ГрамотаИБ ГрамотаИБ

Приказ ФСТЭК № 21: разбор мер защиты персональных данных в ИСПДн

Понятный разбор приказа ФСТЭК России №21 от 18.02.2013 — главного документа о том, как технически и организационно защищать персональные данные в информационных системах (ИСПДн). К кому он применяется и чем отличается от требований к ГИС, как выбираются меры (базовый набор по уровню защищённости, уточнение по модели угроз, компенсирующие меры, оценка эффективности), какие есть группы мер, что на практике достаточно для УЗ-4, какие нужны документы и какие заблуждения мешают операторам.

Приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России №21 — это главный документ о том, как именно защищать персональные данные в информационных системах. Если постановление №1119 отвечает на вопрос «насколько строго» (уровень защищённости), то приказ №21 — на вопрос «что для этого сделать» (состав мер). Объём приказа пугает, но на практике для малого бизнеса набор мер небольшой. Разберём документ по-человечески: к кому он применяется, как из него выбрать нужное и что оформить.

Что это и к кому применяется

Полное название — приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Он применяется к негосударственным ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. — то есть к обычным операторам (бизнесу), которые обрабатывают ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). с использованием средств автоматизации. Для государственных информационных систем действует другой документ — приказ ФСТЭК №17, на смену которому с 1 марта 2026 года пришёл приказ №117. Приказ №21 работает в связке с ПП-1119 и приказом применяется после того, как определён уровень защищённости. Сам приказ — в библиотеке: приказ ФСТЭК №21.

Как выбираются меры: логика приказа

Главное заблуждение — что нужно внедрить все меры из приказа. На самом деле состав мер адаптируется под вашу систему по понятному алгоритму:

  • Шаг 1. Уровень защищённости. Определяете УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер. (от 4 до 1) по ПП-1119 исходя из категорий и объёма данных и типа угроз.
  • Шаг 2. Базовый набор. Берёте базовый набор мер, предусмотренный приказом №21 для этого уровня. Чем выше уровень, тем больше мер.
  • Шаг 3. Уточнение по модели угроз. Адаптируете набор под свою модель угроз: меры против неактуальных угроз можно исключить, а при необходимости — добавить меры сверх базового набора.
  • Шаг 4. Компенсирующие меры. Если базовую меру выполнить нельзя, её разрешено заменить компенсирующей, закрывающей ту же угрозу, с обоснованием.
  • Шаг 5. Оценка эффективности и контроль. До ввода системы в эксплуатацию оператор оценивает эффективность принятых мер (требование статьи 19 152-ФЗ), а затем периодически контролирует их выполнение — не реже одного раза в 3 года (ПП-1119). Обязательная аттестация для негосударственных ИСПДн при этом не требуется: оценку и контроль можно проводить самостоятельно или с привлечением лицензиата.

Группы мер приказа № 21

Меры сгруппированы по направлениям защиты. Если убрать аббревиатуры, по сути это:

  • ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств. — идентификация и аутентификация субъектов и объектов доступа (учётные записи, пароли);
  • УПДУправление доступом — Группа мер защиты: разграничение и контроль доступа субъектов к объектам доступа. — управление доступом (кто к каким данным допущен, разграничение прав);
  • ОПС — ограничение программной среды (запуск только разрешённого ПО);
  • ЗНИ — защита машинных носителей персональных данных (флешки, диски: учёт, уничтожение);
  • РСБРегистрация событий безопасности — Группа мер защиты: журналирование и анализ событий информационной безопасности. — регистрация событий безопасности (журналы, кто что делал);
  • АВЗАнтивирусная защита — Меры и средства защиты от вредоносного программного обеспечения. — антивирусная защита;
  • СОВСистема обнаружения вторжений — Средство выявления компьютерных атак и подозрительной сетевой активности. — обнаружение вторжений;
  • АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций. — контроль (анализ) защищённости (поиск уязвимостей, обновления);
  • ОЦЛ — обеспечение целостности информации и системы;
  • ОДТ — обеспечение доступности (резервное копирование, восстановление);
  • ЗСВ — защита среды виртуализации;
  • ЗТС — защита технических средств;
  • ЗИС — защита информационной системы, средств и каналов связи;
  • ИНЦ — выявление инцидентов безопасности и реагирование на них;
  • УКФ — управление конфигурацией (контроль изменений в системе).

Для каждой группы приказ задаёт конкретные меры с маркировкой по уровням. Важный нюанс: числовые параметры (например, длину и срок действия пароля в группе ИАФ) сам приказ не устанавливает — их оператор задаёт с учётом методического документа ФСТЭК, подробнее в статье «Требования к паролям в ИСПДн».

Какими средствами выполнять меры

По статье 19 152-ФЗ средства защиты должны пройти установленную процедуру оценки соответствия. Распространённый на практике вариант — сертифицированные ФСТЭК средства защиты (а средства криптозащиты — сертифицированные ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА.), но это не значит, что всё подряд обязано иметь сертификат: состав средств определяется уровнем защищённости и моделью угроз, а не берётся по максимуму. Не путайте оценку эффективности с аттестацией: для негосударственных ИСПДн аттестация необязательна.

Что на практике достаточно для УЗ-4

Многие небольшие операторы попадают на низший уровень УЗ-4, но это не автоматически «малый бизнес»: по ПП-1119 уровень зависит от категории данных, числа субъектов и типа актуальных угроз. УЗ-4, в частности, возможен при актуальных угрозах 3-го типа и обработке общедоступных данных либо иных категорий ПДн (например, данных сотрудников или менее 100 000 субъектов). Базовый набор для УЗ-4 самый компактный и преимущественно организационный: индивидуальные учётные записи и пароли, разграничение доступа, антивирус, обновления, резервное копирование, учёт носителей, регистрация событий. Многое закрывается штатными средствами операционной системы и дисциплиной, без дорогих наложенных решений. Какой минимум средств обычно нужен — в статье «Минимальные технические меры для РКН и ФСТЭК».

Какие документы оформить

  • Акт определения уровня защищённости ИСПДн.
  • Модель угроз безопасности информации.
  • Перечень применимых мер (выбранный и уточнённый набор), при необходимости — техническое задание на систему защиты.
  • Документы оценки эффективности принятых мер.
  • Эксплуатационные регламенты: управление доступом, антивирус, резервное копирование, реагирование на инциденты.

Это техническая часть; её применение разобрано и в общей статье про обработку ПДн в ИСПДн.

Частые заблуждения

  • «Нужно внедрить все меры приказа». Нет — набор выбирается по уровню и уточняется по модели угроз.
  • «Обязательна аттестация». Для негосударственных ИСПДн — нет, достаточно оценки эффективности; аттестация обязательна для ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК..
  • «Достаточно поставить антивирус». Приказ №21 — это система организационных и технических мер вместе с документами, а не одно средство.
  • «В приказе есть точные параметры паролей». Числовые значения задаёт оператор по методическому документу ФСТЭК, а не сам приказ.

Главное

Приказ ФСТЭК №21 — это каталог организационных и технических мер защиты ПДн в негосударственных ИСПДн, который применяется не целиком, а адаптируется: базовый набор по уровню защищённости, уточнение по модели угроз, компенсирующие меры там, где базовая невыполнима, и оценка эффективности. Для малого бизнеса на УЗ-4 это компактный, в основном организационный минимум, выполнимый своими силами. ГрамотаИБ определяет уровень защищённости вашей системы и формирует применимый набор мер и документов по приказу №21 — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «ФСТЭК: ИСПДн, ГИС, КИИ» →

Как правильно хранить персональные данные в приложении: чек-лист для разработчика

Практические правила для разработчиков, чтобы хранение ПДн в приложении соответствовало 152-ФЗ и приказу ФСТЭК №21: минимизация данных, разграничение доступа, шифрование, хеширование паролей, обезличивание для тестовых сред, ПДн в логах, удаление по запросу субъекта, локализация базы в РФ и журналирование доступа.

Обработка персональных данных с использованием средств автоматизации (ИСПДн): требования и порядок

Что обязан сделать оператор при обработке ПДн с использованием средств автоматизации (в информационных системах, ИСПДн): статья 19 152-ФЗ, ПП-1119 и уровни защищённости, приказ ФСТЭК №21, модель угроз, СЗИ и СКЗИ по приказу ФСБ №378. Порядок действий, на что обращать внимание, какие учёты и документы вести.

Требования к паролям в ИСПДн по уровню защищённости (УЗ-4 и выше)

Какие требования к паролям предъявляются к информационным системам персональных данных в зависимости от уровня защищённости (УЗ-1…УЗ-4): длина, сложность, периодичность смены, блокировка. Откуда берутся параметры (приказ ФСТЭК №21, методический документ ФСТЭК) и что обычно достаточно для УЗ-4.

Класс защищённости ГИС (К1, К2, К3): как определяется и нормативная база

Что такое класс защищённости государственной информационной системы (К1, К2, К3), от чего он зависит (уровень значимости информации и масштаб системы), таблица определения и какими приказами ФСТЭК регулируется (№17, с 2026 года — №117).