Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

«Комплексная защита персональных данных» звучит как что-то про дорогие серверы, шифровальщиков и отдельный бюджет. На практике это не про «купить максимум железа», а про соразмерность: набор мер должен соответствовать тому, насколько чувствительные данные вы обрабатываете и какие угрозы для вас реальны. Для типового сайта с формой заявки этот набор скромный, для медицинской системы с биометрией — серьёзный. Разберём, из чего складывается защита, в какой последовательности её выстраивают и где проходит граница между «обязательно» и «избыточно».

Комплексность здесь не лозунг, а конкретная связка трёх групп мер: организационных, технических и физических. Они работают только вместе. Документы без техники не защищают данные, а техника без документов и без назначенного ответственного не проходит проверку. И объём каждой группы задаётся не пожеланиями вендора, а уровнем защищённости вашей информационной системы.

Если коротко, главное держать в голове три вещи. Первая: уровней защищённости четыре, и нумерация обратная — УЗ-1 самый строгий, УЗ-4 базовый. Вторая: уровень и состав мер описывают два разных документа (постановление №1119 и приказ ФСТЭК №21), их постоянно путают. Третья: меры подбираются под уровень, а не «по максимуму», поэтому переплата за лишнюю защиту — такая же ошибка, как недостача.

С чего всё начинается: уровень защищённости

Первый шаг это не покупка средств защиты, а определение уровня защищённости информационной системы персональных данных (ИСПДн). Его устанавливает постановление Правительства РФ №1119, и именно он определяет, какие меры обязательны, а какие нет. Уровень зависит от трёх параметров: типа актуальных угроз, категории обрабатываемых данных (специальные, биометрические, иные, общедоступные) и числа субъектов.

Здесь чаще всего возникает путаница, поэтому проговорим прямо: уровней четыре, и нумерация обратная интуиции. УЗ-1 — самый высокий уровень с самыми строгими требованиями, УЗ-4 — самый низкий, базовый. То есть «первый уровень» это не «начальный и простой», а наоборот максимально защищённый: его получают системы со специальными категориями данных, угрозами 1-го типа и большим числом субъектов. Большинство коммерческих сайтов с обычными контактными данными и угрозами 3-го типа попадают в УЗ-3 или УЗ-4.

УровеньКогда применяется (упрощённо)Строгость мер
УЗ-1специальные категории данных и угрозы 1-го типа, либо большой объём субъектовмаксимальная
УЗ-2специальные или биометрические данные при менее критичных угрозахвысокая
УЗ-3иные категории данных, угрозы 2–3-го типа, типичные коммерческие системысредняя
УЗ-4общедоступные или иные данные, угрозы 3-го типа, небольшой объёмбазовая

Тип угроз 1-го и 2-го уровня связан с недокументированными возможностями в системном и прикладном ПО, и для большинства бизнеса это неактуально: они работают с угрозами 3-го типа. Именно поэтому типовому сайту почти никогда не нужны меры уровня государственной информационной системы.

На этом шаге мы регулярно видим переплату. Компания приходит с уже купленным «комплектом под максимум», потому что интегратор продал решение для УЗ-1, хотя по факту у неё УЗ-3. Деньги потрачены, а проверку она всё равно рискует провалить, потому что нет модели угроз и приказа об ответственном, то есть фундамента, который определяет, что вообще нужно. Правильный порядок обратный: сначала уровень и модель угроз, затем подбор средств под них.

Организационные меры: фундамент

Организационные меры это то, что оператор обязан оформить и поддерживать на бумаге и в процессах. Их требует статья 18.1 закона 152-ФЗ, и проверка Роскомнадзора начинается именно с них, потому что они видны сразу. Базовый набор:

Подробный разбор того, как организационные обязанности (статья 18.1) соотносятся с технической безопасностью (статья 19), мы давали в материале о требованиях статей 18.1 и 19 к сайту. Готовые формы (приказ, политику, согласие, акт об уничтожении) удобно собирать по образцам документов по ПДн, не изобретая их с нуля.

Технические меры: что требует ФСТЭК

Конкретные технические меры определяет не само постановление №1119, а приказ ФСТЭК России №21. Это разные документы, и их часто путают: ПП №1119 задаёт уровень, а приказ №21 — состав мер для каждого уровня. Для каждого УЗ установлен базовый набор, который оператор адаптирует по своей модели угроз: исключает неактуальное, при необходимости добавляет компенсирующие меры. Произвольно «занижать» набор нельзя, каждое исключение обосновывается моделью угроз.

По направлениям базовый набор включает:

Ключевое требование, на котором проваливаются чаще всего: средства защиты должны пройти оценку соответствия, то есть иметь сертификацию ФСТЭК. «Любой бесплатный антивирус» формально не закрывает это требование. А средства шифрования, если они нужны по модели угроз, обязаны быть сертифицированы ФСБ России. Универсальной обязанности «шифровать всё» закон не вводит: криптография подключается там, где её требует модель угроз.

Самая частая ошибка на этом шаге даже не техническая, а организационная: компания заказывает аудит по приказу ФСТЭК №21 (технические меры) и считает вопрос закрытым, забыв про постановление №1119 (уровень) и модель угроз. В результате меры внедрены «вслепую»: система что-то защищает, но обосновать проверке, почему именно так и от каких угроз, оператор не может. Эти два документа имеет смысл держать в голове только в паре.

Физические меры: то, что недооценивают

Физическая безопасность самая незаметная и поэтому самая недооценённая часть. Сюда входит ограничение физического доступа к серверам и рабочим местам, где обрабатываются данные, контроль выноса носителей, режим помещений. На практике утечки чаще происходят не через изощрённый взлом извне, а через сотрудника, забытую флешку, незаблокированный компьютер или выброшенные без уничтожения документы. Поэтому физические меры не формальность, а закрытие самого вероятного канала.

Для типичного офиса это означает простые, но дисциплинирующие вещи: доступ к рабочим местам с ПДн только у тех, кому он нужен по должности; политика чистого стола и блокировки экрана; учёт и безопасное уничтожение бумажных носителей и вышедших из строя дисков. Дорогостоящего оборудования здесь обычно не требуется, требуется регламент и его соблюдение.

Как уровень связывает всё вместе

Теперь видно, как складывается «комплексность». Уровень защищённости (ПП №1119) это та точка отсчёта, от которой зависит глубина всех трёх групп мер. Для УЗ-4 набор минимальный: базовые организационные документы, разграничение доступа, антивирус, резервное копирование, элементарный физический режим. Для УЗ-1 нужен расширенный технический набор по приказу №21, обязательная криптография на сертифицированных средствах, строгий контроль доступа и помещений. Меры не «накладываются по максимуму», а подбираются под установленный уровень. Это и есть принцип соразмерности из статьи 19 закона 152-ФЗ.

Ответственность за необеспечение безопасности

Невыполнение требований к защите данных наказывается по статье 13.11 КоАП РФ, и с 30 мая 2025 года суммы выросли кратно (закон 420-ФЗ). Само по себе отсутствие мер обычно вскрывается не отдельно, а через инцидент или жалобу, и тогда добавляется состав за утечку. Именно утечки сейчас самые дорогие: для юридических лиц штраф зависит от объёма пострадавших субъектов и составляет 3–5 млн рублей (от 1 000 до 10 000 субъектов), 5–10 млн (до 100 000) и 10–15 млн рублей (свыше 100 000). Повторная утечка наказывается уже оборотным штрафом, процентом от годовой выручки, вплоть до 500 млн рублей.

Отдельно штрафуют за неуведомление Роскомнадзора об утечке в установленный срок и за необеспечение локализации баз данных россиян на территории РФ. Поэтому миф «штраф до 20 миллионов за неправильно определённый уровень защищённости» некорректен: сам по себе ошибочный уровень это не отдельный многомиллионный состав, а слабое место, которое выливается в крупные санкции тогда, когда из-за недостаточных мер происходит утечка. Полный разбор составов и сумм есть в материале о штрафах и ответственности за персональные данные. Напомним также, что и за отсутствие уведомления оператора в Роскомнадзор предусмотрен отдельный штраф до 300 000 рублей.

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

С чего начать построение системы защиты персональных данных?

С определения уровня защищённости по постановлению №1119 и составления модели угроз. Они задают, какие меры обязательны. Покупка средств защиты это последний шаг, а не первый.

Какой уровень защищённости самый строгий, первый или четвёртый?

Первый. УЗ-1 это наивысший уровень с самыми жёсткими требованиями, УЗ-4 базовый. Нумерация обратная: чем меньше число, тем строже защита.

Обязательно ли шифровать персональные данные?

Не всегда. Криптография нужна, когда этого требует модель угроз. Если нужна, то только средствами, сертифицированными ФСБ России. Универсальной обязанности «шифровать всё» закон не устанавливает.

Чем отличается постановление №1119 от приказа ФСТЭК №21?

Постановление №1119 определяет уровень защищённости системы. Приказ ФСТЭК №21 определяет конкретный состав технических и организационных мер для каждого уровня. Они работают в связке, но это два разных документа.

Подойдёт ли обычный антивирус как средство защиты?

Формально нет, если он не прошёл оценку соответствия. По приказу ФСТЭК №21 средства защиты должны быть сертифицированы, а несертифицированное ПО это частая причина замечаний на проверке.

Нужны ли физические меры небольшому офису?

Да, в посильном объёме: ограничение доступа к рабочим местам с данными, блокировка экранов, учёт и безопасное уничтожение носителей. Большинство утечек происходит именно через человеческий и физический канал, а не через взлом.

Можно ли уменьшить базовый набор мер ФСТЭК?

Можно адаптировать: исключить неактуальные меры и добавить компенсирующие, но только на основании модели угроз. Произвольное снижение без обоснования трактуется как нарушение.

Источники