Классификация ИСПДн: уровни защищённости УЗ-1…УЗ-4
ИСПДн (информационная система персональных данных) — это любая система, в которой обрабатываются персональные данные: 1С с зарплатой сотрудников, CRM с контактами клиентов, сайт с формой заявки. Прежде чем выстраивать защиту такой системы, оператор обязан определить её уровень защищённости — УЗ. От уровня зависит, какие технические и организационные меры придётся внедрить.
Базовые правила установлены Федеральным законом № 152-ФЗ «О персональных данных», а порядок определения уровня защищённости — Постановлением Правительства № 1119. Конкретные требования по мерам защиты детализирует регулятор (ФСТЭК России) в своих приказах. Точные формулировки и пороги нужно сверять с актуальной редакцией документов на дату проекта.
От чего зависит уровень
Уровень защищённости определяется сочетанием трёх факторов.
Категория персональных данных. ПП-1119 выделяет четыре категории: специальные (раса, здоровье, политические взгляды, судимости и т. п.), биометрические, общедоступные и иные. Чем чувствительнее категория — тем выше требования.
Тип актуальных угроз. Угрозы делятся на три типа в зависимости от того, связаны ли они с недекларированными возможностями системного ПО (1-й тип), прикладного ПО (2-й тип) или не связаны с ними (3-й тип). Тип угроз оператор определяет сам — на основе модели угроз для конкретной системы.
Объём обработки. Учитывается, обрабатываются ли данные сотрудников оператора или посторонних субъектов, и сколько субъектов в системе (порог по числу субъектов — в ПП-1119; сверять с актуальной редакцией).
Четыре уровня
| Уровень | Когда применяется (упрощённо) | Строгость мер |
|---|---|---|
| УЗ-1 | Самые чувствительные комбинации — например, специальные категории при угрозах 1-го типа | Максимальная |
| УЗ-2 | Специальные/биометрические данные при менее критичных угрозах, либо иные при угрозах 1-го типа | Высокая |
| УЗ-3 | Иные категории при угрозах 2-го типа, специальные при 3-м типе и др. | Средняя |
| УЗ-4 | Наименее чувствительные случаи — общедоступные/иные данные при угрозах 3-го типа | Базовая |
Таблица упрощена для понимания логики. Точное соответствие категории, типа угроз и числа субъектов конкретному уровню — только по тексту ПП-1119 в действующей редакции.
Что меняется с уровнем
Чем выше уровень защищённости, тем шире набор обязательных мер. Это касается контроля доступа, регистрации событий безопасности, антивирусной защиты, обнаружения вторжений, контроля целостности, защиты среды виртуализации, а для высоких уровней — применения средств защиты, прошедших оценку соответствия. Конкретный перечень мер для каждого уровня содержится в приказах ФСТЭК России — см. приказы ФСТЭК по защите информации.
Как определить уровень на практике
- Описать систему: какие данные, чьи, в каком объёме, где хранятся и обрабатываются
- Отнести данные к категории по ПП-1119
- Построить модель угроз и нарушителя и определить тип актуальных угроз
- Сопоставить категорию, тип угроз и объём с таблицей ПП-1119 → получить УЗ
- Подобрать меры защиты по приказам ФСТЭК под выбранный уровень
Базовые принципы законности обработки, согласий и прав субъектов задаёт 152-ФЗ «О персональных данных» — классификация ИСПДн встраивается в общую систему выполнения его требований.
Чем рискует бизнес без классификации
Если уровень защищённости не определён, оператор не может доказать достаточность принятых мер. При проверке регулятора или после инцидента это создаёт правовые риски — вплоть до административной ответственности. Подробно о том, как изменились последствия утечек, — в материале 152-ФЗ: штрафы за утечку персональных данных в 2026 году.
Чем помогаем мы
- Инвентаризация ИСПДн: находим все системы, где обрабатываются персональные данные
- Категорирование данных и определение уровня защищённости по ПП-1119
- Разработка модели угроз и нарушителя под конкретные системы
- Подбор и внедрение технических мер защиты под нужный УЗ
- Подготовка организационных документов: положения, приказы, согласия, регламенты
Связанные термины
- 152-ФЗ «О персональных данных» — базовый закон, в рамках которого классифицируется ИСПДн
- Приказы ФСТЭК России — перечень мер защиты для каждого уровня
- Модель угроз и нарушителя — основа для определения типа актуальных угроз
Нужно классифицировать ИСПДн и привести защиту в соответствие?
Поможем определить уровень защищённости, построить модель угроз и внедрить меры. Откройте калькулятор или оставьте заявку.
Открыть калькулятор Получить консультацию