Кибероснова152-ФЗ
Проектный документ
152-ФЗ20265 мин

Техническое задание на систему защиты информации (СЗИ)

Готовый образец ТЗ на систему защиты информации по ГОСТ 34.602: структура, разделы, связь с моделью угроз и актом УЗ. Создайте техническое задание на СЗИ для вашей ИСПДн в конструкторе за 15 минут.

Скачать образец .docxСоздать в конструкторе

* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.

Почему этот документ важен

Техническое задание на СЗИ — основа для проектирования и внедрения системы защиты ПДн. Без ТЗ невозможно корректно выбрать средства защиты и обосновать их достаточность при проверке ФСТЭК. Приказ ФСТЭК № 21 (п. 8) устанавливает этапы создания системы защиты: разработка ТЗ → проектирование → внедрение → оценка соответствия. Пропуск этапа ТЗ = нарушение порядка, штраф по ч. 6 ст. 13.11 КоАП: до 150 000 ₽. [Рассчитайте сумму штрафа](/shtrafy/calculator/).

Что такое ТЗ на СЗИ и зачем оно нужно

Техническое задание на систему защиты информации — документ, определяющий требования к системе защиты ИСПДн: какие угрозы должна нейтрализовать, какие меры применить, какие средства защиты использовать.

ТЗ на СЗИ является обязательным этапом создания системы защиты ПДн согласно:

  • Приказ ФСТЭК № 21, п. 8 — этапы создания системы защиты: определение требований → разработка ТЗ → проектирование → внедрение → оценка соответствия;
  • Приказ ФСТЭК № 17, п. 14 — аналогичные этапы для ГИС;
  • ГОСТ 34.602-2020 — стандарт оформления ТЗ на автоматизированные системы (в т.ч. системы защиты);
  • ГОСТ Р 51583-2014 — порядок создания автоматизированных систем в защищённом исполнении.

ТЗ решает три задачи:

  1. Формализует требования — переводит результаты модели угроз и акта УЗ в конкретные технические требования;
  2. Обосновывает выбор СЗИ — привязывает каждое средство защиты к конкретной угрозе;
  3. Является основой для приёмки — по ТЗ проверяется, что система защиты соответствует требованиям.

Структура ТЗ на СЗИ по ГОСТ 34.602

ГОСТ 34.602-2020 определяет типовую структуру технического задания. Для ТЗ на СЗИ ИСПДн она адаптируется следующим образом:

1

Общие сведения

Наименование системы защиты, заказчик, исполнитель, основание для разработки (приказ руководителя, договор с лицензиатом), плановые сроки.

2

Назначение и цели создания системы

Обеспечение безопасности ПДн при обработке в ИСПДн. Достижение уровня защищённости УЗ-1 — УЗ-4 (по результатам акта определения УЗ).

3

Характеристика объекта защиты

Описание ИСПДн: архитектура, технические средства, состав ПДн, категории субъектов, топология сети, границы контролируемой зоны.

4

Требования к системе защиты

  • Перечень актуальных угроз (из модели угроз);
  • Базовый набор мер по Приказу ФСТЭК № 21 для соответствующего УЗ;
  • Адаптированный набор мер с учётом специфики ИСПДн;
  • Требования к сертификации СЗИ.
5

Состав и содержание работ

Этапы проектирования, внедрения, тестирования, ввода в эксплуатацию.

6

Порядок контроля и приёмки

Методика приёмо-сдаточных испытаний, критерии успешности.

7

Требования к документации

Перечень документов, разрабатываемых по результатам проектирования.

Создайте ТЗ на СЗИ в конструкторе

Конструктор автоматически подставит данные из модели угроз и акта УЗ, сформирует требования к мерам защиты по Приказу ФСТЭК № 21.

Создать ТЗ на СЗИ

Связь ТЗ на СЗИ с моделью угроз и актом УЗ

ТЗ на СЗИ не существует в вакууме — оно строится на результатах предшествующих документов:

Модель угроз → ТЗ на СЗИ. Перечень актуальных угроз из модели угроз определяет, ОТ ЧЕГО должна защищать система. Каждая актуальная угроза из модели должна быть нейтрализована конкретной мерой, указанной в ТЗ.

Акт определения УЗ → ТЗ на СЗИ. Уровень защищённости (УЗ-1 — УЗ-4) определяет базовый набор мер по Приказу ФСТЭК № 21. Для УЗ-4 — минимальный набор (около 27 мер), для УЗ-1 — максимальный (все меры).

ТЗ на СЗИ → Технический проект. ТЗ фиксирует ЧТО нужно, проект — КАК это реализовать: конкретные продукты, конфигурации, схемы подключения.

ТЗ на СЗИ → Аттестация. При аттестации ИСПДн проверяющие сверяют фактическую систему защиты с требованиями ТЗ.

Все эти документы можно создать последовательно в конструкторе Кибероснова — данные из одного документа автоматически передаются в связанные.

Кто разрабатывает ТЗ на СЗИ

Вопрос авторства ТЗ на СЗИ — один из самых частых.

Самостоятельная разработка (допускается)

Оператор ПДн вправе разработать ТЗ на СЗИ самостоятельно. Закон не требует привлечения лицензиата для разработки ТЗ (в отличие от проектирования и внедрения). Для типовых ИСПДн малого бизнеса (1С, CRM, сайт) этого достаточно.

Привлечение лицензиата ФСТЭК (рекомендуется)

Проектирование системы защиты ПДн — лицензируемый вид деятельности (Постановление Правительства РФ № 79). Лицензиат ФСТЭК обычно разрабатывает ТЗ в рамках проекта на проектирование СЗПДн. Привлечение лицензиата обязательно, если:

  • ИСПДн является ГИС;
  • Требуется аттестация;
  • УЗ-1 или УЗ-2;
  • Обрабатываются специальные категории или биометрия в больших объёмах.

На практике

Для малого бизнеса с УЗ-3/УЗ-4 достаточно типового ТЗ, созданного в конструкторе, с последующим согласованием с ИТ-специалистом. Для крупных организаций и ГИС — разработка лицензиатом в рамках комплексного проекта.

Типовые меры защиты в ТЗ на СЗИ для УЗ-3 и УЗ-4

Группа мерКодМера защитыУЗ-4УЗ-3
ИдентификацияИАФ.1Идентификация и аутентификация пользователей
Управление доступомУПД.2Реализация политик управления доступом
Управление доступомУПД.13Реализация защищённого удалённого доступа
Защита носителейЗНИ.8Уничтожение или обезличивание ПДн на носителях
Регистрация событийРСБ.1Определение событий, подлежащих регистрации
Антивирусная защитаАВЗ.1Реализация антивирусной защиты
Межсетевое экранированиеУПД.3Управление информационными потоками
Контроль целостностиОЦЛ.1Контроль целостности ПО и СЗИ

Образец: ТЗ на СЗИ для типовой ИСПДн малого бизнеса

ИСПДн «Клиенты» — CRM-система (Bitrix24, облачная версия)

Уровень защищённости: УЗ-4 Тип угроз: 3-й (из модели угроз) Актуальные угрозы: 12 из БДУ ФСТЭК (перехват трафика, НСД к учётным записям, вредоносное ПО, утечка через сотрудников)

Требования к системе защиты:

  • Идентификация и аутентификация (ИАФ): логин/пароль, парольная политика 8+ символов;
  • Управление доступом (УПД): ролевая модель, блокировка после 5 неудачных попыток;
  • Антивирусная защита (АВЗ): сертифицированный антивирус на АРМ;
  • Защита каналов (ЗИС): HTTPS/TLS для доступа к облачной CRM;
  • Резервное копирование: ежедневное, хранение 30 дней.

Срок реализации: 30 календарных дней. Приёмка: приёмо-сдаточные испытания по утверждённой методике.

Скачать образец

Актуальный бланк 2026 года в формате DOCX

Что должно содержать ТЗ на СЗИ

  • Наименование системы защиты и объекта защиты (ИСПДн)
  • Основание для разработки (приказ, договор, ссылка на 152-ФЗ)
  • Описание ИСПДн: архитектура, состав технических средств, ПО
  • Уровень защищённости ПДн (УЗ-1 — УЗ-4) со ссылкой на акт УЗ
  • Перечень актуальных угроз со ссылкой на модель угроз
  • Базовый набор мер по Приказу ФСТЭК № 21 для данного УЗ
  • Адаптированный набор мер с обоснованием исключений/дополнений
  • Требования к сертификации СЗИ (классы, уровни доверия)
  • Этапы и сроки работ по созданию системы защиты
  • Порядок приёмо-сдаточных испытаний и критерии приёмки
  • Перечень разрабатываемой документации
  • Утверждение руководителем организации

Проектирование системы защиты ПДн под ключ

Разработаем ТЗ на СЗИ, технический проект и полный пакет документации. Подберём сертифицированные средства защиты, проведём внедрение и подготовим к аттестации.

Заказать проектирование

Часто задаваемые вопросы

Приказ ФСТЭК № 21 (п. 8) устанавливает этапы создания системы защиты ПДн, первый из которых — «определение типа угроз, актуальных для информационной системы, и требований к информационной системе по обеспечению безопасности ПДн». Это по сути и есть разработка ТЗ. Для ГИС требование ещё более явное — Приказ ФСТЭК № 17 (п. 14.1) прямо указывает разработку требований к защите информации в виде ТЗ. Формально КоАП не выделяет отдельного штрафа за отсутствие ТЗ, но его отсутствие ведёт к нарушению порядка создания системы защиты.

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно

Связанные материалы

Модель угроз ПДнМодель угроз безопасности персональных данных: как составить, методика ФСТЭК, образец 2026.Акт определения уровня защищённостиАкт определения уровня защищённости ПДн — образец 2026, как составить.Перечень ИСПДнПеречень информационных систем персональных данных организации — образец 2026, как составить.Паспорт ИСПДнПаспорт информационной системы персональных данных — образец 2026, содержание, методика ФСТЭК.