Система защиты персональных данных (СЗПДн) — комплекс организационных и технических мер, средств защиты информации и процессов, обеспечивающих безопасность ПДн при их обработке в информационных системах. Каждый оператор персональных данных обязан создать такую систему — это прямое требование 152-ФЗ, конкретизированное Постановлением Правительства №1119 и Приказом ФСТЭК №21.
В этой статье — полный алгоритм построения СЗПДн: от нормативной базы и определения уровня защищённости до конкретных организационных и технических мер, перечня документов и автоматизации управления.
Что такое система защиты персональных данных (СЗПДн)
Определение и компоненты СЗПДн
Система защиты персональных данных — это не отдельный программный продукт, а совокупность взаимосвязанных элементов:
- Организационно-распорядительные документы — политики, положения, регламенты, приказы, инструкции, определяющие порядок обработки и защиты ПДн.
- Технические средства защиты — антивирусное ПО, межсетевые экраны, средства криптографической защиты (СКЗИ), системы обнаружения вторжений, DLP-системы.
- Процедуры контроля — аудит, мониторинг, оценка эффективности мер, реагирование на инциденты.
- Кадровое обеспечение — назначение ответственных лиц, обучение персонала, разграничение доступа.
СЗПДн создаётся для каждой информационной системы персональных данных (ИСПДн) или группы систем с одинаковым уровнем защищённости. Цель — обеспечить конфиденциальность, целостность и доступность ПДн, а также выполнить требования регуляторов.
Кто обязан создавать систему защиты ПДн
Систему защиты ПДн обязан создать каждый оператор персональных данных — любое юридическое или физическое лицо, которое определяет цели и способы обработки ПДн (ст. 3 152-ФЗ). На практике это:
- работодатели (кадровые данные сотрудников);
- интернет-магазины и онлайн-сервисы (данные клиентов);
- медицинские и образовательные учреждения;
- банки и финансовые организации;
- государственные органы;
- любая организация с CRM, HR-системой или базой клиентов.
Даже индивидуальный предприниматель с одним наёмным сотрудником является оператором ПДн и обязан обеспечить защиту персональных данных.
Нормативная база: ключевые документы
152-ФЗ «О персональных данных» — базовые обязанности оператора
Федеральный закон №152-ФЗ от 27.07.2006 — основной закон, устанавливающий требования к обработке ПДн в России. Ключевые обязанности оператора:
- определить цели и правовые основания обработки ПДн (ст. 5, 6);
- получить согласие субъекта на обработку (ст. 9);
- обеспечить безопасность ПДн при обработке (ст. 19);
- уведомить Роскомнадзор об обработке ПДн (ст. 22);
- назначить ответственного за организацию обработки ПДн (ст. 22.1);
- принять документы, определяющие политику обработки ПДн (ст. 18.1).
С 2025 года усилена ответственность за нарушения: оборотные штрафы за утечки ПДн достигают 3% годовой выручки, а фиксированные штрафы за утечку — до 18 млн руб.
Постановление Правительства №1119 — уровни защищённости
ПП-1119 от 01.11.2012 устанавливает четыре уровня защищённости ПДн (УЗ-1 — максимальный, УЗ-4 — минимальный). Уровень определяется комбинацией трёх факторов:
- Категория ПДн — специальные, биометрические, общедоступные или иные.
- Тип актуальных угроз — 1-го, 2-го или 3-го типа.
- Количество субъектов ПДн — более или менее 100 000 человек.
Уровень защищённости напрямую определяет набор обязательных мер защиты по Приказу ФСТЭК №21.
Приказ ФСТЭК №21 — технические и организационные меры
Приказ ФСТЭК России №21 от 18.02.2013 — основной документ, описывающий конкретные меры защиты ПДн. Устанавливает базовые наборы мер для каждого уровня защищённости и порядок их адаптации.
Приказ содержит 15 групп мер (более 100 конкретных мер), которые оператор должен реализовать в зависимости от уровня защищённости ИСПДн.
Приказ ФСБ №378 — требования при использовании СКЗИ
Приказ ФСБ России №378 от 10.07.2014 устанавливает требования к защите ПДн при использовании средств криптографической защиты информации. Если организация применяет СКЗИ для защиты ПДн (шифрование каналов, электронная подпись, криптографическая аутентификация), необходимо выполнять дополнительные требования: поэкземплярный учёт СКЗИ, контроль доступа к криптосредствам, ведение журналов.
Уровни защищённости ПДн: как определить свой
Категории ПДн
152-ФЗ и ПП-1119 выделяют четыре категории персональных данных:
| Категория | Описание | Примеры |
|---|---|---|
| Специальные | Сведения о расовой, национальной принадлежности, политических взглядах, здоровье, интимной жизни | Медицинские диагнозы, результаты анализов, данные о судимости |
| Биометрические | Физиологические и биологические особенности для идентификации | Отпечатки пальцев, фотография в системе контроля доступа, радужная оболочка глаза |
| Общедоступные | ПДн из общедоступных источников (с согласия субъекта) | Данные из справочников, публичных реестров |
| Иные | Все ПДн, не относящиеся к первым трём категориям | ФИО, дата рождения, адрес, телефон, email, данные паспорта |
Большинство коммерческих организаций обрабатывают иные ПДн (кадровые данные, контактные данные клиентов). Медицинские учреждения — специальные. Организации с биометрическими СКУД — биометрические.
Типы актуальных угроз
ПП-1119 определяет три типа угроз:
- Угрозы 1-го типа — связаны с наличием недокументированных возможностей (НДВ) в системном программном обеспечении (ОС, СУБД). Актуальны при использовании несертифицированного системного ПО.
- Угрозы 2-го типа — связаны с НДВ в прикладном программном обеспечении. Актуальны при использовании несертифицированного прикладного ПО.
- Угрозы 3-го типа — не связаны с НДВ в программном обеспечении. Наиболее распространённый тип для коммерческих организаций.
Таблица определения уровня защищённости
| Категория ПДн | Угрозы 1-го типа | Угрозы 2-го типа | Угрозы 3-го типа (>100К) | Угрозы 3-го типа (<100К) |
|---|---|---|---|---|
| Специальные | УЗ-1 | УЗ-1 | УЗ-2 | УЗ-3 |
| Биометрические | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-3 |
| Иные | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
| Общедоступные | УЗ-2 | УЗ-2 | УЗ-4 | УЗ-4 |
Типовой сценарий для среднего бизнеса: иные ПДн + угрозы 3-го типа + менее 100 000 субъектов = УЗ-4. Для организаций с кадровым учётом, медицинскими данными сотрудников или биометрическими СКУД уровень повышается.
Пошаговый алгоритм построения СЗПДн
Шаг 1 — Инвентаризация ИСПДн и обрабатываемых ПДн
Первый шаг — определить, какие персональные данные обрабатывает организация и в каких информационных системах. Результат — реестр ИСПДн.
Для каждой ИСПДн необходимо зафиксировать:
- наименование и назначение системы;
- категории обрабатываемых ПДн;
- количество субъектов ПДн;
- цели и правовые основания обработки;
- способы обработки (автоматизированная, неавтоматизированная);
- перечень лиц, имеющих доступ к ПДн.
SGRC-платформа КиберОснова позволяет вести реестр ИСПДн в структурированном виде с привязкой к активам, ответственным лицам и средствам защиты.
Шаг 2 — Определение уровня защищённости
На основании результатов инвентаризации для каждой ИСПДн определяется уровень защищённости по ПП-1119. Процедура:
- Определить категорию ПДн, обрабатываемых в ИСПДн.
- Определить тип актуальных угроз (на основании анализа используемого ПО).
- Определить количество субъектов ПДн.
- По таблице ПП-1119 установить уровень защищённости.
Результат оформляется актом определения уровня защищённости, который подписывает комиссия организации.
Шаг 3 — Разработка модели угроз
Модель угроз безопасности ПДн — документ, описывающий актуальные угрозы для конкретной ИСПДн. Разрабатывается в соответствии с методикой ФСТЭК (Методика оценки угроз безопасности информации, 2021).
Модель угроз включает:
- описание ИСПДн и её инфраструктуры;
- перечень возможных источников угроз;
- перечень актуальных угроз с оценкой вероятности и ущерба;
- выводы о необходимых мерах защиты.
Модель угроз — основа для выбора конкретных мер защиты на следующем шаге.
Шаг 4 — Выбор и реализация мер защиты
На основании уровня защищённости и модели угроз формируется перечень мер защиты. Алгоритм по Приказу ФСТЭК №21:
- Определить базовый набор мер для установленного уровня защищённости.
- Адаптировать базовый набор — исключить меры, не применимые к конкретной ИСПДн.
- Дополнить — добавить меры для нейтрализации актуальных угроз, не закрытых базовым набором.
- Дополнить — учесть требования других НПА (отраслевые стандарты, ГОСТ).
Шаг 5 — Разработка организационно-распорядительной документации
На этом этапе создаётся полный комплект документов по защите ПДн: приказы, положения, инструкции, согласия, журналы. Подробный перечень документов — тема отдельной статьи.
Ключевые документы:
- приказ о назначении ответственного за обработку ПДн;
- положение об обработке и защите ПДн;
- политика обработки ПДн (публичный документ);
- формы согласий субъектов;
- перечень лиц, допущенных к обработке ПДн;
- инструкция по обработке ПДн.
Шаг 6 — Внедрение технических средств защиты
Установка, настройка и ввод в эксплуатацию технических средств защиты в соответствии с выбранными мерами. На этом этапе:
- устанавливаются и настраиваются средства защиты (антивирус, МЭ, СКЗИ, DLP);
- настраивается разграничение доступа в ИСПДн;
- включается журналирование событий безопасности;
- настраивается резервное копирование.
Шаг 7 — Оценка эффективности мер защиты
Завершающий шаг — проверка того, что реализованные меры действительно обеспечивают требуемый уровень защищённости. Формы оценки:
- Внутренний аудит — проверка силами ИБ-подразделения или привлечённых специалистов.
- Аттестация — обязательна для ГИС (по Приказу ФСТЭК №117), для коммерческих организаций — рекомендована.
- Тестирование на проникновение — практическая проверка устойчивости мер защиты.
Модуль аудита ИБ в платформе КиберОснова позволяет планировать, проводить и фиксировать результаты проверок с привязкой к конкретным мерам и требованиям.
Организационные меры защиты ПДн
Назначение ответственных лиц
Статья 22.1 152-ФЗ обязывает оператора назначить лицо, ответственное за организацию обработки ПДн. Дополнительно назначаются:
- Администратор безопасности ИСПДн — отвечает за техническую эксплуатацию средств защиты.
- Владельцы ИСПДн — руководители подразделений, определяющие состав и цели обработки ПДн.
- Пользователи ИСПДн — сотрудники, непосредственно обрабатывающие ПДн.
Политики и регламенты обработки ПДн
Организационные меры включают разработку и утверждение внутренних документов:
- положение об обработке и защите ПДн;
- регламент реагирования на инциденты с ПДн;
- регламент предоставления и отзыва доступа к ПДн;
- порядок работы с обращениями субъектов ПДн;
- порядок уничтожения ПДн по истечении сроков обработки.
Обучение персонала
Все сотрудники, допущенные к обработке ПДн, должны быть ознакомлены с положением (под подпись), обучены правилам обработки и защиты ПДн, проинформированы об ответственности за нарушения. Рекомендуемая периодичность обучения — не реже одного раза в год.
Управление инцидентами с ПДн
С 2023 года оператор обязан уведомлять Роскомнадзор об инцидентах с ПДн в течение 24 часов с момента обнаружения, а результаты внутреннего расследования — в течение 72 часов. Организация должна иметь регламент реагирования, назначенных ответственных за расследование, каналы уведомления РКН и журнал учёта инцидентов.
Технические меры защиты ПДн по приказу ФСТЭК №21
Группы мер защиты
Приказ ФСТЭК №21 определяет 15 групп мер защиты ПДн. Ниже — основные группы с указанием требуемых уровней защищённости.
| Группа мер | Обозначение | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| Идентификация и аутентификация | ИАФ | Да | Да | Да | Да |
| Управление доступом | УПД | Да | Да | Да | Да |
| Ограничение программной среды | ОПС | Нет | Нет | Да | Да |
| Защита машинных носителей | ЗНИ | Да | Да | Да | Да |
| Регистрация событий безопасности | РСБ | Да | Да | Да | Да |
| Антивирусная защита | АВЗ | Да | Да | Да | Да |
| Обнаружение вторжений | СОВ | Нет | Да | Да | Да |
| Контроль защищённости | АНЗ | Да | Да | Да | Да |
| Обеспечение целостности | ОЦЛ | Нет | Да | Да | Да |
| Защита среды виртуализации | ЗСВ | По наличию | По наличию | Да | Да |
| Защита технических средств | ЗТС | Да | Да | Да | Да |
| Защита информационной системы | ЗИС | Да | Да | Да | Да |
| Управление конфигурацией | УКФ | Нет | Нет | Да | Да |
| Управление обновлениями ПО | ОПО | Да | Да | Да | Да |
Идентификация, аутентификация, управление доступом
Базовые меры, обязательные для всех уровней защищённости:
- идентификация и аутентификация пользователей ИСПДн (логин/пароль, многофакторная аутентификация для привилегированных учётных записей);
- управление учётными записями (создание, блокировка, удаление);
- разграничение доступа на основе ролевой модели;
- минимально необходимые привилегии (принцип наименьших полномочий);
- блокировка сеанса при неактивности.
Антивирусная защита и обнаружение вторжений
АВЗ — антивирусное ПО на всех рабочих станциях и серверах ИСПДн с регулярным обновлением баз. СОВ (обязательно с УЗ-3) — система обнаружения/предотвращения вторжений (IDS/IPS) на сетевом периметре ИСПДн.
Регистрация событий и контроль защищённости
РСБ — журналирование событий доступа к ПДн, действий пользователей, событий безопасности. Хранение журналов не менее 6 месяцев. АНЗ — регулярное сканирование уязвимостей, контроль настроек средств защиты, проверка обновлений.
Резервное копирование и обеспечение целостности
Регулярное резервное копирование ПДн и конфигураций средств защиты. Контроль целостности программного обеспечения и данных. Возможность восстановления ПДн из резервных копий.
Документы для системы защиты ПДн
Перечень обязательных документов
Минимальный комплект документов для СЗПДн включает:
- Приказ о назначении ответственного за обработку ПДн.
- Положение об обработке и защите ПДн.
- Политика обработки ПДн (публичная, для сайта).
- Согласия субъектов на обработку ПДн (формы).
- Согласие на распространение ПДн (отдельная форма, ст. 10.1).
- Перечень ИСПДн.
- Перечень лиц, допущенных к обработке ПДн.
- Модель угроз безопасности ПДн.
- Акт определения уровня защищённости.
- Обязательство о неразглашении ПДн.
- Инструкция по обработке ПДн.
- Уведомление в Роскомнадзор.
Уведомление в Роскомнадзор
Согласно ст. 22 152-ФЗ, оператор обязан уведомить Роскомнадзор до начала обработки ПДн. Уведомление подаётся через портал pd.rkn.gov.ru и содержит:
- сведения об операторе;
- цели и правовые основания обработки;
- категории субъектов и ПДн;
- меры по обеспечению безопасности;
- сведения о трансграничной передаче (при наличии).
Модель угроз и ТЗ на СЗПДн
Модель угроз и техническое задание — технические документы, обосновывающие выбор конкретных мер и средств защиты. Разрабатываются для каждой ИСПДн (или группы ИСПДн с однотипной архитектурой).
Типичные ошибки при построении СЗПДн
Формальный подход без реальных мер
Наиболее распространённая ошибка — создание документов «для галочки» без реализации технических мер. Организация утверждает положение, подписывает приказы, но не настраивает средства защиты, не разграничивает доступ, не ведёт журналирование. При проверке ФСТЭК или Роскомнадзора такой подход выявляется и влечёт штрафы.
Неактуальная модель угроз
Модель угроз, составленная один раз и не пересматриваемая, теряет актуальность при изменении ИТ-инфраструктуры, появлении новых угроз или изменении состава обрабатываемых ПДн. Рекомендуется пересматривать модель угроз не реже одного раза в год.
Отсутствие контроля и обновления мер
СЗПДн — не проект, а процесс. После первоначального построения необходим регулярный контроль: обновление средств защиты, пересмотр прав доступа, актуализация документов, проведение аудитов ИБ.
Автоматизация управления СЗПДн с помощью SGRC
Реестр ИСПДн и категорий ПДн
SGRC-платформа КиберОснова позволяет вести централизованный реестр информационных систем персональных данных с привязкой к:
- категориям обрабатываемых ПДн;
- уровню защищённости;
- ответственным лицам;
- техническим средствам защиты;
- инвентаризации активов.
При изменении состава ИСПДн или категорий ПДн платформа автоматически пересчитывает требуемый уровень защищённости и формирует перечень мер.
Контроль выполнения требований приказа №21
Платформа содержит преднастроенный чек-лист мер по Приказу ФСТЭК №21 для каждого уровня защищённости. Для каждой меры отслеживается:
- статус реализации (реализована / частично / не реализована);
- ответственный;
- подтверждающие документы;
- срок следующей проверки.
GAP-анализ автоматически выявляет нереализованные требования и формирует план устранения несоответствий.
Управление документацией и инцидентами
Модуль документов ИБ обеспечивает:
- генерацию документов по шаблонам на основе данных организации;
- контроль версий и сроков пересмотра;
- маршруты согласования и утверждения;
- формирование полного пакета для проверки Роскомнадзора или ФСТЭК.
Управление инцидентами с ПДн включает регистрацию, расследование, формирование уведомлений в РКН в установленные сроки (24/72 часа).
FAQ — Частые вопросы о системе защиты ПДн
Что такое СЗПДн? Совокупность организационных и технических мер, средств защиты и процессов для обеспечения безопасности ПДн при обработке в информационных системах. Требования установлены 152-ФЗ, ПП-1119 и Приказом ФСТЭК №21.
Кто обязан создать СЗПДн? Каждый оператор персональных данных — любое юридическое или физическое лицо, определяющее цели и способы обработки ПДн. На практике — все организации с кадровым учётом, базой клиентов или CRM.
Как определить уровень защищённости? По ПП-1119 на основе трёх параметров: категория ПДн, тип актуальных угроз и количество субъектов. Большинство коммерческих организаций — УЗ-3 или УЗ-4.
Какие технические меры обязательны? Приказ ФСТЭК №21 устанавливает 15 групп мер (ИАФ, УПД, АВЗ, РСБ, АНЗ, ЗИС и другие). Конкретный набор зависит от уровня защищённости ИСПДн.
Сколько стоит СЗПДн? Для среднего бизнеса (УЗ-3): документация — от 200 тыс. руб., технические средства — от 500 тыс. руб., SGRC-платформа — от 300 тыс. руб./год. Штраф за утечку — до 18 млн руб.
Можно ли автоматизировать? Да. КиберОснова автоматизирует реестр ИСПДн, контроль мер по ФСТЭК №21, документацию, модель угроз и управление рисками. Запросите демо.
