Классификация информационных систем персональных данных

Информационная система персональных данных (ИСПДн) — это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Определение закреплено в ст. 3 п. 10 Федерального закона № 152-ФЗ «О персональных данных».

Проще говоря, ИСПДн — любая система, где персональные данные хранятся в структурированной форме и обрабатываются автоматизированно. Это не только специализированные системы, но и большинство повседневных корпоративных инструментов.

Типичные примеры ИСПДн в организации

• Кадровые системы — 1С:ЗУП, SAP HR, Контур.Персонал, БОСС-Кадровик
• CRM-системы — Битрикс24, amoCRM, YCLIENTS, RetailCRM
• Бухгалтерские системы — 1С:Бухгалтерия с данными контрагентов и работников
• Корпоративная почта и мессенджеры — если содержат персональные данные в переписке
• Веб-сайт с формами — обратная связь, регистрация, оформление заказа
• Системы видеонаблюдения — если запись используется для идентификации лиц
• СКУД (системы контроля доступа) — биометрические или карточные пропуска
• LMS и корпоративные порталы — Битрикс24 Порталы, Docsvision, Microsoft 365

Одна организация обычно эксплуатирует от 3 до 15 ИСПДн одновременно. Каждую нужно классифицировать отдельно — у них могут быть разные уровни защищённости и разные требования к защите.

Зачем классифицировать ИСПДн

Классификация — обязательный шаг перед выбором технических мер защиты. Без определённого уровня защищённости нельзя понять, какие средства защиты (СЗИ) применять, какие журналы вести и какие меры из Приказа ФСТЭК № 21 считаются обязательными.

Роскомнадзор при проверке запрашивает акт определения уровня защищённости по каждой ИСПДн. Отсутствие классификации — нарушение ст. 19 152-ФЗ и основание для штрафа по ч. 1 ст. 13.11 КоАП: 150 000 – 300 000 ₽ для юридических лиц.

Классификация ИСПДн регулируется несколькими нормативными актами, которые нужно применять вместе:

Основные НПА

• ст. 19 ФЗ-152 от 27.07.2006 — требование определять уровень защищённости (УЗ)
• ПП РФ № 1119 от 01.11.2012 — критерии определения уровня защищённости ПДн в ИСПДн. Основной документ, по которому проводится классификация
• Приказ ФСТЭК № 21 от 18.02.2013 — состав и содержание мер защиты ПДн для каждого УЗ
• Приказ ФСТЭК № 17 от 11.02.2013 — требования для государственных ИС (ГИС) с ПДн
• Приказ ФСТЭК № 117 от 11.04.2025 — новые требования к защите ГИС (заменяет № 17, вступает в силу 01.03.2026 для новых систем)

Актуальные изменения 2024–2026

С 2024–2025 года санкции за нарушения существенно ужесточены. Хотя сами критерии классификации из ПП-1119 не менялись, последствия неправильной классификации стали намного серьёзнее:

• ФЗ-420 от 30.11.2024 (действует с 30.05.2025) — оборотные штрафы за повторную утечку ПДн: 1-3% годовой выручки, минимум 20-25 млн ₽, максимум 500 млн ₽
• ФЗ-421 от 30.11.2024 (действует с 11.12.2024) — ст. 272.1 УК РФ о незаконной передаче ПДн, до 10 лет лишения свободы при тяжких последствиях
• ФЗ-266 от 14.07.2022 — обязательное уведомление РКН об инцидентах: 24 часа на первичное сообщение, 72 часа на детальное описание

Смягчающие обстоятельства (снижение штрафа в 10 раз) требуют документально подтверждённой системы защиты с корректно определённым уровнем защищённости — без правильной классификации доказать добросовестность невозможно.

ПП-1119 классифицирует ИСПДн по трём независимым параметрам, на пересечении которых определяется уровень защищённости.

Параметр 1: категория обрабатываемых персональных данных

ПП-1119 выделяет четыре категории ПДн, каждая требует своего уровня защиты:

• Специальные категории ПДн (ст. 10 152-ФЗ) — данные о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, судимости. Самый строгий режим — требуется обычно УЗ-2 или выше
• Биометрические ПДн (ст. 11 152-ФЗ) — сведения о физиологических и биологических особенностях, позволяющие идентифицировать человека: отпечатки пальцев, сетчатка глаза, голос, изображение лица. Требуют УЗ-3 минимум, чаще УЗ-2
• Общедоступные ПДн — данные, которые субъект добровольно раскрыл для неограниченного круга лиц (например, данные из открытых баз, публичные контакты, опубликованные с согласия субъекта)
• Иные ПДн — все остальные: ФИО, паспорт, email, телефон, адрес, ИНН, СНИЛС, данные банковской карты. Самая массовая категория для коммерческих организаций

Параметр 2: категория субъектов ПДн

ПП-1119 различает два типа субъектов:

• Сотрудники оператора — работники организации, с которыми заключён трудовой или гражданско-правовой договор. Обработка ПДн сотрудников регулируется главой 14 ТК РФ. Уровень защищённости на одну ступень ниже, чем для сторонних субъектов
• Не сотрудники (сторонние субъекты) — клиенты, контрагенты, посетители сайта, пациенты, ученики, соискатели. Более строгие требования из-за повышенных рисков для прав и свобод

Параметр 3: объём обрабатываемых данных

Критический порог — 100 000 субъектов. Если ИСПДн одновременно обрабатывает данные более 100 000 субъектов — уровень защищённости повышается на ступень.

Например, кадровая система ООО со 150 сотрудниками (малый объём) имеет УЗ-4. Крупная сеть розничной торговли с базой 500 000 клиентов — те же «иные ПДн не сотрудников», но уже УЗ-3.

Параметр 4 (дополнительный): тип актуальных угроз

Помимо трёх основных параметров, ПП-1119 выделяет 3 типа угроз, которые влияют на УЗ:

• Угрозы 1-го типа — связаны с наличием недекларированных возможностей (НДВ) в системном программном обеспечении (операционных системах, СУБД). Актуальны для государственных информационных систем, критической информационной инфраструктуры
• Угрозы 2-го типа — НДВ в прикладном ПО. Чаще встречаются в банках, телекоме, крупных корпорациях
• Угрозы 3-го типа — внешние и внутренние нарушители без использования закладок в ПО. Характерны для 90% коммерческих организаций. Актуальны утечки из-за человеческого фактора, фишинг, социальная инженерия

Тип угроз определяется моделью угроз безопасности ПДн — обязательным документом по ст. 18.1 152-ФЗ. Методика разработки модели — «Методика ФСТЭК от 05.02.2021».

Уровень защищённости определяется на пересечении четырёх параметров. Вот практическая таблица, собранная на основе ПП-1119:

Для угроз 3-го типа (массовый случай)

Подходит для 90% коммерческих организаций — ООО, ИП, интернет-магазинов, клиник, салонов красоты и т.д.

• Иные ПДн, сотрудники, до 100 000 → УЗ-4
• Иные ПДн, сотрудники, более 100 000 → УЗ-4 (объём не повышает для сотрудников)
• Иные ПДн, не сотрудники, до 100 000 → УЗ-4
• Иные ПДн, не сотрудники, более 100 000 → УЗ-3
• Общедоступные ПДн (любые) → УЗ-4
• Биометрические ПДн (любой объём) → УЗ-3
• Специальные категории, сотрудники → УЗ-3
• Специальные категории, не сотрудники, до 100 000 → УЗ-2
• Специальные категории, не сотрудники, более 100 000 → УЗ-2

Для угроз 2-го типа

Применимо, если в модели угроз определены закладки в прикладном ПО (актуально для банков, финтеха, крупных корпораций):

• Иные ПДн, сотрудники, до 100 000 → УЗ-3
• Иные ПДн, не сотрудники, более 100 000 → УЗ-2
• Специальные категории, не сотрудники → УЗ-1

Для угроз 1-го типа

Почти всегда — УЗ-1 (государственные системы, объекты критической информационной инфраструктуры).

Для автоматического определения УЗ вашей ИСПДн — онлайн-калькулятор уровня защищённости. Указывайте параметры честно: завышенный УЗ влечёт лишние расходы на защиту, заниженный — риск штрафа и нарушения безопасности.

Теория понятна лишь на примерах. Вот типовые случаи из практики:

Пример 1. Малое ООО — кадровая система 1С:ЗУП

• Категория ПДн: иные (ФИО, паспорт, СНИЛС, ИНН, зарплата)
• Субъекты: сотрудники (30 человек)
• Объём: менее 100 000
• Угрозы: 3-го типа

Результат: УЗ-4. Обязательные меры — ИАФ (идентификация и аутентификация), УПД (управление доступом), АВЗ (антивирусная защита), ОЦЛ (обеспечение целостности), РСБ (регистрация событий безопасности). Сертифицированное СЗИ не обязательно для большинства подсистем.

Пример 2. Интернет-магазин — CRM с базой клиентов 50 000 человек

• Категория ПДн: иные (ФИО, email, телефон, адрес доставки, история покупок)
• Субъекты: не сотрудники (клиенты)
• Объём: 50 000 (менее 100 000)
• Угрозы: 3-го типа

Результат: УЗ-4.

Пример 3. Тот же магазин, но база выросла до 200 000 клиентов

Параметры те же, только объём: более 100 000.

Результат: УЗ-3. Появляются дополнительные меры: шифрование, двухфакторная аутентификация для администраторов, сертифицированные СЗИ.

Пример 4. Стоматологическая клиника — медицинская информационная система

• Категория ПДн: специальные (данные о здоровье, диагнозы)
• Субъекты: не сотрудники (пациенты)
• Объём: 10 000 пациентов
• Угрозы: 3-го типа

Результат: УЗ-2. Обязательны: сертифицированные СЗИ класса КС1/КС2, криптошифрование, отдельный администратор безопасности, аттестация по 21-му приказу.

Подробнее об отраслевой специфике — «152-ФЗ в медицине».

Пример 5. Банк — система ДБО с биометрией

• Категория ПДн: биометрические + иные
• Субъекты: не сотрудники (клиенты)
• Объём: 1 000 000 клиентов
• Угрозы: 2-го типа (финансовая сфера)

Результат: УЗ-1. Максимальные требования: сертифицированная ОС, СКЗИ класса КС3, аттестация ФСТЭК, отдельное структурное подразделение по защите информации.

Пример 6. Государственная информационная система

Любые ПДн в ГИС автоматически попадают под Приказ ФСТЭК № 17 (или № 117 с 2026). Обычно УЗ-1 или УЗ-2, обязательная аттестация лицензиатом ФСТЭК, использование только российского ПО из реестра Минцифры.

Классификация каждой ИСПДн — формальная процедура, состоящая из 6 шагов:

Шаг 1. Инвентаризация всех ИСПДн

Составьте полный перечень ИСПДн организации. Каждая система, обрабатывающая ПДн, должна быть учтена. На этом этапе вы увидите, сколько систем нужно будет классифицировать — обычно их 5-15.

Шаг 2. Для каждой ИСПДн определить категорию ПДн

Проанализируйте, какие именно данные хранятся. Если есть хотя бы один атрибут специальной категории (например, сведения о здоровье) — категория повышается. Смешанные ИСПДн классифицируются по самой «высокой» категории присутствующих в них данных.

Шаг 3. Определить тип субъектов

Пересечений нет: ИСПДн либо только для сотрудников (например, кадровая), либо для сторонних лиц (CRM), либо смешанная. В смешанной ИСПДн применяется более строгий режим — не сотрудники.

Шаг 4. Оценить объём

Важен максимальный одновременный объём записей, а не общее число за всё время. Если в CRM 100 000 активных клиентов и ещё 300 000 в архиве без обработки — считайте 100 000 (архив можно обезличить или удалить).

Шаг 5. Разработать модель угроз для определения типа актуальных угроз

Для 95% коммерческих организаций тип угроз — 3-й. Для банков, страховых, телекома, которые обрабатывают данные через сложное стороннее ПО — может быть 2-й тип. 1-й тип — только госорганы и КИИ.

Модель угроз строится по методике ФСТЭК от 05.02.2021 с использованием банка данных угроз (БДУ, 227 угроз).

Шаг 6. Определить УЗ по таблице ПП-1119 и оформить акт

По пересечению четырёх параметров определяется УЗ-1, УЗ-2, УЗ-3 или УЗ-4. Результат фиксируется в акте определения уровня защищённости, утверждаемом руководителем организации.

Акт составляется комиссией (ответственный за защиту ПДн + системный администратор + представитель руководства). При существенных изменениях ИСПДн (новые типы данных, рост объёма, новая архитектура) — акт переоформляется.

Результаты классификации каждой ИСПДн оформляются в виде пакета документов:

Обязательные документы

• Акт определения уровня защищённости — ключевой документ. Должен содержать: наименование ИСПДн, категории ПДн, тип субъектов, объём, определённый УЗ, состав комиссии, дату утверждения
• Перечень обрабатываемых ПДн для каждой ИСПДн с указанием состава полей
• Модель угроз безопасности ПДн — результат анализа актуальных угроз по методике ФСТЭК
• Приказ о классификации ИСПДн — утверждает результаты классификации от руководителя

Рекомендуемые дополнительные документы

• Паспорт ИСПДн — детальное описание: архитектура, программно-аппаратные средства, схема сети, состав пользователей, перечень баз данных
• Положение о разграничении доступа — кто и какие права имеет в ИСПДн
• Регламент обновления классификации — порядок пересмотра при изменениях

Все документы составляются в электронной и бумажной форме, хранятся у ответственного за защиту ПДн минимум 5 лет после прекращения эксплуатации ИСПДн.

Типичные ошибки при классификации

1. Неучёт смешанных данных. В CRM хранятся и ФИО клиентов, и данные о болезнях (для медицинского маркетинга) — это уже специальные категории, УЗ повышается
2. Занижение объёма. Считают только активных клиентов, игнорируя архив и бекапы. При проверке РКН учитывается полный объём
3. Игнорирование разрозненных систем. Корпоративная почта с резюме кандидатов, Excel-файлы с базой клиентов, Google Таблицы — всё это ИСПДн, даже если формально не значится в реестре ИТ
4. Одинаковый УЗ для всех ИСПДн. Классификация ставится для каждой системы отдельно. Применение одинакового УЗ ко всем ИСПДн — повод для претензий Роскомнадзора

Определение УЗ — только первый шаг. Дальше начинается построение системы защиты:

1. Выбор мер защиты по Приказу ФСТЭК № 21

Для каждого УЗ определён базовый набор мер защиты. Меры объединены в 9 групп: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), защита носителей (ЗНИ), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), контроль целостности (ОЦЛ), обеспечение доступности.

Для УЗ-4 обязательно около 15 мер. Для УЗ-3 — 25 мер. Для УЗ-2 — 40 мер. Для УЗ-1 — максимальный набор, около 50.

2. Подбор технических средств защиты

Применяются только сертифицированные СЗИ из реестра ФСТЭК и СКЗИ из реестра ФСБ (Приказ ФСБ № 378 от 10.07.2014). Класс криптосредств — КС1 для УЗ-4/3, КС2/КС3 для УЗ-2/1.

3. Разработка организационных документов

Для каждого УЗ требуется базовый набор организационно-распорядительной документации (ОРД). Полный комплект — 20-25 документов для средней организации. Полный перечень документов по 152-ФЗ.

4. Аттестация (для УЗ-1 и ГИС)

Для систем УЗ-1 и государственных ИС — обязательная аттестация лицензиатом ФСТЭК. Для УЗ-2 — по решению оператора. Для УЗ-3/УЗ-4 — не требуется.

5. Поддержание актуальности

Классификация пересматривается при:

• Изменении состава обрабатываемых ПДн (например, добавили биометрию)
• Росте объёма более чем на 25%
• Изменении архитектуры системы
• Появлении новых угроз в модели
• Изменении законодательства

Плановый пересмотр — не реже 1 раза в 3 года.

Если самостоятельная классификация и построение системы защиты кажется сложным — закажите пакет документов по 152-ФЗ под ключ с определением УЗ всех ваших ИСПДн и разработкой моделей угроз.