Уровни защищенности персональных данных: полное руководство по классификации и практическому применению в 2025 году

Типы угроз информационной безопасности

Уровень защищенности персональных данных во многом определяется типом актуальных угроз для конкретной информационной системы. Российское законодательство выделяет три типа угроз:

Угрозы 1-го типа

Связаны с наличием недекларированных возможностей в системном программном обеспечении (операционные системы, сервисные программы, антивирусы). Это наиболее серьезные угрозы, поскольку системное ПО имеет максимальные привилегии в системе.

Угрозы 2-го типа

Обусловлены недекларированными возможностями в прикладном программном обеспечении общего назначения (СУБД) или специального назначения (бухгалтерские программы).

Угрозы 3-го типа

Угрозы, не связанные с недекларированными возможностями программного обеспечения. Это наименее критичный тип угроз с точки зрения требований к защите.

Четыре уровня защищенности персональных данных

Постановление Правительства № 1119 определяет четыре уровня защищенности:

УЗ-1 (первый уровень защищенности)

1 уровень защищенности персональных данных — самый высокий уровень защиты, требующий максимального набора защитных мер. Применяется в следующих случаях:

• При угрозах 1-го типа и обработке любых категорий персональных данных
• При угрозах 2-го типа и обработке специальных категорий ПДн более 100 000 субъектов, не являющихся сотрудниками оператора

УЗ-2 (второй уровень защищенности)

Устанавливается при наличии одного из условий:

• Угрозы 1-го типа и обработка общедоступных ПДн
• Угрозы 2-го типа и обработка специальных категорий ПДн сотрудников или менее 100 000 субъектов
• Угрозы 2-го типа и обработка биометрических ПДн
• Угрозы 3-го типа и обработка специальных категорий ПДн более 100 000 субъектов

УЗ-3 (третий уровень защищенности)

Третий уровень защищенности персональных данных назначается при:

• Угрозах 2-го типа и обработке общедоступных или иных ПДн сотрудников или менее 100 000 субъектов
• Угрозах 3-го типа и обработке специальных или биометрических ПДн
• Угрозах 3-го типа и обработке иных ПДн более 100 000 субъектов

УЗ-4 (четвертый уровень защищенности)

УЗ-4 применяется при:

• Угрозах 3-го типа и обработке общедоступных ПДн
• Угрозах 3-го типа и обработке иных ПДн сотрудников или менее 100 000 субъектов

Практическое определение уровня защищенности

Определение уровня защищенности персональных данных требует системного подхода и учета всех факторов. Алгоритм включает следующие этапы:

Этап 1: Инвентаризация данных

Необходимо определить:

• категории обрабатываемых персональных данных
• количество субъектов (до или более 100 000)
• отношения с субъектами (сотрудники или третьи лица)

Этап 2: Анализ угроз

Проводится определение уровня значимости персональных данных и уровни угроз персональных данных для конкретной информационной системы. Этот этап требует экспертной оценки и может потребовать привлечения специалистов по информационной безопасности.

Этап 3: Применение критериев

На основе собранных данных применяются критерии из таблицы Постановления № 1119 для определения требуемого уровня защищенности.

Этап 4: Документирование

Результаты оформляются в виде акта определения уровня защищенности, который утверждается руководителем организации.

Требования к техническим и организационным мерам

Каждый уровень защищенности информационной системы персональных данных предусматривает определенный набор обязательных мер защиты согласно Приказу ФСТЭК № 21.

Меры для УЗ-4

Базовые требования включают:

• идентификацию и аутентификацию субъектов доступа
• управление доступом к персональными данными
• регистрацию событий безопасности
• антивирусную защиту
• защиту машинных носителей информации
• физическую защиту помещений

Меры для УЗ-3

Дополнительно к мерам УЗ-4 требуется:

• назначение ответственного за обеспечение безопасности ПДн
• использование сертифицированных средств защиты информации
• контроль защищенности персональных данных не реже одного раза в три года

Меры для УЗ-2 и УЗ-1

Высшие уровни защищенности предъявляют дополнительные требования к:

• криптографической защите информации
• обнаружению вторжений
• контролю целостности программного обеспечения
• защите виртуализированных сред

Практические рекомендации

Для малого бизнеса

Компании с небольшим объемом персональных данных (до 1000 субъектов) и обработкой только иных категорий ПДн при угрозах 3-го типа могут ограничиться 3 уровень защищенности персональных данных это минимальными требованиями УЗ-4. Рекомендуется:

• внедрить базовые средства антивирусной защиты
• организовать контроль доступа к рабочим местам
• обучить сотрудников основам работы с персональными данными
• разработать политику обработки персональных данных

Для среднего бизнеса

Организации, обрабатывающие от 1000 до 100 000 субъектов персональных данных, обычно сталкиваются с требованиями 3 уровень защиты персональных данных. Необходимо:

• провести профессиональную оценку угроз
• внедрить сертифицированные средства защиты информации
• организовать регулярный аудит системы защиты
• назначить ответственного за защиту персональных данных

Для крупного бизнеса

Крупные компании, особенно работающие со специальными или биометрическими данными, должны обеспечивать УЗ-1 или УЗ-2. Рекомендации включают:

• создание службы информационной безопасности
• внедрение комплексных решений по защите данных
• регулярное проведение пентестов и аудитов безопасности
• разработку планов реагирования на инциденты

Типовые ошибки и как их избежать

Неправильное определение категории данных

Частая ошибка — отнесение фотографий сотрудников к обычным данным вместо биометрических. Это может привести к занижению требуемого уровня защищенности.

Недооценка типа угроз

Многие организации автоматически относят свои системы к угрозам 3-го типа, не проводя детального анализа. Правильная оценка требует экспертизы программного обеспечения.

Формальный подход к документированию

Акт определения уровня защищенности должен содержать обоснованные выводы, а не формальные отметки.

Контроль и ответственность

Штрафы за нарушения

С 30 мая 2025 года действуют значительно ужесточенные штрафы за нарушения требований по защите персональных данных:

• для граждан — от 10 000 до 400 000 рублей
• для должностных лиц — от 50 000 до 1,5 миллионов рублей
• для юридических лиц — от 150 000 до 500 миллионов рублей

При крупных утечках применяются оборотные штрафы от 1 до 3% от годовой выручки.

Периодичность контроля

Организации обязаны проводить контроль эффективности мер защиты не реже одного раза в три года с привлечением лицензированных организаций или собственными силами.

Пример определения уровня защищенности

Рассмотрим практический пример для медицинской клиники:

Исходные данные:

• Обрабатываются медицинские карты пациентов (специальные ПДн)
• Количество пациентов — 50 000 (менее 100 000)
• Используется специализированная медицинская информационная система
• Система подключена к интернету

Анализ угроз:
Специализированное медицинское ПО может содержать недекларированные возможности — угрозы 2-го типа.

Определение УЗ:
Согласно таблице Постановления № 1119: угрозы 2-го типа + специальные ПДн менее 100 000 субъектов = УЗ-2.

Требуемые меры:

• Все меры УЗ-4 и УЗ-3
• Криптографическая защита данных
• Двухфакторная аутентификация
• Система обнаружения вторжений

Уровни защиты персональных данных представляют собой эффективный инструмент градации требований безопасности в зависимости от рисков и характера обрабатываемых данных. Правильное определение уровня защищенности персональных данных — это не формальная процедура, а важный этап построения системы информационной безопасности организации.

В условиях постоянного ужесточения законодательства и роста киберугроз компаниям необходимо уделять особое внимание не только соблюдению минимальных требований, но и проактивному подходу к защите персональных данных. Инвестиции в информационную безопасность сегодня — это защита от многомиллионных штрафов и репутационных потерь завтра.