Требования к защите персональных данных со стороны регуляторов становятся все строже. 152-ФЗ, стандарты Центробанка, а теперь и новые нормы приказов ФСТЭК однозначно указывают: там, где обрабатываются персональные данные, доступ должен быть защищен надежно. Двухфакторная аутентификация — уже не роскошный максимум, а базовый минимум. Разберем, когда 2FA обязательна, где достаточно минимальных мер и как правильно внедрить и не получить штраф там, где, казалось бы, сделали все правильно.
Нормативная база: где регуляторы требуют 2FA
2FA блокирует до 99% автоматизированных атак на учетные записи, именно поэтому регуляторы включают ее в перечень обязательных мер для систем с высокими уровнями защищенности. Но законы и постановления по-разному регулируют аутентификацию. Где-то 2FA — это прямое требование к оператору. Где-то — мера, которая становится обязательной, если ее требует модель угроз.
Двухфакторная, многофакторная, строгая аутентификация — в чем разница
В законах и приказах встречаются три похожих термина. Они не всегда синонимы:
- Двухфакторная аутентификация (2FA) — ровно два фактора: что вы знаете (пароль) + что у вас есть (токен, телефон).
- Многофакторная (MFA) — два и более факторов. В большинстве документов это то же самое, что 2FA. Просто запасной термин на случай, если регулятор не ограничивает число факторов.
- Строгая аутентификация — термин ФСТЭК. Означает двух- или многофакторную аутентификацию плюс криптографическую защиту каналов передачи данных. Это более строгое требование.
152-ФЗ «О персональных данных»: общие требования к защите доступа
Статья 19 152-ФЗ обязывает оператора персональных данных принимать меры для защиты персональных данных (ПДн). Слова «двухфакторная» в законе нет — он скорее рамочный, а не прикладной. Конкретные меры раскрыты в подзаконных актах, главный из которых — Приказ ФСТЭК №21, который устанавливает состав организационных и технических мер защиты для информационных систем персональных данных (ИСПДн). Именно там указано, какой должна быть аутентификация.
Приказ ФСТЭК № 21: требования к ИСПДн
Ключевой документ для всех операторов ПДн — Приказ ФСТЭК №21. Он отвечает на вопрос: как именно защищать информацию. Согласно приказу, двухфакторная аутентификация нужна для выполнения меры «Идентификация и аутентификация» (ИАФ).
Подробнее о Приказе ФСТЭК № 21 и моделях угроз
Правила зависят от уровня защищенности ИСПДн и модели угроз:
- для систем 1 и 2 уровней (самые высокие риски) — усиленная аутентификация обязательна;
- для 3 уровня — решение принимается после анализа модели угроз;
- для 4 уровня — достаточно пароля.
Важный акцент — модель угроз. Если в вашей модели для 3-го уровня зафиксированы риски несанкционированного доступа, например из-за удаленной работы сотрудников, 2FA становится обязательной.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Приказ ФСТЭК №117: требования к госсектору
Для государственных информационных систем (ГИС) и организаций госсектора действуют отдельные, более строгие правила. В 2026 году вступил в силу Приказ №117, заменивший устаревший №17. Регулятор перечислил нарушения, которые с вероятностью 80% приводят к инцидентам — их неофициально называют «смертными грехами» ИБ. Отсутствие двухфакторной аутентификации — один из них.
Новый документ вводит показатели защищенности — перечень критических мер, отсутствие которых почти гарантирует успешную атаку. В их числе — 2FA для привилегированных и удаленных пользователей.
Требования к аутентификации по Приказу №117:
- для привилегированных пользователей (администраторы, специалисты ИБ, аудиторы) — только строгая аутентификация с криптографическими методами;
- при невозможности строгой — многофакторная аутентификация;
- обязательное использование PAM-систем для управления привилегированным доступом.
Также Приказ №117 требует использовать сертифицированные средства защиты информации.
Подробнее о требованиях Приказа № 117
Требования ЦБ РФ и отраслевые стандарты
Для финансового сектора 2FA — не рекомендация, а прямой допуск к работе:
- СТО БР БФБО-1.8-2024 (обязательный для банков, страховых, НПФ, брокеров) требует многофакторной аутентификации при дистанционном обслуживании. Уровень защиты зависит от риска операции — чем выше риск, тем строже контроль.
- ГОСТ Р 57580.1 закрепляет 2FA как обязательную меру для всех систем с конфиденциальной информацией.
- PCI DSS v4.0.1 для обработки платежных данных больше не рекомендует СМС как второй фактор из-за уязвимостей к свопингу и перехвату. Стандарт смещает фокус на устойчивые к фишингу методы аутентификации — аппаратные токены и биометрию.
Нарушение этих требований грозит не штрафом, а предписанием ЦБ — вплоть до приостановки операций. Поэтому в финансах 2FA внедряют в первую очередь.
Таблица: где 2FA рекомендация, а где — прямое требование.
| Что обрабатываете | Обязательна ли 2FA | Основание |
|---|---|---|
|
ПДн в ИСПДн 1–2 уровня защищенности |
Да |
Приказ ФСТЭК №21 (базовый набор мер ИАФ) |
|
ПДн в ИСПДн 3 уровня защищенности |
Да, если есть риски НСД (удаленный доступ, выход сети за периметр) |
Определяется по модели угроз |
|
ПДн в ИСПДн 4 уровня |
Не обязательно |
Достаточно пароля |
|
Государственная ИС |
Да, для привилегированных и удаленных пользователей |
Приказ ФСТЭК №117 |
|
КИИ (категорированный объект) |
Да, усиленная двухфакторная аутентификация |
Приказ ФСТЭК №239 |
|
Финансовые сервисы (дистанционно) |
Да, многофакторная |
СТО БР БФБО-1.8-2024 |
Важный момент: даже если формально 2FA не требуется, ее отсутствие может быть признано нарушением, если вы не приняли должный меры для защиты персональных данных. При проверке Роскомнадзора и утечке данных (особенно биометрии или спецкатегорий) компания рискует получить оборотный штраф до 3% годовой выручки.
Как выбрать решение для 2FA
Когда решение о внедрении 2FA принято, встает вопрос: какое средство выбрать, чтобы и регуляторы приняли, и на практике работало. Вот на что обратить внимание.
Сертификация ФСТЭК или ФСБ. Смотрите реестры регуляторов: для ИСПДн 1–3 уровней, ГИС и КИИ требуется сертифицированное средство аутентификации. Отсутствие сертификата — риск получить предписание при проверке. Для ИСПДн 4 уровня можно использовать несертифицированные решения, но только если это прямо разрешено моделью угроз.
Лицензия вендора. У разработчика должна быть лицензия ФСТЭК на техническую защиту конфиденциальной информации. Это подтверждает, что компания легально работает с конфиденциальной информацией или гостайной и может сопровождать сертифицированные продукты.
Техподдержка. Желательно наличие круглосуточной поддержки 24/7 или поддержка в максимально рабочее время производителя, а также условий по регламентированному времени реакции, например не более 4 часов. Обновления системы должны выходить без дополнительной платы или на прозрачных условиях.
Методы аутентификации. Выбор типа 2FA зависит от угроз, которые вы закрываете. Основные варианты:
- TOTP (приложения‑аутентификаторы, например Контур.Коннект) — дешево и удобно, но требует защищенного хранения секретов на сервере.
- Пуш-уведомления — пользователь просто подтверждает вход на смартфоне, не вводя цифры. Минус — зависимость от канала связи.
- Аппаратные токены (USB‑ключи, смарт‑карты) — самый надежный вариант, именно их предпочитают ФСТЭК и ФСБ.
- Биометрия (отпечаток, лицо) — допустима только как дополнительный фактор, с соблюдением ограничений постановления №815.
- СМС — для большинства регуляторов уже неприемлемо: SIM‑свопинг и атаки на SS7 делают этот способ небезопасным. Для ИСПДн 1–2 уровня — точно нет, для 3–4 — лучше не рисковать.
ID от Контур.Эгиды поддерживает пуш-уведомления, звонки и TOTP‑коды, а также интеграцию с аппаратными токенами. Все методы соответствуют требованиям ФСТЭК, а связка с сертифицированным СЗИ снимает вопросы при проверке.
Интеграция с существующей инфраструктурой. Решение должно подключаться к Active Directory или LDAP, чтобы управлять пользователями и политиками из одной точки. Обязательна поддержка VPN — при удаленной работе это требование регуляторов. Для веб‑порталов и корпоративных приложений нужны протоколы RADIUS, SAML, OAuth 2.0. Чем проще интеграция, тем меньше ошибок при внедрении и выше реальная защита.
Криптографическая защита каналов аутентификации. Передавать коды, секреты, биометрию по открытому каналу нельзя. Используйте TLS 1.2 и выше, а для систем с высокими требованиями — сертифицированные СКЗИ.
Журналирование и аудит событий входа. Это то, что спасает при проверке. Система должна фиксировать каждый процесс входа: успешные и неудачные попытки, использованный фактор, время, IP‑адрес. Логи нужно хранить не менее года и защищать от изменений. Без этого проверка соответствия 2FA требованиям ФСТЭК покажет нарушение.
Документы, аудит и проверки: как подготовиться
Регуляторы смотрят и настройки, и бумаги. Если 2FA включена, но нет приказа о назначении ответственного или инструкции для пользователей — считайте, что меры не приняты.
Что должно быть в документах:
- Политика обработки ПДн с отдельным разделом об идентификации и аутентификации по требованиям Приказа ФСТЭК №21.
- Модель угроз, где 2FA указана как мера противодействия несанкционированному доступу.
- Техническое задание на ИСПДн с требованиями к 2FA.
- Акт внедрения мер защиты с указанием даты и ответственных.
- Приказ о назначении должностного лица, отвечающего за администрирование системы аутентификации и организацию обработки ПДн
- Инструкции для пользователей: как зарегистрироваться, как пользоваться 2FA, что делать при потере телефона или токена.
Что запросят инспекторы Роскомнадзора или ФСТЭК:
- Логи событий входа (успешных и неудачных) за последние 12 месяцев — с обязательной отметкой об использовании второго фактора.
- Скриншоты настроек 2FA с датой и временем (подойдут выгрузки из системы администрирования).
- Сертификаты на используемые средства (ФСТЭК или ФСБ) и лицензию вендора на ТЗКИ.
- Все перечисленные выше документы в актуальной редакции.
Типовые замечания при проверках и как их избежать:
- 2FA внедрена, но администраторы заходят без нее, например через консоль или локально, — закройте локальный вход или тоже защитите 2FA.
- Используются несертифицированные средства там, где нужны сертифицированные — проверьте реестр ФСТЭК перед закупкой.
- Логи ведутся, но их можно подделать (нет контроля целостности) — используйте систему, которая пишет логи в зашифрованном виде или на WORM-носители.
- Нет регламента восстановления доступа при утере токена — пропишите процедуру: блокировка, подтверждение личности, выдача нового токена.
Что делать, если сотрудник потерял токен 2FA
Самоаудит. Проведите его за полгода до плановой проверки. Пригласите стороннюю организацию с лицензией ФСТЭК на ТЗКИ для аудита. Найти и исправить проблемы самим дешевле, чем получить предписание. В ходе самопроверки особое внимание уделите трем вещам: кто из администраторов имеет доступ без 2FA, защищены ли журналы событий, актуальна ли модель угроз компании.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
В каких ситуациях 2FA не защитит и что с этим делать
Использовать двухфакторную аутентификацию мало — важно сделать это без ошибок. Иначе даже при наличии 2FA можно получить штраф.
Формальное внедрение
Это главная ловушка. Ситуация из практики: у крупного ритейлера 2FA была включена для всех сотрудников, но:
- пароль администратора — admin123;
- резервные коды от токенов — в общей папке на файловом сервере;
- один USB-токен на пятерых бухгалтеров.
При утечке базы клиентов проверка Роскомнадзора зафиксировала: меры формально приняты, но должным образом не реализованы. Компания получила штраф, хотя, казалось бы, внедрила 2FA.
Уязвимости методов аутентификации
Самые распространенные схемы атак:
- фишинг — поддельная страница входа в корпоративный VPN, где крадут одноразовый пароль;
- SIM-свопинг (перевыпуск SIM-карты через салон связи) и перехват СМС;
- компрометация токенов — потерянный или украденный USB-ключ.
Пример из практики банка: злоумышленники подделали страницу системы ДБО, 15 сотрудников перешли по ссылке, и мошенники списали средства со счетов компании.
Чтобы снизить риски, используйте аппаратные токены с подтверждением по нажатию кнопки — фишинг практически невозможен. Для push-уведомлений показывайте пользователю детали сеанса: браузер, город, время. И обязательно обучайте сотрудников главному правилу: код из СМС нельзя сообщать даже «сотруднику техподдержки», который звонит по телефону.
Человеческий фактор
Сотрудники жалуются на неудобство, отключают 2FA, передают токены коллегам, записывают пароли в открытые гугл-доки. Единственный работающий способ — технический запрет на отключение 2FA плюс регулярные короткие тесты и напоминания.
Заключение
Двухфакторная аутентификация — одна из мер защиты доступа, предусмотренных регуляторами. Без нее требования ФСТЭК и 152-ФЗ считаются невыполненными. Оператору ПДн нужно определить уровень защищенности своей системы и проверить модель угроз. Если 2FA предусмотрена, выбрать сертифицированное средство, внедрить его и оформить документацию. И лучше сделать это в плановом порядке, чем в спешке перед проверкой.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.