О компании Услуги Ситуации Отрасли Органы Блог Отзывы F.A.Q. Кейсы Контакты
+7 (901) 499-39-49
Главная
Блог
Определение уровня защищенности ИСПДн

Определение уровня защищенности ИСПДн

+7 (495) 134-80-68

Как выбрать уровень защищённости ИСПДн

Сколько раз слышал: «Да там же просто телефоны клиентов, какой ещё уровень?» А потом — визит Роскомнадзора и неприятный сюрприз. Настройку защиты нужно начинать с правильного определения уровня защищённости информационной системы персональных данных (ИСПДн). Разбираемся без канцелярита.

Что такое уровень защищённости и зачем он нужен?

Закон требует защищать персональные данные не абстрактно, а в зависимости от конкретного уровня угроз. Этот уровень — стартовая точка: от него пляшут выбор СЗИ, модель угроз, организационные меры. Ошиблись — вся Защита персональных данных летит в тартарары.

На каких документах держится методика

  • Постановление Правительства № 1119 — вводит три уровня защищённости.
  • Базовая модель угроз ФСТЭК (2008) — подсказывает, какого нарушителя бояться.
  • Методика ФСТЭК (2021) — формализует расчёт уровня (обязательно для 1‑2 уровней, «очень желательно» для 3‑го).

Какие бывают уровни

Уровень

Кому подходит

Тип нарушителя

Пример

1 (высокий)

Гос‑сервисы, медицина, соц. выплаты

Внутренний, профи

Инфосистема поликлиники

2 (средний)

90 % бизнеса

Внутренний, частичный доступ

CRM, 1С ЗУП, онлайн‑магазин

3 (низкий)

Малый бизнес без веб‑доступа

Внешний, без доступа

Один ПК + почта

⚙️ Как определить уровень — шаг за шагом

  1. Шаг 1. Составьте честный перечень ИСПДн
    1. 1С, Bitrix24, Google Sheets, Telegram‑бот — всё, где живут данные.
  2. Шаг 2. Определите, кто может их взломать
    1. База в облаке? Значит, атаковать может любой из Интернета. Файл на флешке бухгалтера? Смотрим на внутренние риски.
  3. Шаг 3. Примените методику ФСТЭК
    1. Есть спецданные (здоровье, судимость) или биометрика? Используете веб‑интерфейс? Скорее всего, уровень не ниже второго.
Лайфхак: если путаетесь в типах угроз — зовите специалиста. Дешевле, чем переделывать после проверки.

Где обычно промахиваются

  • Неполный перечень систем. Excel забыли, чат забыли, — привет, «неформальная» ИСПДн.
  • Занижение уровня ради экономии. Потом выясняется, что в CRM есть паспортные данные, а firewall не смог.
  • Игнор методики. «Мы малый бизнес, нам и так сойдёт». Сойдёт штрафом до 300 000.

После того как уровень ясен

  1. Оформите Акт классификации ИСПДн.
  2. Составьте Модель угроз под нужный уровень.
  3. Пропишите Положение о защите ПДн и внедрите меры.
  4. Выберите СЗИ: антивирус, шифрование, межсетевой экран и т.д.
  5. При необходимости подайте или обновите уведомление в Роскомнадзор.

Почему всё это не формальность

Неверный уровень — частая причина претензий надзора. Ошибка стоит дороже, чем день работы аналитика. АУП‑Консалтинг напоминает: Применяем комплексный подход — сначала проведем анализ используемых информационных систем, далее разработаем документы, а именно Акт классификации и Модель угроз, проведем оценку сайта на соответсвие 152-ФЗ, дадим рекомендацию по устранению нарушения, подадим с нуля или откоректируем уведомление в Роскомнадзоре.

Оставить заявку

Возврат к списку