Минимальные технические меры для выполнения требований РКН и ФСТЭК
21.06.2026
Какой минимальный набор технических средств защиты нужен оператору ПДн, чтобы выполнить требования 152-ФЗ и приказа ФСТЭК №21: антивирус, межсетевой экран, защита от НСД, резервное копирование, СКЗИ. Сопоставление групп мер с сертифицированными российскими решениями.
Технические меры защиты персональных данных закреплены в Федеральном законе 152-ФЗ (ст. 19), постановлении Правительства №1119 и приказе ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21 (для ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.). Для государственных систем и значимых объектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. действуют отдельные приказы ФСТЭК (для КИИ — №239). Ниже — практический минимум и российские средства, которыми его закрывают.
Два принципа выбора средств
- Меры выбираются под уровень защищённости. Сначала определяется уровень защищённости ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1…УЗ-4) — см. статью про уровни защищённости или калькулятор УЗ. Чем выше уровень, тем больше обязательных мер.
- Средства должны быть сертифицированы. Средства защиты информации (СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК.) должны иметь действующий сертификат ФСТЭК (для УЗ-3 и УЗ-4 — как правило 6 класс и 6 уровень доверия), а средства криптографической защиты (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.) — сертификат ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА.. Проверять сертификаты можно по реестрам ФСТЭК и ФСБ.
Сопоставление групп мер ФСТЭК и российских решений
| Группа мер (приказ №21) | Что закрывает | Российские решения (примеры) |
|---|---|---|
| ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств. — идентификация и аутентификация | Учётные записи, пароли, многофакторная аутентификация | Multifactor, Avanpost, Indeed; встроенные средства ОС |
| УПДУправление доступом — Группа мер защиты: разграничение и контроль доступа субъектов к объектам доступа. — управление доступом, защита от НСДНесанкционированный доступ — Доступ к информации в нарушение установленных правил разграничения доступа. | Разграничение прав, контроль входа, замкнутая среда | Secret Net Studio, Dallas Lock, Аккорд, Astra Linux |
| АВЗАнтивирусная защита — Меры и средства защиты от вредоносного программного обеспечения. — антивирусная защита | Защита от вредоносного ПО | Kaspersky Endpoint Security, Dr.Web Enterprise |
| МЭМежсетевой экран — Средство контроля и фильтрации сетевого трафика между сегментами сети. и СОВСистема обнаружения вторжений — Средство выявления компьютерных атак и подозрительной сетевой активности. — межсетевое экранирование и обнаружение вторжений | Фильтрация трафика, защита периметра | UserGate, Континент, ИКС, Ideco |
| АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций. — анализ защищённости | Поиск уязвимостей и контроль конфигураций | MaxPatrol 8, XSpider, RedCheck, Сканер-ВС |
| РСБРегистрация событий безопасности — Группа мер защиты: журналирование и анализ событий информационной безопасности. — регистрация событий безопасности | Журналирование, выявление инцидентов (SIEMСистема управления событиями информационной безопасности — Класс решений для сбора и корреляции событий ИБ (Security Information and Event Management).) | MaxPatrol SIEM, KOMRAD, RuSIEM |
| ОДТ — обеспечение доступности (резервирование) | Резервное копирование и восстановление | Кибер Бэкап, RuBackup |
| ЗИС — защита каналов связи (при передаче по сетям) | Шифрование трафика, VPN | КриптоПро, ViPNet, Континент (СКЗИ, сертификат ФСБ) |
Минимум для типового малого оператора (УЗ-3/УЗ-4)
Для небольшой компании без специальных категорий ПДн и без выхода ИСПДн в интернет практический минимум обычно выглядит так:
- сертифицированная операционная система или наложенное СЗИ от НСД;
- сертифицированный антивирус на всех рабочих местах и серверах;
- межсетевой экран на границе сети (при наличии подключения к внешним сетям);
- учётные записи с разграничением доступа и парольной политикой;
- регистрация событий безопасности и регулярный их просмотр;
- резервное копирование с проверкой восстановления;
- СКЗИ — если ПДн передаются по открытым каналам связи.
Техника без документов не работает
Даже сертифицированные средства не закрывают требования, если вокруг них нет регламентов: приказа об ответственном, инструкций, журналов, модели угроз. Подробнее — в статье «Зачем нужна бумажная безопасность». Минимизация состава и срока хранения ПДн снижает и объём необходимых мер.
ГрамотаИБ определяет уровень защищённости объекта и формирует чек-лист применимых мер ФСТЭК автоматически — попробовать можно в сервисе.