Кибероснова152-ФЗ

15 регламентов Приказа ФСТЭК № 21: полный перечень документов

22 апреля 2026 г.12 мин чтения

Приказ ФСТЭК России № 21 от 18.02.2013 определяет 15 групп организационных и технических мер по защите персональных данных в ИСПДн. Для каждой группы оператор должен иметь отдельный регламент — это стандарт практики, ожидаемый при проверках ФСТЭК и Роскомнадзора. Ниже — полный перечень 15 регламентов с готовыми образцами и указанием, для каких УЗ они обязательны.

Зачем делать регламент на каждую группу мер

Формально 152-ФЗ и Приказ № 21 не требуют «отдельный регламент на каждую группу». Достаточно общего документа, где описаны все применяемые меры. Но на практике это неудобно ни оператору, ни проверяющему.

  • Один общий документ разрастается до 80+ страниц — сложно поддерживать при изменении ИСПДн.
  • ФСТЭК при проверке запрашивает конкретику — «покажите порядок регистрации событий безопасности». Если документ общий — инспектор листает его в поиске нужного раздела.
  • Разные меры внедряют разные ответственные — парольной политикой занимается администратор ИБ, анализом защищённости — отдел аудита. Отдельные регламенты проще распределить.

Практика рынка: АльфаДок, 152DOC, b-152 и Кибероснова Документы генерируют 15 отдельных DOCX-файлов — по одному на группу мер. Это стало негласным стандартом за последние 5 лет.

Полный перечень 15 регламентов ФСТЭК 21

Каждая группа мер имеет аббревиатуру (ИАФ, УПД и т.д.) — это обозначение из Приложения к Приказу. Количество мер в группе и применимость к УЗ определяет Таблица Приложения к Приказу № 21: для каждой ячейки «мера × УЗ» стоит «+» (обязательна) или пропуск.

1. ИАФ — Идентификация и аутентификация субъектов и объектов доступа (8 мер)

Самая базовая группа — применима ко всем УЗ. Устанавливает требования к идентификации пользователей, управлению учётными записями, защите средств аутентификации. Типовой документ — Инструкция по организации парольной защиты или отдельный регламент ИАФ.

Ключевые меры: идентификация и аутентификация пользователей-работников (УЗ-1…УЗ-4), идентификация устройств (УЗ-1/УЗ-2), ограничение числа неуспешных попыток входа (УЗ-1), защита обратной связи при вводе (все УЗ).

2. УПД — Управление доступом субъектов к объектам доступа (14 мер)

Разграничение прав пользователей: ролевая модель, блокировка неиспользуемых учёток, удалённый доступ. Документ — Регламент управления доступом.

Ключевые меры: управление учётными записями (все УЗ), реализация необходимых методов разграничения доступа (все УЗ), разделение полномочий пользователей (все УЗ), назначение минимальных прав (все УЗ).

3. ОПС — Ограничение программной среды (3 меры)

Контроль запуска ПО: белые списки, запрет загрузки неавторизованных компонентов. Применяется для УЗ-2 и УЗ-1. Документ — Регламент ограничения программной среды.

Ключевые меры: управление запуском компонентов ПО, контроль состава разрешённых компонентов.

4. ЗНИ — Защита машинных носителей персональных данных (8 мер)

Учёт USB, HDD, оптических носителей; уничтожение носителей. Связана с Регламентом уничтожения ПДн и журналом учёта машинных носителей.

Ключевые меры: учёт машинных носителей (все УЗ), управление доступом к машинным носителям (все УЗ), контроль перемещения (УЗ-2/УЗ-1), уничтожение или обезличивание (все УЗ).

5. РСБ — Регистрация событий безопасности (7 мер)

Журналирование событий, защита журналов от модификации, мониторинг действий. Документ — Регламент регистрации событий безопасности. Группа с самым высоким поисковым спросом — реальный запрос на SIEM и журналирование.

Ключевые меры: определение событий безопасности для регистрации (все УЗ), сбор, запись и хранение информации о событиях (все УЗ), защита журналов (УЗ-2/УЗ-1).

6. АВЗ — Антивирусная защита (2 меры)

Базовая группа, применима ко всем УЗ. Типовой документ — Инструкция по организации антивирусной защиты.

Ключевые меры: реализация антивирусной защиты (все УЗ), обновление базы данных вредоносных программ (все УЗ).

7. СОВ — Обнаружение вторжений (2 меры)

IDS/IPS-системы. Применяется для УЗ-2 и УЗ-1. Документ — Регламент обнаружения вторжений.

Ключевые меры: обнаружение вторжений на уровне сети (УЗ-2/УЗ-1), обновление базы решающих правил (УЗ-2/УЗ-1).

8. АНЗ — Анализ защищённости (5 мер)

Сканирование уязвимостей, контроль обновлений ПО. Документ — Регламент анализа защищённости.

Ключевые меры: выявление уязвимостей в ИСПДн (УЗ-3…УЗ-1), контроль установки обновлений ПО (УЗ-3…УЗ-1), контроль работоспособности СЗИ (все УЗ), контроль состава ТС и ПО (УЗ-3…УЗ-1).

9. ОЦЛ — Обеспечение целостности ИС и ПДн (8 мер)

Контроль целостности ПО и данных, реагирование на факты нарушения целостности. Документ — Регламент обеспечения целостности.

Ключевые меры: контроль целостности ПО (УЗ-3…УЗ-1), контроль целостности ПДн (УЗ-1), обнаружение и реагирование на нарушения целостности (УЗ-3…УЗ-1).

10. ОДТ — Обеспечение доступности ПДн (5 мер)

Резервное копирование, отказоустойчивость. Типовой документ — Регламент резервного копирования.

Ключевые меры: использование отказоустойчивых ТС (УЗ-2/УЗ-1), резервирование ТС, ПО, каналов (УЗ-1), периодическое резервное копирование ПДн (УЗ-2/УЗ-1).

11. ЗСВ — Защита среды виртуализации (10 мер)

Применяется, если ИСПДн развёрнута в виртуальной среде (гипервизоры, ВМ). Документ — Регламент защиты среды виртуализации.

Ключевые меры: идентификация в среде виртуализации, управление доступом к ВМ, регистрация событий гипервизора, резервное копирование ВМ (УЗ-2/УЗ-1).

12. ЗТС — Защита технических средств (4 меры)

Физическая защита оборудования, помещений, каналов связи. Документ — Регламент защиты технических средств.

Ключевые меры: защита от угроз физической безопасности (УЗ-2/УЗ-1), контроль доступа в помещения ИСПДн (все УЗ), размещение устройств отображения (все УЗ), защита от перехвата ПЭМИН (УЗ-1).

13. ЗИС — Защита информационной системы (20 мер)

Самая крупная группа: защита от DoS/DDoS, управление сетевыми потоками, защита удалённого доступа, беспроводных соединений. Документ — Регламент защиты информационной системы.

Ключевые меры: разделение функций по управлению (УЗ-3…УЗ-1), защита от DoS/DDoS (УЗ-2/УЗ-1), защита взаимодействующих ИС (все УЗ), управление сетевыми потоками (УЗ-3…УЗ-1), защита удалённого доступа (все УЗ), защита беспроводного доступа (УЗ-1).

14. УКФ — Управление конфигурацией ИСПДн (4 меры)

Контроль изменений конфигурации, анализ последствий изменений. Документ — Регламент управления конфигурацией.

Ключевые меры: определение лиц, имеющих право менять конфигурацию (все УЗ), управление изменениями (все УЗ), анализ потенциального воздействия изменений (все УЗ), документирование изменений (УЗ-2/УЗ-1).

15. ИНЦ — Выявление инцидентов и реагирование (6 мер)

Добавлена редакцией 2020 года. Документ — Регламент выявления инцидентов ИБ.

Ключевые меры: определение лиц, ответственных за реагирование (все УЗ), обнаружение и регистрация инцидентов (все УЗ), своевременное информирование (все УЗ), анализ инцидентов (все УЗ), принятие мер по устранению последствий (УЗ-3…УЗ-1).

Какие регламенты обязательны для каждого УЗ

Для УЗ-4 (минимальный, наиболее распространённый у малого бизнеса): около 67 мер из 114, обязательны группы ИАФ, УПД (базовые), АВЗ, ЗНИ, ЗТС (частично), ЗИС (базовые), УКФ, ИНЦ.

Для УЗ-3: около 49 мер. Добавляются расширенные меры УПД, АНЗ (базовые), ОЦЛ, ИНЦ (полный набор).

Для УЗ-2: около 71 меры. Добавляются ОПС, СОВ, ОДТ (резервирование), ЗСВ (при виртуализации), ЗТС (расширенные).

Для УЗ-1 (максимальный): все 114 мер применимы — полный набор требований.

Точный состав определяется Таблицей Приложения к Приказу ФСТЭК № 21: меры с пометкой «+» в колонке вашего УЗ — обязательны.

Как собрать 15 регламентов автоматически

Ручная разработка 15 регламентов — это 30–50 часов работы юриста и специалиста по ИБ. Ключевые сложности:

  1. Сверка с таблицей мер — нужно проверить, какие меры обязательны для каждого УЗ каждой вашей ИСПДн. Для организации с 3-5 ИСПДн это несколько часов.
  2. Формулировки мер — их нужно точно процитировать из Приложения к Приказу № 21, иначе при проверке будет замечание.
  3. Per-ИСПДн специфика — меры применяются к конкретным системам, а не к организации в целом. В регламенте должна быть привязка.

Конструктор «Кибероснова Документы» решает все три проблемы:

  • Меры подставляются из SSOT-справочника Приказа ФСТЭК № 21 (114 мер с разметкой по УЗ-1…УЗ-4). При изменении редакции Приказа — таблица обновляется во всех регламентах автоматически.
  • Для каждой ИСПДн автоматически рассчитывается УЗ по калькулятору (на основе ПП-1119) и формируется свой набор регламентов.
  • Реквизиты организации, ответственные, контрагенты подставляются из реестров SaaS-кабинета.

В результате 15 персонализированных регламентов собираются за 15–20 минут вместо 30–50 часов ручной работы.

Итог

15 регламентов Приказа ФСТЭК № 21 — не бюрократия, а рабочие документы, которые реально нужны при проверках и при настройке системы защиты. Минимальный пакет для любого оператора ПДн с ИСПДн: ИАФ, УПД, АВЗ, ЗНИ, ЗТС, ЗИС, УКФ, ИНЦ (8 групп — работают всегда). Остальные 7 добавляются по УЗ и характеристикам ИСПДн (виртуализация → ЗСВ, УЗ-1/УЗ-2 → СОВ, АНЗ и т.д.).

Полный каталог документов оператора ПДн со всеми 46 типовыми шаблонами — в каталоге документов. Автоматическая генерация — в конструкторе.

Воронов Дмитрий

Воронов Дмитрий

Эксперт Киберосновы

Консультант по комплаенсу и регуляторным требованиям. Специализируется на отраслевой специфике: медицина, образование, финансы. Автор методических материалов по 152-ФЗ.

комплаенсотраслевая спецификамедицинаобразование

Часто задаваемые вопросы

Приказ ФСТЭК России № 21 от 18.02.2013 (в редакции от 14.05.2020) содержит 15 групп мер защиты персональных данных. Полный список: ИАФ (идентификация и аутентификация), УПД (управление доступом), ОПС (ограничение программной среды), ЗНИ (защита машинных носителей ПДн), РСБ (регистрация событий безопасности), АВЗ (антивирусная защита), СОВ (обнаружение вторжений), АНЗ (анализ защищённости), ОЦЛ (обеспечение целостности), ОДТ (обеспечение доступности), ЗСВ (защита среды виртуализации), ЗТС (защита технических средств), ЗИС (защита информационной системы), УКФ (управление конфигурацией), ИНЦ (выявление инцидентов). Всего в Приложении к Приказу — 114 базовых мер.
Закон не обязывает, но это общепринятая практика и стандарт аудита. ФСТЭК и Роскомнадзор при проверках запрашивают документы, подтверждающие реализацию каждой группы мер. Отдельный регламент на группу — самый простой способ предъявить проверяющим: в одном документе видны все реализованные меры, ответственные, порядок применения. Общее положение об обработке ПДн не заменяет детальные регламенты.
Для УЗ-4 базовый набор составляют около 67 мер из 114. Обязательны группы: ИАФ (5 мер), УПД (базовый набор), АВЗ, ЗНИ, ЗТС, ЗИС. Группы СОВ, АНЗ с УЗ-4 частично (меры с пометкой «+» в колонке УЗ-4 таблицы Приложения к Приказу). ОДТ — опционально. Конструктор «Кибероснова Документы» подставляет список мер автоматически при выборе УЗ.
Да, Приказ ФСТЭК № 21 (п. 10) и Методический документ ФСТЭК от 08.02.2023 прямо допускают компенсирующие меры, если базовая не реализуется в полном объёме по техническим или экономическим причинам. Условия: компенсирующие меры дают эквивалентный или более высокий уровень защиты, применение обосновано и оформлено отдельным актом, эквивалентность подтверждается на модели угроз ИСПДн.
Конструктор «Кибероснова Документы» генерирует все 15 регламентов за 15-20 минут: вводите реквизиты организации, перечень ИСПДн и назначаете УЗ — для каждой группы мер собирается отдельный регламент с актуальной таблицей мер из SSOT-справочника Приказа ФСТЭК № 21. Меры подставляются с учётом УЗ конкретной ИСПДн. Скачивается пакет из 15 DOCX-файлов. Это экономит 30-40 часов ручной работы.
Внутренний контроль соблюдения — не реже 1 раза в год (рекомендация ФСТЭК). Пересмотр самого текста регламента — не реже 1 раза в 3 года. Внеочередной пересмотр обязателен при: изменении состава или архитектуры ИСПДн, обновлении нормативной базы (новая редакция Приказа ФСТЭК № 21, ПП-1119, 152-ФЗ), выявлении инцидентов безопасности, связанных с реализованными мерами.

Оформите документы по 152-ФЗ за 15 минут

Создайте пакет документов сами в конструкторе или закажите готовый комплект под ключ.

Создать документ

Связанные материалы

Приказ ФСТЭК 21: что нужно знать оператору ПДнУровни защищённости ПДн по ПП-1119Какие документы нужны по 152-ФЗКонструктор документов 152-ФЗКаталог документов оператора ПДн