Защита персональных данных по 152-ФЗ: уровни защищённости 1-4 и меры защиты
Обработка персональных данных граждан РФ требует соблюдения Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов, в том числе приказов ФСТЭК России и постановлений Правительства. Оператор обязан обеспечить защиту ПДн в зависимости от уровня защищённости информационной системы.
Основной документ, регламентирующий меры защиты, — Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Уровни защищённости персональных данных
Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает 4 уровня защищённости персональных данных. Уровень определяется в зависимости от типа обрабатываемых данных и количества субъектов.
| Уровень | Категории ПДн | Количество субъектов | Стоимость аттестации |
|---|---|---|---|
| 1 Высший | Специальные категории (биометрия, расовое происхождение, состояние здоровья) | более 100 000 | от 250 000 ₽ |
| 2 | Специальные категории | менее 100 000 | от 180 000 ₽ |
| 3 | Иные категории (ФИО, адрес, телефон, паспортные данные) | более 100 000 | от 120 000 ₽ |
| 4 Базовый | Иные категории | менее 100 000 | от 80 000 ₽ |
Меры защиты ИСПДн (согласно приказу ФСТЭК №21 от 18.02.2013)
- Организационные меры — назначение ответственного за обработку ПДн, разработка документов (политика обработки ПДн, перечень мер, инструкции), обучение сотрудников, организация внутреннего контроля.
- Технические меры — управление доступом, антивирусная защита, регистрация событий безопасности, контроль съёмных носителей, защита каналов связи.
- Специальные меры — защита от несанкционированного доступа (НСД), анализ уязвимостей, контроль защищённости периметра, резервное копирование.
⚠️ Штрафы за отсутствие аттестации и нарушение 152-ФЗ
- Для должностных лиц: от 20 000 до 40 000 ₽
- Для юридических лиц: от 60 000 до 100 000 ₽ (повторное нарушение — до 500 000 ₽)
- Уголовная ответственность — при утечке ПДн и причинении крупного ущерба (ст. 272, 273 УК РФ)
📋 Документы для аттестации ИСПДн
- ✅ Приказ о назначении ответственного за обработку ПДн
- ✅ Политика обработки персональных данных (для сайта или организации)
- ✅ Перечень мер по защите ПДн (согласно 21 приказу ФСТЭК)
- ✅ Согласие на обработку ПДн (актуальная форма)
- ✅ Модель угроз безопасности информации
- ✅ Документы на внедрённые сертифицированные СЗИ
- ✅ Инструкции для пользователей и администраторов
Наши услуги по защите ПДн
Проводим полный цикл работ по приведению обработки ПДн в соответствие с требованиями 152-ФЗ:
- Обследование и категорирование ИСПДн
- Разработка модели угроз и организационно-распорядительной документации
- Внедрение сертифицированных средств защиты информации
- Аттестация ИСПДн (для 1-3 уровней)
- Юридическое сопровождение и защита при проверках Роскомнадзора и ФСТЭК
💰 Стоимость услуг
| Услуга | Стоимость | Срок |
|---|---|---|
| ИСПДн 4 уровня | от 80 000 ₽ | 2-3 недели |
| ИСПДн 3 уровня | от 120 000 ₽ | 3-4 недели |
| ИСПДн 2 уровня | от 180 000 ₽ | 4-6 недель |
| ИСПДн 1 уровня | от 250 000 ₽ | от 6 недель |
* Точная стоимость определяется после предпроектного обследования
❓ Часто задаваемые вопросы
Обязательна ли аттестация ИСПДн?
Для 1-3 уровней защищённости — обязательна. Для 4 уровня — уведомительный порядок, но мы рекомендуем провести аттестацию для снижения рисков и штрафов.
Какой срок действия аттестата ИСПДн?
Аттестат выдаётся на срок до 3 лет. При изменении состава ПДн или архитектуры системы требуется переаттестация.
Какие штрафы за нарушение 152-ФЗ?
Для должностных лиц — до 40 000 ₽, для юридических — до 100 000 ₽, повторное нарушение — до 500 000 ₽, уголовная ответственность при утечке.
Что делать после получения аттестата?
Необходимо проводить ежегодный контроль состояния защищённости, актуализировать документацию, отслеживать изменения в законодательстве.
Нужно ли получать согласие на обработку ПДн?
Да, для обработки ПДн требуется письменное согласие субъекта. Форма согласия должна соответствовать требованиям 152-ФЗ.
📄 Нормативные документы
Состав и содержание мер по защите персональных данных
Постановление Правительства №1119 от 01.11.2012
О персональных данных
📚 Полезные материалы
Нужна консультация?
Оставьте заявку, и наш специалист свяжется с вами для уточнения деталей.
Или напишите нам: sales@rnt.ru | +7 (495) 777-75-77
АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 20+ лет опыта, 4 доктора наук, 35 кандидатов наук, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.
