СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Статьи
Игорь
Вчера в 23:45
#ИБ

Защита персональных данных: требования, уровни защищённости и меры

Защита персональных данных: требования, уровни защищённости и меры

Изображение: OpenAI

Утечки персональных данных перестали быть редкой неприятностью и обернулись для компаний прямыми финансовыми потерями. С 30 мая 2025 года за повторную крупную утечку компании грозит оборотный штраф до 500 миллионов рублей, а с конца 2024 года за незаконный оборот персональных данных в Уголовном кодексе появилась отдельная статья. На этом фоне защита персональных данных перешла из разряда формальностей в число критичных для бизнеса задач. При этом сами требования разбросаны по закону, постановлениям Правительства и приказам ФСТЭК России и ФСБ России, и свести их воедино непросто.

В этой статье разбираем защиту персональных данных как практическую задачу. Покажем, какие документы её регулируют, как определить уровень защищённости своей системы, какие меры и средства защиты применять, что оформить документально и кто за это отвечает. Отдельно разберём частные случаи, которые чаще всего вызывают вопросы, среди них данные работников, биометрия, видеонаблюдение, облако, сроки хранения и защита на сайте. Материал будет полезен специалистам по информационной безопасности и ответственным за обработку данных, ИТ-руководителям, а также владельцам бизнеса и сайтов, юристам и всем, кому нужно навести порядок в персональных данных.

Содержание

  1. Что такое защита персональных данных
  2. Какие документы регулируют защиту персональных данных
  3. Уровни защищённости ИСПДн и как определить свой
  4. Угрозы безопасности и модель угроз
  5. Меры защиты, организационные и технические
  6. Этапы построения системы защиты
  7. Какие документы нужны оператору
  8. Сроки хранения, уничтожение и обезличивание данных
  9. Оценка эффективности и аттестация
  10. Когда требований больше, ГИС, КИИ и финсектор
  11. Защита персональных данных в частных случаях
  12. Облако и локализация баз данных
  13. Правовой контур, без которого защита неполна
  14. Импортозамещение средств защиты
  15. Кто строит защиту, своими силами или лицензиат
  16. Ответственность за нарушения
  17. Типичные ошибки при защите персональных данных
  18. Частые вопросы
  19. Коротко о главном

Что такое защита персональных данных

Для начала разграничим два понятия, которые часто путают. Обработка персональных данных по статье 3 закона № 152-ФЗ охватывает любые действия с данными, от сбора, записи и хранения до использования, передачи и уничтожения. Её организационно-правовую сторону образуют согласия, цели обработки, права субъектов и уведомление Роскомнадзора. Защита персональных данных понятие более узкое, она охватывает организационные и технические меры, то есть всё, что не даёт данным утечь, исказиться или попасть к посторонним. За обработкой в целом надзирает Роскомнадзор, а техническую защиту регулируют ФСТЭК России и, когда применяется криптография, ФСБ России. Эта статья посвящена защите, хотя на практике одно без другого не работает.

Основа всех требований к защите находится в статье 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Оператор обязан принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения. Закон требует не однократных действий, а постоянно работающей системы из трёх групп мер. К правовым мерам относятся правовые основания обработки и политика оператора, им посвящён раздел о правовом контуре. К организационным относятся организационно-распорядительные документы и порядок работы людей. Технические меры реализуются средствами защиты информации.

Дальше статья 19 раскрывает, чем именно достигается защита данных. Здесь и определение угроз, и применение средств защиты, прошедших оценку соответствия, и оценка эффективности мер до ввода системы в работу, и учёт носителей, и обнаружение несанкционированного доступа, и восстановление изменённых данных. С августа 2024 года в этот перечень добавили отдельное требование уничтожать персональные данные средствами, прошедшими оценку соответствия. Статья 19 задаёт каркас, а конкретику, какие меры и в каком объёме, разворачивают постановление Правительства и приказы ФСТЭК России, а методическую основу дополняют национальные стандарты, о которых речь ниже.

Какие документы регулируют защиту персональных данных

Нормативная база защиты персональных данных имеет чёткую иерархию. Наверху закон, под ним постановления Правительства, ещё ниже приказы регуляторов с конкретными мерами и национальные стандарты как методическая основа. Если понимать эту структуру, разрозненные документы складываются в понятную систему. Ниже собраны акты, на которых строится практическая защита персональных данных.

ДокументЧто устанавливает
Федеральный закон от 27.07.2006 № 152-ФЗБазовые обязанности оператора, статья 19 о мерах безопасности, статья 18.1 о мерах по обеспечению выполнения обязанностей
Постановление Правительства РФ от 01.11.2012 № 1119Четыре уровня защищённости ИСПДн и условия их определения
Приказ ФСТЭК России от 18.02.2013 № 21Состав и содержание организационных и технических мер для негосударственных ИСПДн
Приказ ФСТЭК России от 11.02.2013 № 17Защита государственных информационных систем, действовал до 1 марта 2026 года, заменён приказом ФСТЭК России № 117
Приказ ФСБ России от 10.07.2014 № 378Меры при использовании криптографических средств защиты
Постановление Правительства РФ от 15.09.2008 № 687Особенности обработки персональных данных без средств автоматизации
Приказ ФСТЭК России от 11.04.2025 № 117Защита государственных информационных систем, с 1 марта 2026 года заменил приказ ФСТЭК России № 17
Методика оценки угроз безопасности информации ФСТЭК России от 05.02.2021Порядок моделирования угроз, заменила методику определения актуальных угроз 2008 года
Основные документы, регулирующие защиту персональных данных.

Поверх обязательных нормативных актов лежит слой национальных стандартов, которые задают терминологию и методическую базу. Профильный из них это ГОСТ Р 59407-2021 о базовой архитектуре защиты персональных данных. Базовые термины определяет ГОСТ Р 50922-2006, факторы воздействия на информацию описывает ГОСТ Р 51275-2006, защиту виртуальных сред регулирует ГОСТ Р 56938-2016, а управление инцидентами задаёт серия ГОСТ Р 59709-59712-2022. Стандарты не дублируют приказы, а дают общий язык и методологию, на которую опираются и проектировщики, и проверяющие.

Здесь есть важный момент, который упускают обзорные статьи. Приказ ФСТЭК России № 21 предназначен для негосударственных информационных систем персональных данных. Если система государственная, поверх него действует отдельный приказ для государственных информационных систем, и именно он скоро меняется. Приказ ФСТЭК России от 11.02.2013 № 17 действовал до 1 марта 2026 года, а с этой даты его заменил приказ ФСТЭК России от 11.04.2025 № 117. Тот, кто готовит защиту государственной информационной системы, обязан учитывать это, подробности в нашем разборе «Приказ ФСТЭК России № 117».

Уровни защищённости ИСПДн и как определить свой

С уровня защищённости начинается вся практическая работа. Пока он не определён, нельзя ни подобрать меры, ни выбрать средства защиты, ни оценить бюджет. Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает четыре уровня, от первого (самый строгий) до четвёртого (самый мягкий). Уровень показывает, насколько серьёзной должна быть защита конкретной информационной системы персональных данных, и напрямую задаёт набор мер из приказа ФСТЭК России от 18.02.2013 № 21.

Уровень не назначается произвольно, он складывается из трёх факторов, которые оператор оценивает для каждой системы отдельно. Это категория обрабатываемых данных, тип актуальных угроз, а вместе с ними объём данных и принадлежность субъектов, то есть идёт ли речь о сотрудниках оператора или о посторонних для него лицах. Дальше разберём каждый фактор, потому что именно здесь операторы чаще всего ошибаются и занижают требования. Уровень определяется для каждой информационной системы отдельно, а в одной организации таких систем обычно несколько, и у каждой свой уровень.

Четыре категории персональных данных

Постановление № 1119 делит персональные данные на четыре категории, и от категории зависит строгость требований к защите. К специальным категориям относятся сведения о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни и судимости. Биометрические данные характеризуют физиологические и биологические особенности человека и используются для установления личности, например отпечатки пальцев или изображение лица, применяемое для распознавания. К иным относятся все остальные данные, которые не вошли в первые две группы и не являются общедоступными, например фамилия, телефон или паспорт клиента. Общедоступными считаются сведения, которые субъект сам сделал доступными для всех или которые раскрыли по его согласию.

Большинство рабочих систем, от клиентской базы до интернет-магазина, работают именно с иными данными. Кадровая служба и медкабинет добавляют специальные категории, а системы контроля доступа по лицу или отпечатку означают переход к обработке биометрии с её повышенными требованиями. Чем чувствительнее категория, тем выше уровень при прочих равных условиях.

Типы угроз и почему почти все выбирают третий

Тип угроз связан с недекларированными возможностями в программном обеспечении, то есть со скрытыми функциями, о которых разработчик не сообщил. Угрозы первого типа актуальны, если для системы опасны недекларированные возможности в системном программном обеспечении, например в операционной системе. Угрозы второго типа касаются недекларированных возможностей в прикладном программном обеспечении. Угрозы третьего типа с недекларированными возможностями не связаны.

На бумаге выбор типа выглядит как технический нюанс, на практике от него зависят значительные затраты. Первый и второй типы требуют подтверждать отсутствие недекларированных возможностей, а это контроль и сертификация программного обеспечения по соответствующим уровням, что обходится дорого. Поэтому операторы, обосновав это в модели угроз, чаще всего приходят к третьему типу. Тип актуальных угроз не выбирают произвольно, его определяют в модели угроз по методике оценки угроз безопасности информации ФСТЭК России от 05.02.2021. Решение опирается на оценку вреда субъектам, а не на желание сэкономить, иначе при проверке заниженный тип угроз станет основанием для претензий.

Таблица уровней защищённости

Уровень определяется пересечением всех трёх факторов сразу. Ниже сведены условия из пунктов 9–12 постановления № 1119. Достаточно выполнения хотя бы одного условия строки, чтобы система попала на этот уровень.

УровеньКогда устанавливается (хотя бы одно условие)
УЗ-1Угрозы 1-го типа и специальные, биометрические или иные категории данных (общедоступные при 1-м типе дают УЗ-2). Либо угрозы 2-го типа и специальные категории более чем 100 000 субъектов, не являющихся сотрудниками.
УЗ-2Угрозы 1-го типа и общедоступные данные. Либо угрозы 2-го типа и специальные категории сотрудников или менее чем 100 000 посторонних субъектов. Либо угрозы 2-го типа и биометрия. Либо угрозы 2-го типа и общедоступные или иные данные более чем 100 000 посторонних субъектов. Либо угрозы 3-го типа и специальные категории более чем 100 000 посторонних субъектов.
УЗ-3Угрозы 2-го типа и общедоступные или иные данные сотрудников либо менее чем 100 000 посторонних субъектов. Либо угрозы 3-го типа и специальные категории сотрудников или менее чем 100 000 посторонних субъектов. Либо угрозы 3-го типа и биометрия. Либо угрозы 3-го типа и иные данные более чем 100 000 посторонних субъектов.
УЗ-4Угрозы 3-го типа и общедоступные данные. Либо угрозы 3-го типа и иные данные сотрудников или менее чем 100 000 посторонних субъектов.
Условия уровней защищённости по постановлению Правительства РФ от 01.11.2012 № 1119 (пункты 9–12).
Как определить уровень защищённости персональных данных ИСПДн по трём факторам
Определение уровня защищённости ИСПДн по трём факторам.

Как это работает на реальных системах

Логику проще понять на конкретных примерах. Возьмём интернет-магазин с базой клиентов на 50 000 человек. Здесь иные категории данных, угрозы третьего типа, посторонние субъекты, меньше 100 000, и такая система попадает на четвёртый уровень. Если база вырастет за 100 000 клиентов, уровень поднимется до третьего.

Кадровая система на 300 работников с обычными анкетными данными тоже даёт четвёртый уровень, потому что субъекты являются сотрудниками. Но стоит добавить туда результаты медосмотров и сведения о здоровье, и появляются специальные категории сотрудников, а уровень поднимается до третьего. Система контроля доступа, которая узнаёт работников по лицу, обрабатывает биометрию и при угрозах третьего типа тоже даёт третий уровень. А вот медицинский центр со специальными категориями более чем 100 000 пациентов, которые не являются его сотрудниками, выходит уже на второй уровень.

Из этих примеров видна главная закономерность. Уровень определяет пара «категория данных плюс тип угроз», а объём и принадлежность субъектов сдвигают систему на ступень выше или ниже. Порог в таблице ровно 100 000 субъектов, и считаются только субъекты, не работающие у оператора. Данные собственных сотрудников под порог не подпадают, они всегда проходят по категории сотрудников оператора независимо от того, сколько человек в штате.

Уровень защищённости оператор определяет самостоятельно и закрепляет внутренним актом, обычно приказом об определении уровня защищённости конкретной информационной системы. Без этого документа при проверке нечего предъявить, поэтому акт нужен даже небольшой компании. Уровень не назначается раз и навсегда. Его пересматривают, когда меняется состав категорий данных, растёт число субъектов или обновляется модель угроз. Тот же интернет-магазин, чья база превысила 100 000 клиентов, обязан переопределить уровень и усилить защиту. Определив уровень, оператор получает не абстрактную цифру, а конкретный набор обязательных мер защиты, к которому мы переходим дальше.

Угрозы безопасности и модель угроз

Прежде чем выбирать меры защиты, нужно понять, от чего защищаться. Для этого оператор строит модель угроз безопасности информации. Этот документ отвечает на несколько ключевых вопросов, какой ущерб может наступить, на какие компоненты системы направлена угроза, кто и с какими возможностями способен её реализовать и какими способами. Без модели угроз защита превращается в набор средств наугад, и при проверке этот документ запрашивают одним из первых.

Сейчас модель угроз строят по методике оценки угроз безопасности информации, которую ФСТЭК России утвердила 5 февраля 2021 года. Она заменила методику определения актуальных угроз 2008 года, и это принципиально, потому что часть материалов в интернете до сих пор опирается на старую методику и потому устарела. По методике 2021 года оценка идёт по цепочке. Сначала определяют негативные последствия, то есть виды ущерба субъектам, оператору и государству. Затем выделяют объекты воздействия, это информационные ресурсы, компоненты систем и носители. После этого описывают источники угроз и нарушителей с их возможностями, от низкого потенциала Н1 до высокого Н4. И наконец определяют способы и сценарии реализации угроз. Источником конкретных угроз и уязвимостей служит банк данных угроз безопасности информации ФСТЭК России, доступный на портале bdu.fstec.ru.

Модель угроз напрямую связана с уровнем защищённости. Именно в ней обосновывают тип актуальных угроз, от которого зависит уровень защищённости. Здесь же определяют возможности предполагаемого нарушителя, от рядового сотрудника до подготовленной группы. Тема обширная, поэтому мы разбирали её отдельно в материалах «Модель угроз безопасности информации» и «Методика оценки угроз ФСТЭК России». Достаточно понимать, что модель угроз не формальность, а основа, на которой строится весь дальнейший выбор мер.

Меры защиты, организационные и технические

Статья 19 закона № 152-ФЗ делит меры на правовые, организационные и технические. Правовые меры это политика и правовые основания обработки, о них речь в разделе про правовой контур, а здесь сосредоточимся на двух группах, которые несут основную нагрузку технической защиты. К организационным мерам относятся организационно-распорядительные документы и порядок работы людей, а именно кто имеет доступ к данным, как хранятся носители, что делать при инциденте, как организован доступ в серверную. Технические меры реализуют требования в оборудовании и программах, и здесь главную роль играют средства защиты информации. Для негосударственных информационных систем персональных данных полный состав технических мер задаёт приказ ФСТЭК России от 18.02.2013 № 21.

Приказ № 21 группирует меры в пятнадцать блоков, каждый со своим условным обозначением. Это не формальный перечень, а рабочий каталог, по которому собирают систему защиты.

  • Идентификация и аутентификация субъектов и объектов доступа (ИАФ)
  • Управление доступом субъектов доступа к объектам доступа (УПД)
  • Ограничение программной среды (ОПС)
  • Защита машинных носителей персональных данных (ЗНИ)
  • Регистрация событий безопасности (РСБ)
  • Антивирусная защита (АВЗ)
  • Обнаружение вторжений (СОВ)
  • Контроль и анализ защищённости персональных данных (АНЗ)
  • Обеспечение целостности информационной системы и персональных данных (ОЦЛ)
  • Обеспечение доступности персональных данных (ОДТ)
  • Защита среды виртуализации (ЗСВ)
  • Защита технических средств (ЗТС)
  • Защита информационной системы, её средств, систем связи и передачи данных (ЗИС)
  • Выявление инцидентов и реагирование на них (ИНЦ)
  • Управление конфигурацией системы защиты персональных данных (УКФ)

Главное непонимание здесь в том, что не все меры применяют сразу и полностью. Приказ № 21 описывает процедуру из четырёх шагов. На первом шаге берут базовый набор мер, положенный для определённого ранее уровня защищённости. Затем его адаптируют, убирая то, что физически неприменимо к конкретной системе. После этого набор уточняют под актуальные угрозы из модели угроз. На последнем шаге его дополняют компенсирующими мерами там, где штатная мера технически неосуществима. Так из таблицы требований получается реальный проект защиты.

На практике группы мер реализуются понятными классами средств защиты. Идентификацию, управление доступом, ограничение программной среды и контроль целостности обеспечивают средствами защиты от несанкционированного доступа, а доверенную загрузку отдельными средствами этого класса. За антивирусную защиту отвечают сертифицированные антивирусы, за обнаружение вторжений системы класса СОВ, за контроль защищённости сканеры уязвимостей. Регистрацию событий закрывают средствами сбора и анализа журналов событий вплоть до систем класса SIEM, защиту сети межсетевые экраны и их современная разновидность NGFW, защиту виртуализации специализированные средства, а контроль съёмных носителей и каналов утечки средства этого профиля и системы класса DLP. Каналы за пределами контролируемой зоны шифруют криптографическими средствами по приказу ФСБ России № 378. Это далеко не полный перечень средств защиты, конкретный набор зависит от системы, а подобрать сертифицированные решения можно в каталоге продуктов CISOCLUB.

Приказ № 21 привязывает требуемый класс средств защиты к уровню защищённости, и это прямо влияет на бюджет. Здесь важно не путать три разные характеристики. Уровень защищённости от первого до четвёртого относится к самой информационной системе, класс относится к средству защиты, а уровень доверия отражает доверие к разработке этого средства и задаётся отдельным приказом ФСТЭК России от 02.06.2020 № 76. Для систем первого уровня применяют средства защиты не ниже четвёртого класса и четвёртого уровня доверия, для второго не ниже пятого класса и пятого уровня доверия, для третьего и четвёртого достаточно шестого класса и шестого уровня доверия. Шкала здесь обратная, чем строже уровень защищённости системы, тем меньше номер требуемого класса. Криптографические средства живут по своей шкале классов из приказа ФСБ России № 378, и путать класс средства защиты с классом средства криптографической защиты нельзя.

Отдельный вопрос, обязательно ли средства должны быть сертифицированными. Закон в статье 19 требует применять средства защиты, прошедшие процедуру оценки соответствия. Это понятие шире обязательной сертификации и для негосударственной системы не означает, что подойдут только сертифицированные ФСТЭК России решения. Сертификация становится обязательной для государственных систем и при аттестации объекта. Этот нюанс мы разберём подробнее в разделах об импортозамещении и об исполнителе работ.

Этапы построения системы защиты

Построение защиты персональных данных идёт по понятной последовательности шагов. Жёсткой нормативной последовательности для негосударственных систем закон не задаёт, она опирается на статью 19 закона № 152-ФЗ и общий порядок создания систем в защищённом исполнении по национальному стандарту ГОСТ Р 51583. Если двигаться по порядку, ничего не выпадает, а каждый этап оставляет после себя конкретный документ. Пропустить шаг нельзя, потому что каждый следующий опирается на результат предыдущего.

  1. Обследование и инвентаризация. Выявляют все процессы обработки персональных данных, сами информационные системы, потоки данных и категории субъектов. На этом шаге чаще всего всплывают теневые базы в таблицах и мессенджерах, о которых служба информационной безопасности не знала. Результат — перечень ИСПДн и перечень обрабатываемых данных.
  2. Определение уровня защищённости. Каждую систему классифицируют по постановлению № 1119. Результат — акт определения уровня защищённости.
  3. Моделирование угроз. По методике ФСТЭК России 2021 года строят модель угроз и нарушителя. Результат — утверждённая модель угроз.
  4. Проектирование системы защиты. Подбирают меры под уровень, выбирают средства защиты. Результат — техническое задание и технический проект.
  5. Внедрение средств защиты. Закупают, устанавливают и настраивают средства, вводят организационные меры. Результат — акты установки и настроенные политики.
  6. Оценка эффективности или аттестация. Проверяют, что меры работают. Результат — заключение об оценке эффективности либо аттестат соответствия.
  7. Эксплуатация и сопровождение. Контролируют защищённость, реагируют на инциденты, пересматривают модель угроз при изменениях. Результат — журналы и регламенты.
Этапы построения системы защиты персональных данных от обследования до эксплуатации
Семь этапов построения системы защиты персональных данных.

Этот маршрут одинаков для маленькой компании и крупного оператора, разница только в объёме работ на каждом шаге. Малому бизнесу с системой четвёртого уровня хватит нескольких документов и базовых средств, а крупному оператору с медицинскими данными придётся пройти весь путь полностью.

Какие документы нужны оператору

На документах операторы спотыкаются чаще всего. Нередко считают, что достаточно политики обработки персональных данных на сайте, но реальный комплект гораздо шире. Его удобно делить на две группы. Организационно-распорядительные документы описывают, кто и как работает с данными. Проектные документы фиксируют техническую сторону защиты.

Организационный комплект включает документы, которые при проверке показывают, что защита действует, а не остаётся на бумаге.

  • Приказы о назначении ответственного за организацию обработки и ответственного за безопасность
  • Политика обработки персональных данных и положение о защите персональных данных
  • Правила обработки персональных данных и правила внутреннего контроля их обработки по статье 18.1 закона
  • Акт оценки вреда субъектам по приказу Роскомнадзора от 27.10.2022 № 178
  • Перечни обрабатываемых данных, информационных систем и допущенных сотрудников
  • Правила разграничения доступа
  • Инструкции пользователя, администратора безопасности, по антивирусной и парольной защите, по реагированию на инциденты
  • Журналы учёта носителей, обращений субъектов и проводимых мероприятий

Проектная группа документов формируется в ходе построения системы, и её состав зависит от уровня защищённости.

  • Отчёт об обследовании и акт определения уровня защищённости
  • Модель угроз безопасности информации
  • Техническое задание и технический проект
  • Программа и методика испытаний, протоколы испытаний
  • Заключение об оценке эффективности или аттестат соответствия, в зависимости от типа системы

Отдельно стоит выделить документы, которых часто не хватает на практике. Это регламент реагирования на утечку с чёткими сроками уведомления Роскомнадзора, обязательства сотрудников о неразглашении и сами согласия субъектов с их формами. Полнота комплекта зависит от уровня защищённости, но базовый набор организационных документов нужен любому оператору, даже самому небольшому.

Сроки хранения, уничтожение и обезличивание данных

Защита персональных данных не заканчивается их хранением, у данных есть жизненный цикл, и закон требует вовремя с ними расстаться. По части 7 статьи 5 закона № 152-ФЗ хранить данные можно не дольше, чем этого требуют цели обработки. Как только цель достигнута или потребность в данных отпала, их нужно уничтожить или обезличить. Это требование операторы упускают чаще всего, продолжая годами держать ненужные базы клиентов и кандидатов.

Сроки уничтожения задаёт статья 21 закона. При достижении цели обработки или отзыве согласия данные уничтожают в срок не более 30 дней. Если выяснилось, что обработка неправомерна, на прекращение даётся не более трёх рабочих дней, а на уничтожение не более десяти. Когда уничтожить сразу нельзя по техническим причинам, данные блокируют и уничтожают позже, в срок до шести месяцев. С августа 2024 года появилось дополнительное требование, уничтожать данные нужно средствами с функцией уничтожения, прошедшими процедуру оценки соответствия.

Просто удалить данные мало, факт уничтожения нужно подтвердить документально. Приказ Роскомнадзора от 28.10.2022 № 179 устанавливает, что при обработке без автоматизации подтверждением служит акт об уничтожении, а при автоматизированной обработке к акту добавляется выгрузка из журнала регистрации событий информационной системы. Акт содержит сведения об операторе, субъектах, перечне уничтоженных категорий данных и лицах, которые провели уничтожение, и хранится три года.

Универсального срока хранения нет, для разных данных он свой. Кадровые документы по Перечню Росархива из приказа от 20.12.2019 № 236 хранятся долго, личные дела и трудовые договоры от 50 до 75 лет в зависимости от даты их оформления. Бухгалтерские и налоговые документы по статье 23 Налогового кодекса хранят не менее пяти лет. Поэтому оператор не вправе уничтожить данные работника сразу после увольнения, по ним действуют отдельные архивные сроки.

Обезличивание как способ снизить требования

Вместо уничтожения у оператора есть и другой путь, данные можно обезличить. По пункту 9 статьи 3 закона обезличивание означает действия, после которых без дополнительной информации нельзя определить, кому принадлежат данные. Обезличенные данные перестают позволять идентифицировать человека, поэтому к ним применяется меньше требований по защите, а оператор может и дальше использовать их, например для аналитики и статистики. Это законный способ снизить нагрузку на систему защиты, не теряя ценность данных.

Требования и методы обезличивания недавно обновились, с 1 сентября 2025 года действует приказ Роскомнадзора от 19.06.2025 № 140, заменивший прежний приказ Роскомнадзора № 996. Он закрепляет пять методов обезличивания, среди них введение идентификаторов, изменение состава и семантики данных, перемешивание, декомпозиция и преобразование массива данных. Последний метод появился именно в этом приказе, он применяется в дополнение к остальным и через обобщение данных разрывает связь между признаками и конкретным человеком. Методы и порядок обезличивания оператор закрепляет локальным актом, который не должен быть доступен третьим лицам, а обезличенные данные нельзя хранить вместе с исходными.

Оценка эффективности и аттестация

Здесь проходит одна из главных развилок темы, и её путают постоянно. Для негосударственной информационной системы закон требует оценку эффективности принятых мер до ввода системы в эксплуатацию. Это прямое требование статьи 19 закона № 152-ФЗ, причём форму оценки оператор выбирает сам, её можно провести своими силами или привлечь стороннюю организацию, а обязательная аттестация для коммерческой системы не нужна. Оценку проводят не только перед запуском, приказ ФСТЭК России № 21 требует повторять её не реже одного раза в три года.

Аттестация по требованиям безопасности информации намного строже, и она обязательна для государственных информационных систем. Их аттестует орган по аттестации с лицензией ФСТЭК России, по итогам выдаётся аттестат соответствия. Поэтому государственный оператор закрывает максимум требований, он выполняет и приказ для государственных систем, и требования по персональным данным. Подробнее процедуру мы разбирали в материале «Аттестация объектов информатизации». Правило запоминается легко, ведь для коммерческой системы нужна оценка эффективности, а для государственной аттестация.

Когда требований больше, ГИС, КИИ и финсектор

Базовая связка из постановления № 1119 и приказа ФСТЭК России № 21 работает для типичной коммерческой системы. Но есть случаи, когда поверх неё накладываются дополнительные требования, и тогда защита заметно усложняется. Эти ситуации стоит знать заранее, чтобы не столкнуться с дополнительными требованиями в середине проекта.

Сильнее всего усложняет дело статус государственной информационной системы. Если оператор государственный, поверх требований по персональным данным включается отдельный приказ для государственных систем, с 1 марта 2026 года эту роль играет приказ ФСТЭК России № 117, заменивший прежний приказ ФСТЭК России № 17. Он добавляет классификацию системы, обязательное применение сертифицированных средств и обязательную аттестацию. Отдельный случай, когда система одновременно является значимым объектом критической информационной инфраструктуры (КИИ). Тогда добавляется контур Федерального закона от 26.07.2017 № 187-ФЗ с категорированием, требованиями к значимым объектам по приказу ФСТЭК России № 239 и подключением к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Подробнее об этом в наших материалах «Критическая информационная инфраструктура» и «Безопасность значимых объектов КИИ».

Замыкает этот перечень финансовый сектор с его собственными правилами. Банки и некредитные финансовые организации поверх требований по персональным данным выполняют собственные требования Банка России к защите информации, прежде всего национальный стандарт ГОСТ Р 57580 с его уровнями защиты и обязательной внешней оценкой соответствия. Для них это нередко более жёсткий набор требований, чем приказ ФСТЭК России № 21. Во всех трёх случаях требования не заменяют друг друга, а суммируются, и оператор закрывает максимум из применимого. Во всех этих случаях отдельно стоит криптография. Как только для защиты каналов или носителей нужно шифрование, подключается приказ ФСБ России № 378 с его классами криптографических средств, а услуги по криптографической защите вправе оказывать только организация с лицензией ФСБ России.

Защита персональных данных в частных случаях

Общие правила понятны, но именно в частностях возникает больше всего вопросов. Подробно разберём три самые частые ситуации, а именно данные работников, биометрию и видеонаблюдение. Помимо них на практике встречаются и другие случаи со своей спецификой, медицинские данные, обработка для маркетинга, системы контроля доступа и передача данных на аутсорсинг, их коротко рассмотрим в конце раздела.

Данные работников

Обработку персональных данных работников регулирует отдельная глава 14 Трудового кодекса, ключевые правила собраны в статьях с 86 по 88. Работодатель обрабатывает данные сотрудника на основании трудового договора и закона, поэтому отдельное согласие на базовый кадровый объём, нужный для оформления трудовых отношений, не требуется. Но закон ставит и жёсткие ограничения. Нельзя получать данные о политических и религиозных убеждениях, о частной жизни, нельзя принимать решения о работнике исключительно на основе автоматизированной обработки. За пределами базового объёма согласие работника уже требуется, например чтобы запросить данные о нём у третьих лиц или обработать их для целей, не связанных с трудовыми отношениями. И здесь действует новшество, на которое часто не обращают внимания. По Федеральному закону от 24.06.2025 № 156-ФЗ, дополнившему статью 9 закона № 152-ФЗ, с 1 сентября 2025 года такое согласие нельзя включать в текст трудового договора или анкеты, оно оформляется отдельным документом.

Биометрия и единая система

С биометрией постоянно путаются, потому что не всякое фото или видео человека является биометрическими данными. Закон в статье 11 даёт два условия, которые должны выполняться вместе. Данные характеризуют физиологические особенности человека и оператор использует их именно для установления личности. Сканированный паспорт или фото в личном деле, которые не применяют для распознавания, биометрией не считаются. А вот система контроля доступа, узнающая сотрудника по лицу, обрабатывает именно биометрию, и для этого нужно отдельное письменное согласие. Отказ человека сдавать биометрию не может быть причиной отказать ему в услуге.

С 2023 года действует Федеральный закон от 29.12.2022 № 572-ФЗ о единой биометрической системе. По нему биометрия для идентификации граждан размещается в государственной единой биометрической системе, а самостоятельная обработка биометрии для идентификации вне этой системы серьёзно ограничена. Защита биометрии требует повышенного уровня, конкретный уровень защищённости определяется так же, как для других категорий, через тип угроз и число субъектов.

Видеонаблюдение

Обычное охранное видеонаблюдение и биометрия не одно и то же. Грань проходит по цели, использует ли оператор изображение для установления личности. Камера на проходной, которая просто пишет происходящее, работает на основании законного интереса оператора по пункту 7 части 1 статьи 6 закона. Достаточно предупредить людей табличкой «Ведётся видеонаблюдение», и отдельное согласие не нужно. На рабочих местах сотрудников предупреждают под роспись. Об этих правилах ещё в 2013 году Роскомнадзор выпустил отдельные разъяснения. Отдельно нужно помнить про статью 152.1 Гражданского кодекса, она охраняет изображение человека. Снимать на проходной законно, но публиковать запись в интернете без согласия человека уже нельзя, кроме отдельных исключений вроде съёмки в публичных местах.

Другие частые случаи

Помимо разобранных, есть ещё несколько ситуаций, которые регулируются особо. Медицинские данные относятся к специальной категории по статье 10 закона и одновременно составляют врачебную тайну по Федеральному закону № 323-ФЗ, поэтому к ним применяются и повышенные меры защиты, и повышенные штрафы за утечку. Обработка для маркетинга, рассылок и рекламы по статье 15 закона возможна только с отдельного согласия, а звонок или сообщение клиенту без такого согласия считаются нарушением. Системы контроля доступа по лицу или отпечатку обрабатывают биометрию и требуют письменного согласия.

Отдельно стоит передача обработки на аутсорсинг, например ведение кадров или бухгалтерии сторонней компанией. С точки зрения закона это поручение обработки по части 3 статьи 6, и оформляется оно договором с обязательным составом, а ответственность перед субъектом данных всё равно остаётся на операторе. Тот же механизм работает и при размещении данных в облаке, к которому мы переходим дальше.

Облако и локализация баз данных

Облачные сервисы давно стали нормой, и здесь у защиты персональных данных два самостоятельных вопроса. Один из них касается локализации данных. По части 5 статьи 18 закона при сборе персональных данных граждан России их запись, систематизация, накопление, хранение, уточнение и извлечение должны вестись в базах данных, расположенных на территории России. Это значит, что первичный сбор данных российских граждан в крупных иностранных облачных платформах напрямую противоречит закону. Зарубежные сервисы для крупного бизнеса и госсектора недоступны ещё и из-за санкций.

Другой вопрос связан с распределением ответственности между сторонами. Когда оператор размещает данные в чужом облаке, он поручает обработку провайдеру по части 3 статьи 6 закона. Такое поручение оформляется договором, где прописаны перечень данных, перечень операций, обязанность соблюдать конфиденциальность, локализацию и меры защиты. Ключевой момент в том, что перед субъектом данных по-прежнему отвечает оператор, а не провайдер. Облако берёт на себя часть технических задач, но не освобождает от ответственности.

Граница ответственности проходит по слоям, и где именно она пролегает, зависит от модели услуги. За физическую безопасность центра обработки, сеть и гипервизор отвечает провайдер. За классификацию данных, разграничение доступа, согласия субъектов, модель угроз и уведомление Роскомнадзора всегда отвечает оператор, эту часть делегировать нельзя. Посередине лежат операционная система, прикладное программное обеспечение и сами данные, и ответственность за них смещается в зависимости от того, арендует оператор виртуальные машины, готовый сервис или просто место в стойке.

На практике встречаются три модели размещения, и их важно различать. Чаще всего оператор арендует у провайдера аттестованный сегмент, который уже прошёл аттестацию до нужного уровня защищённости, и тогда инфраструктурный слой защиты он получает готовым, а оценивает только свою прикладную часть. Другой вариант, когда оператор разворачивает свою информационную систему в облаке и сам проводит оценку эффективности или аттестацию поверх инфраструктуры провайдера. Отдельный случай, размещение собственного оборудования в чужом дата-центре, когда провайдер отвечает только за физический периметр и инженерные системы, а всё остальное ложится на оператора. Российские провайдеры предлагают аттестованные сегменты для персональных данных вплоть до первого, самого строгого уровня защищённости и выдают клиенту документы на свой слой защиты, но выбор такого облака не освобождает оператора от его части работы.

Правовой контур, без которого защита неполна

Техническая защита работает не в вакууме, рядом с ней всегда идёт правовая сторона обработки персональных данных. Эти обязанности проверяет уже Роскомнадзор, и без них даже идеально защищённая система оставит оператора в нарушителях. Здесь мы дадим короткий обзор, а детали разобраны в отдельных материалах.

До начала обработки оператор обязан уведомить Роскомнадзор о своём намерении и попасть в реестр операторов, который ведёт ведомство. Это требование статьи 22 закона, и исключений после реформы 2022 года почти не осталось. Параллельно нужно правильное правовое основание обработки. Чаще всего это согласие субъекта, причём с 1 сентября 2025 года согласие оформляется отдельным документом, а не галочкой в общей форме. Согласие не единственное основание, статья 6 закона допускает обработку и без него, например для исполнения договора с субъектом или выполнения требований закона, но тогда выбранное основание тоже нужно зафиксировать. Кто такой оператор и как подать уведомление, мы подробно разобрали в материале «Оператор персональных данных».

Отдельного внимания требует трансграничная передача, когда данные уходят за пределы России. По статье 12 закона оператор заранее, до начала передачи, уведомляет Роскомнадзор о своём намерении, и это уведомление подаётся отдельно от уведомления об обработке. Дальше всё зависит от того, в какую страну уходят данные. Если она входит в перечень государств с адекватной защитой прав субъектов из приказа Роскомнадзора от 05.08.2022 № 128, передавать данные можно сразу после уведомления. Если страны в перечне нет, нужно дождаться решения ведомства, на которое отводится десять рабочих дней, и Роскомнадзор вправе передачу ограничить или запретить.

Свой набор требований есть и у обычного сайта. Любая форма заявки или обратной связи означает сбор персональных данных, поэтому на сайте нужна опубликованная политика обработки персональных данных, а согласие должно быть активным действием посетителя, а не заранее проставленной галочкой. Файлы cookie и идентификаторы посетителей суды и Роскомнадзор всё чаще относят к персональным данным, когда они позволяют узнать конкретного человека, а передача данных посетителей в зарубежные системы веб-аналитики попадает под правила трансграничной передачи. За отсутствие политики на сайте предусмотрен отдельный штраф. Наконец, у самих людей есть права, доступ к своим данным, их уточнение, удаление и отзыв согласия, и оператор обязан на такие обращения отвечать в установленные сроки. Технические меры и правовой контур работают только вместе, поэтому строить защиту в отрыве от документов и уведомлений бессмысленно.

Импортозамещение средств защиты

Вокруг импортозамещения средств защиты много путаницы, и здесь важно различать два режима. Есть закрытый круг организаций, для которых российское происхождение средств обязательно по указам Президента. И есть обычный коммерческий оператор, для которого таких жёстких требований нет. Смешение этих двух режимов и порождает заблуждение, будто всем поголовно можно ставить только отечественные сертифицированные средства.

Для госорганов, госкорпораций, субъектов критической информационной инфраструктуры и ряда других организаций действуют прямые запреты. Указ Президента РФ от 30.03.2022 № 166 с 1 января 2025 года запрещает использовать иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры. Указ Президента РФ от 01.05.2022 № 250 с той же даты запрещает этим организациям использовать средства защиты из недружественных стран. Для них работают реестр российского программного обеспечения Минцифры и реестр сертифицированных средств защиты ФСТЭК России.

А вот обычный коммерческий оператор персональных данных, который не относится к госсектору и не является субъектом критической информационной инфраструктуры, под эти запреты не подпадает. Закон требует от него применять средства защиты, прошедшие процедуру оценки соответствия, и в этой формулировке нет слов «российские» или «сертифицированные». На практике коммерческие операторы всё равно чаще берут отечественные сертифицированные средства, но не из-за прямого запрета, а ради удобства, ведь так проще доказать соответствие при проверке, а после ухода зарубежных вендоров поддержка их продуктов в России всё равно затруднена. Это разумный выбор, а не юридическая обязанность, и понимать разницу важно.

Кто строит защиту, своими силами или лицензиат

Существует устойчивое заблуждение, что оператору персональных данных нужна какая-то лицензия, но на деле это не так. Защита собственных персональных данных лицензированию не подлежит, и компания вправе строить её сама. Лицензия ФСТЭК России на техническую защиту конфиденциальной информации нужна не оператору, а тому, кто оказывает услуги по защите сторонним организациям. Если оператор строит защиту для себя, лицензия не требуется. Если привлекает подрядчика, лицензия должна быть у подрядчика.

На практике сторонних исполнителей привлекают в нескольких случаях: нет своих специалистов нужной квалификации, система государственная и требует аттестации, инфраструктура сложная или нужно независимое заключение об оценке эффективности. Малые операторы с системами невысокого уровня часто закрывают весь объём силами собственной службы информационной безопасности. О том, как устроено лицензирование, мы подробно писали в материале «Лицензия ФСТЭК России».

Ответственность за нарушения

Раньше штрафы за нарушения в области персональных данных были символическими, и компании нередко относились к защите формально, но эти времена прошли. С 30 мая 2025 года по Федеральному закону от 30.11.2024 № 420-ФЗ заработали новые составы статьи 13.11 Кодекса об административных правонарушениях, и теперь цена утечки измеряется миллионами, а для крупного бизнеса процентом от выручки. Защита персональных данных перестала быть статьёй расходов, которой можно пренебречь.

НарушениеШтраф для юридического лица
Утечка от 1 000 до 10 000 субъектовот 3 до 5 млн рублей
Утечка от 10 000 до 100 000 субъектовот 5 до 10 млн рублей
Утечка более 100 000 субъектовот 10 до 15 млн рублей
Утечка специальных категорий данныхот 10 до 15 млн рублей
Утечка биометрических данныхот 15 до 20 млн рублей
Несообщение об утечке в Роскомнадзорот 1 до 3 млн рублей
Повторная утечкаот 1 до 3% годовой выручки, от 20 млн (для специальных категорий и биометрии от 25 млн) до 500 млн рублей
Административные штрафы за утечки персональных данных по статье 13.11 КоАП РФ. Суммы приведены на дату публикации, перед применением их стоит сверить.

Штрафы грозят не только за утечки. Та же статья 13.11 наказывает за обработку без законного основания, по части 1 это от 150 до 300 тысяч рублей для юридического лица, и за обработку без обязательного письменного согласия, по части 2 уже от 300 до 700 тысяч. Отдельный состав, отсутствие на сайте опубликованной политики обработки персональных данных, по части 3 обходится в сумму от 30 до 60 тысяч. Наказуемо и невыполнение требования субъекта уточнить или удалить его данные. Суммы в таблице выше приведены для юридических лиц, но по примечанию к статье 13.11, действующему с 30 мая 2025 года, за утечки данных индивидуальные предприниматели отвечают наравне с юридическими лицами. По остальным составам, например за обработку без согласия, индивидуальный предприниматель отвечает как должностное лицо, и там штрафы ниже. Ответственность наступает на каждом этапе, а не только при громкой утечке, поэтому формальный подход к документам обходится дорого ещё до всякого инцидента.

Помимо административной ответственности с конца 2024 года появилась уголовная. Введённая Федеральным законом от 30.11.2024 № 421-ФЗ статья 272.1 Уголовного кодекса наказывает за незаконные использование, передачу, сбор и хранение компьютерной информации с персональными данными, полученной неправомерным доступом или иным незаконным путём. Речь идёт именно о незаконно добытых данных, а не о законной обработке. Базовый состав наказывается лишением свободы на срок до четырёх лет, а по самым тяжким составам, при трансграничной передаче или участии организованной группы, до десяти лет. Это качественно меняет отношение к защите, потому что отвечать теперь приходится не только финансово, но и личной свободой.

Полезно помнить, что административную ответственность за обработку и за технические нарушения проверяют разные ведомства. Роскомнадзор смотрит на правовую сторону, согласия, цели, уведомление реестра, реагирование на утечки. ФСТЭК России и ФСБ России проверяют техническую защиту, меры, средства, аттестацию. Подробный разбор санкций за инциденты есть в нашем материале «Инцидент ИБ».

Типичные ошибки при защите персональных данных

Ошибки в защите персональных данных довольно типичны и повторяются от компании к компании. Зная их заранее, проще их избежать. Большинство проблем всплывает не на этапе построения, а при проверке или после инцидента, когда исправлять уже поздно.

Чаще всего подводит формальный комплект документов. Политика на сайте есть, а реальные процессы ей не соответствуют, потому что бумаги писали для галочки. Близко к этому стоит неполная инвентаризация, когда часть систем с персональными данными просто не выявлена. Теневые базы в таблицах, выгрузки в почте, копии в мессенджерах обрабатываются вне всякого учёта. Распространено и занижение уровня защищённости ради экономии на мерах, с подогнанной под нужный результат моделью угроз. При проверке такое занижение вскрывается быстро.

На технической стороне средства защиты часто установлены, но не настроены под реальные угрозы и не обновляются. Регистрация событий не включена, и при инциденте компании нечего показать. Носители учитываются небрежно, а данные лежат в открытом виде на общих сетевых дисках. И почти всегда забывают про сроки реагирования на утечку, хотя именно несвоевременное уведомление Роскомнадзора стало отдельным составом с крупным штрафом. Большинство этих ошибок устраняется не покупкой нового средства, а наведением порядка в процессах.

Частые вопросы

Обязательна ли аттестация информационной системы персональных данных

Для обычной коммерческой системы аттестация не обязательна, закон требует только оценку эффективности мер до ввода системы в эксплуатацию, и её можно провести своими силами. Обязательная аттестация предусмотрена для государственных информационных систем.

Как определить уровень защищённости своей системы

Нужно сопоставить три фактора по постановлению Правительства РФ № 1119, категорию обрабатываемых данных, тип актуальных угроз из модели угроз и число субъектов с учётом того, сотрудники они или нет. Их пересечение даёт один из четырёх уровней, от первого до четвёртого.

Нужно ли использовать только сертифицированные средства защиты

Для негосударственной системы закон требует средства, прошедшие оценку соответствия, и это шире обязательной сертификации. Только сертифицированные ФСТЭК России средства обязательны для государственных систем, при аттестации и для субъектов критической информационной инфраструктуры.

Можно ли хранить персональные данные в облаке

Можно, если облако расположено в России и соблюдается требование локализации. Размещение в облаке оформляется как поручение обработки, но ответственность перед субъектами данных остаётся на операторе. Крупные российские провайдеры предлагают аттестованные сегменты вплоть до первого уровня защищённости.

В какой срок нужно сообщить об утечке

По части 3.1 статьи 21 закона оператор уведомляет Роскомнадзор в течение 24 часов о самом факте инцидента и в течение 72 часов о результатах внутреннего расследования. Несоблюдение этого срока образует отдельное нарушение со штрафом для юридического лица от 1 до 3 миллионов рублей.

Нужно ли согласие на обработку данных работников

На базовый кадровый объём отдельное согласие не нужно, работодатель обрабатывает данные на основании трудового договора и закона. Согласие требуется на обработку сверх этого объёма, на получение данных у третьих лиц и на специальные категории. С 1 сентября 2025 года согласие оформляется отдельным документом.

Правда ли, что классификацию ИСПДн отменили

Прежние классы информационных систем персональных данных от К1 до К4 действительно ушли в прошлое. С 2013 года вместо классификации применяется определение уровня защищённости по постановлению Правительства РФ № 1119, четыре уровня от первого до четвёртого.

Нужно ли уведомлять Роскомнадзор о начале обработки

Да, по общему правилу оператор уведомляет Роскомнадзор о намерении обрабатывать персональные данные до начала обработки и попадает в реестр операторов. После реформы 2022 года прежние исключения почти все отменены, поэтому уведомление подаёт подавляющее большинство операторов.

Сколько нужно хранить персональные данные

Хранить данные можно не дольше, чем требуют цели обработки. По достижении цели или при отзыве согласия их уничтожают в срок до 30 дней. Из этого правила есть исключения, для отдельных документов закон задаёт свои сроки, например кадровые документы хранят от 50 до 75 лет, а бухгалтерские не менее пяти лет.

Нужно ли согласие на cookie на сайте

Файлы cookie суды и Роскомнадзор относят к персональным данным, когда они позволяют узнать конкретного человека, поэтому сайту нужно получать согласие на их использование, причём активным действием посетителя, а не заранее проставленной галочкой. Кроме того, на сайте обязательна опубликованная политика обработки персональных данных, за её отсутствие предусмотрен штраф.

Можно ли передавать персональные данные за границу

Передавать данные за границу можно, но при соблюдении ряда условий. До начала трансграничной передачи оператор отдельно уведомляет Роскомнадзор. Если страна-получатель входит в перечень государств с адекватной защитой, передавать данные можно сразу после уведомления, а если не входит, нужно дождаться решения ведомства, которое может передачу ограничить.

С чего начать защиту данных небольшой компании

Начать стоит с инвентаризации, найти все системы и процессы, где обрабатываются персональные данные. Затем определить уровень защищённости каждой системы, оформить базовый комплект документов во главе с политикой обработки, подать уведомление в Роскомнадзор и настроить базовые средства защиты. Для систем четвёртого уровня этого набора обычно достаточно.

Нужна ли оператору лицензия на защиту персональных данных

Отдельная лицензия оператору для этого не нужна. Защита собственных персональных данных лицензированию не подлежит, компания вправе строить её сама. Лицензия ФСТЭК России нужна только тому, кто оказывает услуги по технической защите сторонним организациям.

Коротко о главном

Защита персональных данных собирается из понятной последовательности шагов. Сначала оператор находит все свои информационные системы и определяет для каждой уровень защищённости по постановлению № 1119. Затем строит модель угроз, подбирает меры из приказа ФСТЭК России № 21, внедряет средства защиты и оценивает их эффективность. Параллельно оформляется комплект документов, без которого защита считается недоказанной. Этот маршрут одинаков для всех, меняется только глубина проработки в зависимости от уровня.

Ключевых различий несколько, и их важно учитывать. Для государственной системы нужна аттестация и сертифицированные средства, для коммерческой достаточно оценки эффективности, а выбор средств свободнее. Субъекты критической информационной инфраструктуры и финансовый сектор получают дополнительные требования сверху. Обычный коммерческий оператор не обязан использовать только российские средства, хотя на практике это часто разумно.

Главное изменение последних лет в том, что цена ошибки выросла на порядок. Оборотные штрафы до 500 миллионов рублей и уголовная статья подняли цену вопроса до уровня, на котором защитой персональных данных занимается уже не только служба информационной безопасности, но и руководство компании. Те, кто наведёт порядок в процессах и документах сейчас, окажутся в куда более выгодном положении, чем те, кто отложит это до первой проверки или первой утечки.

Игорь
Автор: Игорь
Представитель редакции CISOCLUB. Пишу статьи по ИБ, ИТ.
Комментарии: