Каждая организация, обрабатывающая персональные данные, обязана обеспечить их защиту. Но требования к защите различаются: для поликлиники, обрабатывающей медицинские данные тысяч пациентов, и для небольшого интернет-магазина с базой из 500 покупателей они будут разными. Именно для этого Правительство РФ установило 4 уровня защищённости персональных данных — от базового до максимального.
В этой статье разберём, что такое уровни защищённости, как определить нужный именно вашей организации и какие требования придётся выполнить.
Что такое уровни защищённости ПДн
Уровни защищённости персональных данных (УЗ) — это комплексная характеристика, определяющая набор требований к защите информации в информационной системе персональных данных (ИСПДн). Правовая основа — Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Зачем нужны уровни защищённости
До 2013 года вместо уровней защищённости использовалась система классов ИСПДн (К1–К4), установленная совместным приказом ФСТЭК, ФСБ и Мининформсвязи. Система классов оказалась негибкой и не учитывала реальные условия обработки данных.
ПП 1119 заменило классификацию на 4 уровня защищённости, которые учитывают:
- Тип персональных данных — специальные, биометрические, общедоступные, иные
- Категорию субъектов — сотрудники оператора или иные лица
- Количество субъектов — более или менее 100 000 записей
- Тип актуальных угроз — 1-й, 2-й или 3-й тип
Уровень защищённости напрямую определяет, какие организационные и технические меры оператор обязан реализовать. Чем ниже номер уровня — тем жёстче требования.
Связь с другими нормативными актами
ПП 1119 не работает изолированно. Определив уровень защищённости, оператор обращается к Приказу ФСТЭК России № 21 от 18.02.2013, который содержит конкретный перечень мер защиты для каждого УЗ. Для государственных информационных систем дополнительно применяется Приказ ФСТЭК № 17.
Если в ИСПДн используются криптографические средства защиты, применяются также требования Приказа ФСБ России № 378 от 10.07.2014.
4 уровня защищённости: сравнительная таблица
Ниже приведена сводная таблица, позволяющая сравнить все четыре уровня защищённости по ключевым параметрам.
| Параметр | УЗ-4 (базовый) | УЗ-3 (средний) | УЗ-2 (повышенный) | УЗ-1 (максимальный) |
|---|---|---|---|---|
| Строгость требований | Минимальная | Умеренная | Высокая | Максимальная |
| Типичные данные | ФИО, email, телефон | Иные ПДн сотрудников в большом объёме | Специальные или биометрические ПДн | Специальные ПДн + угрозы 1-го типа |
| Контроль доступа в помещения | Перечень допущенных лиц | Перечень допущенных лиц | Перечень допущенных лиц | Перечень допущенных лиц |
| Безопасность носителей | Учёт и хранение | Учёт и хранение | Учёт и хранение | Учёт и хранение |
| Перечень допущенных к ПДн | Утверждается оператором | Утверждается оператором | Утверждается оператором | Утверждается оператором |
| Средства защиты информации | Прошедшие оценку соответствия | Прошедшие оценку соответствия | Прошедшие оценку соответствия | Прошедшие оценку соответствия |
| Ответственный за безопасность | Не обязателен | Назначается обязательно | Назначается обязательно | Назначается обязательно |
| Доступ к электронному журналу | Нет требований | Нет требований | Только для должностных лиц | Только для должностных лиц |
| Подразделение по безопасности | Не требуется | Не требуется | Не требуется | Обязательно |
| Контроль выполнения требований | Оператором самостоятельно | Оператором самостоятельно | Не реже 1 раза в 3 года (самостоятельно или с привлечением лицензиата) | Не реже 1 раза в 3 года (самостоятельно или с привлечением лицензиата) |
| Класс СЗИ по ФСТЭК | 6-й класс | 5-й класс | 4-й класс | 4-й класс (для ГИС — до 1-го) |
| Класс СКЗИ по ФСБ | КС1 | КС1 | КС2 / КС3 | КВ / КА |
| Типичные организации | Интернет-магазины, небольшие сайты | Средний бизнес, HR-системы | Медицинские организации, банки | Госорганы, спецслужбы, крупные мед. центры |
Важные нюансы таблицы
Обратите внимание: базовые требования (контроль доступа, учёт носителей, перечень допущенных лиц, сертифицированные СЗИ) одинаковы для всех четырёх уровней. Различия начинаются с УЗ-3, где появляется обязательное назначение ответственного за безопасность ПДн, и усиливаются с каждым уровнем.
На практике подавляющее большинство коммерческих организаций попадают под УЗ-4 или УЗ-3. УЗ-2 характерен для медицинских учреждений, страховых компаний и банков. УЗ-1 встречается крайне редко и, как правило, в государственных системах.
Как определить свой уровень защищённости
Определение уровня защищённости — это формализованная процедура из пяти последовательных шагов. Разберём каждый из них.
Шаг 1. Определите тип персональных данных
ПП 1119 выделяет четыре категории персональных данных, обрабатываемых в ИСПДн:
- Специальные — расовая/национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимости
- Биометрические — физиологические и биологические характеристики, позволяющие установить личность: отпечатки пальцев, изображение лица (фото для идентификации), радужная оболочка глаза, ДНК
- Общедоступные — данные из общедоступных источников (справочники, адресные книги), созданных с письменного согласия субъекта
- Иные — всё, что не относится к предыдущим трём категориям: ФИО, дата рождения, адрес, телефон, email, данные документов
Если в ИСПДн одновременно обрабатываются данные нескольких категорий, применяется наиболее строгая категория. Например, если система хранит ФИО (иные) и данные о здоровье (специальные) — вся система классифицируется как обрабатывающая специальные ПДн.
Шаг 2. Определите категорию субъектов
ПП 1119 различает две категории:
- Сотрудники оператора — лица, связанные с оператором трудовыми отношениями
- Не сотрудники — клиенты, контрагенты, посетители сайта, пациенты и любые другие субъекты
Если в одной ИСПДн обрабатываются данные и сотрудников, и клиентов — система классифицируется по категории «не сотрудники» (более строгий вариант).
Шаг 3. Определите объём обработки
Граница проходит по отметке 100 000 субъектов:
- Менее 100 000 субъектов
- Более 100 000 субъектов
Учитываются все субъекты, чьи данные обрабатываются в конкретной ИСПДн, включая архивные записи, если они не уничтожены.
Шаг 4. Определите тип актуальных угроз
Это ключевой и часто самый сложный шаг. ПП 1119 определяет три типа угроз:
Угрозы 1-го типа — связаны с наличием недекларированных возможностей (НДВ) в системном программном обеспечении (операционная система, СУБД, системные утилиты). Актуальны, если есть основания полагать, что в ОС или СУБД заложены скрытые возможности для несанкционированного доступа.
Угрозы 2-го типа — связаны с наличием НДВ в прикладном программном обеспечении (приложения, CRM-системы, веб-приложения). Актуальны, если прикладное ПО разработано неизвестными или ненадёжными разработчиками.
Угрозы 3-го типа — не связаны с НДВ. Это угрозы, реализуемые внешними нарушителями (хакеры, вредоносное ПО) или внутренними нарушителями (недобросовестные сотрудники) без использования закладок в программном обеспечении.
На практике большинство коммерческих организаций обоснованно устанавливают 3-й тип угроз. Угрозы 1-го и 2-го типа требуют специальной экспертизы и обычно актуальны для систем, обрабатывающих государственную тайну или критически важную информацию.
Тип угроз фиксируется в Модели угроз безопасности персональных данных, которую оператор разрабатывает самостоятельно или с привлечением специализированных организаций.
Шаг 5. Определите уровень защищённости по таблице
Используя результаты предыдущих шагов, найдите свой уровень защищённости в матрице ниже.
Специальные персональные данные
| Тип угроз | Сотрудники / < 100 000 | Не сотрудники / < 100 000 | Сотрудники / > 100 000 | Не сотрудники / > 100 000 |
|---|---|---|---|---|
| 1-й тип | УЗ-1 | УЗ-1 | УЗ-1 | УЗ-1 |
| 2-й тип | УЗ-3 | УЗ-3 | УЗ-2 | УЗ-2 |
| 3-й тип | УЗ-3 | УЗ-3 | УЗ-3 | УЗ-2 |
Биометрические персональные данные
| Тип угроз | Любая категория / любой объём |
|---|---|
| 1-й тип | УЗ-1 |
| 2-й тип | УЗ-2 |
| 3-й тип | УЗ-3 |
Общедоступные персональные данные
| Тип угроз | Сотрудники / < 100 000 | Не сотрудники / < 100 000 | Сотрудники / > 100 000 | Не сотрудники / > 100 000 |
|---|---|---|---|---|
| 1-й тип | УЗ-2 | УЗ-2 | УЗ-2 | УЗ-2 |
| 2-й тип | УЗ-4 | УЗ-4 | УЗ-3 | УЗ-3 |
| 3-й тип | УЗ-4 | УЗ-4 | УЗ-4 | УЗ-4 |
Иные персональные данные
| Тип угроз | Сотрудники / < 100 000 | Не сотрудники / < 100 000 | Сотрудники / > 100 000 | Не сотрудники / > 100 000 |
|---|---|---|---|---|
| 1-й тип | УЗ-1 | УЗ-1 | УЗ-1 | УЗ-1 |
| 2-й тип | УЗ-3 | УЗ-3 | УЗ-2 | УЗ-2 |
| 3-й тип | УЗ-4 | УЗ-4 | УЗ-3 | УЗ-3 |
Пример определения
Ситуация: интернет-магазин обрабатывает ФИО, адреса доставки, телефоны и email клиентов. Базе данных 5 лет, накоплено около 40 000 записей.
- Тип ПДн: иные (ФИО, адрес, телефон, email — не специальные и не биометрические)
- Категория субъектов: не сотрудники (клиенты)
- Объём: менее 100 000
- Тип угроз: 3-й (стандартное серверное и прикладное ПО, нет оснований для НДВ)
- По таблице «Иные ПДн»: 3-й тип угроз + не сотрудники + менее 100 000 = УЗ-4
Чтобы не проходить все шаги вручную, воспользуйтесь нашим калькулятором уровня защищённости, который автоматически определит УЗ по вашим вводным данным.
Что нужно обеспечить для каждого уровня
После определения уровня защищённости оператор обязан реализовать соответствующий комплекс мер. Рассмотрим требования для каждого УЗ — от базового к максимальному.
Требования для УЗ-4
Четвёртый уровень — минимальный набор обязательных мер:
- Организация режима безопасности помещений, в которых размещена ИСПДн: ограничение неконтролируемого доступа, запирающиеся серверные, учёт посещений
- Обеспечение сохранности носителей персональных данных: учёт, маркировка, хранение в сейфах или запираемых шкафах
- Утверждение перечня лиц, допущенных к обработке ПДн в ИСПДн, с указанием конкретных ролей и полномочий
- Использование средств защиты информации, прошедших процедуру оценки соответствия (сертификация ФСТЭК или ФСБ, декларация соответствия)
На практике для УЗ-4 достаточно: настроить антивирус, межсетевой экран, разграничение доступа к системе и вести учёт носителей.
Требования для УЗ-3
Все меры УЗ-4, плюс:
- Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн
Это может быть системный администратор, специалист по информационной безопасности или иной сотрудник. Назначение оформляется приказом руководителя. Ответственный контролирует выполнение мер защиты, ведёт журналы учёта, реагирует на инциденты.
Требования для УЗ-2
Все меры УЗ-3, плюс:
- Ограничение доступа к содержимому электронного журнала сообщений — доступ к логам системы и журналам событий безопасности должен быть предоставлен только уполномоченным должностным лицам оператора
Это означает, что лог-файлы серверов, записи систем обнаружения вторжений, журналы аудита должны быть защищены от просмотра и модификации обычными пользователями.
Требования для УЗ-1
Все меры УЗ-2, плюс:
- Создание структурного подразделения, ответственного за обеспечение безопасности ПДн, или возложение его функций на одно из существующих структурных подразделений
Для УЗ-1 недостаточно одного назначенного сотрудника — необходимо полноценное подразделение (отдел информационной безопасности) или хотя бы формальное возложение этих функций на существующий отдел (например, ИТ-отдел) с соответствующим расширением штатного расписания и должностных инструкций.
Дополнительные технические меры
Помимо требований ПП 1119, для каждого уровня защищённости Приказ ФСТЭК № 21 определяет конкретные технические и организационные меры:
- Идентификация и аутентификация (ИАФ) — от парольной политики до многофакторной аутентификации
- Управление доступом (УПД) — разграничение прав, минимизация привилегий
- Регистрация событий безопасности (РСБ) — логирование, мониторинг
- Антивирусная защита (АВЗ) — обнаружение и блокировка вредоносного ПО
- Обеспечение целостности (ОЦЛ) — контроль неизменности ПО и данных
- Защита среды виртуализации (ЗСВ) — если используется виртуализация
- Защита технических средств (ЗТС) — физическая безопасность оборудования
Количество обязательных мер увеличивается от УЗ-4 к УЗ-1. Например, для УЗ-4 базовый набор включает около 20 мер, а для УЗ-1 — более 50.
Какие документы нужны
Определение уровня защищённости и реализация мер защиты должны быть документально оформлены. Вот перечень основных документов:
Обязательные документы для любого уровня
- Акт определения уровня защищённости — фиксирует результат классификации ИСПДн, указывает тип ПДн, категорию субъектов, объём, тип угроз и итоговый УЗ
- Модель угроз безопасности ПДн — описывает актуальные угрозы для конкретной ИСПДн, обосновывает выбор типа угроз
- Приказ об утверждении перечня лиц, допущенных к обработке ПДн — поимённый список с указанием ролей
- Приказ о назначении ответственного за организацию обработки ПДн — требование ст. 22.1 ФЗ-152
Дополнительные документы
- Паспорт ИСПДн — техническое описание информационной системы: состав оборудования, ПО, структура сети, средства защиты
- Техническое задание на систему защиты ПДн — требования к проектируемой системе защиты
- Проект системы защиты — описание реализуемых мер и средств защиты
- Журнал учёта носителей ПДн — регистрация всех съёмных носителей с персональными данными
- Журнал учёта обращений субъектов ПДн — регистрация запросов граждан
Для УЗ-3 и выше
- Приказ о назначении ответственного за безопасность ПДн — отдельная роль от ответственного за организацию обработки
Для УЗ-1
- Положение о подразделении по защите информации — или приказ о возложении функций на существующее подразделение
Все эти документы могут быть запрошены при проверке Роскомнадзором или ФСТЭК России. Отсутствие обязательных документов влечёт административную ответственность по ст. 13.11 КоАП РФ.
Что делать дальше
Определение уровня защищённости — это первый шаг в построении системы защиты персональных данных. Вот рекомендуемый порядок действий:
- Определите УЗ с помощью нашего калькулятора уровня защищённости — он автоматически подберёт уровень по вашим параметрам
- Оформите акт определения УЗ — используйте готовый шаблон из конструктора документов
- Разработайте модель угроз — опишите актуальные угрозы для вашей ИСПДн
- Составьте перечень мер защиты — на основании Приказа ФСТЭК № 21 для вашего уровня
- Внедрите меры защиты — организационные и технические
- Проведите оценку эффективности — убедитесь, что все меры работают
Для быстрого создания полного комплекта документов по 152-ФЗ воспользуйтесь конструктором документов Кибероснова. Он сгенерирует все необходимые документы с учётом специфики вашей организации за несколько минут.
