Безопасность персональных данных: меры и уровни защиты по 152‑ФЗ

![placeholder: схема процесса обеспечения безопасности ПДн — инвентаризация → классификация → модель угроз → меры защиты → мониторинг]

Table of contents

• Зачем нужна безопасность персональных данных по 152‑ФЗ
• Нормативная база и роли регуляторов
• Уровни защищенности ИСПДн: логика определения
• Модель угроз ПДн: как составить
• Меры защиты ПДн: организационные и технические
• Обезличивание по 152‑ФЗ: когда и как применять
• Требования к ИСПДн на практике: пошаговый чек-лист
• Облако и трансграничная передача ПДн
• Типичные ошибки операторов
• Контроль и ответственность
• Вывод и следующий шаг

Зачем нужна безопасность персональных данных по 152‑ФЗ

Безопасность персональных данных 152‑ФЗ — это комплекс организационных и технических мер, снижающих риски несанкционированного доступа, утечки, искажения или блокирования ПДн при их обработке. Закон адресован всем операторам ПДн: компаниям, ИП, госорганам и НКО. Он определяет принципы обработки, права субъектов и обязанности оператора — от получения законных оснований до обеспечения сохранности и конфиденциальности данных.

Для систематического понимания начните с обзора самого закона: Федеральный закон № 152‑ФЗ, его предмет и ключевые понятия, а также структуры и статей. Полезно свериться с принципами и условиями обработки, правами граждан и обязанностями оператора.

Нормативная база и роли регуляторов

Безопасность ПДн в ИСПДн опирается на 152‑ФЗ и подзаконные акты, включая требования по защите от уполномоченных органов. В упрощённом виде роли выглядят так:

• Роскомнадзор — контроль за соблюдением 152‑ФЗ, проверка операторов, ведение реестров и рассмотрение обращений. Подробнее: Роскомнадзор: контроль и реестры.
• ФСТЭК России — методические документы по уровням защищенности ИСПДн, угрозам и мерам защиты (организационные и технические).
• ФСБ России — вопросы криптографической защиты, в т.ч. использования сертифицированных СКЗИ.

Закон и подзаконные акты регулярно обновляются — следите за изменениями: История и изменения 152‑ФЗ.

Уровни защищенности ИСПДн: логика определения

Определение уровня защищенности — отправная точка для выбора мер. На уровень влияют:

• категории ПДн (обычные, специальные, биометрические);
• потенциальный ущерб субъектам и организации;
• масштабы обработки (число субъектов, критичность процессов);
• характер актуальных угроз (внешние/внутренние, целевые/массовые, сетевой периметр и т.д.).

Ниже — ориентировочная логика уровней защищенности ИСПДн (1 — наивысший, 4 — базовый). Конкретный уровень определяйте по действующим методикам ФСТЭК.

Уровень	Примеры данных/рисков	Ключевые акценты мер
1	Специальные/биометрические ПДн, большой объем, критичные процессы, высококвалифицированный нарушитель	Строгая сегментация и изоляция, сквозная криптография, многофакторная аутентификация, контролируемая разработка, непрерывный мониторинг, расширенный аудит
2	Спецкатегории/биометрия или крупные массивы обычных ПДн, значимый вред при компрометации	Усиленное управление доступом, DLP/EDR/SIEM, защищенные каналы, регулярные тесты безопасности, повышенные требования к подрядчикам
3	Обычные ПДн среднего масштаба, ограниченный сетевой периметр	Ролевой доступ, антивирус/EDR, журналирование, резервное копирование, базовая сегментация, обновления и управление уязвимостями
4	Локальные небольшие ИСПДн, минимальные риски	Политики, пароли, физическая защита, резервные копии, обучение персонала

Модель угроз ПДн: как составить

Модель угроз ПДн — документ, который связывает объекты защиты, потенциальных нарушителей и сценарии атак с конкретными мерами. Практические шаги:

1. Инвентаризация активов: системы, базы данных, интерфейсы, интеграции, среда (локально/облако), каналы передачи.
2. Классификация ПДн: категории, объем, процессы, роли операторов и порученных обработчиков.
3. Определение границ ИСПДн: сетевые сегменты, пользователи, точки входа.
4. Идентификация угроз: внешние (фишинг, эксплойты, DDoS, атаки на поставщиков), внутренние (ошибки, инсайдеры), операционные (сбои, бэкапы), юридические (ошибочное основание обработки).
5. Оценка рисков: вероятность × ущерб субъектам и бизнесу.
6. Выбор мер: соотнесите риски и уровень защищенности, учтите требования по криптографии при передаче по открытым сетям.
7. Актуализация: пересматривайте модель при изменениях архитектуры, угроз или регуляторных требований.

Подготовка модели помогает структурировать «меры защиты ПДн» и обосновать выбор средств (включая необходимость СКЗИ).

Меры защиты ПДн: организационные и технические

Организационные меры

• Политика ИБ и локальные акты по ПДн, регистры операций обработки, описания процессов. Свяжите их с обязанностями оператора и согласием/иными основаниями.
• Назначение ответственных, распределение ролей, матрица доступа (минимизация привилегий).
• Договоры с порученными обработчиками: цели, объем, меры, ответственность, аудиты.
• Обучение персонала, регулярное тестирование знаний, фишинг-симуляции.
• Управление инцидентами: регламент, команда реагирования, порядок уведомлений, взаимодействие с РКН при серьезных утечках.
• Учёт носителей, порядок уничтожения/обезличивания, контроль изменений.

Технические меры

• Управление доступом: MFA, парольная политика, SSO, сегментация по ролям.
• Сетевые контуры: межсетевые экраны, сегментация, WAF для веб-сервисов, VPN.
• Криптографическая защита: шифрование каналов и хранилищ с использованием сертифицированных решений, управление ключами.
• Антивирус/EDR, контроль целостности, управление уязвимостями и патчами.
• Журналирование и мониторинг: централизованные логи, корреляция событий (SIEM), оповещения.
• DLP/anti-phishing: контроль каналов вывода данных, защита почты.
• Резервное копирование и восстановление: тестирование сценариев, офлайн-копии.
• Безопасная разработка: SAST/DAST, раздельные контуры DEV/TEST/PROD, секрет‑менеджмент.
• Физическая защита: контроль доступа в серверные, видеонаблюдение, отказоустойчивое питание.

Эти меры корректируются под уровень защищенности, модель угроз и тип ИСПДн.

Обезличивание по 152‑ФЗ: когда и как применять

«Обезличивание 152‑ФЗ» — это исключение возможности определить без дополнительной информации принадлежность ПДн конкретному субъекту. Обезличивание снижает риски при аналитике и тестировании, но не освобождает от соблюдения закона, если сохраняется реидентификация.

Практики:

• Маскирование и удаление прямых идентификаторов (ФИО, телефон, e‑mail).
• Псевдонимизация/токенизация: замена идентификаторов устойчивыми токенами.
• Обобщение: агрегирование до групп, возрастных диапазонов, округление.
• Дифференциальная приватность и шум: для больших массивов аналитики.

Важно документировать метод и проверять риск реидентификации. Для контекста по легитимности обработки см. принципы и условия и права субъектов.

Требования к ИСПДн на практике: пошаговый чек-лист

Ниже — краткий маршрут внедрения требований к ИСПДн от старта до мониторинга.

Шаг	Что делаем	Результат
1	Инвентаризация процессов и данных	Реестр обработки ПДн, границы ИСПДн
2	Классификация и правовые основания	Перечни категорий ПДн, документированные основания
3	Определение уровня защищенности	Уровень для ИСПДн + обоснование
4	Модель угроз и план мер	Документ угроз, карта рисков, план внедрения
5	Реализация мер и средств защиты	Политики, настройки, СЗИ/СКЗИ, обучение
6	Тестирование и контроль	Пентест/скан уязвимостей, аудит логов/доступов
7	Эксплуатация и мониторинг	Регламенты, метрики, инцидент‑менеджмент, обновления

Сверяйте запуск с юридической частью: основания обработки, информирование и согласия (если нужны), сроки хранения, удаление. Подробнее: о персональных данных, согласие, обязанности оператора.

Облако и трансграничная передача ПДн

При работе в облаке учитывайте:

• роль облачного провайдера как порученного обработчика;
• территорию и юрисдикцию хранения/резервных копий;
• соглашения о мерах защиты и аудите;
• использование сертифицированных средств защиты и шифрования.

Если данные передаются за пределы РФ, применяйте требования по трансграничной передаче: оценка уровня защиты в принимающей стране, правовые основания, договорные гарантии и дополнительные меры (в т.ч. криптография и де‑идентификация).

Типичные ошибки операторов

• Отсутствие полной карты обработки: потоки данных, интеграции, неучтённые выгрузки.
• Формальный выбор уровня защищенности без анализа актуальных угроз.
• Слабая аутентификация и избыточные привилегии администраторов.
• Необновлённые СЗИ, пустые журналы, «немые» системы мониторинга.
• Несогласованные копии баз, тестирование на продуктивных данных без обезличивания.
• Игнорирование поставщиков и подрядчиков как канала риска.
• Недостаточная работа с правовыми основаниями обработки и информированием субъектов.

Избежать ошибок помогает регулярный аудит и связь юридической и технической частей программы защиты.

Контроль и ответственность

Роскомнадзор контролирует соблюдение закона, рассматривает жалобы и проводит проверки. Подробности о механизмах контроля — в разделе РКН: контроль и реестры. За нарушения действуют санкции, вплоть до значительных штрафов и ограничений обработки. См. обзор: Ответственность и штрафы за нарушение 152‑ФЗ.

Помните: безопасность ПДн тесно связана с выполнением прав субъектов — доступа, исправления, удаления там, где это возможно. Рекомендуем перечитать права субъектов и применимые принципы обработки.

Вывод и следующий шаг

«Безопасность персональных данных 152‑ФЗ» — это не разовая настройка, а управляемый цикл: инвентаризация → выбор уровня защищенности → модель угроз → меры → мониторинг и улучшение. Начните с проверки вашей ИСПДн по чек‑листу, актуализируйте правовые основания и внедрите приоритетные меры.

Готовы двигаться дальше? Изучите базу: ФЗ‑152 и его структуру, затем вернитесь к этому руководству, чтобы составить план. При трансграничной работе проверьте раздел о передаче ПДн. Так вы выстроите устойчивую защиту ПДн и избежите рисков проверок и штрафов.