Пн-Пт 9:00-18:00 · admin@softdefence.ru · +7 (495) 278-02-72 Заказать звонок
Главная / По нормативке / Защита персональных данных (152-ФЗ)

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ (152-ФЗ)

Производитель: Актив 16 Конфидент 8 Инфотекс 5 Анкад 4 Лаборатория Касперского 4 НППКТ 3 РОСА 3 Astra Linux 2 BaseALT 2 РусБИТех-Астра 2 ТОНК 2 Postgres Professional 1 ВНИИНС 1 Доктор Веб 1 ИЦ Баррикады 1 Код Безопасности 1 НПО РусБИТех 1 Релэкс 1
ФСТЭК: 8 2 К1 9 К2 8 К3 2 К4 19 К5 2
ФСБ: КС1 1 КС2 7 КС3 8 КВ 1
Совместимо с: Astra Linux SE 47 Astra Linux CE 42 РЕД ОС 40 ALT Linux 42 Windows 41
Лицензия: OEM 2 Бессрочная 44 Подписка 12
Закупка: По 44-ФЗ 57 По 223-ФЗ 56 Реестр Минцифры 17 Минобороны 23
× Сбросить фильтры
Сортировка:
Найдено: 10
СЗИ Dallas Lock ФСТЭК 1Б Реестр Минцифры 44-ФЗ ViPNet Coordinator HW ФСТЭК 1Б Реестр Минцифры 44-ФЗ СЗИ НСД Dallas Lock Linux ФСТЭК К5 44-ФЗ СЗИ ВИ Dallas Lock ФСТЭК К5 44-ФЗ АПМДЗ «МАКСИМ-М1» ФСТЭК 1Б 44-ФЗ КРИПТОН-ЗАМОК/К (М-526А) ФСТЭК 1Б 44-ФЗ КРИПТОН-ЗАМОК/У (М-526Б) ФСТЭК 1Б 44-ФЗ КРИПТОН-ЗАМОК/Е (М-526Е1) ФСТЭК 1Б 44-ФЗ КРИПТОН-ЗАМОК/mini ФСТЭК 1Б 44-ФЗ ПАК «Соболь» 3.0 ФСТЭК 1Б 44-ФЗ

4 уровня защищённости — на каком сидит ваша система

Уровень защищённости (УЗ) — это не выбор оператора. Он определяется по таблице из постановления №1119 по двум параметрам: тип ПДн и количество субъектов. УЗ-1 — самый высокий, УЗ-4 — минимальный. Принципиально:

  • УЗ-1 — биометрия, спец.категории (медицина, расовая принадлежность, политические взгляды), независимо от объёма; либо иные категории при актуальной угрозе 1 типа
  • УЗ-2 — иные категории при объёме более 100 тыс. субъектов или общедоступные при 1 типе угроз
  • УЗ-3 — иные категории до 100 тыс. субъектов
  • УЗ-4 — только общедоступные данные при 3 типе угроз (минимум)

Если у вас CRM с физлицами-клиентами и больше 100 тыс. записей — это УЗ-2. Если меньше — УЗ-3. Если медицинская МИС — независимо от размера это УЗ-1, потому что медицинские данные относятся к специальной категории.

Какие СЗИ нужны под каждый уровень

Перечень СЗИ задан в приказе ФСТЭК №21. По уровню:

УЗ-1 — самый строгий

СЗИ от НСД с сертификатом не ниже К1 (на практике берут Astra Linux SE «Орёл», Secret Net Studio или Dallas Lock 8.0). Антивирус с сертификатом ФСТЭК (Kaspersky Endpoint Security или Dr.Web ESS). Защита каналов — СКЗИ ФСБ КС2/КС3 (ViPNet или КриптоПро). Аттестация системы — обязательна. Журналы — централизованная отправка в SIEM.

УЗ-2 — корпоративная норма

СЗИ от НСД до К1, антивирус сертифицированный, СКЗИ при передаче по интернету. Аттестация — рекомендована, не обязательна (зависит от оператора). На практике большинство банков и крупных b2c-компаний работают на УЗ-2.

УЗ-3 — стандартная среда

Достаточно СЗИ от НСД 4-5 класса (Dallas Lock C, Secret Net Edition), антивирус из реестра, защита периметра (фаервол + IDS). Бюджет — в 3-4 раза меньше УЗ-1.

УЗ-4 — минимум

На практике встречается редко. Достаточно базовых организационных мер и парольной политики. Большинство «общедоступных» систем при детальном анализе оказываются УЗ-3.

Аттестация — когда обязательна, когда нет

Для гос-органов и операторов значимых объектов КИИ аттестация обязательна. Для коммерческих операторов — на их выбор. Без аттестата вы используете СЗИ «на свой риск»: формально соответствуете, но в случае инцидента и проверки Роскомнадзора доказательство соответствия будет сложнее.

Цена аттестации зависит от уровня: УЗ-4 — от 200 000 ₽, УЗ-1 — от 1.5 млн. Срок действия — 3 года.

Типовые ошибки операторов и как они стоят

  • Неправильно определили УЗ — Роскомнадзор пересчитывает по таблице 1119-ПП и доначисляет требования. Штраф до 100 000 ₽ + предписание
  • Используют несертифицированный антивирус — для УЗ-1 и УЗ-2 это нарушение приказа №21. Штраф юр.лицу до 75 000 ₽
  • Не уведомили Роскомнадзор о начале обработки — формально нарушение, но штраф мягкий (до 5 000 ₽). Чаще выявляется при инцидентах
  • Передают ПДн третьим лицам без согласия — самое популярное обвинение в 2025 году. Штраф до 6 млн ₽ при повторном (новый ст. 13.11 КоАП)

Что делать прямо сейчас

Если вы ещё не определили уровень защищённости — это первый шаг. Если знаете уровень, но СЗИ собирали стихийно — нужен gap-анализ под приказ №21. Подберём СЗИ под ваш уровень и оформим закупку через 44-ФЗ или коммерческий договор. Запросите аудит соответствия 152-ФЗ — это 1-2 дня работы и понятный отчёт «что нужно доделать».