Кибероснова152-ФЗ
регламенты
152-ФЗ20265 мин

Регламент анализа защищённости ИСПДн по Приказу ФСТЭК № 21

Регламент группы мер «АНЗ» Приказа ФСТЭК № 21: образец, 5 мер по УЗ-1…УЗ-4, порядок внедрения. Скачать в конструкторе.

Получить ранний доступЗаказать пакет под ключ

* В раннем доступе — первые 3 документа бесплатно с автозаполнением под вашу организацию из 27 реестров.

Соответствие законодательству

  • 152-ФЗ«О персональных данных»
  • ПП-1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСТЭК №21«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»

Регламент анализа защищённости ИСПДн — что это и зачем

Регламент анализа защищённости ИСПДн — один из 15 регламентов по защите ПДн, который оператор обязан разработать при реализации мер группы «АНЗ» Приказа ФСТЭК России № 21. Документ описывает контроль уязвимостей и обновлений: выявление уязвимостей в ИСПДн, контроль установки обновлений, контроль состояния СЗИ, контроль состава ТС и ПО, контроль правил генерации паролей.

В этом материале — готовый образец регламента, структура по 5 мерам группы «АНЗ», порядок внедрения за 5 шагов и ответы на типовые вопросы при проверках ФСТЭК и Роскомнадзора.

Готовый регламент в конструкторе «Кибероснова Документы» — 2 минуты. Данные организации и УЗ ИСПДн подставляются автоматически, меры группы «АНЗ» собираются из SSOT-справочника Приказа ФСТЭК № 21. Открыть конструктор →

Когда регламент анализа защищённости испдн обязателен

Регламент анализа защищённости ИСПДн — внутренний нормативный документ оператора персональных данных, определяющий порядок анализа защищённости, контроля уязвимостей и обновлений программного обеспечения в информационных системах персональных данных (ИСПДн).

Документ разрабатывают по Приказу ФСТЭК России от 18.02.2013 № 21 (в редакции Приказа ФСТЭК № 98 от 14.05.2020) и Методическому документу ФСТЭК от 08.02.2023 по мерам защиты ПДн. Регламент реализует группу мер «АНЗ» — одну из 15 групп Приложения к Приказу.

Когда регламент обязателен

  • Оператор обрабатывает ПДн в ИСПДн с определённым по акту классификации уровнем защищённости УЗ-1…УЗ-4.
  • Меры группы «АНЗ» входят в базовый набор для выбранного УЗ (Таблица Приложения к Приказу № 21).
  • Проверки ФСТЭК, Роскомнадзора или аттестация ИСПДн.

Нормативная база

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 19);
  • Постановление Правительства РФ от 01.11.2012 № 1119 — требования к защите ПДн;
  • Приказ ФСТЭК России от 18.02.2013 № 21 (редакция от 14.05.2020) — состав мер;
  • Методический документ ФСТЭК от 08.02.2023 — порядок применения мер;
  • Приказ ФСТЭК России от 11.02.2013 № 17 — при обработке ПДн в государственных ИС.

Структура регламента «АНЗ»

Типовой регламент состоит из 6 смысловых разделов. Ни один пункт не опускается — при проверке ФСТЭК проверяют наличие всех элементов.

  1. Общие положения — цель, область применения, ссылки на 152-ФЗ, ПП-1119, Приказ ФСТЭК № 21.
  2. Термины и определения — ИСПДн, УЗ, СЗИ, специфические термины группы «АНЗ».
  3. Перечень применяемых мер — таблица 5 мер группы «АНЗ» с указанием УЗ, при которых мера обязательна.
  4. Порядок реализации — технические и организационные действия, документирование, компенсирующие меры.
  5. Ответственные лица — ответственный за обработку ПДн, администратор безопасности ИС.
  6. Контроль и пересмотр — периодичность внутреннего контроля, основания для пересмотра.

В конструкторе «Кибероснова Документы» регламент собирается автоматически на основании введённых данных организации, перечня ИСПДн и назначенного УЗ — таблица мер подставляется из SSOT-справочника Приказа ФСТЭК № 21.

Образец регламента «АНЗ»

Ниже — сокращённая демонстрация структуры. Полная версия с персонализацией под реквизиты вашей организации формируется в конструкторе за 2 минуты.

РЕГЛАМЕНТ АНАЛИЗА ЗАЩИЩЁННОСТИ ИСПДН

Утверждён приказом [должность руководителя] от [дата] № [номер]

1. Общие положения. Настоящий Регламент устанавливает порядок анализа защищённости, контроля уязвимостей и обновлений программного обеспечения в ИСПДн [наименование организации] (далее — Оператор). Регламент разработан по ФЗ-152, ПП-1119, Приказу ФСТЭК России № 21 и Методическому документу ФСТЭК от 08.02.2023.

2. Термины. ИСПДн — информационная система персональных данных; УЗ — уровень защищённости; СЗИ — средство защиты информации.

3. Применяемые меры группы «АНЗ». Полный перечень мер и их соответствие УЗ-1…УЗ-4 приведён в таблице регламента. В базовый набор для [УЗ конкретной ИСПДн] включено [N] мер из 5 возможных.

4. Порядок реализации. Меры реализуются per-ИСПДн с учётом её УЗ. Невозможность прямой реализации компенсируется эквивалентными мерами, что оформляется актом.

5. Ответственные. Организация работ возлагается на ответственного за обработку ПДн; технические меры реализует администратор безопасности информационных систем.

6. Контроль. Внутренний контроль соблюдения — не реже 1 раза в год. Пересмотр — не реже 1 раза в 3 года или внеочередно при изменении состава ИСПДн, нормативной базы, выявлении инцидентов.

Как внедрить регламент «АНЗ» за 5 шагов

Шаг 1. Определите УЗ каждой ИСПДн

Уровень защищённости (УЗ-1…УЗ-4) фиксирует акт классификации по ПП-1119. От УЗ зависит, какие именно меры группы «АНЗ» обязательны.

Шаг 2. Сверьте базовый набор мер

По Таблице Приложения к Приказу № 21 отметьте меры группы «АНЗ» с пометкой «+» для вашего УЗ — это базовый набор. Всего в группе 5 мер.

Шаг 3. Реализуйте меры

Для каждой обязательной меры:

  • выберите СЗИ или организационное решение;
  • задокументируйте применение в инструкции или акте;
  • назначьте ответственного за контроль.

Шаг 4. Компенсирующие меры

Если прямая реализация невозможна, применяйте компенсирующие меры, которые дают эквивалентную защиту. Применение оформляется отдельным актом с обоснованием эквивалентности.

Шаг 5. Контроль и аудит

Внутренний контроль — не реже 1 раза в год. Пересмотр регламента — не реже 1 раза в 3 года или при изменении состава ИСПДн, нормативной базы, выявлении инцидентов, связанных с реализуемыми мерами.

Итог

Регламент «АНЗ» — обязательный документ для оператора ПДн с ИСПДн, подпадающими под меры этой группы. Без него проверки ФСТЭК и Роскомнадзора выявляют нарушение ст. 19 152-ФЗ. Полный пакет из 15 регламентов Приказа ФСТЭК № 21 смотрите в каталоге документов.

Создать регламент «АНЗ» в конструкторе
Введите реквизиты организации и УЗ ИСПДн — конструктор соберёт полную версию регламента с таблицей мер ФСТЭК № 21 автоматически.
Открыть конструктор → Калькулятор УЗ

Часто задаваемые вопросы

Отдельный регламент — общепринятая практика, ожидаемая при проверках ФСТЭК и Роскомнадзора. Приказ ФСТЭК № 21 содержит 15 групп мер; группа «АНЗ» включает 5 мер. При проверке оператора просят предъявить документы, подтверждающие реализацию каждой группы. Общее положение об обработке ПДн не заменяет детальный регламент, так как не содержит привязки к конкретным мерам Приказа № 21 и технических регламентов их реализации.
Состав базовых мер определяется УЗ ИСПДн (УЗ-1 — самый строгий, УЗ-4 — минимальный). Точный перечень задаёт Таблица Приложения к Приказу ФСТЭК № 21: меры с пометкой «+» в колонке вашего УЗ — обязательны. Для УЗ-4 обычно базовый набор меньше, для УЗ-1 — полный перечень из 5 мер. В конструкторе «Кибероснова Документы» при выборе УЗ список мер группы «АНЗ» подставляется автоматически.
Да. Приказ ФСТЭК № 21 (п. 10) и Методический документ ФСТЭК от 08.02.2023 прямо допускают компенсирующие меры, если базовая мера не реализуется в полном объёме по техническим или экономическим причинам. Обязательные условия: компенсирующие меры дают эквивалентный или более высокий уровень защиты, применение обосновано и оформлено отдельным актом, эквивалентность подтверждается на модели угроз.
Внутренний контроль — не реже 1 раза в год (рекомендация ФСТЭК). Пересмотр самого регламента — не реже 1 раза в 3 года (по аналогии с периодичностью переаттестации ИСПДн). Внеочередной пересмотр — обязателен при: изменении состава или архитектуры ИСПДн, обновлении нормативной базы (новая редакция Приказа ФСТЭК № 21, ПП-1119, 152-ФЗ), выявлении инцидентов безопасности, связанных с реализованными мерами.
Конструктор «Кибероснова Документы» генерирует регламент за 2 минуты: вводите реквизиты организации, перечень ИСПДн и УЗ — система собирает регламент с актуальной таблицей мер группы «АНЗ» из SSOT-справочника Приказа ФСТЭК № 21 (5 мер). Таблица обновляется при изменении нормативной базы. Скачивается в DOCX для утверждения руководителем. При настройке реестров подрядчиков и ответственных все ФИО и должности подставляются автоматически. Это экономит 2-4 часа на документ.
Выбор СЗИ зависит от конкретной меры группы «АНЗ» и УЗ ИСПДн. СЗИ должны быть сертифицированы ФСТЭК России по требованиям соответствующего класса защиты. Типовые СЗИ для группы «АНЗ»: выявление уязвимостей в ИСПДн, контроль установки обновлений, контроль состояния СЗИ, контроль состава ТС и ПО, контроль правил генерации паролей — реализуются через соответствующие сертифицированные продукты из реестра ФСТЭК. В регламенте указывается конкретное наименование, серийный/лицензионный номер и класс СЗИ по ФСТЭК.

Готовы создать документ под вашу организацию?

В раннем доступе — 3 документа бесплатно с автозаполнением из 27 реестров. Или закажите полный пакет под ключ от 45 000 ₽.

Получить ранний доступ

Связанные материалы

Акт определения уровня защищённости ИСПДнБез акта классификации нельзя определить базовый набор мер группы «АНЗ».Перечень ИСПДнВсе информационные системы организации, к которым применяется регламент.Политика обработки ПДнБазовый документ оператора ПДн — регламент работает в связке с политикой.Калькулятор УЗАвтоматический расчёт уровня защищённости по ПП-1119 за 2 минуты.15 регламентов Приказа ФСТЭК № 21 — полный переченьИАФ, УПД, ОПС, ЗНИ, РСБ, АВЗ, СОВ, АНЗ, ОЦЛ, ОДТ, ЗСВ, ЗТС, ЗИС, УКФ, ИНЦ — все группы мер.Приказ ФСТЭК № 21: что нужно знать оператору ПДнУровни защищённости, 15 групп мер, компенсирующие меры, переаттестация.Какие документы нужны по 152-ФЗПолный перечень документов оператора ПДн с образцами и нормативными ссылками.