Требования к паролям в ИСПДн по уровню защищённости (УЗ-4 и выше)
21.06.2026
Какие требования к паролям предъявляются к информационным системам персональных данных в зависимости от уровня защищённости (УЗ-1…УЗ-4): длина, сложность, периодичность смены, блокировка. Откуда берутся параметры (приказ ФСТЭК №21, методический документ ФСТЭК) и что обычно достаточно для УЗ-4.
Парольная аутентификация в информационной системе персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) относится к мерам идентификации и аутентификации (группа ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств.) приказа ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России №21. Сам приказ требует задать минимальную сложность пароля, а конкретные числовые параметры оператор устанавливает с учётом методического документа ФСТЭК «Меры защиты информации в государственных информационных системах» — он применяется и к ИСПДн по соответствующему уровню защищённости (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.).
Какие параметры пароля задаются
- минимальная длина пароля и алфавит (буквы разных регистров, цифры, спецсимволы);
- максимальный и минимальный срок действия пароля (периодичность смены);
- число неудачных попыток ввода до блокировки;
- запрет повторного использования последних паролей (история).
Ориентировочные требования по уровню защищённости
Значения зависят от уровня защищённости (его удобно определить в калькуляторе УЗ ИСПДн — см. также статью про уровни защищённости). Ниже — типовые ориентиры; точные значения уточняйте по методическому документу ФСТЭК.
| Уровень | Длина | Состав | Смена | Блокировка |
|---|---|---|---|---|
| УЗ-4 | не менее 6 символов | буквы и цифры | по решению оператора | после нескольких неудачных попыток |
| УЗ-3 | не менее 8 символов | буквы и цифры | как правило, не реже раза в 180 дней | после нескольких неудачных попыток |
| УЗ-2 | не менее 8 символов | регистры, цифры, спецсимволы | чаще, чем для УЗ-3 | ужесточается |
| УЗ-1 | наибольшая сложность | регистры, цифры, спецсимволы | наиболее частая | плюс многофакторная аутентификация |
Таблица ориентировочная: конкретные параметры установлены методическим документом ФСТЭК и определяются оператором в документации по защите.
Что обычно достаточно для УЗ-4
УЗ-4 — низший уровень (типичен для небольших операторов, обрабатывающих ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). сотрудников). Парольные требования минимальны, и их, как правило, можно выполнить встроенными средствами операционной системы (групповая/локальная политика паролей Windows или контроллера домена) без дополнительных платных средств. Главное — зафиксировать параметры в организационно-распорядительной документации и реально их применять.
ГрамотаИБ определяет уровень защищённости объекта и формирует чек-лист применимых мер приказа №21 — попробовать можно в сервисе.