Цена вопроса: почему защита ИСПДн стала приоритетом

Любая организация, обрабатывающая персональные данные своих сотрудников, клиентов или иных лиц, является оператором персональных данных в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». Это означает обязанность выстроить правовые, организационные и технические меры защиты, а также обеспечить доказуемость их выполнения.

С 30 мая 2025 года вступили в силу изменения в КоАП РФ, внесённые Федеральным законом от 30.11.2024 №420-ФЗ. Они ввели новые составы правонарушений и дифференцированные штрафы за утечки персональных данных. По данным Роскомнадзора, только в 2025 году было зафиксировано 118 случаев компрометации баз персональных данных, в Сеть попали более 52 млн записей. При этом ведомство прогнозирует рост числа штрафов в 2026 году.

Масштаб санкций сегодня таков: за действия или бездействие оператора, повлекшие утечку ПДн более 100 тыс. субъектов или более 1 млн идентификаторов, для юридического лица предусмотрен штраф от 10 до 15 млн рублей. За утечку биометрических ПДн - от 15 до 20 млн рублей. При повторном нарушении возможен оборотный штраф - 1-3% годовой выручки, но не менее 20 или 25 млн рублей в зависимости от состава.

Регуляторная база: три уровня требований

Защита информационных систем персональных данных (ИСПДн) в России регулируется пакетом взаимосвязанных документов:

• 152-ФЗ «О персональных данных» - базовый закон, устанавливающий принципы обработки ПДн и обязанности оператора;

• Постановление Правительства №1119 - определяет четыре уровня защищённости (УЗ1–УЗ4) ИСПДн в зависимости от категории данных, типа угроз и объёма обрабатываемых сведений и от того, относятся ли данные только к сотрудникам оператора или к иным субъектам;

• Приказ ФСТЭК России №21 от 18.02.2013 - устанавливает конкретный перечень из 15 групп организационных и технических мер защиты ПДн, обязательных для реализации в зависимости от установленного уровня защищённости.

Важно понимать архитектуру этих требований: сначала по ПП №1119 определяется уровень защищённости конкретной ИСПДн, затем из Приказа №21 выбирается соответствующий набор мер, которые адаптируются под особенности системы и актуальные угрозы. При этом неприменимые меры допускается исключать, а недостаточные - компенсировать дополнительными. Неприменимость отдельных мер и необходимость дополнительных компенсирующих мер должны быть обоснованы с учётом модели угроз, архитектуры ИСПДн и используемых технологий

Что конкретно требует Приказ №21

Приказ ФСТЭК №21 охватывает все ключевые домены информационной безопасности. В перечень обязательных мер входят:

• идентификация и аутентификация пользователей, имеющих доступ к ПДн;

• управление правами доступа к данным;

• регистрация событий безопасности и аудит действий с ПДн;

• антивирусная защита и обнаружение вторжений;

• контроль и анализ защищённости;

• выявление инцидентов и реагирование на них - меры должны обеспечивать своевременное обнаружение событий, способных нарушить работу ИСПДн или привести к утечке данных;

• управление конфигурацией ИСПДн и системы защиты.

Важно, что выполнение 152-ФЗ не ограничивается техническими мерами по Приказу №21. Оператору также нужны организационно-распорядительные документы: политика обработки ПДн, перечни допущенных лиц, регламенты доступа, порядок реагирования на инциденты, документы по поручениям обработки и иные подтверждающие материалы.

SECURITM: платформа для управления ИСПДн

SECURITM - система управления ИБ, позволяющая выстроить управление защитой персональных данных в едином окне. В базе знаний платформы уже загружены и структурированы все ключевые нормативные документы: 152-ФЗ, ПП №1119, Приказ ФСТЭК №21 и сопутствующие акты.

Модуль Требований: оценка соответствия по каждой ИСПДн

Каждая информационная система персональных данных в организации может обрабатывать данные разных категорий и иметь свой уровень защищённости. SECURITM позволяет вести оценку соответствия отдельно по каждой ИСПДн: специалист фиксирует реализованные меры, видит процент выполнения требований Приказа №21 и получает актуальную картину соответствия в режиме реального времени.

В SECURITM доступна кросс-корреляция документов: требования одного нормативного акта автоматически соотносятся с требованиями смежных стандартов. Выполняя меры по Приказу №21, организация одновременно закрывает пункты других применимых документов - без дублирования работы. Это исключает ситуацию, когда разные специалисты отдельно ведут учёт по каждому стандарту и экономит время сотрудников.

Готовая библиотека защитных мер и документов

В модуле Требований SECURITM Приказ №21 представлен как структурированный набор требований и мер регулятора. В модуле Защитных мер эти требования можно связать с конкретными активностями организации: внедрением СЗИ, настройкой журналирования, выпуском регламента, обучением пользователей и другими действиями. Специалисту не обязательно вручную интерпретировать требования нормативного документа: система предлагает готовые активности с описанием порядка реализации и примерами технического воплощения.

Для операторов ПДн особую ценность представляет конструктор документов: он позволяет формировать комплект ОРД по защите ПДн на основе готовых шаблонов - политики, регламенты, инструкции. При необходимости шаблоны адаптируются под фирменный стиль организации и установленные нормативные формы. Актуальные данные из карточек активов и связанных объектов автоматически подставляются в шаблон при формировании документа, поэтому актуальную версию можно получить без ручного копирования из реестров.

Модуль Активов: реестр компонентов ИСПДн

Чтобы корректно определить уровень защищённости и применить соответствующие меры, необходимо точно знать, что именно входит в состав каждой ИСПДн. SECURITM может регулярно обновлять часть инфраструктурных данных через интеграции, импорт и API. Состав ИСПДн, потоки ПДн, цели обработки и правовые основания фиксируются в модели активов и поддерживаются через ответственных, опросы, заявки и RPA. Для каждой ИСПДн может быть заведена отдельная карточка, связанная с системами, базами данных, серверами, рабочими станциями, средствами защиты, ответственными и потоками данных. Полнота модели зависит от качества исходной инвентаризации и настроенных источников данных.

Это решает одну из ключевых практических проблем: при регулярных интеграциях и настроенных RPA изменения в инфраструктуре могут автоматически обновлять связанные карточки, создавать задачи на актуализацию ИСПДн и сигнализировать ответственным о необходимости пересмотра состава системы.

Метрики и дашборды

152-ФЗ предусматривает оценку эффективности принимаемых мер до ввода ИСПДн в эксплуатацию. Дальнейшая периодическая оценка и контроль выполнения требований проводятся в порядке, установленном применимыми НПА, в том числе Приказом ФСТЭК №21 и ПП №1119. SECURITM не только помогает проводить эту оценку, но и визуализирует её: на дашбордах отображается текущий процент выполнения требований по каждой ИСПДн, динамика изменений и статус открытых задач.

Руководитель подразделения ИБ видит агрегированную картину по всем ИСПДн организации и может принимать обоснованные управленческие решения - на основе данных, а не интуиции.

Управление инцидентами, задачами и автоматизация

Приказ №21 требует не только выявлять инциденты, но и реагировать на них в соответствии с утверждённым порядком. SECURITM позволяет выстроить процесс обработки событий и инцидентов через связанные объекты: карточки событий/заявок, задачи ответственным, связи с активами и требованиями, хранение доказательств и RPA-сценарии реагирования.

Для планового исполнения мер защиты предусмотрены модули управления задачами и автоматизации на базе RPA/SOAR: при наступлении заданного события - изменении состава ПО, появлении уязвимости, нарушении контроля доступа, система автоматически инициирует необходимые действия. Это снижает рутинную нагрузку на специалистов и исключает человеческий фактор в критических процессах.

Практические шаги для оператора ПДн

Выстраивание системы защиты ИСПДн с использованием SECURITM предполагает следующую последовательность:

1. Провести инвентаризацию ИСПДн: зафиксировать состав обрабатываемых данных, категорию субъектов и объём - это исходные данные для определения уровня защищённости.

2. Определить уровень защищённости каждой ИСПДн в соответствии с ПП №1119 и зарегистрировать их в SECURITM как отдельные объекты.

3. Запустить оценку соответствия по Приказу ФСТЭК №21 в модуле Требований: специалист выбирает документ, область оценки и применимый набор требований с учётом уровня защищённости, модели угроз и особенностей ИСПДн. SECURITM фиксирует статус, ответственных, доказательства и план доработок.

4. Сформировать план реализации мер на основе готовой библиотеки SECURITM, расставив приоритеты по результатам оценки.

5. Подготовить комплект ОРД с помощью конструктора документов и организовать хранение подтверждающих артефактов для проверок Роскомнадзора.

6. Настроить автоматический мониторинг и процессы реагирования на инциденты - чтобы защита ПДн была непрерывным процессом, а не разовой задачей.

Ужесточение законодательства в сфере персональных данных превращает выполнение требований 152-ФЗ и Приказа №21 из формальной процедуры в стратегическую задачу. При этом для оператора важны правовые основания обработки, уведомление Роскомнадзора, политика обработки ПДн, согласия субъектов, поручения обработки подрядчикам, трансграничная передача, сроки хранения и уничтожение ПДн.

В SECURITM эти элементы связаны с ИСПДн, процессами обработки, контрагентами, требованиями, задачами и доказательствами, объединяя управление комплаенсом, активами, инцидентами и документами в единой платформе, это позволяет оператору ПДн выстроить измеримую и воспроизводимую систему защиты, повысить готовность к проверкам и быстрее подтверждать выполнение требований.