«Требования к защите ИСПДн часто воспринимаются как формальный чек-лист для отчётности. Но каждая из 20 мер в приказе ФСТЭК №21, это реакция на конкретную, часто недооценённую, уязвимость в архитектуре. Их грамотная реализация меняет систему изнутри, превращая набор серверов в контролируемую среду, где утечка данных становится не случайностью, а лишь результатом целевого и дорогостоящего взлома.»
Защита информационной системы
Комплексные меры безопасности ИСПДн по требованиям ФСТЭК России
🔐 Приказ ФСТЭК №21 📊 20 обязательных мер ⚡ 4 уровня защищенности
Архитектура защиты ИСПДн
Требования к защите информационных систем персональных данных (ИСПДн) закреплены в приказе ФСТЭК России №21. Этот документ определяет не просто список мероприятий, а целостную архитектуру безопасности, основанную на дифференцированном подходе. Суть в том, что комплекс из 20 обязательных мер применяется не единообразно, а в зависимости от двух ключевых параметров: уровня защищенности обрабатываемых данных и типа актуальных угроз. Это позволяет избежать избыточных затрат на безопасность там, где риски невысоки, и сфокусировать ресурсы на защите наиболее критичных массивов информации.
Уровни защищенности персональных данных
Уровень защищенности (УЗ), это категория, присваиваемая информации на основе масштаба возможного ущерба при её компрометации. От его определения зависит весь объём защитных мер.
| Уровень | Критерии отнесения | Типовой контекст применения |
|---|---|---|
| УЗ-1 (Высокая защищенность) | Обработка специальных категорий ПДн (расовая принадлежность, политические взгляды, здоровье, интимная жизнь) или данных, которые в случае нарушения могут привести к тяжким последствиям для субъекта ПДн. | Медицинские информационные системы, системы правоохранительных органов, избирательные комиссии. |
| УЗ-2 (Повышенная защищенность) | Обработка ПДн, позволяющих прямо или косвенно идентифицировать субъекта, и потенциально способных нанести значительный ущерб (репутационный, имущественный). | Клиентские базы банков, системы государственных услуг, кадровые системы крупных организаций. |
| УЗ-3 (Базовая защищенность) | Обработка иных ПДн, не отнесенных к УЗ-1 и УЗ-2. Наиболее распространенный уровень. | Корпоративные почтовые системы, системы учета сотрудников, CRM-системы в коммерческих компаниях. |
| УЗ-4 (Минимальная защищенность) | Обработка обезличенных или публично доступных ПДн. | Системы для работы с открытыми реестрами, статистическими данными. |
Фундаментальные меры защиты ИС
Эти меры формируют основу безопасной архитектуры, обеспечивая управление процессами и изоляцию на системном уровне.
ЗИС.1: Разделение функций в информационной системе
Цель — предотвратить концентрацию избыточных полномочий у одного лица. Речь не только о разделении ролей администратора и пользователя. Требуется выделить как минимум три независимые функции: управление ИС (сетевые настройки, установка ПО), администрирование системы защиты (настройка политик доступа, аудит) и непосредственно обработку данных. На практике это означает создание отдельных учётных записей, использование моделей RBAC (Role-Based Access Control) и постоянный мониторинг на предмет пересечения функций.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✓ | ✓ |
Технологии: Механизмы RBAC в Active Directory или LDAP, разграничение прав в СУБД (например, роли в PostgreSQL), системы мониторинга привилегированных сессий (PAM-решения).
ЗИС.2: Управление приоритетами процессов
Задача — гарантировать бесперебойную работу критичных для обработки ПДн процессов. Внутри операционной системы или виртуальной среды процессы конкурируют за ресурсы. Без управления приоритетами фоновый процесс (например, обновление или сканирование) может «задушить» основной сервис обработки данных, вызвав отказ в обслуживании. Реализация сводится к резервированию вычислительных ресурсов и настройке политик планировщика задач.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✗ | ✗ |
Технологии: Cgroups и namespaces в Linux, Windows System Resource Manager, установка лимитов ресурсов в контейнерах Docker/Kubernetes.
ЗИС.19: Изоляция процессов в памяти
Принцип предотвращает ситуацию, когда один процесс может читать или модифицировать память другого. Это базовая защита от целого класса уязвимостей, таких как переполнение буфера или внедрение кода. Современные ОС обеспечивают виртуальные адресные пространства, но дополнительная изоляция на уровне гипервизора или контейнерной среды требуется для высоких уровней защищенности.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✓ | ✗ |
Технологии: Гипервизоры (Hyper-V, VMware ESXi) для полной виртуализации, контейнерные платформы (Docker с изоляцией пользовательских namespace), аппаратные технологии типа Intel SGX/AMD SEV для изолированных исполняемых сред.
Защита каналов связи и передачи данных
Эта группа мер направлена на защиту информации во время её перемещения как внутри периметра, так и за его пределами.
ЗИС.3: Защита данных при передаче за пределы контролируемой зоны
Любой канал, выходящий за границы защищённого периметра (интернет, арендованные линии, беспроводные сети), считается потенциально враждебным. Мера обязывает применять криптографическую защиту. Важный нюанс: для УЗ-1 и УЗ-2 предписано использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России (например, по алгоритмам ГОСТ). Для базовых уровней допускается TLS, но его конфигурация должна исключать устаревшие, нестойкие протоколы и шифры.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✓ | ✓ |
Технологии: VPN-шлюзы с поддержкой ГОСТ (ViPNet Coordinator), TLS-прокси с российскими криптобиблиотеками (КриптоПро TLS), аппаратные шифраторы для выделенных линий.
ЗИС.11: Обеспечение подлинности сетевых соединений
Проверка подлинности не только пользователя, но и самого сетевого устройства или сервиса. Это защита от подмены (spoofing) легитимного сервера, точки доступа или коммутатора. Реализуется через инфраструктуру открытых ключей (PKI), где каждый сетевой элемент имеет свой сертификат, и протоколы вроде 802.1X или EAP-TLS, требующие взаимной аутентификации клиента и сети перед предоставлением доступа.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✗ | ✗ |
Технологии: Серверы RADIUS/TACACS+ с поддержкой сертификатов, контроллеры беспроводных сетей с WPA2/3-Enterprise, системы управления сетевыми устройствами, проверяющие их идентичность.
ЗИС.5: Запрет удаленной активации периферии
Мера направлена против скрытого наблюдения через встроенные в рабочие станции устройства — микрофоны, камеры. Риск заключается не столько в вредоносном ПО, сколько в легальном, но злоупотребляющем удалённым доступом административном или сервисном ПО. Требуется как технический запрет, так и уведомление пользователя о физической активации устройства (например, загорающийся светодиод у камеры, контролируемый на уровне BIOS/драйвера).
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✓ | ✓ |
Технологии: Групповые политики (GPO) в Windows для отключения устройств, решения для мобильного управления предприятиями (MDM/EMM), физические заглушки на веб-камерах в сочетании с политиками безопасности.
Контроль технологий и архитектурные меры
Эти требования регулируют использование потенциально опасных технологий и формируют безопасную сегментированную структуру ИС.
ЗИС.7: Контроль технологий мобильного кода
«Мобильный код», это любой код, который доставляется в систему извне для исполнения: JavaScript, Java-апплеты, макросы в офисных документах, скрипты PowerShell/Python. Мера предписывает не полный запрет, а контроль. Необходимо определить перечень санкционированных сценариев использования (whitelisting), блокировать всё остальное и анализировать попытки выполнения. Это основная защита от векторов атак через фишинговые письма и compromised сайты.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✓ | ✓ |
Технологии: AppLocker или Windows Defender Application Control, политики выполнения PowerShell (Execution Policy), антивирусные решения с функциями предотвращения эксплуатации (EPP), песочницы для анализа подозрительных скриптов.
ЗИС.17: Сегментация информационной системы
Сегментация, это фундаментальный принцип минимизации ущерба при компрометации одного из элементов системы. ИСПДн не должна быть единой плоской сетью. Её необходимо разбивать на сегменты (например, фронтенд, бэкенд, база данных, административный доступ), между которыми трафик строго контролируется межсетевыми экранами. Это ограничивает горизонтальное перемещение злоумышленника внутри сети. Для высоких уровней защищенности актуальна микросегментация на уровне рабочей нагрузки.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✗ | ✗ |
Архитектура: Физическое или логическое разделение сетей (VLAN), межсетевые экраны нового поколения (NGFW) с контролем на уровне приложений, концепции Zero Trust Network Access (ZTNA) для строгого контроля доступа между сегментами.
ЗИС.16: Выявление скрытых каналов
Скрытый канал, это способ передачи информации, использующий для маскировки легитимные механизмы системы. Классические примеры: туннелирование данных через DNS-запросы, использование неиспользуемых полей сетевых пакетов (IP, TCP), модуляция задержек в сетевом трафике. Данная мера требует от средств защиты (чаще всего, межсетевых экранов с DPI) не просто блокировать протоколы, а анализировать их аномальное поведение — неожиданно большой объём DNS-трафика с одной рабочей станции, пакеты нестандартного размера и т.д.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✗ | ✗ |
Технологии: Межсетевые экраны и системы обнаружения вторжений (IDS/IPS) с глубоким анализом пакетов (DPI), такие как Suricata или Zeek, специализированные решения для анализа DNS-трафика.
Неотрицаемость и защита конфигурации
Меры, обеспечивающие юридическую значимость операций и целостность критичных компонентов системы.
ЗИС.12 и ЗИС.13: Неотрицаемость отправки и получения ПДн
Эти меры призваны обеспечить юридическую доказательную базу в случае спора о факте передачи персональных данных. Речь идёт не о простом логировании, а о применении квалифицированной электронной подписи (КЭП). Отправитель подписывает отправляемые данные, а получатель — факт их получения. Технически это может быть реализовано как на уровне прикладных систем (СЭД, мессенджеры), так и на уровне инфраструктуры — например, шлюз электронной почты, автоматически подписывающий исходящие сообщения с ПДн и запрашивающий подписанную квитанцию о прочтении.
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✓ | ✗ |
| Применяется для ЗИС.12 и ЗИС.13 | |||
Технологии: Средства криптографической защиты информации (СКЗИ) с поддержкой КЭП (КриптоПро CSP), системы электронного документооборота (СЭД) с юридически значимым оборотом, почтовые шлюзы с поддержкой стандартов S/MIME.
ЗИС.15: Защита архивных файлов и настроек
Конфигурационные файлы средств защиты информации, журналы аудита, резервные копии, это данные, целостность которых не должна нарушаться. Их модификация может скрыть следы атаки или отключить защиту. Мера требует контроля целостности (например, с помощью хэш-сумм) и защиты от несанкционированного изменения. Резервные копии рекомендуется хранить в форматах, препятствующих изменению (WORM — Write Once Read Many).
Уровни защищенности и реализация
| УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|
| ✓ | ✓ | ✓ | ✓ |
Технологии: Системы контроля целостности файлов (AIDE, Tripwire), хранилища с функцией неизменяемости (immutable storage), конфигурационные менеджеры (Ansible, Chef) с ведением версионного репозитория настроек.
Матрица применения мер по уровням защищенности
Сводная таблица всех 20 обязательных мер защиты ИСПДн. Применение мер, отмеченных «✓», является обязательным для соответствующего уровня защищенности. Отметка «✗» означает, что применение меры не требуется. Для меры ЗИС.14 символ «-» указывает, что её применение определяется моделью угроз.
| Мера защиты | Код | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|---|---|
| Разделение функций в ИС | ЗИС.1 | ✓ | ✓ | ✓ | ✓ |
| Управление приоритетами процессов | ЗИС.2 | ✓ | ✓ | ✗ | ✗ |
| Защита данных при передаче за пределы КЗ | ЗИС.3 | ✓ | ✓ | ✓ | ✓ |
| Доверенные каналы и маршруты | ЗИС.4 | ✓ | ✓ | ✓ | ✓ |
| Запрет удаленной активации периферии | ЗИС.5 | ✓ | ✓ | ✓ | ✓ |
| Контроль атрибутов безопасности | ЗИС.6 | ✓ | ✓ | ✓ | ✗ |
| Контроль технологий мобильного кода | ЗИС.7 | ✓ | ✓ | ✓ | ✓ |
| Контроль технологий передачи речи | ЗИС.8 | ✓ | ✓ | ✓ | ✓ |
| Контроль передачи видеоинформации | ЗИС.9 | ✓ | ✓ | ✓ | ✓ |
| Подтверждение происхождения источника | ЗИС.10 | ✓ | ✓ | ✓ | ✗ |
| Обеспечение подлинности сетевых соединений | ЗИС.11 | ✓ | ✓ | ✗ | ✗ |
| Неотрицаемость отправки ПДн | ЗИС.12 | ✓ | ✓ | ✓ | ✗ |
| Неотрицаемость получения ПДн | ЗИС.13 | ✓ | ✓ | ✓ | ✗ |
| Устройства терминального доступа | ЗИС.14 | ✓ | ✓ | — | — |
| Защита архивных файлов и настроек | ЗИС.15 | ✓ | ✓ | ✓ | ✓ |
| Выявление скрытых каналов | ЗИС.16 | ✓ | ✓ | ✗ | ✗ |
| Сегментация информационной системы | ЗИС.17 | ✓ | ✓ | ✗ | ✗ |
| Загрузка ПО с носителей только для чтения | ЗИС.18 | ✓ | ✓ | ✗ | ✗ |
| Изоляция процессов в памяти | ЗИС.19 | ✓ | ✓ | ✓ | ✗ |
| Защита беспроводных соединений | ЗИС.20 | ✓ | ✓ | ✓ | ✓ |
Данные основаны на официальном тексте Приказа ФСТЭК России №21 от 18.02.2013 с изменениями. Актуальность рекомендуется проверять на официальном портале правовой информации.