Уровни защищённости ПДн: как определить УЗ для сайта
Уровень защищённости ПДн показывает, какие требования к защите нужно выполнить в информационной системе. Для сайта это зависит не от дизайна и размера бизнеса, а от категорий данных, числа субъектов, типа угроз и того, кто именно обрабатывает данные.
Самая частая ошибка — считать, что небольшой сайт автоматически получает самый мягкий режим. Если сайт собирает медицинские данные, биометрию или большие массивы клиентов, оценка меняется.
От чего зависит уровень
ПП РФ №1119 связывает уровень защищённости с типом угроз, категориями персональных данных и масштабом обработки. В расчёт попадают специальные категории, биометрия, данные сотрудников, общедоступные и иные данные.
Для типового сайта малого бизнеса чаще встречаются обычные контактные данные: имя, телефон, email, адрес доставки. Но отрасли вроде медицины, образования, финтеха и HR быстро добавляют дополнительные риски.
Примеры для сайтов
| Сайт | Данные | Что проверить |
|---|---|---|
| Лендинг услуг | имя, телефон, email | формы, CRM, согласия |
| Интернет-магазин | адрес, заказ, оплата | доставка, подрядчики, сроки |
| Клиника | жалобы, запись, меданкета | спецкатегории ПДн |
| Сервис с ЛК | аккаунт, история, документы | роли доступа и журналы |
Почему нельзя угадывать уровень
Уровень защищённости нужен не для красивой таблицы в документе. От него зависит набор организационных и технических мер: доступы, регистрация действий, восстановление данных, контроль мер и выбор средств защиты.
Если уровень выбран на глаз, в документах появляется слабое место. При проверке придётся объяснять, почему оператор решил, что именно такой набор мер достаточен.
Мини-порядок оценки
- Опишите все системы, где есть ПДн: сайт, CRM, почта, хранилище, аналитика.
- Разделите данные на обычные, специальные, биометрические и данные сотрудников.
- Оцените число субъектов и сценарии доступа.
- Опишите актуальные угрозы и подрядчиков.
- Свяжите выбранный уровень с перечнем мер, а не оставляйте его отдельной цифрой.
Коротко
УЗ-4 всегда достаточно для малого сайта?
Нет. Небольшой размер бизнеса сам по себе не определяет уровень. Важны категории данных, угрозы, масштаб и способ обработки.
Кто должен определять уровень защищённости?
Ответственность остаётся на операторе. На практике оценку делают вместе с ИБ-специалистом или юристом, а для первичного сайта можно начать с инвентаризации данных и систем.
Практический следующий шаг
Начните с карты данных, а не с угадывания УЗ
Пре-скан бесплатно покажет, где сайт собирает ПДн. Полный аудит 152-ФЗ за 700 ₽ помогает собрать список рисков для дальнейшей оценки уровня.