menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2025
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ
Закрыть вкладку проще, чем закрыть претензии регулятора.
Оставьте заявку на консультацию — бесплатно разберем, где у вас реальные риски и чем это грозит в деньгах.
🡒
Оставить заявку

Как определить уровень защищенности персональных данных

лонгриды
13.01.2023
08/12/25
Б-152
Лонгриды
События /
Как определить уровень защищенности персональных данных
Статья объясняет, как и зачем определять уровень защищенности информационной системы персональных данных, показывая, что от этого выбора зависит правильность реализации требований законодательства, эффективность защиты и готовность к проверкам регуляторов.
Что такое персональные данные (ПДн) простыми словами
TikTok и «экосистема данных»: почему он уникален
Содержание
Как алгоритмы «узнают» пользователя: набор идентификаторов и логика рекомендаций
TikTok, Instagram, X: сравнение подходов к данным
Основание обработки данных в приложениях
Примеры нарушений и прецедентов
Риски для бизнеса: почему владельцу компании это должно быть важно
Где именно TikTok «уязвим»
Практическое руководство
Российская специфика
Как «остановить» массовое изучение. Технические и организационные практики, применимые для компаний
Заключение: баланс между инновациями и ответственностью
Что такое персональные данные (ПДн) простыми словами
TikTok и «экосистема данных»: почему он уникален
Содержание
Как алгоритмы «узнают» пользователя: набор идентификаторов и логика рекомендаций
TikTok, Instagram, X: сравнение подходов к данным
Основание обработки данных в приложениях
Примеры нарушений и прецедентов
Риски для бизнеса: почему владельцу компании это должно быть важно
Где именно TikTok «уязвим»
Практическое руководство
Российская специфика
Как «остановить» массовое изучение. Технические и организационные практики, применимые для компаний
Заключение: баланс между инновациями и ответственностью
Уровень защищенности (УЗ) информационной системы персональных данных (ИСПДн) — это не только классификация для отчетности. От него зависит, какие именно требования к защите необходимо реализовать оператору, какие документы разработать, какие технические меры внедрить и какие проверки пройти. Фактически определение уровня защищенности является отправной точкой для построения всей системы защиты персональных данных.

Для чего нужно определять уровень защищенности

Правильно установленный уровень позволяет:
  • составить акт классификации ИСПДн и определить обязательные для внедрения меры защиты;
  • спроектировать инфраструктуру таким образом, чтобы она отвечала требованиям регуляторов;
  • сбалансировать издержки на защиту: избежать лишних расходов на избыточные меры и снизить риск штрафов за недоработки;
  • обеспечить соответствие требованиям законодательства и готовность к проверкам со стороны Роскомнадзора и ФСТЭК России.

Категории персональных данных

Первое, что необходимо определить — это какие именно категории персональных данных обрабатываются в системе. Закон устанавливает четыре группы:
Специальные категории (ст. 10 152‑ФЗ). Это сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. С такими данными работают, например, медицинские учреждения, образовательные организации, религиозные объединения.
Биометрические данные (ст. 11 152‑ФЗ). Это физиологические характеристики (отпечатки пальцев, изображение лица, сетчатка глаза, голос), которые используются для установления личности. Примеры: системы контроля доступа по лицу или отпечатку.
Общедоступные данные (ст. 8 152‑ФЗ). Это информация, полученная исключительно из общедоступных источников: справочники, публикации в СМИ, официально размещенные открытые данные.
Иные персональные данные. Сюда относятся все остальные сведения: паспортные данные, контактные телефоны, адреса проживания, сведения о трудовой деятельности и образовании, платежные реквизиты.
Определение категории крайне важно: для специальных и биометрических данных устанавливаются наиболее строгие требования, а ошибки классификации могут привести к неверному выбору уровня защищенности.

Определение типа субъектов персональных данных

Методика также требует разделения субъектов ПДн на две группы:
  • работники организации;
  • иные субъекты — клиенты, пациенты, ученики, партнеры и другие субъекты не являющиеся работниками организации.
Если в системе обрабатываются данные и сотрудников, и клиентов, уровень устанавливается исходя из категории «иные субъекты». Это правило связано с тем, что работа с внешними пользователями всегда несет больший риск — данные могут распространяться шире и подвергаться большему количеству угроз.

Количество субъектов в базе

  • менее 100 000 субъектов;
  • более 100 000 субъектов.
Следующий показатель — численность обрабатываемых данных. Учитывается два значения:
Если организация обрабатывает данные более 100 000 человек, требования к защите будут значительно выше, чем для небольших систем. Логика проста: чем больше данных, тем выше масштаб возможного ущерба при инциденте.
Если нужно понять, какие поведенческие метрики вы реально собираете и на каком основании, удобнее начать с экспресс-аудита трекинга и политики
Чтобы не разбираться в этом вслепую, можно запросить консультацию по инвентаризации трекинга и проверке оснований обработки данных. 
ОСТАВИТЬ ЗАЯВКУ

Типы актуальных угроз

Третий фактор — актуальные угрозы безопасности. Постановление Правительства Р Ф № 1119 (пп. 9−12) закрепляет три типа. Их задача показать, есть ли риск скрытых (неописанных производителем) функций в используемом ПО и где этот риск выше: в системном слое, в прикладном или он не подтвержден моделированием.
Угрозы 1‑го типа. Риск недекларированных возможностей (НДВ) в системном ПО: операционная система, гипервизор, драйверы, системные службы, средства виртуализации и администрирования. Признаки, указывающие на актуальность первого типа:
  • используются несертифицированные (или не прошедшие оценку доверия) ОС/гипервизоры/системные компоненты;
  • отсутствуют сведения о контроле целостности поставок (supply‑chain) и о проверке дистрибутивов/обновлений;
  • системный софт загружает модули из внешних репозиториев без верификации;
  • по результатам моделирования установлено, что компрометация системного слоя ведет к неконтролируемому доступу к массивам ПДн.
  • Примеры сценариев: внедрение НДВ в драйвер хранения данных, модуль удаленного администрирования в образе ОС, уязвимость доверенной загрузки, дающая привилегии ядра.
Угрозы 2‑го типа. Риск НДВ в прикладном ПО: СЭД/CRM/ERP, медицинские системы, ЛК, мобильные приложения, веб‑сервисы обработки ПДн. Признаки:
  • используется ПО без исходных текстов или без процедуры независимой код‑ревизии/пентеста перед вводом в эксплуатацию;
  • активная интеграция с внешними сервисами (SDK, облачные библиотеки, сторонние виджеты), для которых нет оценки доверия;
  • обновления приложений доставляются из закрытых каналов без верификации и журналирования;
  • в модели угроз показано, что компрометация прикладного уровня дает доступ к ПДн при сохранении целостности ОС. Примеры: «закладка» в модуле экспорта отчетов, бэкдор в сервере приложений, вредоносный плагин визуализации форм, который отправляет собранные ПДн наружу.
Угрозы 3‑го типа. Все иные подтвержденные угрозы, когда НДВ в системном и прикладном ПО не признаются актуальными по результатам моделирования. Сюда попадают сетевые атаки, ошибки конфигурирования, социальная инженерия, эксплуатация известных уязвимостей, утечки через внешние носители, компрометация учетных записей и т. п.
Как определять тип правильно. Тип угроз фиксируется в «Модели угроз безопасности ПДн в ИСПДн», которую готовит оператор. На практике используют: описание архитектуры, перечень ПО с версиями, результаты обследования, инвентаризацию интеграций, данные об уязвимостях и отчетность тестов на проникновение. Итог — обоснованное решение о наличии/отсутствии НДВ на системном и прикладном уровнях. Эта модель — обязательный артефакт и опора для выбора уровня защищенности (ПП № 1119) и подбора мер по приказу ФСТЭК России № 21 от 18.02.2013.

Определение уровня защищенности

Все показатели сводятся в таблицу из ПП № 1119: категория ПДн, тип субъектов, численность базы и тип угроз. Логика простая: чем чувствительнее категория, внешне «шире» субъект, больше объем и «выше» уровень угроз, тем строже уровень защищенности.
Как читать таблицу:
  • для специальных и биометрических категорий при актуальности угроз 1−2‑го типов уровень всегда выше, чем для «иных» ПДн;
  • при переходе порога в 100 000 субъектов уровень, как правило, повышается на один ступень;
  • для общедоступных ПДн при угрозах 3‑го типа возможен «4 УЗ» при больших объемах, поскольку риски НДВ не подтверждены.
Решение закрепляются Актом установления уровня защищенности ИСПДн. В акте указывают исходные данные (категории, тип субъектов, объем, тип угроз), итоговый УЗ, используемую таблицу ПП № 1119 и связь с моделью угроз. Акт становится входом для техпроектирования и реализации мер.

Меры защиты в зависимости от уровня

После выбора уровня меры берутся из приказа ФСТЭК № 21. Список детализируется под архитектуру, но общий профиль по уровням выглядит так.
  • Детализированная ролевая модель доступа, принцип минимальных привилегий, разделение админских ролей; двухфакторная аутентификация для администраторов и удаленных доступов.
  • Сегментация сети (DMZ/зоны обработки ПДн), межсетевые экраны уровня приложений, контроль межзонных взаимодействий; защита удаленных подключений.
  • Централизованный журнал событий безопасности, корреляция (SIEM‑уровень), хранение и защита логов; постоянный контроль целостности критичных компонентов.
  • Регулярное управление уязвимостями и обновлениями, тесты на проникновение до ввода и периодически; контроль поставок ПО и обновлений.
  • Криптографическая защита при передаче ПДн по открытым каналам и при хранении, с управлением ключами и разграничением доступа к ключевой информации.
  • Резервное копирование с раздельным хранением и регулярным восстановлением; план реагирования на инциденты и отработка сценариев.
1 УЗ (наиболее строгий):
  • Полный набор организационных мер, разграничение доступа и учет действий пользователей; многофакторная аутентификация на административных сегментах.
  • Сегментация сети и межсетевые экраны, контроль приложений; централизованное журналирование и мониторинг событий.
  • Регулярные обновления и сканирование уязвимостей; периодические испытания/аудиты безопасности.
  • Криптографическая защита при передаче по открытым сетям; защита бэкапов и восстановление.
2 УЗ:
  • Базовая ролевая модель, контроль доступа и учет действий; антивирус/EDR‑класс на рабочих станциях и серверах.
  • Межсетевой экран на периметре, актуальные обновления, контроль конфигураций; защита аутентификации пользователей.
  • Документированные процедуры уничтожения ПДн и сроки хранения; работа с обращениями субъектов.
3 УЗ:
  • Минимально достаточные организационные меры: политика ПДн, назначение ответственных, журналы доступа.
  • Базовое разграничение, антивирусная защита, резервное копирование и восстановление.
Для всех уровней обязательны: актуальная Политика ПДн (ст. 18.1 152‑ФЗ), модель угроз, акт УЗ, реестр ИСПДн, порядок реагирования на инциденты, а также оформление уничтожения ПДн актами по приказу Роскомнадзора № 179. Если используется публикация ПДн в открытом доступе — отдельное согласие на распространение (ст. 10.1 152‑ФЗ; приказ РКН № 18).
4 УЗ:

Вывод

Определение уровня защищенности — это фундамент всей системы защиты персональных данных. Она позволяет выстроить систему в строгом соответствии с законом, минимизировать риски инцидентов и претензий со стороны регуляторов. 
Для оператора это гарантия предсказуемости и управляемости процессов, для субъекта ПДн — уверенность в сохранности его данных. Ошибки в определении уровня обходятся дорого: их исправление требует не только доработки документов, но и зачастую изменения инфраструктуры и процессов работы. Поэтому определять УЗ нужно тщательно, опираясь на реальную модель угроз и точные характеристики обрабатываемых данных. 
На практике это означает, что уже на этапе проектирования стоит привлекать специалистов по ИБ и учитывать требования регуляторов, чтобы избежать пересборки систем. Для бизнеса правильное определение уровня защищенности — это инвестиция в предсказуемость и снижение рисков.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Если интересно, какие данные о вас видят алгоритмы и как это выглядит с точки зрения закона, за такими разборами и кейсами удобно следить в нашем TГ-канале.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме