152-ФЗ для сайта

Уровни защищённости ПДн: как определить УЗ для сайта

Уровень защищённости ПДн показывает, какие требования к защите нужно выполнить в информационной системе. Для сайта это зависит не от дизайна и размера бизнеса, а от категорий данных, числа субъектов, типа угроз и того, кто именно обрабатывает данные.

Самая частая ошибка — считать, что небольшой сайт автоматически получает самый мягкий режим. Если сайт собирает медицинские данные, биометрию или большие массивы клиентов, оценка меняется.

От чего зависит уровень

ПП РФ №1119 связывает уровень защищённости с типом угроз, категориями персональных данных и масштабом обработки. В расчёт попадают специальные категории, биометрия, данные сотрудников, общедоступные и иные данные.

Для типового сайта малого бизнеса чаще встречаются обычные контактные данные: имя, телефон, email, адрес доставки. Но отрасли вроде медицины, образования, финтеха и HR быстро добавляют дополнительные риски.

Примеры для сайтов

СайтДанныеЧто проверить
Лендинг услугимя, телефон, emailформы, CRM, согласия
Интернет-магазинадрес, заказ, оплатадоставка, подрядчики, сроки
Клиникажалобы, запись, меданкетаспецкатегории ПДн
Сервис с ЛКаккаунт, история, документыроли доступа и журналы

Почему нельзя угадывать уровень

Уровень защищённости нужен не для красивой таблицы в документе. От него зависит набор организационных и технических мер: доступы, регистрация действий, восстановление данных, контроль мер и выбор средств защиты.

Если уровень выбран на глаз, в документах появляется слабое место. При проверке придётся объяснять, почему оператор решил, что именно такой набор мер достаточен.

Мини-порядок оценки

  • Опишите все системы, где есть ПДн: сайт, CRM, почта, хранилище, аналитика.
  • Разделите данные на обычные, специальные, биометрические и данные сотрудников.
  • Оцените число субъектов и сценарии доступа.
  • Опишите актуальные угрозы и подрядчиков.
  • Свяжите выбранный уровень с перечнем мер, а не оставляйте его отдельной цифрой.

Коротко

УЗ-4 всегда достаточно для малого сайта?

Нет. Небольшой размер бизнеса сам по себе не определяет уровень. Важны категории данных, угрозы, масштаб и способ обработки.

Кто должен определять уровень защищённости?

Ответственность остаётся на операторе. На практике оценку делают вместе с ИБ-специалистом или юристом, а для первичного сайта можно начать с инвентаризации данных и систем.

Практический следующий шаг

Начните с карты данных, а не с угадывания УЗ

Пре-скан бесплатно покажет, где сайт собирает ПДн. Полный аудит 152-ФЗ за 700 ₽ помогает собрать список рисков для дальнейшей оценки уровня.