Алиал ИБ
152-ФЗИСПДнФСТЭК

Классификация ИСПДн: уровни К1–К4 и как их определить

Команда Алиал ИБПроверено: Команда Алиал ИБ

Любая система, обрабатывающая персональные данные (ИСПДн), относится к одному из четырёх уровней защищённости: К1, К2, К3 или К4. От уровня зависит обязательный набор мер защиты — поэтому классификация ИСПДн это первый шаг при приведении компании в соответствие 152-ФЗ.

В этой статье разбираем, как определить уровень защищённости ваших ИСПДн и что это значит для практической защиты.

Где это закреплено

Уровни защищённости определены в Постановлении Правительства РФ № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в ИСПДн». Конкретные меры защиты по уровням — в Приказе ФСТЭК России № 21 от 18 февраля 2013 года.

Что определяет уровень защищённости

На уровень влияют три параметра:

  1. Категория обрабатываемых ПДн
  2. Количество субъектов ПДн
  3. Тип угроз

Разберём каждый.

Категория ПДн

ПДн делятся на четыре категории:

  • Специальные — раса, нац.принадлежность, политика, религия, философские убеждения, состояние здоровья, интимная жизнь, судимость
  • Биометрические — фото, отпечатки пальцев, ДНК, голос
  • Иные — всё остальное (имя, телефон, паспорт, СНИЛС, адрес — типичный набор для бизнеса)
  • Общедоступные — данные, размещённые субъектом для всеобщего доступа (с его согласия)

Большинство компаний обрабатывает «иные» ПДн. Биометрия — у банков, медучреждений, систем СКУД. Специальные — у медицины и кадровых агентств.

Количество субъектов

  • Менее 100 000 субъектов
  • 100 000 и более

100 000 — это магическое число. Если у вас крупный e-commerce, банк, телеком или образовательная платформа — почти наверняка > 100 000 субъектов.

Тип угроз

Три типа актуальных угроз:

  • Тип 1 — связаны с наличием недокументированных (недекларированных) возможностей в системном ПО, используемом в ИСПДн
  • Тип 2 — связаны с НДВ в прикладном ПО, используемом в ИСПДн
  • Тип 3 — не связаны с НДВ в системном и прикладном ПО

Для большинства коммерческих организаций актуальны угрозы типа 3 (используемое ПО — стандартное, без НДВ). Тип 1 и 2 — обычно для гос.сектора и КИИ.

Таблица определения уровня

Соотнесите категорию данных, объём и тип угроз:

Категория ПДн< 100K, угрозы 1< 100K, угрозы 2< 100K, угрозы 3≥ 100K, угрозы 1≥ 100K, угрозы 2≥ 100K, угрозы 3
СпециальныеК1К1К2К1К1К1
БиометрическиеК1К1К3К1К1К2
ИныеК1К2К4К1К2К3
ОбщедоступныеК2К3К4К1К2К3

Пример 1: интернет-магазин с 50 000 клиентов (имя, телефон, адрес — «иные» ПДн, угрозы типа 3) → К4.

Пример 2: банк с 500 000 клиентов (паспорт, биометрия, угрозы типа 3) → К2.

Пример 3: клиника с 10 000 пациентов (медицинская карта = специальные ПДн, угрозы типа 3) → К2.

Меры защиты по уровням

Для каждого уровня — свой набор обязательных мер из Приказа ФСТЭК № 21. Краткая выжимка:

К4 (минимальный)

  • Идентификация и аутентификация пользователей
  • Защита от вредоносного ПО (антивирус)
  • Контроль доступа
  • Журналирование событий безопасности

К3

  • Всё из К4
  • Контроль внешних носителей информации
  • Защита периметра (межсетевой экран)
  • Резервное копирование и восстановление

К2

  • Всё из К3
  • Применение средств криптографической защиты (СКЗИ)
  • Контроль целостности
  • Регулярный анализ защищённости (сканирование уязвимостей)
  • Выделенные средства защиты (DLP, мониторинг)

К1 (максимальный)

  • Всё из К2
  • Применение сертифицированных средств не ниже определённого класса
  • Аттестация информационной системы
  • Расширенный контроль доступа (мандатный, ролевой)
  • Изолированные сети для критичных операций

Практические шаги классификации

  1. Инвентаризация ИСПДн — составить перечень всех систем, в которых обрабатываются ПДн (CRM, 1С, кадровая система, телефония, e-commerce, корпоративная почта).
  2. Для каждой ИСПДн определить категорию, количество субъектов, тип угроз.
  3. Соотнести с таблицей и определить уровень К.
  4. Сформировать перечень ИСПДн с уровнями (это документ, который смотрит проверяющий).
  5. Определить набор мер по Приказу ФСТЭК № 21.
  6. Внедрить меры поэтапно, с приоритезацией по риску.

Частые ошибки

«У нас всё К4 — данных мало»

Часто упускают системы с большим объёмом субъектов. Корпоративный сайт с регистрацией пользователей или email-рассылка могут содержать 100 000+ подписчиков → автоматически К3 (для иных ПДн).

«Биометрия — только в банке»

Биометрические ПДн — это любые данные, идентифицирующие человека. Фото в CRM, видеонаблюдение СКУД, голосовые записи в телефонии — всё это биометрия.

«Угрозы тип 3 — это просто, ставим антивирус и всё»

Минимальный набор по К4 включает 4 группы мер. Без журналирования и контроля доступа даже К4 не закрывается.

Готовые шаблоны и автоматизация

В рамках услуги ИБ-аутсорсинга мы предоставляем:

  • Шаблон Перечня ИСПДн с уровнями
  • Чек-лист классификации
  • Готовые комплекты мер для К3 и К4 (где находится 95% коммерческих ИСПДн)
  • Сертифицированные СЗИ под ваш уровень

Если вы только начинаете путь приведения в соответствие 152-ФЗ — обратитесь за бесплатным экспресс-аудитом. За 30 дней мы инвентаризируем ваши ИСПДн, классифицируем и составим план приведения в соответствие.

ПозвонитьБесплатный аудит