Уровни защищённости ПДн (УЗ 1–4) по ПП-1119: таблица и требования

Уровень защищённости персональных данных (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.) — требование к защите информационной системы персональных данных, установленное постановлением Правительства РФ от 01.11.2012 №1119. Всего четыре уровня: УЗ-1 (наивысший) … УЗ-4 (наименьший).

От чего зависит уровень защищённости

• категория ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). — специальные, биометрические, иные, общедоступные;
• масштаб обработки — число субъектов и являются ли они сотрудниками оператора;
• тип актуальных угроз (1–3) — определяется по модели угроз.

Таблица определения УЗ

Категория ПДн	Угрозы 1	Угрозы 2 (большой / малый масштаб)	Угрозы 3 (большой / малый)
Специальные	УЗ-1	УЗ-1 / УЗ-2	УЗ-2 / УЗ-3
Биометрические	УЗ-1	УЗ-2 / УЗ-2	УЗ-3 / УЗ-3
Иные	УЗ-1	УЗ-2 / УЗ-3	УЗ-3 / УЗ-4
Общедоступные	УЗ-2	УЗ-3 / УЗ-3	УЗ-4 / УЗ-4

Большой масштаб — более 100 000 субъектов, не являющихся сотрудниками оператора. Рассчитать уровень за минуту можно в калькуляторе УЗ ИСПДн.

Требования к мерам защиты (приказ ФСТЭК №21)

Для каждого уровня защищённости приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21 задаёт базовый набор мер. Чем выше уровень, тем больше мер. В том числе меры идентификации и аутентификации (ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств.): требования к паролям (длина, сложность, периодичность смены) усиливаются с ростом уровня — для УЗ-4 действует базовый набор, конкретные параметры приведены в приказе №21 и методических документах ФСТЭК.

ГрамотаИБ определяет уровень защищённости и подбирает применимые меры под него автоматически — в сервисе.