Уровень защищённости персональных данных — ключевой параметр, от которого зависит весь набор организационных и технических мер по защите ИСПДн. Ошибка в определении уровня приводит либо к завышенным расходам, либо к штрафам от регуляторов. В этом руководстве — полная таблица определения уровня защищённости по ПП 1119, разбор каждого из четырёх уровней, сравнение мер защиты по приказу ФСТЭК №21 и практические примеры для типовых организаций.
Что такое уровень защищённости персональных данных
Уровень защищённости персональных данных (УЗ ПДн) — это комплексный показатель, характеризующий совокупность требований к обеспечению безопасности персональных данных при их обработке в информационных системах. Уровень определяет, какие именно меры защиты оператор обязан реализовать в конкретной ИСПДн.
До 2012 года классификация строилась на понятии «класс информационной системы» (К1–К4). С вступлением в силу Постановления Правительства РФ №1119 от 01.11.2012 система классов была заменена на четыре уровня защищённости: от УЗ-4 (базовый) до УЗ-1 (максимальный). Это изменение упростило классификацию и привело её в соответствие с реальными рисками обработки ПДн.
Определение и правовая основа (ПП 1119)
Правовая основа определения уровня защищённости — Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Документ принят во исполнение ч. 3 ст. 19 Федерального закона №152-ФЗ «О персональных данных».
ПП 1119 устанавливает:
- Четыре уровня защищённости ПДн (УЗ-1, УЗ-2, УЗ-3, УЗ-4)
- Три параметра для определения уровня: категория ПДн, тип актуальных угроз, количество субъектов
- Базовые организационные и технические требования к каждому уровню
- Обязанность оператора определить уровень защищённости для каждой ИСПДн
Результат определения уровня защищённости оформляется актом классификации ИСПДн — внутренним документом оператора, который предъявляется при проверках Роскомнадзора и ФСТЭК.
Зачем определять уровень защищённости
Определение уровня защищённости — не формальность. Это отправная точка для всей системы защиты ПДн:
- Выбор мер защиты. Приказ ФСТЭК №21 привязывает обязательные меры к конкретному уровню защищённости. Без определения уровня невозможно корректно подобрать меры.
- Выбор средств защиты. Класс сертификации СЗИ (средств защиты информации) зависит от уровня защищённости: для УЗ-1 требуются СЗИ не ниже 4-го класса, для УЗ-4 — 6-го класса.
- Бюджетирование. Разница в стоимости мер защиты между УЗ-4 и УЗ-1 может составлять миллионы рублей. Корректное определение уровня предотвращает необоснованные расходы.
- Комплаенс. При проверке Роскомнадзор и ФСТЭК запрашивают акт классификации ИСПДн. Отсутствие документа или ошибки в определении уровня — основание для предписания.
Связь с приказом ФСТЭК №21
Приказ ФСТЭК России от 18.02.2013 №21 детализирует технические меры защиты для каждого уровня. Документ содержит перечень из 109 мер, сгруппированных по 15 группам (идентификация, управление доступом, антивирусная защита и т.д.). Для каждой меры указано, при каком уровне защищённости она обязательна.
Логика связи: ПП 1119 определяет уровень → приказ ФСТЭК №21 определяет меры → оператор реализует конкретные меры в ИСПДн. Без первого шага второй и третий невозможны.
Три параметра для определения уровня защищённости
Уровень защищённости определяется на пересечении трёх параметров. Каждый параметр имеет несколько значений, и их комбинация однозначно определяет уровень.
Параметр 1 — Категория персональных данных
ПП 1119 выделяет четыре категории ПДн, ранжированные по степени чувствительности:
Специальные ПДн (ст. 10 152-ФЗ) — данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведения о судимостях. Это наиболее чувствительная категория, требующая максимальной защиты.
Биометрические ПДн (ст. 11 152-ФЗ) — сведения о физиологических и биологических особенностях человека, используемые для его идентификации: отпечатки пальцев, фотографии (если используются для идентификации), образцы голоса, радужная оболочка глаза. Фотография в личном деле сотрудника, не используемая для идентификации, — это не биометрические ПДн.
Общедоступные ПДн — персональные данные, включённые в общедоступные источники информации (справочники, адресные книги) с письменного согласия субъекта. На практике эта категория встречается редко.
Иные ПДн — все персональные данные, не относящиеся к первым трём категориям: ФИО, дата рождения, адрес, телефон, email, должность, место работы, размер заработной платы. Это самая распространённая категория — именно такие данные обрабатывает большинство организаций.
Параметр 2 — Тип актуальных угроз
Тип актуальных угроз определяется наличием недекларированных (недокументированных) возможностей в программном обеспечении, используемом в ИСПДн:
| Тип угроз | Определение | Когда актуален | На практике |
|---|---|---|---|
| 1-й тип | Актуальны НДВ в системном ПО (ОС, СУБД, системное ПО) | Оператор не доверяет разработчику системного ПО | Крайне редко, только в специфических госструктурах |
| 2-й тип | Актуальны НДВ в прикладном ПО (бизнес-приложения) | Используется нелицензионное или непроверенное прикладное ПО | Редко, при использовании ПО без сертификации |
| 3-й тип | НДВ не актуальны ни в системном, ни в прикладном ПО | Используется лицензионное и проверенное ПО | Наиболее распространённый вариант (90%+ организаций) |
Тип угроз определяется в модели угроз ИСПДн. Если модель угроз ещё не разработана — начните с неё. Автоматизировать разработку модели угроз можно с помощью Модуля моделирования угроз платформы КиберОснова.
Параметр 3 — Количество субъектов ПДн
ПП 1119 устанавливает два порога:
- Менее 100 000 субъектов — типично для малого и среднего бизнеса, отдельных подразделений крупных организаций
- Более 100 000 субъектов — крупные операторы: банки, телеком, ритейл, госорганы федерального уровня
Дополнительно учитывается, обрабатываются ли ПДн сотрудников оператора или иных лиц (клиентов, контрагентов, граждан). Для ПДн сотрудников при определённых условиях устанавливается более низкий уровень защищённости.
Таблица определения уровня защищённости ПДн
Полная таблица из ПП 1119
Ниже приведена сводная таблица, объединяющая все комбинации параметров из Постановления Правительства №1119. Найдите свою категорию ПДн, тип угроз и количество субъектов — на пересечении указан требуемый уровень защищённости.
| Категория ПДн | Тип угроз | Субъекты | Количество | УЗ |
|---|---|---|---|---|
| Специальные | 1-й тип | сотрудники / иные | любое | УЗ-1 |
| Специальные | 2-й тип | иные лица | более 100 000 | УЗ-1 |
| Специальные | 2-й тип | иные лица | менее 100 000 | УЗ-2 |
| Специальные | 2-й тип | сотрудники | любое | УЗ-2 |
| Специальные | 3-й тип | иные лица | более 100 000 | УЗ-2 |
| Специальные | 3-й тип | иные лица | менее 100 000 | УЗ-3 |
| Специальные | 3-й тип | сотрудники | любое | УЗ-3 |
| Биометрические | 1-й тип | сотрудники / иные | любое | УЗ-1 |
| Биометрические | 2-й тип | сотрудники / иные | любое | УЗ-2 |
| Биометрические | 3-й тип | сотрудники / иные | любое | УЗ-3 |
| Иные | 1-й тип | сотрудники / иные | любое | УЗ-1 |
| Иные | 2-й тип | иные лица | более 100 000 | УЗ-1 |
| Иные | 2-й тип | иные лица | менее 100 000 | УЗ-3 |
| Иные | 2-й тип | сотрудники | любое | УЗ-3 |
| Иные | 3-й тип | иные лица | более 100 000 | УЗ-2 |
| Иные | 3-й тип | иные лица | менее 100 000 | УЗ-4 |
| Иные | 3-й тип | сотрудники | любое | УЗ-4 |
| Общедоступные | 1-й тип | сотрудники / иные | любое | УЗ-2 |
| Общедоступные | 2-й тип | сотрудники / иные | любое | УЗ-3 |
| Общедоступные | 3-й тип | сотрудники / иные | любое | УЗ-4 |
Упрощённый алгоритм определения
Для быстрого определения уровня защищённости используйте пошаговый алгоритм:
- Определите категорию ПДн. Обрабатываете ли вы специальные, биометрические, общедоступные или иные ПДн? Если в одной ИСПДн обрабатываются несколько категорий — берётся наиболее чувствительная.
- Определите тип актуальных угроз. Используете лицензионное ПО, не являетесь разработчиком ОС/СУБД? В 90% случаев — угрозы 3-го типа.
- Подсчитайте количество субъектов. Включая сотрудников, клиентов, контрагентов, пользователей. Превышаете порог 100 000?
- Определите, чьи ПДн обрабатываются. Только сотрудники оператора или также иные лица?
- Найдите пересечение в таблице выше.
Платформа КиберОснова определяет уровень защищённости автоматически: вы вводите параметры ИСПДн, система рассчитывает УЗ и формирует акт классификации. Это исключает ошибки ручного определения и экономит время.
Характеристика каждого уровня защищённости
УЗ-4 — базовый уровень
Для кого: организации, обрабатывающие иные или общедоступные ПДн при угрозах 3-го типа. Типичный пример — небольшая компания с базой клиентов менее 100 000 человек, хранящая ФИО, телефоны и email.
Требования ПП 1119 для УЗ-4:
- Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн
- Обеспечение сохранности носителей персональных данных
- Утверждение руководителем перечня лиц, имеющих доступ к ПДн
- Использование средств защиты информации, прошедших процедуру оценки соответствия
УЗ-3 — стандартный для большинства организаций
Для кого: организации, обрабатывающие специальные ПДн при угрозах 3-го типа (менее 100 000 субъектов), биометрические ПДн при угрозах 3-го типа, а также иные ПДн при угрозах 2-го типа.
Дополнительные требования УЗ-3 (сверх УЗ-4):
- Назначение должностного лица, ответственного за обеспечение безопасности ПДн в ИСПДн
На практике УЗ-3 — самый распространённый уровень для средних организаций: медицинских клиник, учебных заведений, компаний с кадровым учётом, содержащим данные о здоровье сотрудников.
УЗ-2 — повышенный
Для кого: крупные операторы специальных ПДн, организации с биометрическими данными при угрозах 2-го типа, операторы иных ПДн с объёмом более 100 000 субъектов при угрозах 3-го типа.
Дополнительные требования УЗ-2 (сверх УЗ-3):
- Доступ к содержимому электронного журнала сообщений — только для должностных лиц оператора или уполномоченного лица, которым эта информация необходима для выполнения служебных обязанностей
УЗ-1 — максимальный
Для кого: государственные системы со специальными или биометрическими ПДн при угрозах 1-го типа, крупнейшие операторы ПДн с угрозами 2-го типа и объёмом более 100 000 субъектов.
Дополнительные требования УЗ-1 (сверх УЗ-2):
- Автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника оператора по доступу к ПДн
- Создание структурного подразделения, ответственного за обеспечение безопасности ПДн, либо возложение функций на существующее подразделение
Требования к мерам защиты по каждому уровню
Организационные требования (ПП 1119)
| Требование | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|
| Режим безопасности помещений | да | да | да | да |
| Сохранность носителей ПДн | да | да | да | да |
| Перечень лиц с доступом к ПДн | да | да | да | да |
| Использование сертифицированных СЗИ | да | да | да | да |
| Назначение ответственного за безопасность ПДн | -- | да | да | да |
| Ограничение доступа к электронному журналу | -- | -- | да | да |
| Автоматическая регистрация изменений прав | -- | -- | -- | да |
| Подразделение безопасности | -- | -- | -- | да |
Технические меры (приказ ФСТЭК №21)
Приказ ФСТЭК №21 определяет 109 мер защиты, сгруппированных в 15 групп. Количество обязательных мер растёт с повышением уровня защищённости:
| Группа мер | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|
| Идентификация и аутентификация (ИАФ) | 2 | 4 | 5 | 6 |
| Управление доступом (УПД) | 6 | 10 | 13 | 17 |
| Регистрация событий безопасности (РСБ) | 2 | 4 | 6 | 8 |
| Антивирусная защита (АВЗ) | 1 | 2 | 2 | 2 |
| Контроль (анализ) защищённости (АНЗ) | 1 | 3 | 4 | 5 |
| Защита среды виртуализации (ЗСВ) | 3 | 5 | 8 | 10 |
| Защита информационных систем (ЗИС) | 5 | 9 | 14 | 20 |
| Управление конфигурацией (УКФ) | 1 | 2 | 3 | 4 |
Полный перечень мер для каждого уровня содержится в Приложении к приказу ФСТЭК №21. Платформа КиберОснова автоматически формирует перечень обязательных мер на основании определённого уровня защищённости и позволяет отслеживать их реализацию в модуле Управления рисками.
Сравнительная таблица мер по уровням
| Параметр | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|
| Общее число обязательных мер | ~30 | ~50 | ~70 | ~90 |
| Класс СЗИ (не ниже) | 6 | 5 | 4 | 4 |
| Класс МЭ (не ниже) | 5 | 4 | 3 | 2 |
| Сертификация ФСТЭК | рекомендуется | рекомендуется | обязательна | обязательна |
| Аттестация ИСПДн | не требуется | не требуется | рекомендуется | обязательна |
| Оценочная стоимость реализации | от 200 000 руб. | от 500 000 руб. | от 1 500 000 руб. | от 5 000 000 руб. |
Практические примеры определения уровня
Пример 1 — Интернет-магазин (УЗ-4)
Организация: интернет-магазин электроники, 15 сотрудников, 40 000 клиентов в базе.
| Параметр | Значение |
|---|---|
| Категория ПДн | Иные (ФИО, телефон, email, адрес доставки) |
| Тип угроз | 3-й (лицензионное ПО, CMS, хостинг) |
| Количество субъектов | Менее 100 000 (сотрудники + клиенты) |
| Чьи ПДн | Иные лица (клиенты) |
| Уровень защищённости | УЗ-4 |
Меры защиты: базовый набор по ФСТЭК №21, антивирус, межсетевой экран 5-го класса, разграничение доступа, резервное копирование.
Пример 2 — Медицинская клиника (УЗ-3)
Организация: частная клиника на 50 врачей, 25 000 пациентов, МИС с медицинскими картами.
| Параметр | Значение |
|---|---|
| Категория ПДн | Специальные (данные о здоровье, диагнозы) |
| Тип угроз | 3-й (лицензионная МИС, лицензионная ОС) |
| Количество субъектов | Менее 100 000 |
| Чьи ПДн | Иные лица (пациенты) |
| Уровень защищённости | УЗ-3 |
Меры защиты: назначение ответственного за безопасность ПДн, расширенный набор мер ФСТЭК №21, СЗИ не ниже 5-го класса, межсетевой экран 4-го класса.
Пример 3 — Крупный банк (УЗ-2)
Организация: коммерческий банк, 3 000 сотрудников, 2 000 000 клиентов, ДБО, скоринг.
| Параметр | Значение |
|---|---|
| Категория ПДн | Иные (ФИО, паспортные данные, финансовые данные) |
| Тип угроз | 3-й (сертифицированное ПО) |
| Количество субъектов | Более 100 000 |
| Чьи ПДн | Иные лица (клиенты) |
| Уровень защищённости | УЗ-2 |
Меры защиты: полный набор мер УЗ-3 + ограничение доступа к электронному журналу, СЗИ не ниже 4-го класса, рекомендуется аттестация ИСПДн, межсетевой экран 3-го класса.
Пример 4 — Федеральный госорган (УЗ-1)
Организация: федеральное ведомство, ГИС обработки обращений граждан, обработка специальных ПДн, собственная разработка системного ПО.
| Параметр | Значение |
|---|---|
| Категория ПДн | Специальные (данные о здоровье, судимостях в обращениях) |
| Тип угроз | 1-й (собственное системное ПО, НДВ актуальны) |
| Количество субъектов | Более 100 000 |
| Чьи ПДн | Иные лица (граждане) |
| Уровень защищённости | УЗ-1 |
Меры защиты: максимальный набор мер ФСТЭК №21, создание подразделения безопасности, автоматическая регистрация изменений прав доступа, обязательная аттестация ИСПДн, СЗИ не ниже 4-го класса, межсетевой экран 2-го класса.
Типичные ошибки при определении уровня защищённости
Завышение уровня
Завышение уровня защищённости — ошибка, которая стоит денег. Если организация ошибочно определила УЗ-2 вместо УЗ-4, она обязана реализовать вдвое больше мер защиты, закупить СЗИ более высокого класса и, возможно, пройти аттестацию. Разница в бюджете — от нескольких сотен тысяч до миллионов рублей.
Типичная причина: перестраховка без анализа. Специалист по ИБ «на всякий случай» устанавливает максимальный тип угроз или неправильно классифицирует категорию ПДн.
Занижение уровня
Занижение уровня — ошибка, которая стоит штрафов. При проверке ФСТЭК или Роскомнадзор обнаруживает, что фактический уровень защищённости не соответствует составу обрабатываемых ПДн. Последствия: предписание с конкретными сроками устранения, административный штраф по ст. 13.11 КоАП РФ (до 18 000 000 руб. за повторные нарушения с 2025 года).
Типичная причина: попытка сэкономить на защите. Оператор «не замечает», что обрабатывает специальные ПДн (например, данные о здоровье сотрудников в кадровом учёте).
Неправильное определение типа угроз
Самая частая ошибка — неверное определение типа актуальных угроз. На практике это происходит, когда модель угроз разрабатывается формально или не разрабатывается вовсе. Организация не может обосновать выбранный тип угроз перед проверяющим, что ставит под сомнение всю классификацию.
Рекомендация: тип угроз должен быть обоснован в модели угроз ИСПДн. Документ утверждается руководителем организации и предъявляется при проверках. Автоматизировать разработку модели угроз можно в платформе КиберОснова.
Автоматизация определения уровня защищённости
Калькулятор уровня защищённости в SGRC
Ручное определение уровня защищённости для одной ИСПДн — задача на 30 минут. Но в крупной организации может быть десятки и сотни ИСПДн, каждая со своим набором параметров. Ручная классификация становится источником ошибок и занимает недели.
SGRC-система решает эту задачу автоматически. Оператор вводит параметры ИСПДн: состав обрабатываемых ПДн, результаты моделирования угроз, количество субъектов. Система определяет уровень защищённости, формирует акт классификации и привязывает ИСПДн к соответствующему набору мер защиты.
Автоматический подбор мер защиты
После определения уровня защищённости платформа КиберОснова автоматически:
- Формирует перечень обязательных мер по приказу ФСТЭК №21 для данного уровня
- Учитывает адаптацию мер — оператор может исключить неприменимые меры с обоснованием (например, меры по виртуализации, если виртуализация не используется)
- Отслеживает статус реализации каждой меры: «запланирована», «реализована», «требует доработки»
- Генерирует документы: акт классификации, перечень мер защиты, план мероприятий по обеспечению безопасности ПДн
Такой подход реализует принцип автоматизации ИБ — от определения уровня защищённости до полного набора документов за минуты, а не недели.
Если ваша организация обрабатывает персональные данные и вам нужно определить уровень защищённости ИСПДн — запросите демо платформы КиберОснова. Специалисты покажут, как автоматизировать классификацию ИСПДн, подбор мер защиты и генерацию документов по 152-ФЗ.
FAQ — Частые вопросы об уровнях защищённости ПДн
Сколько уровней защищённости персональных данных существует?
Постановление Правительства РФ №1119 устанавливает 4 уровня защищённости: УЗ-1 (максимальный), УЗ-2, УЗ-3, УЗ-4 (базовый). Уровень определяется на основании категории ПДн, типа актуальных угроз и количества субъектов.
Как определить тип актуальных угроз для ИСПДн?
Тип угроз определяется наличием недокументированных возможностей (НДВ) в ПО. Угрозы 1-го типа — НДВ в системном ПО; 2-го типа — НДВ в прикладном ПО; 3-го типа — НДВ не актуальны. Для большинства коммерческих организаций, использующих лицензионное ПО, актуален 3-й тип.
Какой уровень защищённости чаще всего требуется коммерческим организациям?
УЗ-3 или УЗ-4. При обработке иных ПДн (ФИО, телефон, email) с угрозами 3-го типа и менее 100 000 субъектов — УЗ-4. При обработке специальных ПДн (данные о здоровье) или более 100 000 субъектов — УЗ-3.
Нужно ли пересматривать уровень защищённости ПДн?
Да. Пересмотр необходим при изменении состава обрабатываемых ПДн, количества субъектов, типа угроз или архитектуры ИСПДн. Рекомендуемая периодичность — не реже одного раза в год в рамках аудита ИБ.
Чем отличается ПП 1119 от приказа ФСТЭК №21?
ПП 1119 определяет уровни защищённости и базовые организационные требования. Приказ ФСТЭК №21 детализирует технические меры защиты для каждого уровня. Эти документы работают в связке: сначала определяется уровень по ПП 1119, затем подбираются меры по приказу №21.
Что будет, если не определить уровень защищённости?
Отсутствие акта классификации ИСПДн — нарушение ч. 1 ст. 19 152-ФЗ. При проверке Роскомнадзора или ФСТЭК выдаётся предписание. Штрафы по ст. 13.11 КоАП РФ: для должностных лиц — до 100 000 руб., для юридических лиц — до 300 000 руб., за повторные нарушения — до 18 000 000 руб.
