О чём Приказ ФСТЭК России №21
Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — ключевой нормативный акт, определяющий конкретные меры защиты персональных данных в ИСПДн.
Место Приказа 21 в правовой цепочке
Приказ ФСТЭК 21 не существует в вакууме. Он является третьим звеном в нормативной цепочке, которая выстраивает систему защиты персональных данных в России:
- Федеральный закон №152-ФЗ «О персональных данных» — устанавливает общие требования к обработке ПДн, обязывает оператора обеспечивать безопасность данных и определяет ответственность за нарушения.
- Постановление Правительства РФ №1119 от 01.11.2012 — устанавливает уровни защищённости персональных данных (УЗ-1 — УЗ-4) и требования к каждому из них в зависимости от категории данных, типа актуальных угроз и количества субъектов.
- Приказ ФСТЭК России №21 от 18.02.2013 — определяет конкретный состав организационных и технических мер, которые оператор обязан реализовать для обеспечения каждого уровня защищённости.
Таким образом, логика применения выглядит так: сначала вы определяете, какие данные обрабатываете (152-ФЗ), затем определяете уровень защищённости своей ИСПДн (ПП 1119), и наконец — выбираете и реализуете конкретные меры защиты (Приказ 21).
Для кого обязателен Приказ ФСТЭК 21
Требования Приказа обязательны для всех операторов персональных данных, независимо от формы собственности и организационно-правовой формы:
- коммерческие организации любого размера;
- индивидуальные предприниматели;
- государственные и муниципальные органы;
- некоммерческие организации.
Если вы обрабатываете персональные данные в информационной системе — вы обязаны выполнять требования Приказа 21. Исключений по размеру компании или количеству сотрудников закон не предусматривает.
Структура документа
Приказ ФСТЭК 21 состоит из основного текста и приложения. Основной текст описывает общий порядок выбора и реализации мер. Приложение содержит перечень мер защиты, сгруппированных в 15 групп, с указанием их применимости для каждого уровня защищённости.
15 групп мер защиты
Приказ ФСТЭК 21 систематизирует все меры защиты в 15 функциональных групп. Каждая группа имеет условное обозначение и охватывает определённое направление обеспечения безопасности ПДн.
| № | Группа мер | Обозначение | Описание |
|---|---|---|---|
| 1 | Идентификация и аутентификация субъектов и объектов доступа | ИАФ | Меры по присвоению уникальных идентификаторов пользователям и процессам, проверке подлинности при входе в систему, управлению средствами аутентификации (паролями, токенами, сертификатами) |
| 2 | Управление доступом субъектов к объектам доступа | УПД | Меры по разграничению прав доступа пользователей и процессов к информации и функциям ИСПДн, реализации политик доступа, управлению привилегированными учётными записями |
| 3 | Ограничение программной среды | ОПС | Меры по контролю установки и запуска программного обеспечения, формированию «белых списков» разрешённых программ, предотвращению запуска несанкционированного ПО |
| 4 | Защита машинных носителей информации | ЗНИ | Меры по учёту, маркировке, хранению и уничтожению машинных носителей ПДн, контролю выноса носителей за пределы контролируемой зоны, шифрованию данных на носителях |
| 5 | Регистрация событий безопасности | РСБ | Меры по ведению журналов событий безопасности (логирование), определению состава и сроков хранения регистрируемых событий, защите журналов от несанкционированного доступа и модификации |
| 6 | Антивирусная защита | АВЗ | Меры по обнаружению и нейтрализации вредоносного программного обеспечения, обновлению антивирусных баз, проверке файлов при обмене и загрузке |
| 7 | Обнаружение вторжений | СОВ | Меры по выявлению попыток несанкционированного доступа, сетевых атак и аномальной активности с использованием систем обнаружения и предотвращения вторжений (IDS/IPS) |
| 8 | Контроль (анализ) защищённости | АНЗ | Меры по выявлению уязвимостей в ИСПДн, проведению анализа защищённости, контролю установки обновлений безопасности, тестированию на проникновение |
| 9 | Обеспечение целостности | ОЦЛ | Меры по контролю целостности программного обеспечения, настроек средств защиты, персональных данных и иной защищаемой информации, обнаружению и восстановлению после нарушений целостности |
| 10 | Обеспечение доступности | ОДТ | Меры по резервному копированию ПДн и конфигураций, обеспечению отказоустойчивости, восстановлению работоспособности ИСПДн после сбоев и инцидентов |
| 11 | Защита среды виртуализации | ЗСВ | Меры по защите виртуальной инфраструктуры: идентификация в среде виртуализации, управление доступом к гипервизору, контроль перемещения виртуальных машин, разделение виртуальных ресурсов |
| 12 | Защита технических средств | ЗТС | Меры по физической защите серверов и рабочих станций, контролю доступа в помещения с техническими средствами, защите от утечки по техническим каналам |
| 13 | Защита информационной системы, её средств, систем связи и передачи данных | ЗИС | Меры по защите периметра сети, сегментированию, фильтрации трафика, защите каналов связи, контролю удалённого доступа, защите веб-приложений |
| 14 | Выявление инцидентов и реагирование на них | ИНЦ | Меры по обнаружению инцидентов безопасности, информированию ответственных лиц, анализу причин инцидентов, планированию и осуществлению действий по реагированию |
| 15 | Управление конфигурацией | УКФ | Меры по управлению изменениями в конфигурации ИСПДн и системы защиты, документированию конфигураций, контролю несанкционированных изменений |
Каждая группа содержит от 2 до 20 конкретных мер, обозначаемых кодом группы и порядковым номером (например, ИАФ.1, ИАФ.2, УПД.1 и так далее). В общей сложности Приказ определяет более 100 мер защиты.
Меры защиты по уровням защищённости
Ключевая практическая ценность Приказа ФСТЭК 21 — чёткое распределение мер по уровням защищённости. Для каждого УЗ определён базовый набор мер, который оператор обязан реализовать.
Ниже приведена сводная таблица с распределением мер по группам и уровням защищённости. Знак + означает, что мера входит в базовый набор для данного УЗ, знак - — не входит (но может быть добавлена при адаптации).
Идентификация и аутентификация (ИАФ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ИАФ.1 | Идентификация и аутентификация пользователей | + | + | + | + |
| ИАФ.2 | Идентификация и аутентификация устройств | - | - | + | + |
| ИАФ.3 | Управление идентификаторами | + | + | + | + |
| ИАФ.4 | Управление средствами аутентификации | + | + | + | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификации | + | + | + | + |
| ИАФ.6 | Идентификация и аутентификация пользователей из внешних ИС | - | + | + | + |
Управление доступом (УПД)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| УПД.1 | Управление учётными записями пользователей | + | + | + | + |
| УПД.2 | Реализация необходимых методов управления доступом | + | + | + | + |
| УПД.3 | Управление информационными потоками | - | - | + | + |
| УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + | + |
| УПД.6 | Ограничение неуспешных попыток входа | + | + | + | + |
| УПД.13 | Реализация защищённого удалённого доступа | + | + | + | + |
| УПД.14 | Реализация защищённого беспроводного доступа | + | + | + | + |
| УПД.15 | Управление привилегированными учётными записями | - | - | + | + |
| УПД.16 | Блокирование сеанса доступа | + | + | + | + |
| УПД.17 | Защита беспроводного доступа | + | + | + | + |
Ограничение программной среды (ОПС)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ОПС.1 | Управление запуском компонентов ПО | - | - | + | + |
| ОПС.2 | Управление установкой компонентов ПО | - | - | + | + |
| ОПС.3 | Установка только разрешённого ПО | - | - | - | + |
Защита машинных носителей (ЗНИ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ЗНИ.1 | Учёт машинных носителей | + | + | + | + |
| ЗНИ.2 | Управление доступом к машинным носителям | + | + | + | + |
| ЗНИ.3 | Контроль перемещения машинных носителей за пределы КЗ | - | - | + | + |
| ЗНИ.4 | Исключение возможности несанкционированного ознакомления | - | - | + | + |
| ЗНИ.5 | Контроль использования интерфейсов ввода-вывода | - | - | + | + |
| ЗНИ.8 | Уничтожение (стирание) ПДн на машинных носителях | + | + | + | + |
Регистрация событий безопасности (РСБ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| РСБ.1 | Определение событий безопасности | + | + | + | + |
| РСБ.2 | Определение состава и содержания информации о событиях | + | + | + | + |
| РСБ.3 | Сбор, запись и хранение информации о событиях | + | + | + | + |
| РСБ.4 | Реагирование на сбои при регистрации событий | - | - | + | + |
| РСБ.5 | Мониторинг результатов регистрации событий | - | + | + | + |
| РСБ.6 | Генерирование временных меток | - | - | + | + |
| РСБ.7 | Защита информации о событиях безопасности | + | + | + | + |
Антивирусная защита (АВЗ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| АВЗ.1 | Реализация антивирусной защиты | + | + | + | + |
| АВЗ.2 | Обновление базы данных признаков вредоносных программ | + | + | + | + |
Обнаружение вторжений (СОВ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| СОВ.1 | Обнаружение вторжений | - | + | + | + |
| СОВ.2 | Обновление базы решающих правил | - | + | + | + |
Контроль защищённости (АНЗ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| АНЗ.1 | Выявление, анализ уязвимостей и оперативное устранение | + | + | + | + |
| АНЗ.2 | Контроль установки обновлений ПО | + | + | + | + |
| АНЗ.3 | Контроль работоспособности средств защиты | + | + | + | + |
| АНЗ.4 | Контроль состава технических средств, ПО и средств защиты | - | + | + | + |
| АНЗ.5 | Контроль правил генерации и смены паролей | + | + | + | + |
Обеспечение целостности (ОЦЛ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ОЦЛ.1 | Контроль целостности ПО и средств защиты | - | + | + | + |
| ОЦЛ.3 | Обеспечение возможности восстановления средств защиты | - | - | + | + |
| ОЦЛ.4 | Обнаружение и реагирование на поступление незапрашиваемых электронных сообщений | - | - | + | + |
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации | - | - | - | + |
Обеспечение доступности (ОДТ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ОДТ.4 | Периодическое резервное копирование ПДн | - | + | + | + |
| ОДТ.5 | Обеспечение возможности восстановления ПДн | - | + | + | + |
Защита среды виртуализации (ЗСВ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ЗСВ.1 | Идентификация и аутентификация субъектов и объектов в среде виртуализации | - | + | + | + |
| ЗСВ.2 | Управление доступом субъектов в среде виртуализации | - | + | + | + |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | - | - | + | + |
| ЗСВ.9 | Реализация и управление антивирусной защитой в среде виртуализации | - | + | + | + |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты | - | - | + | + |
Защита технических средств (ЗТС)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ЗТС.1 | Защита информации от утечки по техническим каналам | - | - | - | + |
| ЗТС.2 | Организация контролируемой зоны | - | - | + | + |
| ЗТС.3 | Контроль и управление физическим доступом | + | + | + | + |
| ЗТС.4 | Размещение устройств вывода информации | + | + | + | + |
Защита информационной системы (ЗИС)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ЗИС.1 | Разделение функций по управлению ИС | - | - | + | + |
| ЗИС.2 | Защита периметра (фильтрация, маршрутизация, контроль соединений) | - | - | + | + |
| ЗИС.3 | Обеспечение защиты ПДн от раскрытия при передаче | + | + | + | + |
| ЗИС.5 | Запрет несанкционированной удалённой активации | - | - | + | + |
| ЗИС.11 | Обеспечение подлинности сетевых соединений | - | - | + | + |
| ЗИС.20 | Защита беспроводного доступа | + | + | + | + |
Выявление инцидентов (ИНЦ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ИНЦ.1 | Определение лиц, ответственных за реагирование | - | + | + | + |
| ИНЦ.2 | Обнаружение и идентификация инцидентов | - | + | + | + |
| ИНЦ.3 | Своевременное информирование о инцидентах | - | + | + | + |
| ИНЦ.4 | Анализ инцидентов, определение источников и причин | - | + | + | + |
| ИНЦ.5 | Принятие мер по устранению последствий инцидентов | - | + | + | + |
| ИНЦ.6 | Планирование и принятие мер по предотвращению повторных инцидентов | - | + | + | + |
Управление конфигурацией (УКФ)
| Мера | Содержание | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| УКФ.1 | Определение компонентов ИСПДн и средств защиты, подлежащих управлению конфигурацией | - | + | + | + |
| УКФ.2 | Управление изменениями конфигурации | - | + | + | + |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений | - | + | + | + |
| УКФ.4 | Документирование информации об изменениях | - | + | + | + |
Общая статистика по уровням
| Уровень защищённости | Примерное количество обязательных мер |
|---|---|
| УЗ-4 | ~32 меры |
| УЗ-3 | ~55 мер |
| УЗ-2 | ~76 мер |
| УЗ-1 | ~82 меры |
Как видно из таблицы, разница между УЗ-4 и УЗ-1 весьма существенна: при максимальном уровне защищённости необходимо реализовать в 2,5 раза больше мер, чем при минимальном. Поэтому корректное определение уровня защищённости — критически важный первый шаг.
Как применять Приказ 21 на практике
Реализация требований Приказа ФСТЭК 21 — это не разовое мероприятие, а последовательный процесс из пяти этапов. Рассмотрим каждый из них.
Этап 1. Определение уровня защищённости ПДн
Прежде чем выбирать меры защиты, необходимо определить уровень защищённости вашей ИСПДн в соответствии с Постановлением Правительства РФ №1119. Для этого нужно установить:
- категорию обрабатываемых ПДн: специальные, биометрические, общедоступные, иные;
- тип актуальных угроз: угрозы 1-го типа (НДВ в системном ПО), 2-го типа (НДВ в прикладном ПО), 3-го типа (не связанные с НДВ);
- количество субъектов ПДн: более или менее 100 000 человек;
- чьи данные обрабатываются: сотрудников оператора или иных лиц.
На основании этих параметров определяется один из четырёх уровней защищённости. Результат оформляется Актом определения уровня защищённости. Используйте наш калькулятор уровня защищённости для быстрого определения УЗ.
Этап 2. Определение базового набора мер
После определения УЗ из Приложения к Приказу 21 выбирается базовый набор мер — все меры, отмеченные для соответствующего уровня защищённости. Это минимальный обязательный перечень, от которого отталкивается дальнейшая работа.
Например, для УЗ-3 базовый набор включает около 55 мер из 15 групп. Для УЗ-4 — около 32 мер, преимущественно из групп ИАФ, УПД, ЗНИ, РСБ, АВЗ, АНЗ, ЗТС, ЗИС.
Этап 3. Адаптация базового набора по модели угроз
Базовый набор мер адаптируется с учётом актуальных угроз безопасности, определённых в Модели угроз для конкретной ИСПДн. На этом этапе происходит:
- исключение мер, не связанных с актуальными угрозами (например, меры по защите среды виртуализации можно исключить, если виртуализация не используется);
- добавление мер, необходимых для нейтрализации актуальных угроз, но не вошедших в базовый набор;
- уточнение мер с учётом структурно-функциональных характеристик ИСПДн, применяемых технологий и особенностей функционирования.
Модель угроз — ключевой документ для этого этапа. Без неё адаптация невозможна, а применение только базового набора может оказаться как избыточным, так и недостаточным.
Этап 4. Применение компенсирующих мер
Если какие-либо меры из адаптированного набора невозможно реализовать по техническим или экономическим причинам, оператор вправе заменить их компенсирующими мерами. При этом необходимо:
- обосновать невозможность реализации исходной меры;
- доказать, что компенсирующая мера обеспечивает эквивалентный уровень защищённости;
- документально оформить обоснование замены.
Важно: компенсирующие меры не могут снижать общий уровень защищённости ИСПДн. Это инструмент гибкости, а не способ уклонения от требований.
Этап 5. Документирование
Финальный этап — оформление всех принятых решений в документах. По итогам реализации Приказа 21 у оператора должен быть сформирован комплект организационно-распорядительной документации, подтверждающий выбор, адаптацию и внедрение мер защиты.
Какие документы нужны
Для выполнения требований Приказа ФСТЭК 21 оператору персональных данных необходимо разработать и утвердить комплект документов. Ниже — основные документы, прямо или косвенно требуемые Приказом.
Обязательные документы
-
Модель угроз безопасности ПДн — определяет актуальные угрозы для конкретной ИСПДн. Без модели угроз невозможно корректно адаптировать базовый набор мер. Должна разрабатываться для каждой ИСПДн или для группы однотипных систем.
-
Акт определения уровня защищённости ПДн — фиксирует результат классификации ИСПДн по ПП 1119. Подписывается комиссией, содержит обоснование выбранного уровня.
-
Техническое задание на создание системы защиты ПДн — определяет требования к системе защиты на основе адаптированного набора мер. Описывает объект защиты, требования к мерам, условия эксплуатации.
-
Проектная документация на систему защиты — описывает архитектуру системы защиты, выбранные средства защиты, порядок их настройки и взаимодействия. Для небольших ИСПДн может быть совмещена с техническим заданием.
-
Паспорт ИСПДн — содержит основные характеристики информационной системы: состав обрабатываемых данных, категории субъектов, структура системы, используемые средства защиты.
Организационно-распорядительные документы
- Приказ о назначении ответственного за обеспечение безопасности ПДн;
- Политика обработки и защиты персональных данных;
- Инструкция пользователя ИСПДн;
- Инструкция администратора безопасности ИСПДн;
- План мероприятий по обеспечению безопасности ПДн;
- Порядок реагирования на инциденты безопасности;
- Журнал учёта машинных носителей ПДн;
- Журнал учёта мероприятий по контролю обеспечения безопасности ПДн.
Документы по результатам оценки эффективности
- Акт оценки эффективности реализованных мер защиты;
- Протоколы испытаний средств защиты информации;
- Заключение о соответствии ИСПДн требованиям безопасности.
Подготовка полного комплекта документов вручную — трудоёмкий процесс, требующий специализированных знаний. Конструктор документов по 152-ФЗ автоматизирует создание большинства перечисленных документов: вы отвечаете на вопросы о вашей ИСПДн, а сервис формирует готовые документы с учётом требований Приказа ФСТЭК 21 и других нормативных актов.
Практические рекомендации
Для малого бизнеса
Если вы представитель малого бизнеса и обрабатываете персональные данные клиентов и сотрудников (что, скорее всего, так), начните с определения уровня защищённости. В большинстве случаев для малого бизнеса актуален УЗ-3 или УЗ-4, что означает реализацию 32-55 мер. Многие из этих мер можно закрыть организационными решениями, не требующими дорогостоящего оборудования или ПО.
Для среднего и крупного бизнеса
При наличии нескольких ИСПДн рекомендуется разработать единый комплект организационно-распорядительной документации с учётом максимального УЗ и дополнить его частными документами для отдельных систем. Это сократит объём документации и упростит управление.
Типичные ошибки
- Формальный подход — копирование типовых документов без привязки к реальной инфраструктуре. Проверяющие органы это выявляют.
- Игнорирование модели угроз — реализация базового набора мер без адаптации приводит либо к избыточным затратам, либо к незащищённым направлениям.
- Отсутствие документирования — меры фактически реализованы, но не задокументированы. При проверке это равносильно их отсутствию.
- Разовая реализация — защита ПДн требует непрерывного процесса: мониторинга, обновления, реагирования на инциденты.
Не откладывайте приведение ИСПДн в соответствие с требованиями Приказа ФСТЭК 21. Начните с определения уровня защищённости и создания необходимых документов — это первые и самые важные шаги к выполнению требований закона.
