Уровни защищенности ИСПДн: определение, выбор и контроль

Уровни защищенности ИСПДн: определение, выбор и контроль

![Схема определения уровня защищенности ИСПДн — от инвентаризации данных до выбора мер защиты]

Зачем нужны уровни защищенности

Уровни защищенности ИСПДн — это практический инструмент, позволяющий оператору персональных данных определить «сколько и каких» мер защиты нужно внедрить, чтобы исполнить требования 152‑ФЗ и подзаконных актов. Корректно выбранный уровень:

• снижает риск инцидентов и утечек;
• упрощает общение с регуляторами и подрядчиками (единая «рамка» требований);
• помогает планировать бюджет и сроки проекта по защите ПДн.

Если вы только начинаете, рекомендуем обзор: о законе 152‑ФЗ, структура и статьи 152‑ФЗ и ключевая статья 19 — меры по обеспечению безопасности ПДн. Для практики — раздел меры безопасности ПДн.

Нормативная база и терминология

Опора для определения уровня защищенности:

• 152‑ФЗ «О персональных данных» (актуальная редакция — см. текст 152‑ФЗ и изменения 2025).
• Постановление Правительства РФ № 1119 «Требования к защите ПДн при обработке в ИСПДн» — задает подход к определению уровней защищенности (4 уровня) с учетом категорий ПДн, актуальных угроз и иных факторов.
• Методические материалы ФСТЭК России по определению актуальных угроз и выбору мер; а также требования ФСБ России по применению СКЗИ. Подробнее — требования ФСТЭК и ФСБ и криптография (шифрование) и 152‑ФЗ.

Важно понимать: фраза «фз 152 уровни защищенности» относится к уровням именно ИСПДн, а не к «классам» защищенности (классы применяются в иных регуляторных полях). Также иногда встречается ошибочная аббревиатура «испрдн 152 фз»; корректно — ИСПДн.

Что такое ИСПДн и где они встречаются

ИСПДн — любая информационная система, в которой осуществляется обработка персональных данных с применением средств автоматизации. Это не только «база 1С» или веб‑сайт с формой, но и CRM, HELP‑desk, кадровые системы, медицинские регистратуры и т. п. Подробно: ИСПДн: определение и требования.

Примеры ИСПДн:

• корпоративная HR‑система с данными сотрудников (паспорт, СНИЛС, справки);
• интернет‑магазин с аккаунтами покупателей и платежными данными;
• медицинская ИС с диагнозами и результатами обследований;
• система видеонаблюдения с распознаванием лиц (биометрия) — см. видеонаблюдение и 152‑ФЗ.

Как определить уровень защищенности: пошаговый алгоритм

1. Инвентаризируйте данные и процессы

• какие категории ПДн обрабатываются (общие, специальные, биометрические, публичные) — см. специальные категории, биометрические ПДн, обезличивание, общедоступные ПДн;
• роли: оператор, уполномоченные лица, подрядчики — см. поручение обработки, передача третьим лицам.

1. Определите актуальные угрозы

• источники (внутренний/внешний), мотивация, уровень потенциала нарушителя;
• каналы угроз (сеть, веб‑приложение, рабочие станции, облако и т. д.). Подробно — модель угроз ИСПДн.

1. Оцените масштаб и значения последствий

• объем ПДн, количество субъектов, география, непрерывность процесса;
• последствия для прав субъектов при компрометации.

1. Сопоставьте с уровнями

• на основе категории ПДн и угроз сформируйте предварительный уровень (1–4);
• уточните с учетом применяемых технологий (облака, мобильный доступ, транскордонная передача — см. трансграничная передача ПДн).

1. Зафиксируйте в документах

• модель угроз и нарушителя, решение об уровне, перечень мер и СЗИ;
• обновляйте при изменениях архитектуры или процессов.

Сводная таблица уровней защищенности

Ниже — ориентир, помогающий соотнести «уровни защищенности ИСПДн 152 ФЗ» с типовыми ситуациями. Точная классификация выполняется по Постановлению № 1119 и методикам ФСТЭК.

Уровень	Когда обычно применяется	Примеры ИСПДн	Базовые акценты мер
1 (максимальный)	Обработка специальных/биометрических ПДн; значимые последствия для прав субъектов; актуальные внешние и внутренние угрозы	медучреждения, биометрические системы доступа, крупные регистры	строгая сегментация, сертифицированные СЗИ, СКЗИ, усиленный контроль доступа, мониторинг и реагирование 24/7
2	Спец/био ПДн со средним масштабом; общие ПДн в крупной ИСПДн с подтвержденными угрозами	крупный e‑commerce, телеком, страхование	межсетевые экраны, WAF, DLP, СКЗИ по каналам, Журналы ИБ, регулярные ПТ‑тесты
3	Общие ПДн; ограниченный масштаб; типовые угрозы	HR‑система среднего бизнеса, B2B‑портал	управляемые права доступа, антивирус/EDR, шифрование носителей, резервное копирование, базовая сегментация
4 (минимальный)	Низкий риск, малый объем; преимущественно общедоступные ПДн	корпоративный сайт с формой обратной связи	HTTPS, учет согласий, минимальный набор СЗИ, организационные меры

Примечание: даже при уровне 4 обязательны правовые и организационные меры, а также технические меры, соразмерные угрозам (например, SSL/HTTPS, защита форм — см. требования к сайту, cookie и баннеры, Яндекс.Метрика).

Примеры по отраслям

• Здравоохранение. Специальные категории ПДн (сведения о здоровье) и критичность процессов почти всегда тянут на 1–2 уровень. Подробнее — здравоохранение и 152‑ФЗ.
• Кадровые службы. Паспортные данные, справки — часто 3 уровень; при внешнем доступе к ИСПДн через Интернет — требуется усиление мер. См. кадры и 152‑ФЗ.
• Банковские и финтех‑сервисы. Как минимум 2 уровень, с обязательным шифрованием каналов и журналированием. См. банки и 152‑ФЗ.
• Гостиницы/сервис бронирований. Документы гостей, платежи — в зависимости от масштаба 2–3 уровень. См. гостиницы и 152‑ФЗ.

Меры защиты по уровням: организационные, технические, криптография

Независимо от уровня набор мер строится по трем направлениям:

• Организационные: политика, регламенты, разграничение ролей, обучение сотрудников. См. политика обработки ПДн, внутренний контроль и обучение, пакет документов 152‑ФЗ.
• Технические: сегментация, контроль доступа, антивирус/EDR, межсетевые экраны, WAF, DLP, SIEM, резервное копирование, защита рабочих станций и серверов. Плюс безопасная разработка и тестирование web‑приложений, особенно для сайтов — см. аудит сайта на 152‑ФЗ и онлайн‑проверка сайта.
• Криптография: СКЗИ для защиты каналов и хранения (где требуется по модели угроз), управление ключами. См. криптография и 152‑ФЗ.

Дополнительно учитывайте инфраструктуру размещения: дата‑центры и облака — см. серверы, хостинг, ЦОД и 152‑ФЗ и облака (Yandex Cloud) и 152‑ФЗ.

Подтверждение соответствия и постоянный контроль

• Аттестация (аттестат соответствия 152‑ФЗ). Для ИСПДн установлен порядок подтверждения выполнения требований по защите ПДн (в т. ч. в форме аттестации) у аккредитованных специалистов/лабораторий. По результатам вы получаете аттестат соответствия, протоколы испытаний и комплект отчетных документов.
• Внутренний аудит и контроль. Периодическая проверка актуальности модели угроз, журналов доступа, событий безопасности, резервных копий, результатов обновлений. См. аудит соответствия 152‑ФЗ.
• Взаимодействие с регуляторами. Подача уведомления в Реестр операторов ПДн и соблюдение требований Роскомнадзора. В случае инцидента — действия по уведомлению Роскомнадзора и план реагирования — см. инциденты и утечки ПДн и действия при нарушении.
• Ответственность. За нарушения — административные штрафы и предписания. Подробнее — ответственность и штрафы и КоАП 13.11.

Типичные ошибки при выборе уровня

• «По умолчанию уровень 4». Неверно: многие веб‑сайты с формами, аналитикой и интеграциями требуют расширенных мер.
• Игнорирование модели угроз. Определить уровень без анализа угроз нельзя; это ключ к выбору СЗИ. См. модель угроз ИСПДн.
• Недоучет облаков и подрядчиков. Удаленный доступ, внешние формы, мессенджеры и трекинг‑сервисы меняют картину угроз. См. мессенджеры и 152‑ФЗ, Яндекс. Формы.
• Отсутствие актуализации. Изменили архитектуру, добавили новые интеграции — пересмотрите уровень и меры.
• Смешение терминов. Классы ГИС ≠ уровни ИСПДн; сослаться на «старые классы ИСПДн» сегодня — ошибка в комплаенсе.

Мини-чек-лист определения уровня

• Соберите реестр процессов и систем, где есть ПДн.
• Разнесите ПДн по категориям (общие, спец, био, публичные).
• Оцените объем и критичность (сколько субъектов, какие последствия).
• Постройте и утвердите модель угроз и нарушителя.
• Выберите уровень, закрепите в документах, согласуйте с безопасностью и юристами.
• Спланируйте и реализуйте меры; при необходимости пройдите аттестацию.
• Проверьте сайт: требования к сайту, HTTPS, cookie‑баннеры, онлайн‑проверка.
• Настройте регулярный внутренний контроль и обучение.

FAQ: частые вопросы

• Сколько уровней защищенности у 152‑ФЗ? Четыре. Определяются по Постановлению № 1119 с учетом категорий ПДн и актуальных угроз. Это и есть «фз 152 уровни защищенности» в практическом смысле.
• «Классы» и «уровни» — это одно и то же? Нет. В ИСПДн корректно говорить «уровни защищенности», а не «классы». Смешение терминов ведет к ошибкам.
• Нужен ли аттестат соответствия 152‑ФЗ всем? Нет. Но для ряда ИСПДн (по модели угроз/уровню) аттестация — лучший способ подтвердить выполнение требований и подготовиться к проверке.
• Сайт с формой обратной связи — это ИСПДн? Да, если вы обрабатываете ПДн с применением средств автоматизации. Проверьте cookies/аналитику: Яндекс.Метрика и 152‑ФЗ.
• Что такое «испрдн 152 фз»? Это распространенная опечатка. Правильно — ИСПДн по 152‑ФЗ.
• Как связаны уровни ИСПДн и GDPR? Подходы сопоставимы по риско‑ориентированности, но юридически это разные режимы. Подробнее — GDPR и 152‑ФЗ.

Вывод и что делать дальше

Определение уровня защищенности — ключевой шаг в проекте по защите персональных данных. От него зависят архитектура ИБ, выбор СЗИ, бюджет и формат подтверждения соответствия. Работайте от практики: инвентаризация — модель угроз — выбор уровня — реализация мер — контроль и аттестация при необходимости.

Нужна помощь? Мы проведем экспресс‑оценку, подготовим документы и поможем с аттестацией. Посмотрите наши услуги: консалтинг и документы «под ключ», обучение и курсы, генератор политики и согласий, услуги в Москве. Для системной работы — начните с чек‑листа 152‑ФЗ и подготовки к проверке.