аналитика 29 сентября 2026 По состоянию на 29 сентября 2026

УЗ-3 vs УЗ-4 для ИСПДн: что выбрать

Уровень защищённости ИСПДн определяет весь состав технических мер по Приказу ФСТЭК №21 и напрямую влияет на стоимость комплаенса. Ошибка в определении УЗ — нарушение ст. 19 ФЗ-152, которое выявляется при первой же проверке РКН.

ПП РФ №1119 устанавливает четыре уровня: выбор между УЗ-3 и УЗ-4 зависит от категории ПДн, типа угроз и числа субъектов. Неверно заниженный уровень — недостаточный набор мер защиты; неверно завышенный — избыточные расходы на аттестацию и СЗИ.

Если вы юрист, проверяющий комплаенс компании, — разберитесь с матрицей ПП №1119 до того, как РКН это сделает вместо вас. → Ниже — алгоритм выбора, типичные ошибки и сценарии из практики 2025–2026.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 с 18 частями. Нарушение требований к организационным и техническим мерам защиты — один из типовых поводов для протокола. Выбор уровня защищённости ИСПДн — первый шаг к формированию этих мер: без него невозможно корректно сформировать ОРД, подобрать СЗИ и пройти оценку выполнения требований ФСТЭК. Эта статья — инструмент для юриста, который ставит задачу техническому департаменту или проверяет уже принятые решения.

Что такое уровень защищённости и зачем он нужен?

Уровень защищённости (УЗ) — это категориальная характеристика информационной системы персональных данных (ИСПДн), которая определяет минимально необходимый набор мер защиты. Понятие введено ПП РФ №1119 от 01.11.2012, принятым во исполнение ст. 19 ФЗ-152. Всего уровней четыре: УЗ-1 — наиболее высокий, УЗ-4 — базовый.

Каждый уровень задаёт обязательный перечень организационных и технических мер. Конкретный состав мер по каждой группе (ИАФ, УПД, ОПС, ЗНИ, РСБ, АВЗ и др.) определяется Приказом ФСТЭК №21 от 18.02.2013. Выбор уровня — это не опция, а обязанность оператора: ПП №1119 предписывает установить УЗ до начала обработки ПДн или при изменении состава обрабатываемых данных.

«Ст. 19 ФЗ-152 обязывает оператора принимать правовые, организационные и технические меры, соответствующие актуальным угрозам безопасности ПДн. Конкретный состав мер — в ПП РФ №1119 и Приказе ФСТЭК №21.»

С точки зрения юридического комплаенса УЗ — это основание для формирования раздела об организационно-технических мерах в политике обработки ПДн (ст. 18.1 ФЗ-152), технического задания на аттестацию ИСПДн и документов о поручении обработки (ст. 6 ФЗ-152). Без установленного УЗ невозможно корректно описать меры в ОРД.

Как ПП РФ №1119 определяет УЗ-3 и УЗ-4?

Матрица выбора УЗ строится из трёх переменных: категория обрабатываемых ПДн, тип актуальных угроз и количество субъектов. Разберём, где находятся УЗ-3 и УЗ-4 в этой матрице.

УЗ-4 — базовый уровень. Он устанавливается для систем, которые обрабатывают иные категории ПДн (не специальные, не биометрические, не общедоступные) при угрозах 3-го типа независимо от числа субъектов, а также при угрозах 2-го типа и числе субъектов до 100 000 включительно. Угрозы 3-го типа — не связанные с недокументированными возможностями в системном и прикладном ПО. Это наиболее распространённый сценарий для коммерческих организаций с типовой инфраструктурой.

УЗ-3 устанавливается в нескольких случаях. Первый — иные ПДн, угрозы 2-го типа, более 100 000 субъектов. Второй — иные ПДн, угрозы 1-го типа, любое число субъектов. Третий — специальные или биометрические ПДн сотрудников оператора при угрозах 3-го типа и числе субъектов до 100 000. Для большинства компаний с кадровой ИСПДн, где обрабатываются данные о состоянии здоровья или национальности работников, УЗ-3 становится обязательным, даже если угрозы квалифицированы как 3-й тип.

«ПП РФ №1119 от 01.11.2012 — матрица выбора УЗ: категория ПДн (специальные, биометрические, общедоступные, иные) × тип угроз (1–3) × число субъектов (до/свыше 100 000). Уровень устанавливается оператором до начала обработки.»

Нужно проверить, правильно ли установлен уровень защищённости?

Если юрист проверяет комплаенс компании и не уверен, корректно ли определён УЗ для действующих ИСПДн, — это риск при первой проверке РКН. Ошибка в категории угроз или недооценка числа субъектов переводят систему в следующий УЗ с другим набором обязательных мер. Специалисты DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, включая проверку установленных УЗ и соответствия Приказу ФСТЭК №21, и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Чем УЗ-3 отличается от УЗ-4 на практике?

Разница между уровнями — не в количестве мер, а в их составе и жёсткости требований к конкретным группам. Приказ ФСТЭК №21 задаёт базовый набор мер для каждого УЗ; часть мер обязательна при любом уровне, часть — только при УЗ-3 и выше.

При УЗ-4 базовый набор включает: идентификацию и аутентификацию пользователей (ИАФ), управление доступом (УПД), регистрацию событий безопасности (РСБ), антивирусную защиту (АВЗ), обеспечение целостности (ОЦЛ) и защиту информационной системы (ЗИС) в минимальной конфигурации. Для УЗ-4 достаточно организационных мер и базового набора сертифицированных СЗИ — или обоснования неприменимости конкретных мер.

При УЗ-3 к базовому набору добавляются или ужесточаются требования по ряду групп. В частности: усиленные требования к управлению привилегированным доступом, обязательная защита виртуальной инфраструктуры (ЗСВ) при её наличии, более строгие требования к регистрации событий (РСБ) и реагированию на инциденты. Также возникает необходимость анализа защищённости — группа АНЗ в Приказе №21 при УЗ-3 содержит больше обязательных мер, чем при УЗ-4.

С точки зрения документооборота оба уровня требуют модели угроз и модели нарушителя, акта определения УЗ, приказа о назначении ответственного (ст. 22.1 ФЗ-152) и политики обработки ПДн. Но при УЗ-3 модель угроз становится более детальной: необходимо обосновать, почему угрозы квалифицированы именно как 3-й тип, а не 2-й, если речь идёт о граничном случае.

Что подготовить для корректного определения УЗ

Перечень ИСПДн с указанием категорий обрабатываемых ПДн (специальные, биометрические, иные) и числа субъектов — с порогом 100 000.
Модель угроз безопасности ПДн с обоснованием типа угроз (1–3) по методике ФСТЭК или собственной.
Акт об установлении уровня защищённости, подписанный руководителем оператора или уполномоченным лицом.
Перечень технических мер защиты по Приказу ФСТЭК №21 с отметкой об их реализации или обоснованием неприменимости.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с указанием его полномочий.

Какие ошибки при выборе УЗ встречаются чаще всего?

Практика проверок РКН и оценки соответствия ФСТЭК выявляет несколько типовых ошибок, которые переводят ИСПДн из УЗ-4 в УЗ-3 или делают установленный уровень недостаточным.

Ошибка 1: недооценка категории ПДн. Кадровые ИСПДн очень часто содержат специальные категории ПДн — сведения о состоянии здоровья (медицинские справки при приёме на работу, листы нетрудоспособности) или национальной принадлежности. Если оператор квалифицировал систему как обрабатывающую «иные» ПДн, а на деле хранит данные о здоровье, — уровень занижен автоматически.

Ошибка 2: неверная квалификация типа угроз. Выбор угроз 3-го типа требует обоснования: оператор должен зафиксировать, что угрозы, связанные с недокументированными возможностями прикладного ПО, для данной системы неактуальны. Без такого обоснования в модели угроз инспектор вправе квалифицировать угрозы как 2-й тип — и это меняет УЗ.

Ошибка 3: игнорирование порога 100 000 субъектов. Компании, которые ведут базы клиентов CRM или программы лояльности, нередко превышают порог в 100 000 записей, не отслеживая его. При угрозах 2-го типа это переводит систему с УЗ-4 на УЗ-3.

Ошибка 4: смешение нескольких ИСПДн в одну. Если оператор объединил кадровую и клиентскую базы в одной системе, уровень определяется по наиболее высокому — по специальным категориям из кадровой ИСПДн. Это приводит к избыточным требованиям для клиентских данных или к занижению уровня, если анализ не проведён.

Типовые ситуации: УЗ-3 или УЗ-4?

Ситуация 1. Интернет-магазин, база покупателей 150 000 записей (ФИО, email, телефон, адрес доставки), угрозы 3-го типа. Данные — категория «иные». Угрозы 3-го типа при числе субъектов свыше 100 000 и категории «иные» дают УЗ-3 только при угрозах 2-го типа. При угрозах 3-го типа — УЗ-4, независимо от числа субъектов. Итог: УЗ-4 при наличии корректно обоснованной модели угроз 3-го типа.

Ситуация 2. Производственное предприятие, кадровая ИСПДн 800 сотрудников, хранятся листы нетрудоспособности и реквизиты СНИЛС, угрозы 3-го типа. Листы нетрудоспособности — данные о состоянии здоровья, специальная категория по ст. 10 ФЗ-152. Специальные ПДн сотрудников при угрозах 3-го типа и числе субъектов до 100 000 — УЗ-3. Итог: УЗ-3 обязателен, хотя число субъектов невелико.

Ситуация 3. SaaS-платформа, обрабатывает иные ПДн клиентов своих заказчиков по договорам поручения (ст. 6 ФЗ-152), суммарно 500 000 субъектов, угрозы 2-го типа. Иные ПДн, угрозы 2-го типа, свыше 100 000 субъектов — УЗ-3. Дополнительно: как обработчик SaaS-платформа несёт обязанности, установленные оператором в договоре поручения. Итог: УЗ-3, плюс обязанность отразить уровень в соглашении с оператором.

Если юрист выявил, что установленный в компании УЗ не соответствует реальным категориям ПДн или типу угроз, — это основание для пересмотра всего комплекта ОРД и технических мер. Специалисты DATUM соберут пакет документов под актуальный уровень защищённости и проверят соответствие Приказу ФСТЭК №21.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Юрист производственной компании (Уральский ФО, осень 2025) обнаружил при внутреннем аудите, что кадровая ИСПДн квалифицирована как УЗ-4: оператор не учёл, что в системе хранятся медицинские справки и данные о членстве в профсоюзе — специальные категории по ст. 10 ФЗ-152. Для сотрудников при угрозах 3-го типа это обязательный УЗ-3. По итогам аудита подготовлены новый акт об установлении УЗ, скорректированная модель угроз и дополненный перечень мер по Приказу №21. При последующей плановой проверке РКН нарушений в части технических мер выявлено не было.

Кейс 2. Юрист SaaS-компании (Центральный ФО, начало 2026) проверял договоры поручения обработки и выявил: компания как обработчик работает с системой, которой присвоен УЗ-4, хотя совокупное число субъектов по всем операторам-заказчикам превысило 100 000 при угрозах 2-го типа. Это соответствует УЗ-3. По итогам пересмотра актов и модели угроз обработчик привёл меры защиты в соответствие с УЗ-3 и внёс изменения в условия договоров поручения, зафиксировав обязательный уровень. Штрафных мер не последовало — нарушение устранено до проверки.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка установленных УЗ, ОРД и технических мер
Комплект ОРД под ключ — модель угроз, акт УЗ, политика, приказы
DPO-аутсорсинг — сопровождение обработки ПДн на абонентской основе

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие с ПДн или их совокупность: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Даже единичное хранение файла с ФИО и телефоном — это обработка ПДн, которая требует правового основания по ст. 6 ФЗ-152 и соблюдения принципов ст. 5 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований обработки. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение законодательно возложенных обязанностей оператора (п. 2), судопроизводство (п. 3). Согласие по ст. 9 ФЗ-152 с 01.09.2025 (ФЗ-156 от 24.06.2025) оформляется отдельным документом и не может быть включено в текст договора или политики конфиденциальности.

3. Что грозит за нарушение 152-ФЗ в части технических мер?

Нарушение требований к организационным и техническим мерам защиты квалифицируется по ст. 13.11 КоАП в редакции с 30.05.2025. В зависимости от конкретного состава штраф для юрлица составляет от 150 000 до 15 000 000 ₽ по частям 1–14. При повторной утечке, повлёкшей компрометацию более 100 000 субъектов, возможен оборотный штраф по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 распространяется на большинство операторов, включая малый бизнес. Исключения — в ч. 2 ст. 22: например, обработка только данных сотрудников в рамках трудовых отношений без передачи третьим лицам. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Подача уведомления — через сервис pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 не устанавливает прямого возрастного порога для согласия на обработку ПДн. По ст. 9 ФЗ-152 согласие даёт субъект или его представитель. Для несовершеннолетних до 14 лет согласие даёт законный представитель (родитель, опекун). С 14 до 18 лет — несовершеннолетний самостоятельно, но для отдельных категорий ПДн (специальных) практика требует также согласия представителя. Для IT-сервисов, ориентированных на детей, рекомендуется устанавливать возрастной барьер 14 лет.

Итог

Выбор между УЗ-3 и УЗ-4 — это не технический, а прежде всего юридический вопрос: неверная квалификация категории ПДн или типа угроз меняет обязательный уровень и весь комплект мер по Приказу ФСТЭК №21. Наиболее частая ошибка — занижение УЗ в кадровых ИСПДн из-за игнорирования специальных категорий в составе хранимых данных.

Практика DATUM по технической стороне 152-ФЗ включает проверку установленных уровней защищённости, анализ модели угроз и формирование корректного комплекта ОРД под актуальный УЗ — в рамках аудита соответствия или подготовки к проверке РКН.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.