Уровни защищённости персональных данных

Name: Калькулятор уровня защищённости ПДн
Author: Кибероснова

Определите уровень защищённости ПДн для вашей ИСПДн за 2 минуты. Онлайн-калькулятор по ПП 1119: ответьте на 5 вопросов → получите УЗ-1, УЗ-2, УЗ-3 или УЗ-4.

Уровни защищённости персональных данных — калькулятор

Уровень защищённости персональных данных (УЗ) — это классификация информационной системы персональных данных (ИСПДн) по степени необходимой защиты, установленная Постановлением Правительства РФ от 01.11.2012 № 1119. Существует 4 уровня: УЗ-4 (базовый), УЗ-3 (стандартный), УЗ-2 (повышенный) и УЗ-1 (максимальный). От уровня зависит перечень организационных и технических мер по Приказу ФСТЭК № 21: от антивируса и межсетевого экрана (УЗ-4) до полного набора сертифицированных средств защиты информации с криптозащитой КС3 и выше (УЗ-1). Определение УЗ обязательно для каждого оператора ПДн и фиксируется в акте определения уровня защищённости.

Вопрос 1 из 5

Категория обрабатываемых ПДн

Как определяется уровень защищённости

Уровень защищённости ПДн по ПП-1119 зависит от трёх параметров. Калькулятор выше определяет УЗ автоматически.

1. Категория ПДн

Специальные (здоровье, судимость), биометрические (фото, отпечатки), общедоступные или иные (ФИО, телефон, email). От категории зависит базовый уровень защиты.

2. Тип актуальных угроз

1-й тип (НДВ в системном ПО), 2-й (НДВ в прикладном ПО), 3-й (без НДВ). Для 90% бизнеса — 3-й тип. Определяется моделью угроз.

3. Объём обработки

Менее или более 100 000 субъектов ПДн. Также учитывается, обрабатываются ли данные только сотрудников или также клиентов и иных лиц.

Таблица уровней защищённости ПДн по ПП 1119

Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает 4 уровня защищённости. Требования к мерам защиты определяются Приказом ФСТЭК № 21.

Уровень	Когда применяется	Меры защиты (Приказ ФСТЭК № 21)	Класс СКЗИ
УЗ-1	Спецкатегории или биометрия + угрозы 1-го типа; иные ПДн > 100К + угрозы 1–2 типа	Полный набор мер: ИАФ, УПД, ОПС, ЗИС, АВЗ, СОВ, АНЗ + контроль НДВ в ПО	КС3 и выше (КВ, КА)
УЗ-2	Спецкатегории или биометрия + угрозы 2-го типа; иные ПДн > 100К + угрозы 3-го типа	Расширенный набор мер: ИАФ, УПД, ЗИС, АВЗ, СОВ + сертифицированные СЗИ	КС2 и выше
УЗ-3	Спецкатегории + угрозы 3-го типа; иные ПДн < 100К + угрозы 2-го типа	Стандартный набор: ИАФ, УПД, ЗИС, АВЗ + разграничение доступа	КС1 и выше
УЗ-4	Иные (общедоступные) ПДн + угрозы 3-го типа + < 100К субъектов	Базовый набор: антивирус, межсетевой экран, контроль доступа	КС1

Требования к уровням защищённости по Приказу ФСТЭК № 21

УЗ-4 — базовый уровень защищённости

Подходит для большинства малых компаний: ООО, ИП, интернет-магазины. Обработка ФИО, телефонов, email сотрудников и клиентов при 3-м типе угроз.

Антивирусная защита рабочих станций
Межсетевое экранирование
Организация контроля доступа к ИСПДн
Резервное копирование данных

УЗ-3 — стандартный уровень защищённости

Медклиники, кадровые агентства, страховые компании — все, кто обрабатывает спецкатегории ПДн (здоровье, судимости) при 3-м типе угроз.

Все меры УЗ-4 + разграничение доступа к ПДн
Регистрация и учёт действий пользователей
Сертифицированные средства защиты (ФСТЭК)
Ответственный за безопасность ПДн

УЗ-2 — повышенный уровень защищённости

Организации с биометрией или спецкатегориями при 2-м типе угроз, или обработка > 100 000 субъектов при 3-м типе.

Все меры УЗ-3 + система обнаружения вторжений
Контроль целостности программной среды
Сертифицированные СКЗИ класса КС2
Ежегодная проверка мер защиты

УЗ-1 — максимальный уровень защищённости

Государственные ИС, обработка спецкатегорий при 1-м типе угроз, крупнейшие операторы ПДн (> 100К, угрозы 1-2 типа).

Все меры УЗ-2 + контроль НДВ в системном и прикладном ПО
СКЗИ класса КС3, КВ или КА
Аттестация ИСПДн (обязательна для ГИС)
Выделенный подразделение по защите информации

Полный перечень мер — в разборе Приказа ФСТЭК № 21. Определите ваш УЗ с помощью калькулятора выше.

После определения УЗ

Акт определения УЗ

Оформите результат в документ по ПП 1119

Модель угроз ПДн

Определите тип актуальных угроз

Перечень ИСПДн

Составьте перечень систем для определения УЗ

Частые вопросы об уровнях защищённости

Какие уровни защищённости персональных данных бывают?

Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает 4 уровня защищённости: УЗ-4 (базовый, минимальный набор мер), УЗ-3 (стандартный для большинства организаций), УЗ-2 (повышенный — для спецкатегорий и биометрии), УЗ-1 (максимальный — полный набор мер, криптозащита КС3+). Уровень определяется по трём параметрам: категория ПДн, тип актуальных угроз и объём обрабатываемых данных.

Зачем определять уровень защищённости ПДн?

Определение УЗ — обязательный шаг по ПП 1119 для каждого оператора ПДн. От уровня защищённости зависит перечень организационных и технических мер по Приказу ФСТЭК № 21: для УЗ-4 достаточно антивируса и межсетевого экрана, для УЗ-1 нужен полный набор мер включая средства криптозащиты. Без акта определения УЗ невозможно пройти проверку Роскомнадзора и ФСТЭК.

Как определить тип актуальных угроз?

Тип угроз определяется на основании модели угроз: 1-й тип — актуальны угрозы, связанные с недекларированными возможностями (НДВ) в системном ПО (ОС, СУБД); 2-й тип — НДВ в прикладном ПО; 3-й тип — угрозы не связаны с НДВ. Для 90% коммерческих организаций, использующих лицензионное ПО (Windows, 1С, Bitrix), актуален 3-й тип — это подтверждается моделью угроз.

Какой УЗ у большинства малых и средних компаний?

Большинство ООО и ИП получают УЗ-4 или УЗ-3. УЗ-4 — если обрабатываются иные (не специальные) ПДн сотрудников и клиентов (ФИО, телефон, email) при 3-м типе угроз и менее 100 000 субъектов. УЗ-3 — если есть специальные категории ПДн (данные о здоровье, например в медклинике) при 3-м типе угроз.

Нужно ли составлять акт определения УЗ для каждой ИСПДн?

Да, уровень защищённости определяется отдельно для каждой информационной системы персональных данных (ИСПДн), поскольку разные системы могут обрабатывать разные категории данных. Например, CRM с данными клиентов может получить УЗ-4, а медицинская ИС с данными о здоровье — УЗ-3 или УЗ-2.

Что будет при неправильном определении уровня защищённости?

Занижение УЗ приводит к недостаточным мерам защиты — это нарушение ст. 19 ФЗ-152 и Приказа ФСТЭК № 21. Штраф по ч. 6 ст. 13.11 КоАП: до 150 000 ₽ для юрлиц, повторно — до 500 000 ₽. Завышение УЗ — не нарушение, но влечёт избыточные расходы на средства защиты (сертифицированные СЗИ стоят сотни тысяч рублей).

Сколько уровней защищённости персональных данных установлено?

Постановлением Правительства РФ от 01.11.2012 № 1119 установлено 4 уровня защищённости: УЗ-1 (максимальный), УЗ-2 (повышенный), УЗ-3 (стандартный) и УЗ-4 (базовый). Каждый последующий уровень включает все меры предыдущего плюс дополнительные требования. Конкретный набор мер для каждого уровня определяется Приказом ФСТЭК России от 18.02.2013 № 21.

Чем отличается УЗ-3 от УЗ-4?

УЗ-4 — базовый уровень для организаций, обрабатывающих иные (не специальные) ПДн при 3-м типе угроз и менее 100 000 субъектов. Достаточно антивируса и межсетевого экрана. УЗ-3 требуется при обработке специальных категорий ПДн (данные о здоровье, судимости) при 3-м типе угроз. Дополнительно нужны: сертифицированные средства защиты, назначение ответственного за безопасность ПДн, разграничение и учёт действий пользователей.

Как автоматизировать определение УЗ и оформление акта?

Сервис Кибероснова Документы позволяет определить уровень защищённости с помощью онлайн-калькулятора на этой странице, а затем автоматически сформировать акт определения УЗ в конструкторе документов. Вы отвечаете на вопросы — система подставляет данные в шаблон акта по ПП 1119, готовый к утверждению руководителем. Также доступны смежные документы: модель угроз, перечень ИСПДн, приказ о назначении ответственного.

Подробнее: Уровни защищённости ПДн · Классификация ИСПДн · Категории персональных данных

Готовы оформить акт определения УЗ?

Конструктор автоматически сформирует акт определения уровня защищённости на основании ваших ответов.

Создать акт УЗ в конструкторе