Защита персональных данных по 152-ФЗ: уровни защищённости 1-4 и меры защиты
Обработка персональных данных граждан РФ требует соблюдения Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов, в том числе приказов ФСТЭК России и постановлений Правительства. Оператор обязан обеспечить защиту ПДн в зависимости от уровня защищённости информационной системы.
Основной документ, регламентирующий меры защиты, — Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Уровни защищённости персональных данных
Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает 4 уровня защищённости персональных данных. Уровень определяется в зависимости от типа обрабатываемых данных и количества субъектов.
| Уровень | Категории ПДн | Количество субъектов | Стоимость аттестации |
|---|---|---|---|
| 1 Высший | Специальные категории (биометрия, расовое происхождение, состояние здоровья) | более 100 000 | индивидуально |
| 2 | Специальные категории | менее 100 000 | индивидуально |
| 3 | Иные категории (ФИО, адрес, телефон, паспортные данные) | более 100 000 | индивидуально |
| 4 Базовый | Иные категории | менее 100 000 | индивидуально |
Меры защиты ИСПДн (согласно приказу ФСТЭК №21 от 18.02.2013)
- Организационные меры — назначение ответственного за обработку ПДн, разработка документов (политика обработки ПДн, перечень мер, инструкции), обучение сотрудников, организация внутреннего контроля.
- Технические меры — управление доступом, антивирусная защита, регистрация событий безопасности, контроль съёмных носителей, защита каналов связи.
- Специальные меры — защита от несанкционированного доступа (НСД), анализ уязвимостей, контроль защищённости периметра, резервное копирование.
⚠️ Штрафы за отсутствие аттестации и нарушение 152-ФЗ
- Для должностных лиц: от 20 000 до 40 000 ₽
- Для юридических лиц: от 60 000 до 100 000 ₽ (повторное нарушение — до 500 000 ₽)
- Уголовная ответственность — при утечке ПДн и причинении крупного ущерба (ст. 272, 273 УК РФ)
📋 Документы для аттестации ИСПДн
- ✅ Приказ о назначении ответственного за обработку ПДн
- ✅ Политика обработки персональных данных (для сайта или организации)
- ✅ Перечень мер по защите ПДн (согласно 21 приказу ФСТЭК)
- ✅ Согласие на обработку ПДн (актуальная форма)
- ✅ Модель угроз безопасности информации
- ✅ Документы на внедрённые сертифицированные СЗИ
- ✅ Инструкции для пользователей и администраторов
Наши услуги по защите ПДн
Проводим полный цикл работ по приведению обработки ПДн в соответствие с требованиями 152-ФЗ:
- Обследование и категорирование ИСПДн
- Разработка модели угроз и организационно-распорядительной документации
- Внедрение сертифицированных средств защиты информации
- Аттестация ИСПДн (для 1-3 уровней)
- Юридическое сопровождение и защита при проверках Роскомнадзора и ФСТЭК
📄 Нормативные документы по защите персональных данных
О персональных данных. Основной закон.
Состав и содержание мер по защите ПДн.
Уровни защищённости персональных данных.
Для разработки модели угроз ИСПДн.
Порядок аттестации объектов информатизации (для аттестации ИСПДн).
💰 Стоимость услуг
| Услуга | Стоимость | Срок |
|---|---|---|
| ИСПДн 4 уровня | индивидуально | ИСПДн 3 уровня | индивидуально |
| ИСПДн 2 уровня | индивидуально | |
| ИСПДн 1 уровня | индивидуально |
* Точная стоимость определяется после предпроектного обследования
❓ Часто задаваемые вопросы
Обязательна ли аттестация ИСПДн?
Для 1-3 уровней защищённости — обязательна. Для 4 уровня — уведомительный порядок, но мы рекомендуем провести аттестацию для снижения рисков и штрафов.
Какой срок действия аттестата ИСПДн?
Аттестат выдаётся на срок до 3 лет. При изменении состава ПДн или архитектуры системы требуется переаттестация.
Какие штрафы за нарушение 152-ФЗ?
Для должностных лиц — до 40 000 ₽, для юридических — до 100 000 ₽, повторное нарушение — до 500 000 ₽, уголовная ответственность при утечке.
Что делать после получения аттестата?
Необходимо проводить ежегодный контроль состояния защищённости, актуализировать документацию, отслеживать изменения в законодательстве.
Нужно ли получать согласие на обработку ПДн?
Да, для обработки ПДн требуется письменное согласие субъекта. Форма согласия должна соответствовать требованиям 152-ФЗ.
📚 Полезные материалы
Поможем подобрать решение
Расскажите о своей задаче — мы подготовим предложение под ваш бюджет и уровень защиты.
📞 Или звоните: +7 (495) 777-75-77 (доб. 00223) | lipunova@rnt.ru
АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 30 лет опыта, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.
