ИС ПДн: определение, классы и требования по 152‑ФЗ

ИС ПДн: определение, классы и требования по 152‑ФЗ

В каждой компании есть информационные системы, где хранятся и обрабатываются персональные данные сотрудников, клиентов, пациентов или пользователей сайта. Именно такие системы закон 152‑ФЗ называет ИСПДн. Ниже — простым языком о том, что это такое, какие уровни защищенности бывают, чем «классы» отличаются от уровней и какие требования к безопасности необходимо выполнить.

Что такое ИСПДн по 152‑ФЗ

Информационная система персональных данных (ИСПДн) — это совокупность баз данных и информационных технологий/технических средств, обеспечивающих обработку персональных данных. Формулировка закреплена в определениях закона и смежных подзаконных актах. См. терминологию в ст. 3 152‑ФЗ и обзор закона в разделе О законе 152‑ФЗ.

Запрос «информационная система персональных данных это 152 фз» часто возникает у компаний, которые впервые сталкиваются с регулированием. Коротко: 152‑ФЗ задает правовые рамки обработки ПДн, а детальные требования к защите в ИСПДн раскрывают регуляторы (ФСТЭК и ФСБ).

ИСПДн бывают разными:

• HR‑система и кадровые архивы
• CRM/Service Desk с данными клиентов
• Медицинские информационные системы
• Сайт с формами обратной связи, интернет‑магазин, мобильное приложение
• Видеонаблюдение с распознаванием лиц (биометрия)

Полезно: принципы обработки ПДн — в разделе Принципы и цели обработки. Требования к сайтам — в материале Требования к сайту по 152‑ФЗ.

Классы ИСПДн и уровни защищенности: в чем разница

Исторически применялись «классы ИСПДн» (К1–К4). Сейчас действует подход «уровни защищенности ИСПДн» (1–4), который увязан с типом и объемом ПДн, а также с актуальными угрозами. На практике термин «классы» по‑прежнему встречается в тендерах и документах, но по сути речь идет об уровнях защищенности.

Подробнее см. отдельный материал Уровни защищенности ИСПДн.

Примерная ориентация по уровням (итоговый уровень определяется по методикам ФСТЭК с учетом актуальных угроз):

Уровень защищенности	Когда встречается	Ключевые акценты защиты
1	Критичные процессы, большие массивы специальных/биометрических ПДн, высокая оценка угроз	Сегментация, изоляция контуров, СЗИ НСД, двухфакторная, СКЗИ, мониторинг событий безопасности
2	Значимые массивы ПДн, в т.ч. спецкатегории; распределенный доступ	Жесткая политика доступа, управление уязвимостями, шифрование каналов/носителей, расширенный журналинг
3	Типовые корпоративные ИСПДн (HR, CRM) с общими ПДн	Базовая ИБ‑гигиена, резервирование, контроль носителей, антивирус/EDR, МФА, VPN
4	Небольшие объёмы ПДн, низкая оценка угроз, локальные решения	Организационные меры и минимальный технологический контур защиты

Важно: запрос «уровни защищенности испдн 152 фз» относится к требованиям безопасности, а не к самим правовым основаниям обработки. Правовые основания — в 152‑ФЗ; защита — в подзаконных актах и методиках регуляторов.

Правовые основы и обязанности оператора

Ключевые статьи закона:

• Обязанности оператора — ст. 18.1 и подробный разбор в разделе Обязанности оператора
• Безопасность ПДн — ст. 19 и Меры безопасности ПДн
• Права субъектов — раздел

До начала обработки оператор, как правило, подает уведомление — см. Уведомление в Роскомнадзор. Полный текст закона: 152‑ФЗ — последняя редакция, структура и статьи — здесь.

Границы ИСПДн: что входит и как инвентаризировать

Чтобы корректно определить уровень защищенности и меры, начните с инвентаризации:

• Перечень ПДн и их категорий (общие, специальные, биометрические, медицинские, данные детей — дети и ПДн)
• Бизнес‑процессы: кто и зачем обрабатывает
• ИТ‑ландшафт: базы данных, приложения, облака, каналы связи, интеграции
• Пользователи и роли (оператор/порученные лица/третьи лица) — см. Поручение обработки ПДн и Передача третьим лицам
• Веб‑формы и куки — см. Формы на сайте и согласие, Cookie и баннеры по 152‑ФЗ, SSL/HTTPS

Результат инвентаризации — границы ИСПДн и исходные данные для модели угроз.

Требования к защите: организационные и технические меры

Закон требует обеспечить безопасность ПДн, включая:

• предотвращение несанкционированного доступа
• своевременное обнаружение инцидентов
• минимизацию последствий и восстановление

Организационные меры:

• политика и регламенты, разграничение ролей, NDA
• обучение и тестирование персонала — внутренний контроль и обучение
• порядок доступа, учёт носителей, порядок уничтожения — см. Сроки хранения и Уничтожение и блокировка

Технические меры (примерный перечень):

• идентификация и аутентификация, МФА
• управление уязвимостями и обновлениями
• резервное копирование, отказоустойчивость
• сетевой периметр, межсетевые экраны, VPN
• защита от НСД, антивирус/EDR, контроль устройств
• шифрование в каналах и на носителях
• журналирование и мониторинг событий

Сопоставляйте набор мер с рассчитанным уровнем защищенности и требованиями регуляторов — см. Меры безопасности ПДн и Требования ФСТЭК и ФСБ.

Криптография и требования ФСТЭК/ФСБ

Если в вашей ИСПДн применяются криптографические средства (в т.ч. VPN, защищенная почта, токены), они должны соответствовать требованиям ФСБ/ФСТЭК. Для некоторых сценариев нужны сертифицированные СКЗИ и соблюдение регламентов их эксплуатации. Подробно: Криптография и шифрование и Требования ФСТЭК и ФСБ.

Аттестат соответствия 152‑ФЗ и оценка соответствия

Термин «аттестат соответствия 152 фз» часто используют как обобщение результата проверки ИСПДн на соответствие требованиям по защите ПДн. Фактический формат и необходимость оцениваются по типу ИСПДн, уровню защищенности и отраслевым требованиям (в т.ч. договорным/госзаказу):

• внутренний аудит и акт проверки
• аттестация/оценка соответствия требованиям ФСТЭК
• заключение о соответствии при использовании СКЗИ

Рекомендуем проходить независимую оценку для уровней 1–3, а также при внешних проверках и крупных интеграциях. Подробнее — Аудит соответствия 152‑ФЗ и Проверки Роскомнадзора.

Документы для ИСПДн: что нужно подготовить

Базовый «пакет 152‑ФЗ» включает:

• Политика обработки ПДн — шаблоны и требования
• Реестр процессов и оснований обработки; порядок взаимодействия с субъектами — Права субъектов ПДн
• Согласия: на обработку и на распространение
• Договоры и поручения с контрагентами‑операторами/процессорами — Поручение обработки ПДн
• Положение о защите ПДн, модель угроз, план мер — Модель угроз ИСПДн
• Порядок хранения/уничтожения — Сроки хранения ПДн
• Журналы доступа/инцидентов, программа обучения — Внутренний контроль и обучение

Собрать всё поможет раздел Пакет документов 152‑ФЗ и наши шаблоны и формы.

Типовые ошибки и риски

• Неопределенные границы ИСПДн: «забытые» интеграции, облака, мобильные устройства
• Занижение уровня защищенности и, как следствие, недостаточные меры
• Неучтенные веб‑формы и cookie‑трекеры
• Отсутствие журналирования, резервного копирования и проверки восстановления
• Необученный персонал и «теневая» ИТ‑практика

Последствия — предписания и штрафы. Подробнее: Ответственность и штрафы. Для сайтов используйте аудит сайта и онлайн‑проверку.

Пошаговый план внедрения

1. Зафиксировать правовые основания обработки и роли — см. Принципы и цели обработки

2. Провести инвентаризацию активов и данных, определить границы ИСПДн

3. Разработать модель угроз и определить уровень защищенности (исpdн 152 фз)

4. Выбрать и внедрить меры защиты — Меры безопасности ПДн

5. Настроить криптографию/СКЗИ при необходимости — Криптография и шифрование

6. Подготовить документы — Пакет документов, Политика

7. Обучить персонал и запустить внутренний контроль — Внутренний контроль

8. Подать уведомление (при необходимости) — Уведомление в Роскомнадзор

9. Провести аудит/оценку соответствия — Аудит соответствия

Для удобства используйте наш чек‑лист и гид по подготовке к проверке.

FAQ

• Информационная система персональных данных — это (152‑ФЗ)? Это любая ИС, где осуществляется обработка ПДн с использованием средств автоматизации. Правовые требования — в 152‑ФЗ, защитные меры — в актах ФСТЭК/ФСБ. Точные определения — ст. 3.

• Сколько уровней защищенности ИСПДн 152 фз? Четыре уровня (1–4). Определяются по методикам регуляторов с учетом категорий ПДн, масштабов и актуальных угроз. Подробности — Уровни защищенности ИСПДн.

• Нужен ли аттестат соответствия 152‑ФЗ? Зависит от требований вашего заказчика/отрасли и уровня защищенности. Иногда достаточно внутреннего аудита, в иных случаях требуется аттестация по ФСТЭК и заключения по СКЗИ. См. Аудит соответствия.

• Сайт — это ИСПДн? Если сайт собирает ПДн через формы, куки или метрики — да, у вас есть ИСПДн. Обязательно проверьте: Требования к сайту, Cookie и баннеры, Яндекс.Метрика и 152‑ФЗ.

• Что будет при нарушениях? Предписания, блокировки отдельных процессов, штрафы. Подробнее — Ответственность и штрафы и кейсы в Судебной практике.

Вывод и следующий шаг

ИСПДн — это не только юридические основания, но и выстроенная система защиты. Определите уровень защищенности, внедрите меры, оформите документы и подтвердите соответствие. Нужна помощь с оценкой уровня, моделью угроз, документами или «аттестатом соответствия 152‑ФЗ»? Обратитесь к нашим экспертам: консалтинг и документы под ключ или обучение и курсы. Так вы ускорите соответствие, снизите риски и уверенно пройдете проверки.