Найти в Дзене
Дурманов хочет изменить мир
3 подписчика

Классы защиты персональных данных на пальцах

2 мин
Узнайте, как на самом деле нужно защищать ПДн в вашей компании за 3 минуты Вступившие с 1 сентября 2025 в силу изменения в 152-ФЗ заставили многие компании еще раз обратить внимание на процессы обработки ПДн. Про согласия на сайте говорить не интересно, я хочу коротко рассказать о том, какие категории ПДн есть, и как их защищать. Коротко — вы сами. Оператор персональных данных сам определяет класс защищённости ИСПДн, исходя из категории обрабатываемых данных, их количества и угроз. Для этого оператор обязан провести обследование — описать параметры данных, архитектуру системы, провести моделирование угроз, определить класс защищённости и зафиксировать это в документах. Роскомнадзор или ФСТЭК могут проверить эту документацию, и если класс выбран неправильно (например, уровень занижен😉), компании грозит штраф. Всего есть 4 класса защищенности (1 — самый высокий, 4 — минимальный). Много данных – более 100 000 субъектов, и в системе обрабатываются специальные категории ПДн (биометрические
Оглавление

Узнайте, как на самом деле нужно защищать ПДн в вашей компании за 3 минуты

Вступившие с 1 сентября 2025 в силу изменения в 152-ФЗ заставили многие компании еще раз обратить внимание на процессы обработки ПДн. Про согласия на сайте говорить не интересно, я хочу коротко рассказать о том, какие категории ПДн есть, и как их защищать.

Кто определяет класс ПДн?

Коротко — вы сами. Оператор персональных данных сам определяет класс защищённости ИСПДн, исходя из категории обрабатываемых данных, их количества и угроз. Для этого оператор обязан провести обследование — описать параметры данных, архитектуру системы, провести моделирование угроз, определить класс защищённости и зафиксировать это в документах.

Роскомнадзор или ФСТЭК могут проверить эту документацию, и если класс выбран неправильно (например, уровень занижен😉), компании грозит штраф.

Какие классы защищенности ПДн бывают?

Всего есть 4 класса защищенности (1 — самый высокий, 4 — минимальный).

1-й класс (К1) — ultimate уровень

Много данных – более 100 000 субъектов, и в системе обрабатываются специальные категории ПДн (биометрические, о здоровье, политических взглядах и т.д.).

Пример: портал Госуслуги

Технические меры: шифровать все базы и каналы связи, использовать только сертифицированные ФСТЭК и ФСБ программы/оборудование, контролировать каждый вход и действие сотрудников

Организационные меры: регулярные проверки, аттестация системы, строгие инструкции и обучение персонала, наличие отдела ИБ

2-й класс (К2) — то же, но меньше

Те же специальные категории ПДн, но меньше субъектов – от 1000 до 100 000

Пример: база пациентов клиники или стоматологии, где более тысячи клиентов (то есть, почти любая)

Технические меры: хранить данные защищенной базе внутри компании, шифровать все, что видите, разграничить доступ, вести журнал кто и когда заходил, подключаться через VPN/шифрованные каналы

Организационные меры: ответственный за ПДн и положение о защите ПДн, письменные согласия на обработку, регулярное обучение сотрудников

3-й класс (К3) – много обычных данных

От 1000 до 100 000 субъектов с обычными данными (ФИО, телефоны, e-mail, должность)

Пример: Битрикс24 — десятки тысяч записей с ФИО, телефонами, должностями и т.д.

Технические меры: защитить систему паролями и VPN, шифровать соединения (TLS), наличие антивируса и бэкапов, журналирование действий пользователей

Организационные меры: ответственный за ПДн и положение о защите ПДн, контроль прав доступа сотрудников

4-й класс (К4) — мало данных

До 1 000 записей любых данных

Пример: 1С:ЗУП в компании с 200 сотрудниками, excel-таблица с 300 номерами телефонов клиентов, 10 сканов паспортов сотрудников

Технические меры: пароль на файл или папку, наличие антивируса и бэкапов

Организационные меры: ответственный за ПДн и положение о защите ПДн, данные должны быть в РФ

Надеюсь, этот пост поможет вам содержать ваши ПДн в сухости и чистоте. И перешлите пост коллеге, у которого база клиентов лежит в Google Диске или знакомому владельцу клиники, пока за ними не пришли.