ГрамотаИБ ГрамотаИБ

Обработка персональных данных с использованием средств автоматизации (ИСПДн): требования и порядок

22.06.2026

Что обязан сделать оператор при обработке ПДн с использованием средств автоматизации (в информационных системах, ИСПДн): статья 19 152-ФЗ, ПП-1119 и уровни защищённости, приказ ФСТЭК №21, модель угроз, СЗИ и СКЗИ по приказу ФСБ №378. Порядок действий, на что обращать внимание, какие учёты и документы вести.

Как только персональные данные систематизируются в информационной системе с автоматическим поиском, обработка становится автоматизированной, а сама система — информационной системой персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.). Это запускает целый блок технических требований ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. и ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА., которых нет у бумажной обработки. Эта статья — парная к материалу об обработке ПДн без средств автоматизации: вместе они закрывают оба режима, которые обычно есть у оператора одновременно.

Что считается обработкой с использованием средств автоматизации

Это обработка с применением средств вычислительной техники: данные хранятся и обрабатываются в информационной системе, поиск и выборка выполняются автоматически. Признак автоматизации — не сам факт использования компьютера, а автоматический поиск и систематизация. Набор приказа в текстовом редакторе автоматизированной обработкой не считается, а ведение базы клиентов или кадровой системы — считается.

Нормативная база

  • Статья 19 152-ФЗ — обязанность принимать правовые, организационные и технические меры защиты ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). при обработке.
  • ПП РФ №1119 — требования к защите ПДн в ИСПДн; устанавливает 4 уровня защищённости (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1 — высший, УЗ-4 — низший).
  • Приказ ФСТЭК России №21 — состав и содержание организационных и технических мер безопасности ПДн в ИСПДн.
  • Методика оценки угроз ФСТЭК 2021 и Банк данных угроз (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.) — для разработки модели угроз.
  • Приказ ФСБ России №378 — меры с использованием СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ., если в ИСПДн применяется криптография.

Порядок действий оператора ИСПДн

  1. Выявить и описать ИСПДн. Составить перечень информационных систем, обрабатывающих ПДн, и описать каждую (состав данных, категории субъектов, цели, технология, границы системы) — обычно в техническом паспорте ИСПДн.
  2. Определить тип актуальных угроз и уровень защищённости. По ПП-1119 уровень зависит от категории обрабатываемых ПДн (специальные, биометрические, общедоступные, иные), объёма (более или менее 100 000 субъектов либо только работники оператора) и типа актуальных угроз (1, 2 или 3-го типа). Результат оформляется актом определения уровня защищённости.
  3. Разработать модель угроз. По методике ФСТЭК 2021 с опорой на БДУ: негативные последствия, объекты воздействия, нарушители, сценарии и актуальные угрозы. Подробнее — в статье «Модель угроз по методике ФСТЭК 2021».
  4. Определить меры защиты по приказу ФСТЭК №21. Берётся базовый набор мер для выбранного уровня защищённости, затем он адаптируется под систему, уточняется по модели угроз и при необходимости дополняется. Меры охватывают идентификацию и аутентификацию, управление доступом, регистрацию событий, антивирусную защиту, обнаружение вторжений, контроль защищённости, обеспечение целостности и доступности и другое.
  5. Внедрить средства защиты. Применяются средства защиты информации, прошедшие оценку соответствия (для ряда случаев — сертифицированные ФСТЭК), а при использовании криптографии — СКЗИ нужного класса по приказу ФСБ №378. Как выбрать класс — в статье «Как выбрать класс СКЗИ по приказу ФСБ №378».
  6. Оценить эффективность мер. Оператор обязан оценивать эффективность принятых мер защиты ПДн; для ИСПДн это делается не реже одного раза в 3 года.
  7. Не забыть организационные меры. Те же требования статьи 18.1: политика обработки, положение, приказ об ответственном, разграничение доступа, ознакомление работников, учёт носителей и реагирование на инциденты.

Уровень защищённости коротко

Уровень защищённости (УЗ-1…УЗ-4) определяет, насколько строгими будут меры. На него влияют три фактора: категория ПДн, объём обрабатываемых данных и тип актуальных угроз. Тип угроз связан с недекларированными возможностями в системном (1-й тип) и прикладном (2-й тип) ПО; для большинства типовых систем обоснован 3-й тип. Занижать тип угроз и уровень рискованно — это первое, что проверяют. Практический разбор — в статьях «Уровни защищённости ИСПДн: ПП-1119 на практике» и «Требования к паролям в ИСПДн по уровню защищённости».

На что обращать внимание

  • Обоснованно определяйте тип актуальных угроз и уровень защищённости — не занижайте их ради экономии на мерах.
  • Ведите учёт машинных носителей ПДн (внешние диски, флеш-накопители, СХД) и уничтожайте их с гарантией невосстановимости.
  • Разграничивайте доступ по ролям и должностным обязанностям, включайте журналирование действий пользователей.
  • Обеспечьте резервное копирование и восстановление — это про доступность данных.
  • Своевременно устанавливайте обновления и устраняйте уязвимости используемого ПО.
  • При размещении ИСПДн у подрядчика или в облаке оформляйте поручение на обработку (часть 3 статьи 6 152-ФЗ) и проверяйте, что площадка (ЦОД) обеспечивает уровень защищённости не ниже вашего.
  • Не реже раза в 3 года проводите оценку эффективности мер защиты.

Какие учёты необходимо вести

  • Перечень ИСПДн и технический паспорт каждой системы.
  • Акт определения уровня защищённости и модель угроз.
  • Журнал учёта машинных носителей ПДн — носители, места хранения, ответственные.
  • Учёт средств защиты информации, а для СКЗИ — поэкземплярный учёт по приказу ФАПСИ №152.
  • Журнал регистрации событий безопасности и инцидентов (включая утечки, о которых уведомляют РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн. в сроки 24/72 часа).
  • Перечень лиц, допущенных к обработке в ИСПДн, и матрица доступа.
  • Общие учёты оператора: журналы обращений субъектов, передачи ПДн третьим лицам, ознакомления работников и согласий.

Какие документы оформить

  • Приказ о вводе ИСПДн и назначении ответственных за обеспечение безопасности.
  • Акт определения уровня защищённости и модель угроз безопасности.
  • Перечень ИСПДн и технические паспорта систем.
  • Положение (правила) разграничения доступа к ПДн в ИСПДн.
  • Техническое задание на систему защиты ПДн — когда меры реализуются как проект.

Главное

Автоматизированная обработка ПДн — это не только согласия и политика, но и технический контур: определение уровня защищённости по ПП-1119, модель угроз, меры по приказу ФСТЭК №21, сертифицированные СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК. и СКЗИ, оценка эффективности. ГрамотаИБ помогает рассчитать уровень защищённости, собрать перечень мер, сформировать документы и реестры под профиль оператора и проверить готовность к проверке — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «ФСТЭК: ИСПДн, ГИС, КИИ» →

Класс защищённости ГИС (К1, К2, К3): как определяется и нормативная база

Что такое класс защищённости государственной информационной системы (К1, К2, К3), от чего он зависит (уровень значимости информации и масштаб системы), таблица определения и какими приказами ФСТЭК регулируется (№17, с 2026 года — №117).

Требования к паролям в ИСПДн по уровню защищённости (УЗ-4 и выше)

Какие требования к паролям предъявляются к информационным системам персональных данных в зависимости от уровня защищённости (УЗ-1…УЗ-4): длина, сложность, периодичность смены, блокировка. Откуда берутся параметры (приказ ФСТЭК №21, методический документ ФСТЭК) и что обычно достаточно для УЗ-4.

Минимальные технические меры для выполнения требований РКН и ФСТЭК

Какой минимальный набор технических средств защиты нужен оператору ПДн, чтобы выполнить требования 152-ФЗ и приказа ФСТЭК №21: антивирус, межсетевой экран, защита от НСД, резервное копирование, СКЗИ. Сопоставление групп мер с сертифицированными российскими решениями.

Уровни защищённости ПДн (УЗ 1–4) по ПП-1119: таблица и требования

Что такое уровень защищённости персональных данных (УЗ 1–4), от чего зависит по постановлению №1119, таблица определения и требования к мерам защиты (приказ ФСТЭК №21), включая пароли.