Уровни защищённости персональных данных: как определить по ПП 1119
Подробный разбор Постановления Правительства РФ №1119: 4 уровня защищённости ПДн, типы угроз, таблица определения УЗ, требования ФСТЭК и практические рекомендации для бизнеса.
Уровни защищённости персональных данных: как определить по ПП 1119
Любая компания, обрабатывающая персональные данные, обязана обеспечить их защиту. Но защита бывает разной — от базовых организационных мер до серьёзных технических средств. Какой именно уровень нужен вашей организации, определяет Постановление Правительства РФ №1119 от 01.11.2012. Этот документ действует уже более 13 лет и остаётся основой классификации информационных систем персональных данных (ИСПДн). Разберём, как правильно определить уровень защищённости и что за этим следует.
Что такое уровень защищённости ПДн
Уровень защищённости (УЗ) — это комплекс требований, которые нейтрализуют актуальные угрозы безопасности персональных данных в конкретной информационной системе. ПП 1119 устанавливает 4 уровня:
- УЗ-1 — самый строгий, максимальные требования к защите
- УЗ-2 — высокий уровень, серьёзные технические и организационные меры
- УЗ-3 — средний уровень, подходит большинству компаний среднего бизнеса
- УЗ-4 — базовый уровень, минимальный набор мер защиты
Важно: Уровень защищённости определяется для каждой ИСПДн отдельно. Если в компании несколько систем (CRM, кадровый учёт, клиентская база), для каждой может быть свой уровень.
Четыре фактора, определяющие уровень
Чтобы определить нужный УЗ, необходимо оценить четыре параметра вашей информационной системы:
1. Категория персональных данных
| Категория | Что включает | Примеры |
|---|---|---|
| Специальные | Расовая принадлежность, политические взгляды, здоровье, судимости | Медицинские карты, справки о состоянии здоровья |
| Биометрические | Физиологические и биологические характеристики для идентификации | Фотографии (при идентификации), отпечатки пальцев, скан сетчатки |
| Общедоступные | Данные из общедоступных источников (с согласия субъекта) | Справочники, адресные книги |
| Иные | Всё остальное, что не попадает в три категории выше | ФИО + телефон + email, паспортные данные, ИНН |
2. Категория субъектов
- Сотрудники оператора — работники вашей организации
- Иные лица — клиенты, контрагенты, посетители сайта, пациенты
3. Количество субъектов
- Менее 100 000 субъектов
- Более 100 000 субъектов
4. Тип актуальных угроз
Это самый сложный для понимания фактор. ПП 1119 выделяет три типа угроз:
| Тип угроз | Суть | Когда актуален |
|---|---|---|
| 1-й тип | Угрозы, связанные с наличием недокументированных возможностей (НДВ) в системном ПО (ОС, СУБД) | Используется иностранное или несертифицированное системное ПО, данные представляют государственный интерес |
| 2-й тип | Угрозы, связанные с наличием НДВ в прикладном ПО (CRM, 1С, веб-приложения) | Используется недоверенное или необследованное прикладное ПО |
| 3-й тип | Угрозы, не связанные с НДВ в программном обеспечении | Стандартная ситуация для большинства коммерческих организаций |
Важно: Большинство коммерческих компаний малого и среднего бизнеса выбирают 3-й тип угроз. 1-й и 2-й типы характерны для государственных информационных систем и организаций, работающих с гостайной или критически важной инфраструктурой.
Сводная таблица определения уровня защищённости
Ниже — ключевая таблица из ПП 1119, по которой определяется уровень защищённости. Найдите строку, соответствующую вашим параметрам:
| Категория ПДн | Субъекты | Кол-во субъектов | Тип угроз 1 | Тип угроз 2 | Тип угроз 3 |
|---|---|---|---|---|---|
| Специальные | Иные лица | > 100 000 | УЗ-1 | УЗ-1 | УЗ-2 |
| Специальные | Иные лица | < 100 000 | УЗ-1 | УЗ-2 | УЗ-3 |
| Специальные | Сотрудники | Любое | УЗ-1 | УЗ-2 | УЗ-3 |
| Биометрические | Любые | Любое | УЗ-1 | УЗ-2 | УЗ-3 |
| Иные | Иные лица | > 100 000 | УЗ-1 | УЗ-2 | УЗ-3 |
| Иные | Иные лица | < 100 000 | УЗ-1 | УЗ-3 | УЗ-4 |
| Иные | Сотрудники | Любое | УЗ-1 | УЗ-3 | УЗ-4 |
| Общедоступные | Иные лица | > 100 000 | УЗ-2 | УЗ-2 | УЗ-4 |
| Общедоступные | Иные лица | < 100 000 | УЗ-2 | УЗ-3 | УЗ-4 |
| Общедоступные | Сотрудники | Любое | УЗ-2 | УЗ-3 | УЗ-4 |
Пример. Интернет-магазин хранит ФИО, телефон, email и адрес доставки 20 000 клиентов. Категория ПДн — иные, субъекты — иные лица, количество — менее 100 000, тип угроз — 3-й. По таблице получаем УЗ-4.
Ещё пример. Клиника ведёт электронные медкарты 5 000 пациентов. Категория ПДн — специальные, субъекты — иные лица, количество — менее 100 000, тип угроз — 3-й. Результат — УЗ-3.
Какие меры защиты требуются на каждом уровне
Конкретные технические и организационные меры определяет Приказ ФСТЭК России №21 от 18.02.2013. Вот обязательные требования для каждого уровня:
| Мера | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|
| Организация режима безопасности помещений | + | + | + | + |
| Обеспечение сохранности носителей ПДн | + | + | + | + |
| Перечень лиц, допущенных к ПДн (приказ) | + | + | + | + |
| Средства защиты информации (СЗИ), прошедшие оценку соответствия | + | + | + | + |
| Назначение ответственного за безопасность ПДн | — | + | + | + |
| Ограничение доступа к электронному журналу сообщений | — | — | + | + |
| Автоматическая регистрация изменений полномочий сотрудников | — | — | + | + |
| Создание подразделения по защите информации (или назначение ответственного) | — | — | — | + |
| Контроль доступа к содержимому машинных носителей | — | — | — | + |
Помимо этого, Приказ ФСТЭК №21 содержит детальный перечень из 109 базовых мер, сгруппированных по 15 направлениям: идентификация и аутентификация, управление доступом, антивирусная защита, межсетевое экранирование, обнаружение вторжений, анализ защищённости и другие.
Типичные ситуации для малого и среднего бизнеса
Практика показывает, что абсолютное большинство компаний СМБ попадают в УЗ-3 или УЗ-4:
- УЗ-4 — интернет-магазины, сайты с формами обратной связи, небольшие сервисные компании (иные ПДн, менее 100 000 субъектов, 3-й тип угроз)
- УЗ-3 — медицинские организации, HR-агентства, банковские брокеры, компании с кадровым учётом свыше 100 000 человек
- УЗ-2 и выше — крупные операторы связи, госструктуры, организации с критической информационной инфраструктурой
Как определить уровень защищённости: пошаговый алгоритм
- Проведите аудит ИСПДн — определите все системы, в которых обрабатываются персональные данные
- Классифицируйте данные — разделите ПДн по категориям (специальные, биометрические, общедоступные, иные)
- Определите субъектов — сотрудники или иные лица
- Посчитайте субъектов — сколько человек в каждой системе
- Оцените угрозы — разработайте модель угроз и определите тип актуальных угроз
- Определите УЗ по таблице — используя сводную таблицу из ПП 1119
- Зафиксируйте результат — оформите акт определения уровня защищённости
Важно: Акт определения уровня защищённости — обязательный документ. Его отсутствие является нарушением и может быть выявлено при проверке Роскомнадзором или ФСТЭК.
Стоимость и сроки
Определение уровня защищённости — это часть комплексной работы по приведению обработки ПДн в соответствие с 152-ФЗ. Ориентировочные цены:
| Работа | Стоимость |
|---|---|
| Аудит ИСПДн + определение УЗ + базовый комплект документов | от 60 000 ₽ |
| Аудит + модель угроз + проект системы защиты | от 120 000 ₽ |
| Полное приведение в соответствие с 152-ФЗ и приказами ФСТЭК | от 180 000 ₽ |
Сроки зависят от количества ИСПДн и сложности инфраструктуры: от 2 недель для небольшой компании до 2–3 месяцев для крупной организации.
Не уверены, какой уровень защищённости нужен вашей компании? Пройдите бесплатный экспресс-аудит — за 5 минут получите предварительную оценку. Или оставьте заявку — наши эксперты определят уровень защищённости и подготовят полный комплект документов.