152-ФЗ для сайта

Приказ ФСТЭК №21: что нужно знать владельцу сайта

Приказ ФСТЭК №21 описывает состав и содержание мер защиты персональных данных в ИСПДн. Для владельца сайта это не список абстрактных технических терминов, а повод проверить доступы, журналы, резервные копии, обновления, защиту от вредоносного кода и порядок работы сотрудников.

Малому бизнесу не нужно начинать с покупки сложных средств защиты. Сначала стоит понять, какие данные обрабатывает сайт и какие меры уже есть, а затем закрыть очевидные провалы.

Что регулирует приказ №21

Документ нужен для подбора мер защиты в информационных системах персональных данных. Он работает вместе с 152-ФЗ и ПП РФ №1119: закон задаёт обязанность защищать данные, постановление описывает уровни защищённости, приказ помогает выбрать меры.

Для сайта это касается не только сервера. В контур попадают админка, CRM, доступы сотрудников, интеграции, файлы выгрузок и подрядчики, которые помогают обрабатывать заявки.

Базовые меры, которые видны в практике

  • учёт пользователей и ролей доступа;
  • ограничение прав по принципу «только нужное»;
  • защита от вредоносного кода и обновление ПО;
  • регистрация действий с данными;
  • резервное копирование и восстановление;
  • контроль изменений в системе;
  • защита каналов передачи данных.

Что малый бизнес может сделать быстро

Начните с простых вещей: уникальные учётные записи, двухфакторная защита для админки и CRM, запрет общих паролей, удаление старых доступов, HTTPS, регулярные обновления CMS и резервные копии.

Затем оформите это в документах: кто отвечает, кто имеет доступ, как выдаются и отзываются права, как проверяются подрядчики и где хранятся выгрузки.

Где приказ №21 пересекается с сайтом

ЗонаПример мерыЧто проверить
Админкароли и сложные паролинет ли общих логинов
CRMразграничение доступавидит ли менеджер лишние данные
Серверобновления и резервные копиикто имеет SSH/панель
Интеграциидоговоры и токенынет ли старых ключей

Коротко

Приказ ФСТЭК №21 обязателен для всех сайтов?

Он применяется к защите персональных данных в ИСПДн. Если сайт и связанные сервисы образуют такую систему, меры нужно подбирать с учётом требований.

Можно ли выполнить всё только документами?

Нет. Документы нужны, но без технических мер вроде доступа по ролям, обновлений, резервного копирования и контроля действий защита останется формальной.

Практический следующий шаг

Проверьте технический минимум сайта

Бесплатное превью найдёт видимые проблемы с формами и cookie. Полный аудит 152-ФЗ стоит 700 ₽, а пакет документов под ключ — 20 000 ₽.