Приказ ФСТЭК №21: что нужно знать владельцу сайта
Приказ ФСТЭК №21 описывает состав и содержание мер защиты персональных данных в ИСПДн. Для владельца сайта это не список абстрактных технических терминов, а повод проверить доступы, журналы, резервные копии, обновления, защиту от вредоносного кода и порядок работы сотрудников.
Малому бизнесу не нужно начинать с покупки сложных средств защиты. Сначала стоит понять, какие данные обрабатывает сайт и какие меры уже есть, а затем закрыть очевидные провалы.
Что регулирует приказ №21
Документ нужен для подбора мер защиты в информационных системах персональных данных. Он работает вместе с 152-ФЗ и ПП РФ №1119: закон задаёт обязанность защищать данные, постановление описывает уровни защищённости, приказ помогает выбрать меры.
Для сайта это касается не только сервера. В контур попадают админка, CRM, доступы сотрудников, интеграции, файлы выгрузок и подрядчики, которые помогают обрабатывать заявки.
Базовые меры, которые видны в практике
- учёт пользователей и ролей доступа;
- ограничение прав по принципу «только нужное»;
- защита от вредоносного кода и обновление ПО;
- регистрация действий с данными;
- резервное копирование и восстановление;
- контроль изменений в системе;
- защита каналов передачи данных.
Что малый бизнес может сделать быстро
Начните с простых вещей: уникальные учётные записи, двухфакторная защита для админки и CRM, запрет общих паролей, удаление старых доступов, HTTPS, регулярные обновления CMS и резервные копии.
Затем оформите это в документах: кто отвечает, кто имеет доступ, как выдаются и отзываются права, как проверяются подрядчики и где хранятся выгрузки.
Где приказ №21 пересекается с сайтом
| Зона | Пример меры | Что проверить |
|---|---|---|
| Админка | роли и сложные пароли | нет ли общих логинов |
| CRM | разграничение доступа | видит ли менеджер лишние данные |
| Сервер | обновления и резервные копии | кто имеет SSH/панель |
| Интеграции | договоры и токены | нет ли старых ключей |
Коротко
Приказ ФСТЭК №21 обязателен для всех сайтов?
Он применяется к защите персональных данных в ИСПДн. Если сайт и связанные сервисы образуют такую систему, меры нужно подбирать с учётом требований.
Можно ли выполнить всё только документами?
Нет. Документы нужны, но без технических мер вроде доступа по ролям, обновлений, резервного копирования и контроля действий защита останется формальной.
Практический следующий шаг
Проверьте технический минимум сайта
Бесплатное превью найдёт видимые проблемы с формами и cookie. Полный аудит 152-ФЗ стоит 700 ₽, а пакет документов под ключ — 20 000 ₽.