПДн.
• Идентификация и аутентификация: учетные записи, ролевая модель, MFA для админов и удаленного доступа.
• Управление доступом: принцип минимальных привилегий, матрица прав, регулярные ревизии.
• Защита периметра: МЭ, IDS/IPS, сегментация сети, VPN‑шлюзы, DMZ для веб‑ресурсов.
• Антивирус/EDR, контроль целостности, управление обновлениями (в т.ч. для ОС и СУБД).
• Журналирование и мониторинг: централизованные логи, корреляция событий, хранение логов согласно уровню.
• Резервное копирование и восстановление: offline/immutable‑копии, тестирование восстановления.
• Безопасная разработка и эксплуатация: тесты уязвимостей, code review, DevSecOps практики.
• Управление подрядчиками и облаками (SLA, ответственность, сертификация площадок). См. серверы и ЦОД, облака и Yandex Cloud.

Сводная памятка:

Орган	За что отвечает	Что требует в ИСПДн
ФСТЭК	Организационные и технические меры, не криптография	Политики и регламенты, контроль доступа, сегментация, антивирус/EDR, журналирование, управление уязвимостями, резервное копирование
ФСБ	Криптографическая защита (СКЗИ)	Шифрование каналов/хранения, управление ключами, сертифицированные криптосредства, режимы использования

Подробнее о практических мерах см. раздел меры безопасности ПДн.

Требования ФСБ: криптографическая защита ПДн

ФСБ определяет, какие СКЗИ допустимо применять для защиты персональных данных, и как правильно их эксплуатировать. Ключевые моменты:

• Используйте сертифицированные СКЗИ для шифрования каналов (VPN, TLS‑шлюзы), электронных документов, резервных копий и баз ПДн, если это предусмотрено моделью угроз.
• Обеспечьте корректное управление ключами: генерация, распределение, хранение, ротация, отзыв.
• Для публичных веб‑ресурсов обеспечьте HTTPS с валидным сертификатом и современными шифросuites (см. SSL/HTTPS и 152‑ФЗ).
• Оформите эксплуатационные документы на СКЗИ и обучите персонал.

Раздел с пояснениями и примерами: криптография и шифрование по 152‑ФЗ.

Сертификация и аттестация: когда нужны и чем отличаются

Термины часто путают, разберёмся:

• Сертификация средств защиты — это про сами продукты (антивирусы, МЭ, СКЗИ), которые проходят сертификацию в ФСТЭК или ФСБ. Вы как оператор выбираете и применяете сертифицированные средства.
• «Сертификация по 152 фз» — распространённый оборот, которым нередко называют проверку соответствия ИСПДн требованиям. Корректнее — «аттестация ИСПДн» или «оценка соответствия».
• Аттестация ИСПДн проводится аккредитованной организацией и по итогам выдается «аттестат соответствия» (часто говорят «аттестат фз 152»). Он фиксирует, что система на момент проверки удовлетворяет требованиям (уровню защищенности, модели угроз, перечню мер ФСТЭК/ФСБ).

Когда это обязательно:

• Для ИСПДн с высоким уровнем защищенности (1–2) аттестация — стандартная практика.
• Если этого требует клиент/заказчик, регулятор или договор.
• При включении в контуры, где предусмотрены сертифицированные решения и формальная оценка соответствия.

Как подготовиться: провести аудит соответствия 152‑ФЗ, собрать пакет документов, устранить несоответствия, провести испытания и оформить аттестат.

Практический чек‑лист оператора

• Определите статус оператора и зарегистрируйтесь в реестре операторов ПДн (при необходимости — подайте уведомление в Роскомнадзор).
• Опишите процессы обработки: цели, категории ПДн, правовые основания (см. обязанности оператора).
• Классифицируйте ИСПДн и установите уровень защищенности (см. уровни защищенности).
• Разработайте модель угроз и план мер.
• Подготовьте комплект локальных актов и технических регламентов (см. пакет документов).
• Реализуйте меры ФСТЭК: сегментация, МЭ/IDS/IPS, EDR, патчи, резервное копирование, логи.
• Реализуйте меры ФСБ: СКЗИ для каналов/баз, управление ключами, SSL/HTTPS.
• Проверьте подрядчиков, площадки и облака (см. серверы и ЦОД, облака).
• Обучите персонал, организуйте внутренний контроль и тесты (см. внутренний контроль и обучение).
• При необходимости пройдите аттестацию и получите аттестат.

Чтобы не пропустить нюансы по сайту, используйте требования к сайту по 152‑ФЗ и бесплатную онлайн‑проверку сайта.

Типичные ошибки и ответственность

• Игнорирование формальной классификации ИСПДн и «типовой» набор мер без модели угроз.
• Применение несертифицированных СКЗИ там, где требуется сертификация ФСБ.
• Отсутствие журналирования и доказательств контроля: невозможно подтвердить соблюдение мер.
• Незакрытые уязвимости и устаревшие версии ПО в критичных узлах.
• Неоформленные отношения с подрядчиками по порученной обработке, особенно при трансграничной передаче.
• Несоответствие сайта: нет политики, некорректные формы согласия, отсутсвует HTTPS.

За нарушения предусмотрены штрафы и иные последствия. Детали — в разделе ответственность и штрафы по 152‑ФЗ.

Краткий FAQ

• Нужно ли всегда шифровать базу ПДн?
  Не всегда. Решение принимается по модели угроз и уровню защищенности. Но шифрование «на диске» и шифрование каналов передачи — распространенная и рекомендуемая мера.

• Можно ли обойтись без ФСТЭК и выполнить только «юридические» требования?
  Нет. Технические меры обязательны. Связка организационных и технических мер — суть соответствия ФЗ‑152.

• Что значит «сертификация по 152 фз»?
  Корректнее говорить об аттестации ИСПДн и использовании сертифицированных средств (ФСТЭК/ФСБ). По итогам выдается «аттестат фз 152» — аттестат соответствия.

• Достаточно ли только TLS на сайте?
  Для сайта — это must‑have, но помимо TLS нужны корректные формы, политика, уведомления и договоренности с подрядчиками. Смотрите требования к сайту и SSL/HTTPS.

Итоги и следующий шаг

Комплаенс по 152‑ФЗ — это не только документы, но и инженерный проект: уровни защищенности, модель угроз, меры ФСТЭК и СКЗИ по линии ФСБ. Начните с инвентаризации и классификации, оформите модель угроз, внедрите необходимые меры, затем подтвердите соответствие (аудит/аттестация). Если нужен практический план под вашу ИСПДн, запросите консультацию и шаблоны документов:

• Консалтинг и документы под ключ
• Аудит соответствия 152‑ФЗ
• Обучение и курсы для команды

Сделайте первый шаг сегодня: приведите защиту ПДн к требованиям ФСТЭК и ФСБ — это снизит риски инцидентов и защитит бизнес при проверках.