Как выполнить требования ФСТЭК по персональным данным и не допустить типичных ошибок при внедрении защиты

ФСТЭК требует от операторов персональных данных действительно работающей технической защиты: одних отчётов и регламентов недостаточно — важно, чтобы меры безопасности были внедрены и функционировали на практике. Штрафы за утечки измеряются миллионами, а регуляторы всё чаще приходят с проверками к бизнесу любого масштаба. Проблема в том, что многие компании выбирают средства защиты без сильного погружения, настраивают их по шаблону или вообще забывают про появление новых процессов и ролей.

В статье мы разбираем, какие бывают уровни защищённости данных, какие требования есть у ФСТЭК и как не допустить ошибок при их соблюдении.

Уровни защищённости персональных данных (УЗ)

Уровни защищённости персональных данных — это градация требований к защите информации. Они зависят от того, насколько чувствительны сведения и какого количества людей они касаются. Всего предусмотрено четыре уровня: от УЗ-1 (максимальный) до УЗ-4 (базовый), они установлены Постановлением Правительства №1119 от 1 ноября 2012 года. 

Чтобы определить уровни защищенности персональных данных в информационных системах, нужно учесть: 

• категорию данных (специальные, биометрические, иные или иные, общедоступные)
  
• объём (более или менее 100 тысяч субъектов)
  
• и тип актуальных угроз.

Угрозы делятся на три типа: уязвимости системного программного обеспечения (операционные системы, СУБД), второй - уязвимости прикладных систем (CRM, ERP, кадровые системы), третий — человеческий фактор и физический доступ.

Ошибка в определении уровня защищённости - одна из самых распространённых на практике. Она приводит либо к избыточным затратам на защиту, либо к штрафам из-за несоответствия требованиям. Поэтому начинать нужно не с покупки серверов и фаерволов, а с аудита и классификации.

Меры защиты персональных данных по требованиям ФСТЭК

Требования ФСТЭК к защите персональных данных зафиксированы в приказе ФСТЭК №21 от 18 февраля 2013 года. Приказ ФСТЭК №21 — это ключевой нормативный документ, который определяет, каким образом должны быть реализованы требования безопасности, установленные 152-ФЗ и Постановлением №1119.

Все меры защиты делятся на организационные и технические. Перечислим ключевые технические меры, без которых не обойтись:

Идентификация и аутентификация

Система должна однозначно идентифицировать пользователя. Для этого каждый пользователь получает уникальный логин и пароль, причём парольную политику настраивают довольно жёстко: длина не менее восьми символов, регулярная смена, запрет на простые комбинации. Для повышенных уровней защищённости (УЗ-1 и УЗ-2) добавляют двухфакторную аутентификацию — например, смарт-карты или токены. Без этого первый же проверяющий укажет на нарушение.

Управление доступом

Простое правило: сотрудник должен получает доступ только к тем данным, которые нужны ему для работы. Бухгалтеру не нужны медицинские справки, а кадровику — банковские реквизиты клиентов. Разграничение прав настраивают на уровне операционной системы, СУБД и самого прикладного ПО. В крупных ИСПДн используют ролевые модели: например, роли «администратор», «пользователь» и «аудитор» с чёткими полномочиями. И главное — никто, кроме штатного администратора, не должен иметь прав администратора на сервере.

Регистрация событий безопасности

Все действия с персональными данными должны фиксироваться: вход в систему, просмотр, изменение и удаление данных, а также попытки несанкционированного доступа. Эти журналы и логи по закону хранят не менее года. Для крупных систем используют SIEM-решения, которые собирают события со всех узлов и помогают быстро расследовать инциденты. Без такой регистрации доказать факт утечки или найти виновного практически невозможно.

Антивирусная защита и межсетевые экраны

Все рабочие станции и серверы, на которых обрабатываются персональные данные, должны быть оснащены антивирусами из реестра ФСТЭК. А для защиты персональных данных в сетях с выходом в интернет межсетевой экран обязателен уже начиная с УЗ-3.

Контроль съёмных носителей и шифрование

Флешки, внешние диски, карты памяти — это основной канал утечки от инсайдеров. Система должна разрешать использование только корпоративных, зашифрованных носителей, при этом шифровать все данные, которые покидают пределы защищённой зоны. Для УЗ-1 и УЗ-2 шифрование обязательно для всего, что хранится на серверах и рабочих станциях, здесь используют сертифицированные средства защиты информации (далее, СЗИ), например, тот же «КриптоПро».

Типичные ошибки при внедрении защиты персональных данных

• 1
  Ошибка 1. Не полностью учли все информационные системы

  Например, бухгалтерию и кадры защитили, а про СКУД (система контроля доступа) забыли. Между тем пропускная система часто хранит биометрию — отпечатки пальцев или снимки лиц, а видеонаблюдение тоже может быть ИСПДн, если по видео можно идентифицировать человека. Чтобы избежать этого, нужно проводить аудит всех ИТ-систем компании, а не только очевидных.
• 2
  Ошибка 2. Выбрали средства защиты по примеру из интернета

  Часто бывает, что компания использует типовые решения без адаптации. В результате либо защиты не хватает, либо она избыточна и сильно переплатили. У каждой компании своя архитектура, свои модели угроз, что подошло соседнему банку, для завода может быть бесполезно или опасно.
• 3
  Ошибка 3. Закупили дорогие средства, но забыли про документы

  Техническая защита не работает без приказов, положений и инструкций. Регулятор при проверке смотрит в первую очередь на организационные меры: назначен ли ответственный, есть ли политика обработки, ознакомлены ли сотрудники. Без этих бумаг даже самый современный и лицензионный софт не спасёт от штрафа.
• 4
  Ошибка 4. Настроили СЗИ кое-как или вообще не настраивали

  Классика: всем пользователям выдали права локального администратора. Это, несомненно, удобно для техподдержки, но любой сотрудник может отключить антивирус или фаервол. Формально средства установлены, а фактически защиты нет.Другая крайность - избыточная настройка: включены все возможные механизмы, из-за чего система теряет производительность, а пользователи начинают искать обходные пути..
• 5
  Ошибка 5. Игнорирование внутренних угроз

  DLP-системы и межсетевые экраны не предотвращают утечки, если сотрудник с легитимным доступом копирует данные на съёмный носитель. Чтобы это заметить, нужны средства контроля съёмных носителей, журналы доступа, а для высоких уровней — ещё и поведенческий анализ. Человеческий фактор остаётся, к сожалению, главной причиной утечек.

Ответственность за несоблюдение требований

Если игнорировать требования ФСТЭК и 152-ФЗ, то штрафы для юридических лиц начинаются от 60 тысяч рублей за отсутствие документов и доходят до 15 миллионов за утечку крупного массива данных. С 2025 года введены оборотные санкции: за повторное нарушение или разглашение специальных категорий данных компания может заплатить до 3% годовой выручки (но не менее 25 млн рублей).

Помимо денег, операторы данных рискуют получить приостановку деятельности на срок до 90 суток. Это значит, что компания не сможет заключать новые договоры, выставлять счета, а сотрудники — работать с клиентскими базами. Для банков, страховых, ритейлеров и госструктур такой простой означает огромные убытки и потерю репутации.

Также Роскомнадзор и ФСТЭК проводят плановые и внеплановые проверки и при обнаружении грубых нарушений материалы передают в прокуратуру. Руководителю грозит отстранение от работы на срок до трёх лет, а в некоторых случаях (например, утечка данных, повлёкшая тяжкие последствия) — уголовная ответственность по статье 272 УК РФ.

Влияние требований ФСТЭК на бизнес

Требования ФСТЭК напрямую влияют на три направления: бюджет, скорость работы и репутации. Руководителю нужно понимать и техническую сторону, и то, когда это превращается из конкурентного преимущества в головную боль. Давайте разберём эти ключевые зоны влияния.

Финансы: от разовых затрат к регулярным расходам.

Внедрение сертифицированных СЗИ, аудит, аттестация —— это стартовые инвестиции от пары миллионов для среднего бизнеса до десятков у госкомпаний. Но главное — защита персональных данных перестаёт быть проектом из серии «сделали и забыли». Ежегодное обновление лицензий на антивирусы и межсетевые экраны, продление аттестатов, повышение квалификации сотрудников — это постоянная статья операционных расходов. Закладывайте её в бюджет при планировании, иначе через год система останется без поддержки, а вы — с формальными нарушениеми и их последствиями.

Скорость процессов и защита

Жёсткий контроль доступа, обязательная регистрация каждого действия, шифрование — всё это добавляет задержки. Сотрудник не может просто так скопировать файл на флешку или отправить рабочий файл в мессенджере. Это раздражает и тормозит работу. Задача руководителя — найти баланс между безопасностью и эффективностью. Не ставьте УЗ-2 там, где достаточно УЗ-4. Или не заставляйте отдел продаж каждый раз использовать три ЭЦП для просмотра собственной CRM. Чем избыточнее защита, тем быстрее люди начнут её обходить — и вы получите дыры в процессах и безопасности в целом.

Кадры и компетенции

Многие компании назначают ответственным за ИСПДн своего главного инженера или сисадмина, но это ошибка. Специалист по защите информации — отдельная профессия с квалификацией, подтверждённой документально. Он должен понимать модель угроз, уметь настраивать сертифицированные СЗИ и знать нормативку. Если такого человека нет в штате, придётся привлекать подрядчика с лицензией ФСТЭК. По нашему опыту, экономия на компетенциях оборачивается ошибками в классификации и штрафами.

Ответственность руководителя

Штраф для юрлица — это деньги компании. А вот отстранение генерального директора на срок до трёх лет — это личный риск. Повторное нарушение или утечка спецкатегорий (например, медицина или биометрия) запускают механизм административного и даже уголовного преследования. Руководитель обязан лично утвердить политику обработки персональных данных, назначить ответственного и контролировать исполнение. Переложить это на ИТ-отдел и забыть не получится — проверяющие приходят к первому лицу.

Договоры с партнёрами и подрядчиками

Если вы передаёте персональные данные на аутсорсинг (используете облачную CRM, аутсорс-бухгалтерия или внешний дата-центр), ваш договор с подрядчиком должен содержать обязанность подрядчика соблюдать требования 152-ФЗ и ФСТЭК. Мало просто написать фразу «подрядчик обязуется обеспечить защиту». Нужно указать конкретный уровень защищённости и перечень сертифицированных СЗИ, которые он обязан использовать. Без этого при проверке штраф получите вы, а не подрядчик. Арбитражная практика последних лет показывает: суды встают на сторону граждан и взыскивают компенсации именно с оператора, даже если утёкшие данные хранились у субподрядчика.

Частые вопросы

Нужно ли внедрять защиту для ИС, которая работает только во внутренней сети без выхода в интернет?

Да, потому что угрозы исходят не только извне. Инсайдеры, заражённые флешки, случайные действия администратора — всё это актуально и для изолированной сети. Требования ФСТЭК не делают исключений для «чистых» сегментов без доступа в сеть. При этом уровень защищённости может быть невысоким (например, УЗ-3 или УЗ-4), но меры контроля доступа, регистрации событий и антивирусной защиты всё равно потребуются.

Можно ли использовать бесплатные антивирусы для защиты персональных данных?

Нет. ФСТЭК требует применять только сертифицированные средства защиты информации из государственного реестра. Бесплатные версии (даже популярных брендов) не проходят сертификацию по требованиям к защите от несанкционированного доступа. За их использование оператор получит такой же штраф, как и за отсутствие средств защиты.

Что делать, если мы передаём обработку персональных данных на аутсорсинг в облако?

Даже при такой передаче данных вы остаётесь их оператором и отвечаете за всё, а подрядчик (облачный провайдер) должен иметь лицензию ФСТЭК на техническую защиту конфиденциальной информации. В договоре пропишите обязанность подрядчика соблюдать тот же уровень защищённости, что и у вас. Также нужно уведомить Роскомнадзор о передаче данных третьему лицу. И не забудьте проверить, сертифицировано ли облачное решение как ИСПДн.

Обязательно ли получать лицензию ФСТЭК самой компании?

Лицензия ФСТЭК нужна, если вы оказываете услуги по технической защите информации другим организациям. Если же вы просто оператор своих данных (обрабатываете сведения о сотрудниках и клиентах), лицензия не требуется. Но вы обязаны использовать сертифицированные СЗИ и привлекать лицензиатов для аттестации и работ по защите, если не делаете это своими силами (а для этого у вас должны быть лицензированные специалисты).

Заключение

Выполнить требования ФСТЭК по персональным данным реально, если действовать по порядку: сначала аудит и классификация, потом выбор сертифицированных средств защиты информации, затем настройка и внедрение организационных документов. Самые дорогие ошибки возникают, когда экономят на диагностике или копируют чужие решения.

Лучший способ сэкономить — не покупать лишнего, а точно определить свой уровень защищённости и нанять подрядчика с лицензией ФСТЭК для аудита и аттестации. Это дешевле, чем платить миллионные штрафы за утечки. Свяжитесь с нашими специалистами для оценки уровня защищённости вашей компании и подготовки документов и инфраструктуры для выполнения требований по защите.