Двухфакторная аутентификация и требования регуляторов: как выполнить 152‑ФЗ и приказы ФСТЭК — Контур.Эгида

В этой статье

Двухфакторная аутентификация и требования регуляторов: как выполнить 152‑ФЗ и приказы ФСТЭК

28 апреля 2026

Требования к защите персональных данных со стороны регуляторов становятся все строже. 152-ФЗ, стандарты Центробанка, а теперь и новые нормы приказов ФСТЭК однозначно указывают: там, где обрабатываются персональные данные, доступ должен быть защищен надежно. Двухфакторная аутентификация — уже не роскошный максимум, а базовый минимум. Разберем, когда 2FA обязательна, где достаточно минимальных мер и как правильно внедрить и не получить штраф там, где, казалось бы, сделали все правильно.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Нормативная база: где регуляторы требуют 2FA

2FA блокирует до 99% автоматизированных атак на учетные записи, именно поэтому регуляторы включают ее в перечень обязательных мер для систем с высокими уровнями защищенности. Но законы и постановления по-разному регулируют аутентификацию. Где-то 2FA — это прямое требование к оператору. Где-то — мера, которая становится обязательной, если ее требует модель угроз.

Двухфакторная, многофакторная, строгая аутентификация — в чем разница

В законах и приказах встречаются три похожих термина. Они не всегда синонимы:

  • Двухфакторная аутентификация (2FA) — ровно два фактора: что вы знаете (пароль) + что у вас есть (токен, телефон).
  • Многофакторная (MFA) — два и более факторов. В большинстве документов это то же самое, что 2FA. Просто запасной термин на случай, если регулятор не ограничивает  число факторов.
  • Строгая аутентификация — термин ФСТЭК. Означает двух- или многофакторную аутентификацию плюс криптографическую защиту каналов передачи данных. Это более строгое требование.

152-ФЗ «О персональных данных»: общие требования к защите доступа

Статья 19 152-ФЗ обязывает оператора персональных данных принимать меры для защиты персональных данных (ПДн). Слова «двухфакторная» в законе нет — он скорее рамочный, а не прикладной. Конкретные меры раскрыты в подзаконных актах, главный из которых — Приказ ФСТЭК №21, который устанавливает состав организационных и технических мер защиты для информационных систем персональных данных (ИСПДн). Именно там указано, какой должна быть аутентификация.

Приказ ФСТЭК № 21: требования к ИСПДн

Ключевой документ для всех операторов ПДн — Приказ ФСТЭК №21. Он отвечает на вопрос: как именно защищать информацию. Согласно приказу, двухфакторная аутентификация нужна для выполнения меры «Идентификация и аутентификация» (ИАФ).

Подробнее о Приказе ФСТЭК № 21 и моделях угроз

Правила зависят от уровня защищенности ИСПДн и модели угроз:

  • для систем 1 и 2 уровней (самые высокие риски) — усиленная аутентификация обязательна;
  • для 3 уровня — решение принимается после анализа модели угроз;
  • для 4 уровня — достаточно пароля.

Важный акцент — модель угроз. Если в вашей модели для 3-го уровня зафиксированы риски несанкционированного доступа, например из-за удаленной работы сотрудников, 2FA становится обязательной.

Приказ ФСТЭК №117: требования к госсектору

Для государственных информационных систем (ГИС) и организаций госсектора действуют отдельные, более строгие правила. В 2026 году вступил в силу Приказ №117, заменивший устаревший №17. Регулятор перечислил нарушения, которые с вероятностью 80% приводят к инцидентам — их неофициально называют «смертными грехами» ИБ. Отсутствие двухфакторной аутентификации — один из них.

Новый документ вводит показатели защищенности — перечень критических мер, отсутствие которых почти гарантирует успешную атаку. В их числе — 2FA для привилегированных и удаленных пользователей.

Требования к аутентификации по Приказу №117:

  • для привилегированных пользователей (администраторы, специалисты ИБ, аудиторы) — только строгая аутентификация с криптографическими методами;
  • при невозможности строгой — многофакторная аутентификация;
  • обязательное использование PAM-систем для управления привилегированным доступом.

Также Приказ №117 требует использовать сертифицированные средства защиты информации.

Подробнее о требованиях Приказа № 117

Требования ЦБ РФ и отраслевые стандарты

Для финансового сектора 2FA — не рекомендация, а прямой допуск к работе:

  • СТО БР БФБО-1.8-2024 (обязательный для банков, страховых, НПФ, брокеров) требует многофакторной аутентификации при дистанционном обслуживании. Уровень защиты зависит от риска операции — чем выше риск, тем строже контроль.
  • ГОСТ Р 57580.1 закрепляет 2FA как обязательную меру для всех систем с конфиденциальной информацией.
  • PCI DSS v4.0.1 для обработки платежных данных больше не рекомендует СМС как второй фактор из-за уязвимостей к свопингу и перехвату. Стандарт смещает фокус на устойчивые к фишингу методы аутентификации — аппаратные токены и биометрию. 

Нарушение этих требований грозит не штрафом, а предписанием ЦБ — вплоть до приостановки операций. Поэтому в финансах 2FA внедряют в первую очередь.

Таблица: где 2FA рекомендация, а где — прямое требование.

Что обрабатываете Обязательна ли 2FA Основание

ПДн в ИСПДн 1–2 уровня защищенности

Да

Приказ ФСТЭК №21 (базовый набор мер ИАФ)

ПДн в ИСПДн 3 уровня защищенности

Да, если есть риски НСД (удаленный доступ, выход сети за периметр)

Определяется по модели угроз

ПДн в ИСПДн 4 уровня

Не обязательно

Достаточно пароля

Государственная ИС 

Да, для привилегированных и удаленных пользователей

Приказ ФСТЭК №117

КИИ (категорированный объект)

Да, усиленная двухфакторная аутентификация

Приказ ФСТЭК №239

Финансовые сервисы (дистанционно)

Да, многофакторная

СТО БР БФБО-1.8-2024

Важный момент: даже если формально 2FA не требуется, ее отсутствие может быть признано нарушением, если вы не приняли должный меры для защиты персональных данных. При проверке Роскомнадзора и утечке данных (особенно биометрии или спецкатегорий) компания рискует получить оборотный штраф до 3% годовой выручки.

Как выбрать решение для 2FA

Когда решение о внедрении 2FA принято, встает вопрос: какое средство выбрать, чтобы и регуляторы приняли, и на практике работало. Вот на что обратить внимание.

Сертификация ФСТЭК или ФСБ. Смотрите реестры регуляторов: для ИСПДн 1–3 уровней, ГИС и КИИ требуется сертифицированное средство аутентификации. Отсутствие сертификата — риск получить предписание при проверке. Для ИСПДн 4 уровня можно использовать несертифицированные решения, но только если это прямо разрешено моделью угроз.

Лицензия вендора. У разработчика должна быть лицензия ФСТЭК на техническую защиту конфиденциальной информации. Это подтверждает, что компания легально работает с конфиденциальной информацией или гостайной и может сопровождать сертифицированные продукты.

Техподдержка. Желательно наличие круглосуточной поддержки 24/7 или поддержка в максимально рабочее время производителя, а также условий по регламентированному времени реакции, например не более 4 часов. Обновления системы должны выходить без дополнительной платы или на прозрачных условиях.

Методы аутентификации. Выбор типа 2FA зависит от угроз, которые вы закрываете. Основные варианты:

  • TOTP (приложения‑аутентификаторы, например Контур.Коннект) — дешево и удобно, но требует защищенного хранения секретов на сервере.
  • Пуш-уведомления — пользователь просто подтверждает вход на смартфоне, не вводя цифры. Минус — зависимость от канала связи.
  • Аппаратные токены (USB‑ключи, смарт‑карты) — самый надежный вариант, именно их предпочитают ФСТЭК и ФСБ.
  • Биометрия (отпечаток, лицо) — допустима только как дополнительный фактор, с соблюдением ограничений постановления №815.
  • СМС — для большинства регуляторов уже неприемлемо: SIM‑свопинг и атаки на SS7 делают этот способ небезопасным. Для ИСПДн 1–2 уровня — точно нет, для 3–4 — лучше не рисковать.

ID от Контур.Эгиды поддерживает пуш-уведомления, звонки и TOTP‑коды, а также интеграцию с аппаратными токенами. Все методы соответствуют требованиям ФСТЭК, а связка с сертифицированным СЗИ снимает вопросы при проверке.

Интеграция с существующей инфраструктурой. Решение должно подключаться к Active Directory или LDAP, чтобы управлять пользователями и политиками из одной точки. Обязательна поддержка VPN — при удаленной работе это требование регуляторов. Для веб‑порталов и корпоративных приложений нужны протоколы RADIUS, SAML, OAuth 2.0. Чем проще интеграция, тем меньше ошибок при внедрении и выше реальная защита.

Криптографическая защита каналов аутентификации. Передавать коды, секреты, биометрию по открытому каналу нельзя. Используйте TLS 1.2 и выше, а для систем с высокими требованиями — сертифицированные СКЗИ.

Журналирование и аудит событий входа. Это то, что спасает при проверке. Система должна фиксировать каждый процесс входа: успешные и неудачные попытки, использованный фактор, время, IP‑адрес. Логи нужно хранить не менее года и защищать от изменений. Без этого проверка соответствия 2FA требованиям ФСТЭК покажет нарушение.

Документы, аудит и проверки: как подготовиться

Регуляторы смотрят и настройки, и бумаги. Если 2FA включена, но нет приказа о назначении ответственного или инструкции для пользователей — считайте, что меры не приняты.

Что должно быть в документах:

  • Политика обработки ПДн с отдельным разделом об идентификации и аутентификации по требованиям Приказа ФСТЭК №21.
  • Модель угроз, где 2FA указана как мера противодействия  несанкционированному доступу.
  • Техническое задание на ИСПДн с требованиями к 2FA.
  • Акт внедрения мер защиты с указанием даты и ответственных.
  • Приказ о назначении должностного лица, отвечающего за администрирование системы аутентификации и организацию обработки ПДн
  • Инструкции для пользователей: как зарегистрироваться, как пользоваться 2FA, что делать при потере телефона или токена.

Что запросят инспекторы Роскомнадзора или ФСТЭК:

  • Логи событий входа (успешных и неудачных) за последние 12 месяцев — с обязательной отметкой об использовании второго фактора.
  • Скриншоты настроек 2FA с датой и временем (подойдут выгрузки из системы администрирования).
  • Сертификаты на используемые средства (ФСТЭК или ФСБ) и лицензию вендора на ТЗКИ.
  • Все перечисленные выше документы в актуальной редакции.

Типовые замечания при проверках и как их избежать:

  • 2FA внедрена, но администраторы заходят без нее, например через консоль или локально, — закройте локальный вход или тоже защитите 2FA.
  • Используются несертифицированные средства там, где нужны сертифицированные — проверьте реестр ФСТЭК перед закупкой.
  • Логи ведутся, но их можно подделать (нет контроля целостности) — используйте систему, которая пишет логи в зашифрованном виде или на WORM-носители.
  • Нет регламента восстановления доступа при утере токена — пропишите процедуру: блокировка, подтверждение личности, выдача нового токена.

Что делать, если сотрудник потерял токен 2FA

Самоаудит. Проведите его за полгода до плановой проверки. Пригласите стороннюю организацию с лицензией ФСТЭК на ТЗКИ для аудита. Найти и исправить проблемы самим дешевле, чем получить предписание. В ходе самопроверки особое внимание уделите трем вещам: кто из администраторов имеет доступ без 2FA, защищены ли журналы событий, актуальна ли модель угроз компании.

В каких ситуациях 2FA не защитит и что с этим делать

Использовать двухфакторную аутентификацию мало — важно сделать это без ошибок. Иначе даже при наличии 2FA можно получить штраф. 

Формальное внедрение 

Это главная ловушка. Ситуация из практики: у крупного ритейлера 2FA была включена для всех сотрудников, но:

  • пароль администратора — admin123;
  • резервные коды от токенов — в общей папке на файловом сервере;
  • один USB-токен на пятерых бухгалтеров.

При утечке базы клиентов проверка Роскомнадзора зафиксировала: меры формально приняты, но должным образом не реализованы. Компания получила штраф, хотя, казалось бы, внедрила 2FA.

Уязвимости методов аутентификации 

Самые распространенные схемы атак:

  • фишинг — поддельная страница входа в корпоративный VPN, где крадут одноразовый пароль;
  • SIM-свопинг (перевыпуск SIM-карты через салон связи) и перехват СМС;
  • компрометация токенов — потерянный или украденный USB-ключ.

Пример из практики банка: злоумышленники подделали страницу системы ДБО, 15 сотрудников перешли по ссылке, и мошенники списали средства со счетов компании.

Чтобы снизить риски, используйте аппаратные токены с подтверждением по нажатию кнопки — фишинг практически невозможен. Для push-уведомлений показывайте пользователю детали сеанса: браузер, город, время. И обязательно обучайте сотрудников главному правилу: код из СМС нельзя сообщать даже «сотруднику техподдержки», который звонит по телефону.

Человеческий фактор

Сотрудники жалуются на неудобство, отключают 2FA, передают токены коллегам, записывают пароли в открытые гугл-доки. Единственный работающий способ — технический запрет на отключение 2FA плюс регулярные короткие тесты и напоминания.

Заключение

Двухфакторная аутентификация — одна из мер защиты доступа, предусмотренных регуляторами. Без нее требования ФСТЭК и 152-ФЗ считаются невыполненными. Оператору ПДн нужно определить уровень защищенности своей системы и проверить модель угроз. Если 2FA предусмотрена, выбрать сертифицированное средство, внедрить его и оформить документацию. И лучше сделать это в плановом порядке, чем в спешке перед проверкой. 

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться