В 2025 году штрафы за утечку персональных данных выросли до 3% годовой выручки компании. Приказ ФСТЭК №21 — это чек-лист технических мер, отсутствие которых в компании часто становится причиной таких штрафов, а также прямых финансовых и репутационных потерь. В статье рассказали, как пошагово начать применять требования Приказа № 21 и закрыть ключевые риски для информационной системы персональных данных (ИСПДн).
Что такое Приказ ФСТЭК №21
Определение и содержание
Приказ ФСТЭК №21 — основной подзаконный акт, который детализирует, как именно должны быть реализованы требования безопасности из 152-ФЗ и Постановления №1119 на техническом и организационном уровне внутри информационной системы. Он задает чек-лист защитных мер для ИСПДн.
Документ содержит 15 групп обязательных мер. В зависимости от уровня риска оператор формирует из них свой набор защиты. По сути, приказ охватывает четыре ключевых направления безопасности:
Управление доступом: правила идентификации пользователей и разграничение их прав к данным.
Защита инфраструктуры: требования к контролю ПО, включая виртуализацию и облака, и к физической охране носителей информации.
Мониторинг и противодействие: порядок организации антивирусной защиты, регистрации событий, обнаружения вторжений и реагирования на инциденты.
Аудит и оценка: процедура регулярной проверки эффективности всех внедренных мер защиты.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Актуальная редакция
Приказ был зарегистрирован 14 мая 2013 года. Актуальной на 2026 год остается редакция от 14 мая 2020 года. Хотя текст самого документа в последнее время не менялся, требования к его исполнению стали строже: увеличились штрафы по 152-ФЗ, а регуляторы активнее проводят проверки. Это делает выполнение предписанных мер критически важным.
Ключевое приложение к документу — таблица соответствия мер защиты уровням защищенности ИСПДн. В ней 15 групп мер распределены по четырем уровням (УЗ1-УЗ4). Это основное руководство для построения системы защиты.
Кто обязан применять
Требования Приказа №21 обязательны для всех, кто является оператором персональных данных и обрабатывает их с помощью информационных систем. Это означает, что под действие документа попадают:
- коммерческие компании — от крупных IT-сервисов и банков до небольших клиник и интернет-магазинов,
- государственные учреждения, если обрабатывает персональные данные в своей информационной системе.
Если ваш бизнес систематически работает с персональными данными клиентов, сотрудников или партнеров на компьютерах — вы обязаны соблюдать этот приказ.
Приказ №21 не распространяется только на обработку сведений, которые составляют государственную тайну, и не регулирует тонкости применения криптографической защиты. Эти области относятся к компетенции других нормативных актов.
Связь с 152-ФЗ
Если Федеральный закон от 27.07.2006 № 152-ФЗ устанавливает общие принципы и правила работы с персональными данными, то Приказ ФСТЭК №21 служит детальной технической инструкцией для их реализации. Он переводит правовые нормы в конкретные организационные и технические меры безопасности.
Вместе с Постановлением Правительства №1119, которое определяет 4 уровня защищенности ИСПДн, этот приказ формирует основу для создания системы, полностью соответствующей требованиям 152-ФЗ.
Уровни защищенности ИСПДн по Приказу № 21
Уровень защищенности (УЗ) определяется по Постановлению Правительства №1119. Он зависит от объема и категории обрабатываемых данных. Приказ №21 затем предписывает, какие меры безопасности обязательны для каждого УЗ.
Уровень 1 защиты персональных данных
Это наивысший уровень (УЗ-1). Он требуется при обработке специальных или биометрических данных, либо персональных данных более 100 тысяч субъектов. Требует реализации полного набора мер из 15 групп с использованием сертифицированных средств защиты информации (СЗИ).
Уровень 2: требования и отличия
Уровень 2 (УЗ-2) устанавливается для значительных объемов обычных ПДн или меньших объемов специальных данных. Состав мер аналогичен УЗ-1, но может допускать адаптацию с учетом актуальных угроз. Требуется применение средств защиты информации, прошедших оценку соответствия.
Уровень 3 и 4: базовые меры
Уровни 3 и 4 (УЗ-3, УЗ-4) — базовые. Они применяются для обычных данных при небольшом количестве субъектов. Требуется реализация базового набора мер, такого как управление доступом, антивирусная защита, регистрация событий. Допускается больше адаптации под конкретную систему.
15 групп мер защиты в Приказе № 21
Приказ систематизирует все действия по защите персональных данных в 15 групп мер. Для наглядности их можно объединить в три крупных кластера: контроль доступа, защита инфраструктуры, мониторинг и управление. В таблице ниже представлен полный перечень мер, суть и примеры применения.
|
Кластер «Контроль доступа и действий» |
|
|
1. Идентификация и аутентификация |
Суть: надежное распознавание пользователей и систем. Пример: вход в систему по учетной записи Active Directory с двухфакторной аутентификацией. |
|
2. Управление доступом в ИСПДн |
Суть: четкое разграничение прав. Пример: настройка ролевой модели (администратор, пользователь, гость) в CRM или базе данных. |
|
3. Управление доступом в помещения |
Суть: физическая защита мест обработки данных. Пример: электронные пропуска, видеонаблюдение в серверной комнате. |
|
4. Ограничение программной среды |
Суть: контроль за установленным и запускаемым ПО. Пример: политики ограниченного использования для запрета запуска сторонних программ. |
|
Кластер «Защита инфраструктуры и целостности» |
|
|
5. Защита машинных носителей информации |
Суть: учет и контроль физических носителей. Пример: инвентаризация жестких дисков, шифрование USB-флешек, использование сейфов. |
|
6. Защита технических средств |
Суть: обеспечение целостности оборудования. Пример: защита серверов от несанкционированного вскрытия, использование аппаратных доверенных загрузчиков. |
|
7. Защита информационной системы, ее средств, систем связи и передачи данных |
Суть: комплексная безопасность сети и каналов связи. Пример: настройка межсетевых экранов, сегментация сети, применение VPN. |
|
8. Защита среды виртуализации |
Суть: безопасность виртуальной инфраструктуры. Пример: защита гипервизора, изоляция виртуальных машин с ПДн. |
|
9. Защита от вредоносного кода |
Суть: противодействие вирусам и шпионским программам. Пример: централизованное антивирусное решение с регулярным обновлением баз. |
|
10. Обнаружение вторжений |
Суть: выявление сетевых атак в реальном времени. Пример: внедрение систем обнаружения вторжений или их предотвращения. |
|
Кластер «Мониторинг, управление и реагирование» |
|
|
11. Регистрация событий безопасности |
Суть: фиксация всех значимых действий для последующего анализа. Пример: настройка централизованного сбора логов |
|
12. Антивирусный контроль |
Суть: регулярная проверка на наличие вредоносного ПО. Пример: запланированное полное сканирование серверов раз в неделю |
|
13. Обеспечение целостности |
Суть: гарантия неизменности системы защиты и данных. Пример: использование средств контроля целостности, проверка контрольных сумм файлов |
|
14. Контроль безопасного запуска |
Суть: Обеспечение загрузки системы в защищенном состоянии. Пример: настройка Secure Boot для рабочих станций и серверов |
|
15. Анализ защищенности и реагирование |
Суть: проактивный поиск уязвимостей и ликвидация последствий атак. Пример: регулярное сканирование уязвимостей, план реагирования на инциденты ИБ |
Каждый оператор данных не обязан внедрять все 15 групп в полном объеме. Его задача — выбрать те меры, которые обязательны для его уровня защищенности по Постановлению №1119:
- Для УЗ-1 требуется реализация большинства мер из 15 групп с применением сертифицированных средств защиты информации (СЗИ).
- Для УЗ-2 состав мер тоже широк, но допускает больше адаптации под конкретную архитектуру.
- Для УЗ-3 и УЗ-4 (базовые) обязателен базовый набор из ключевых групп: управление доступом (1, 2), антивирусная защита (9), регистрация событий (11) и обеспечение целостности (13).
Соответствие Приказу № 21 невозможно обеспечить разрозненными мерами. Контур.Эгида помогает выстроить целостную систему защиты ПДн, автоматизировать контроль требований и снизить риски при проверках и инцидентах.
Отличия Приказа № 21 от Приказа № 17
Приказ № 21 регулирует защиту данных в коммерческих компаниях, а Приказ № 17 — в госорганах. Собрали основные отличия в таблице.
| Критерий сравнения | Приказ ФСТЭК №21 | Приказ ФСТЭК №17 |
|---|---|---|
|
Область применения |
Информационные системы персональных данных у любых операторов: коммерческие компании, ИП. |
Государственные информационные системы (ГИС), которые обрабатывают информацию, не являющуюся гостайной |
|
Классификация системы |
Четыре уровня защищенности — определяются по категории и объему обрабатываемых персональных данных на основании Постановления №1119. |
Три класса защищенности — определяются в зависимости от уровня значимости информации и масштаба системы |
|
Требования к средствам защиты информации (СЗИ) |
Требуется применение СЗИ, прошедших процедуру оценки соответствия. Это оставляет оператору свободу выбора. |
Обязательное применение сертифицированных ФСТЭК средств защиты информации из реестра российского ПО |
|
Процедура проверки |
Оценка эффективности принятых мер защиты. Проводится не реже раза в 3 года оператором самостоятельно или с привлечением лицензированной организации. |
Аттестация (проверка) информационной системы на соответствие требованиям. Обязательная процедура для ГИС. |
Как начать применять Приказ № 21 на практике: коротко о главном
Внедрение требований Приказа №21 можно разбить на пять последовательных шагов.
Шаг № 1. Определите уровень защищенности
Первым делом нужно классифицировать свою информационную систему. Уровень защищенности зависит не от вашего желания, а от объективных критериев: объема и категории обрабатываемых данных, например, обычные, биометрические или специальные. Точные правила указаны в Постановлении Правительства №1119. Результатом этого этапа должен стать официальный документ — приказ или распоряжение, который зафиксирует уровень защищенности ИСПДн в компании.
Шаг № 2. Оцените угрозы
Далее необходимо понять, от чего именно вы защищаетесь. Для этого разрабатывается актуальная модель угроз безопасности персональных данных. Этот документ описывает возможные пути атаки на ваши данные, например, взлом извне, действия недобросовестного сотрудника, случайная утечка, и помогает сфокусировать ресурсы на реальных, а не гипотетических рисках.
Шаг № 3. Выберите меры защиты
Опираясь на приложение к Приказу №21, сформируйте базовый перечень мер, обязательных для вашего уровня УЗ. Затем этот список нужно адаптировать под вашу инфраструктуру. Например, если в компании не используются технологии виртуализации, соответствующие меры можно исключить.
Шаг № 4. Внедрите и задокументируйте
Реализуйте выбранные технические и организационные меры. К техническим мерам относятся:
Средства защиты информации. Речь про межсетевые экраны, системы обнаружения и предотвращения вторжений, средства антивирусной защиты, управления доступом и аудита.
Требования к СЗИ. Для систем с УЗ-1 и УЗ-2 требуется применение средств, прошедших оценку соответствия требованиям ФСТЭК. Для УЗ-3 и УЗ-4 допустимо использование любых средств, если они адекватно нейтрализуют актуальные угрозы.
К организационным мерам относится разработка и утверждение внутренних документов: политики обработки ПДн, регламентов для сотрудников, инструкций по реагированию на инциденты.
Шаг 5. Анализируйте и улучшайте
Заключительный этап — оценка эффективности всех мер. Эту проверку нужно проводить не реже одного раза в три года, а также после любых значимых изменений в системе. Оценку можно провести силами собственных специалистов или привлечь лицензированную организацию. Процедура включает анализ документов, проверку настроек, тестирование на проникновение. Результат — отчет с выводами и рекомендациями по устранению недостатков.
Ответственность за несоблюдение приказа
Прямых штрафов именно за нарушение Приказа ФСТЭК №21 нет. Но его требования — часть режима защиты ПДн по 152-ФЗ. Ответственность наступает за нарушение этого закона.
Штрафы по КоАП РФ
С 2025 года штрафы существенно выросли. Например, за утечку обычных ПДн организацию могут оштрафовать на сумму от 3 до 15 млн рублей за первый инцидент. При повторном нарушении в течение года штраф может составить от 1% до 3% годовой выручки, но не менее 20 млн рублей.
Судебная практика 2025-2026 годов
Регуляторы (Роскомнадзор, ФСТЭК) активно используют автоматизированные системы мониторинга. Проверки часто инициируют после утечек, которые стали публичными. В практике — крупные штрафы для IT-компаний, онлайн-сервисов и медицинских учреждений за недостаточность технических мер защиты.
Примеры штрафов в 2025 году по данным Comnews.
| Нарушитель | Сумма штрафа | Контекст инцидента |
|---|---|---|
|
АО «РЖД» |
150 000 руб. |
Крупнейший штраф 2025 года. Компанию привлекли по ч. 1 ст. 13.11 КоАП РФ за нарушение порядка обработки персональных данных. |
|
АО «Почта России» |
150 000 руб. |
Крупнейший штраф 2025 года. Компания была привлечена по ч. 1 ст. 13.11 КоАП РФ за нарушение порядка обработки персональных данных. |
|
ООО «Медквадрат» (медицинское учреждение) |
75 000 руб. |
Нарушение порядка обработки ПДн. Подчеркивает внимание регуляторов к защите данных в чувствительной сфере здравоохранения. |
|
ООО «Изумруд» |
75 000 руб. |
Нарушение порядка обработки ПДн. |
|
Коллекторская компания «Интер-Прайм» |
60 000 руб. |
Нарушение порядка обработки ПДн. |
|
Микрофинансовая организация «К.» |
60 000 руб. |
Нарушение порядка обработки ПДн. |
Не рассматривайте Приказ №21 как формальный документ. Подходите к защите системно: определите угрозы, выберите адекватные меры, документируйте процесс. Регулярно оценивайте эффективность. Это не только снизит риск штрафа, но и защитит репутацию бизнеса и доверие клиентов.
Применение мер по Приказу №21 — это техническая задача и страховка от многомиллионных санкций. Начните с аудита, чтобы понять свои слабые места, и двигайтесь планомерно к полному соответствию.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.