Уровни защищенности ИСПДн: определение, выбор и контроль
Table of contents
![Схема определения уровня защищенности ИСПДн — от инвентаризации данных до выбора мер защиты]
Зачем нужны уровни защищенности
Уровни защищенности ИСПДн — это практический инструмент, позволяющий оператору персональных данных определить «сколько и каких» мер защиты нужно внедрить, чтобы исполнить требования 152‑ФЗ и подзаконных актов. Корректно выбранный уровень:
- снижает риск инцидентов и утечек;
- упрощает общение с регуляторами и подрядчиками (единая «рамка» требований);
- помогает планировать бюджет и сроки проекта по защите ПДн.
Если вы только начинаете, рекомендуем обзор: о законе 152‑ФЗ, структура и статьи 152‑ФЗ и ключевая статья 19 — меры по обеспечению безопасности ПДн. Для практики — раздел меры безопасности ПДн.
Нормативная база и терминология
Опора для определения уровня защищенности:
- 152‑ФЗ «О персональных данных» (актуальная редакция — см. текст 152‑ФЗ и изменения 2025).
- Постановление Правительства РФ № 1119 «Требования к защите ПДн при обработке в ИСПДн» — задает подход к определению уровней защищенности (4 уровня) с учетом категорий ПДн, актуальных угроз и иных факторов.
- Методические материалы ФСТЭК России по определению актуальных угроз и выбору мер; а также требования ФСБ России по применению СКЗИ. Подробнее — требования ФСТЭК и ФСБ и криптография (шифрование) и 152‑ФЗ.
Важно понимать: фраза «фз 152 уровни защищенности» относится к уровням именно ИСПДн, а не к «классам» защищенности (классы применяются в иных регуляторных полях). Также иногда встречается ошибочная аббревиатура «испрдн 152 фз»; корректно — ИСПДн.
Что такое ИСПДн и где они встречаются
ИСПДн — любая информационная система, в которой осуществляется обработка персональных данных с применением средств автоматизации. Это не только «база 1С» или веб‑сайт с формой, но и CRM, HELP‑desk, кадровые системы, медицинские регистратуры и т. п. Подробно: ИСПДн: определение и требования.
Примеры ИСПДн:
- корпоративная HR‑система с данными сотрудников (паспорт, СНИЛС, справки);
- интернет‑магазин с аккаунтами покупателей и платежными данными;
- медицинская ИС с диагнозами и результатами обследований;
- система видеонаблюдения с распознаванием лиц (биометрия) — см. видеонаблюдение и 152‑ФЗ.
Как определить уровень защищенности: пошаговый алгоритм
- Инвентаризируйте данные и процессы
- Определите актуальные угрозы
- источники (внутренний/внешний), мотивация, уровень потенциала нарушителя;
- каналы угроз (сеть, веб‑приложение, рабочие станции, облако и т. д.). Подробно — модель угроз ИСПДн.
- Оцените масштаб и значения последствий
- объем ПДн, количество субъектов, география, непрерывность процесса;
- последствия для прав субъектов при компрометации.
- Сопоставьте с уровнями
- на основе категории ПДн и угроз сформируйте предварительный уровень (1–4);
- уточните с учетом применяемых технологий (облака, мобильный доступ, транскордонная передача — см. трансграничная передача ПДн).
- Зафиксируйте в документах
- модель угроз и нарушителя, решение об уровне, перечень мер и СЗИ;
- обновляйте при изменениях архитектуры или процессов.
Сводная таблица уровней защищенности
Ниже — ориентир, помогающий соотнести «уровни защищенности ИСПДн 152 ФЗ» с типовыми ситуациями. Точная классификация выполняется по Постановлению № 1119 и методикам ФСТЭК.
| Уровень |
Когда обычно применяется |
Примеры ИСПДн |
Базовые акценты мер |
| 1 (максимальный) |
Обработка специальных/биометрических ПДн; значимые последствия для прав субъектов; актуальные внешние и внутренние угрозы |
медучреждения, биометрические системы доступа, крупные регистры |
строгая сегментация, сертифицированные СЗИ, СКЗИ, усиленный контроль доступа, мониторинг и реагирование 24/7 |
| 2 |
Спец/био ПДн со средним масштабом; общие ПДн в крупной ИСПДн с подтвержденными угрозами |
крупный e‑commerce, телеком, страхование |
межсетевые экраны, WAF, DLP, СКЗИ по каналам, Журналы ИБ, регулярные ПТ‑тесты |
| 3 |
Общие ПДн; ограниченный масштаб; типовые угрозы |
HR‑система среднего бизнеса, B2B‑портал |
управляемые права доступа, антивирус/EDR, шифрование носителей, резервное копирование, базовая сегментация |
| 4 (минимальный) |
Низкий риск, малый объем; преимущественно общедоступные ПДн |
корпоративный сайт с формой обратной связи |
HTTPS, учет согласий, минимальный набор СЗИ, организационные меры |
Примечание: даже при уровне 4 обязательны правовые и организационные меры, а также технические меры, соразмерные угрозам (например, SSL/HTTPS, защита форм — см. требования к сайту, cookie и баннеры, Яндекс.Метрика).
Примеры по отраслям
- Здравоохранение. Специальные категории ПДн (сведения о здоровье) и критичность процессов почти всегда тянут на 1–2 уровень. Подробнее — здравоохранение и 152‑ФЗ.
- Кадровые службы. Паспортные данные, справки — часто 3 уровень; при внешнем доступе к ИСПДн через Интернет — требуется усиление мер. См. кадры и 152‑ФЗ.
- Банковские и финтех‑сервисы. Как минимум 2 уровень, с обязательным шифрованием каналов и журналированием. См. банки и 152‑ФЗ.
- Гостиницы/сервис бронирований. Документы гостей, платежи — в зависимости от масштаба 2–3 уровень. См. гостиницы и 152‑ФЗ.
Меры защиты по уровням: организационные, технические, криптография
Независимо от уровня набор мер строится по трем направлениям:
- Организационные: политика, регламенты, разграничение ролей, обучение сотрудников. См. политика обработки ПДн, внутренний контроль и обучение, пакет документов 152‑ФЗ.
- Технические: сегментация, контроль доступа, антивирус/EDR, межсетевые экраны, WAF, DLP, SIEM, резервное копирование, защита рабочих станций и серверов. Плюс безопасная разработка и тестирование web‑приложений, особенно для сайтов — см. аудит сайта на 152‑ФЗ и онлайн‑проверка сайта.
- Криптография: СКЗИ для защиты каналов и хранения (где требуется по модели угроз), управление ключами. См. криптография и 152‑ФЗ.
Дополнительно учитывайте инфраструктуру размещения: дата‑центры и облака — см. серверы, хостинг, ЦОД и 152‑ФЗ и облака (Yandex Cloud) и 152‑ФЗ.
Подтверждение соответствия и постоянный контроль
- Аттестация (аттестат соответствия 152‑ФЗ). Для ИСПДн установлен порядок подтверждения выполнения требований по защите ПДн (в т. ч. в форме аттестации) у аккредитованных специалистов/лабораторий. По результатам вы получаете аттестат соответствия, протоколы испытаний и комплект отчетных документов.
- Внутренний аудит и контроль. Периодическая проверка актуальности модели угроз, журналов доступа, событий безопасности, резервных копий, результатов обновлений. См. аудит соответствия 152‑ФЗ.
- Взаимодействие с регуляторами. Подача уведомления в Реестр операторов ПДн и соблюдение требований Роскомнадзора. В случае инцидента — действия по уведомлению Роскомнадзора и план реагирования — см. инциденты и утечки ПДн и действия при нарушении.
- Ответственность. За нарушения — административные штрафы и предписания. Подробнее — ответственность и штрафы и КоАП 13.11.
Типичные ошибки при выборе уровня
- «По умолчанию уровень 4». Неверно: многие веб‑сайты с формами, аналитикой и интеграциями требуют расширенных мер.
- Игнорирование модели угроз. Определить уровень без анализа угроз нельзя; это ключ к выбору СЗИ. См. модель угроз ИСПДн.
- Недоучет облаков и подрядчиков. Удаленный доступ, внешние формы, мессенджеры и трекинг‑сервисы меняют картину угроз. См. мессенджеры и 152‑ФЗ, Яндекс. Формы.
- Отсутствие актуализации. Изменили архитектуру, добавили новые интеграции — пересмотрите уровень и меры.
- Смешение терминов. Классы ГИС ≠ уровни ИСПДн; сослаться на «старые классы ИСПДн» сегодня — ошибка в комплаенсе.
Мини-чек-лист определения уровня
- Соберите реестр процессов и систем, где есть ПДн.
- Разнесите ПДн по категориям (общие, спец, био, публичные).
- Оцените объем и критичность (сколько субъектов, какие последствия).
- Постройте и утвердите модель угроз и нарушителя.
- Выберите уровень, закрепите в документах, согласуйте с безопасностью и юристами.
- Спланируйте и реализуйте меры; при необходимости пройдите аттестацию.
- Проверьте сайт: требования к сайту, HTTPS, cookie‑баннеры, онлайн‑проверка.
- Настройте регулярный внутренний контроль и обучение.
FAQ: частые вопросы
- Сколько уровней защищенности у 152‑ФЗ? Четыре. Определяются по Постановлению № 1119 с учетом категорий ПДн и актуальных угроз. Это и есть «фз 152 уровни защищенности» в практическом смысле.
- «Классы» и «уровни» — это одно и то же? Нет. В ИСПДн корректно говорить «уровни защищенности», а не «классы». Смешение терминов ведет к ошибкам.
- Нужен ли аттестат соответствия 152‑ФЗ всем? Нет. Но для ряда ИСПДн (по модели угроз/уровню) аттестация — лучший способ подтвердить выполнение требований и подготовиться к проверке.
- Сайт с формой обратной связи — это ИСПДн? Да, если вы обрабатываете ПДн с применением средств автоматизации. Проверьте cookies/аналитику: Яндекс.Метрика и 152‑ФЗ.
- Что такое «испрдн 152 фз»? Это распространенная опечатка. Правильно — ИСПДн по 152‑ФЗ.
- Как связаны уровни ИСПДн и GDPR? Подходы сопоставимы по риско‑ориентированности, но юридически это разные режимы. Подробнее — GDPR и 152‑ФЗ.
Вывод и что делать дальше
Определение уровня защищенности — ключевой шаг в проекте по защите персональных данных. От него зависят архитектура ИБ, выбор СЗИ, бюджет и формат подтверждения соответствия. Работайте от практики: инвентаризация — модель угроз — выбор уровня — реализация мер — контроль и аттестация при необходимости.
Нужна помощь? Мы проведем экспресс‑оценку, подготовим документы и поможем с аттестацией. Посмотрите наши услуги: консалтинг и документы «под ключ», обучение и курсы, генератор политики и согласий, услуги в Москве. Для системной работы — начните с чек‑листа 152‑ФЗ и подготовки к проверке.