Для малого бизнеса
+7 (499) 673-37-62

02.02.2026

Приказ ФСБ России № 378 о персональных данных: обзор требований

Приказ ФСБ России № 378 о персональных данных: обзор требований

Запросите консультацию по сервисам Solar MSS

Все операторы персональных данных (ПДн) обязаны соблюдать законы РФ и принимать меры по предотвращению утечек. Если компания защищает информацию с помощью криптографии, то основным регулирующим документом для нее будет Приказ ФСБ России № 378 от 10.07.2014 г. «Об утверждении Состава и содержания мер по обеспечению безопасности ПДн с применением СКЗИ». Чтобы не допустить нарушений, важно понимать суть документа и его требований. Рассказываем, что нужно делать для соблюдения требований.

В этой статье разберем, какие меры предусмотрены Приказом ФСБ № 378, как выбрать подходящий класс СКЗИ и как сервис ГОСТ VPN помогает операторам ПДн выполнять требования без лишних затрат.

Состав и содержание Приказа ФСБ России № 378

Именно ФСБ России определяет требования к СКЗИ для защиты ПДн и контролирует их соблюдение. В Приказе № 378 перечислены основные организационные и технические меры, которые операторы должны принимать для обеспечения конфиденциальности и целостности персональных данных. Важно понимать, что Приказ № 378 регулирует именно вопросы использования СКЗИ для обеспечения защиты ПДн. При этом операторы ПДн обязаны учитывать общие требования законодательства (например, № 152-ФЗ) и положения эксплуатационной документации на конкретные средства защиты.

содержание приказа фсб россии 378

Грамотный подход к эксплуатации СКЗИ — залог надежной защиты чувствительных сведений и отсутствия претензий со стороны контролирующих органов. ФСБ России вправе проводить проверки сертификатов на криптографические средства защиты, оценивать корректность хранения и учета СКЗИ, чтобы убедиться, что компания не нарушает требования приказа.

Очевидно, что одних лишь «формально установленных коробок» недостаточно. Очень важно при этом, как осуществляется выбор СКЗИ, как они внедряются и сопровождаются в повседневной работе.

Уровни защищенности в соответствии с Приказом ФСБ № 378

Документ устанавливает меры защиты ПДн, дает рекомендации в зависимости от уровня защищенности информационных систем персональных данных (ИСПДн). Каждый уровень защищенности тесно связан с моделью угроз и типом возможного нарушителя. Регулятор определяет четыре таких уровня. Чтобы определить, к какому относится конкретное СКЗИ, нужно учитывать:

  • Актуальные угрозы безопасности для ИСПДн.
  • Категорию обрабатываемых ПДн.
  • Количество субъектов и сотрудников, допущенных к работе с этими данными.

Угрозы, которые учитываются при выборе уровня защищенности, традиционно делятся на три типа:

Тип

Краткое описание

Первый

Угрозы, возникающие из-за недокументированных (недекларированных) возможностей в системном ПО, используемом для обработки ПДн.

Второй

Угрозы, связанные с недекларированными возможностями в прикладном ПО, которое применяется в корпоративных ИСПДн.

Третий

Угрозы для ИСПДн, не имеющие отношения к недекларированным возможностям в ПО (например, ошибки администрирования, внешние сетевые атаки, действия инсайдеров).

Для выбора уровня защищенности оператор должен сопоставить свои риски (тип ИСПДн, объем и категорию ПДн, количество пользователей) с актуальными угрозами, которые мы перечислили в этой таблице, а также изложенными в методических документах ФСТЭК России и ФСБ России.

Требования Приказа ФСБ № 378 для разных уровней защищенности

Четвертый уровень защищенности

Подходит для ИСПДн с относительно низкими рисками, когда обрабатываются ПДн ограниченного круга лиц и угрозы считаются не самыми серьезными. Меры:

  • Предотвращение несанкционированного доступа в помещения, где находятся ИСПДн.
  • Защита машинных носителей ПДн.
  • Назначение оператора ПДн, который должен определить круг лиц, обрабатывающих персональные данные.
  • Применение СКЗИ соответствующего класса.

В отношении ИСПДн 4-го уровня требуется использовать сертифицированные СКЗИ, но перечень организационных мер для них ограниченный, в отличие от ИС более высоких уровней защищенности (1-й — самый высокий).

Третий уровень защищенности

К перечисленным мерам добавляются более строгие требования:

  • Назначить ответственных за защиту персональных данных и эксплуатацию СКЗИ.
  • При наличии угроз второго типа применять СКЗИ класса КВ и выше (о классификации СКЗИ будет сказано в следующем разделе).
  • При третьем типе угроз — СКЗИ от КС1 и выше.

Здесь важен осознанный выбор класса СКЗИ в зависимости от модели потенциального нарушителя — внешнего злоумышленника и инсайдера, а также от возможности доступа к аппаратуре и ключам.

Второй уровень защищенности

Для ИСПДн второго уровня защищенности устанавливаются дополнительные меры контроля:

  • Ограничение доступа к журналам регистрации событий и сообщений.
  • Контроль запросов пользователей к ПДн с применением автоматизированных средств: SIEM, DLP, специализированных журналов доступа.
  • Внедрение СКЗИ классов КС1, КВ и КА в зависимости от актуальных угроз и возможностей нарушителя.

На этом уровне регулятор ожидает более зрелых процессов управления доступом и постоянного мониторинга действий пользователей.

Первый уровень защищенности

Для информационных систем первого уровня защищенности перечень требований наиболее жесткий. Он применяется для ИСПДн с максимальными рисками (например, крупные госресурсы, критические сервисы). Эти требования включают:

  • Регистрацию любых изменений в правах сотрудников, которые работают с персональной информацией.
  • Создание специализированного подразделения, отвечающего за обеспечение безопасности ПДн.
  • Внедрение СКЗИ классов КВ и КА.

Именно для ИСПДн этого уровня особенно важны корректная эксплуатация СКЗИ и наличие квалифицированного персонала. Для многих компаний целесообразна сервисная модель защиты, при которой обеспечение безопасности персональных данных берет на себя провайдер.

Классы СКЗИ в соответствии с Приказом ФСБ № 378

Приказ ФСБ № 378 дает определение пяти классам СКЗИ. Каждому классу соответствует определенный тип угроз и нарушителя.

Класс СКЗИ

Описание

КС1

(самый низкий класс СКЗИ)

Решения с низким уровнем защиты. Эффективны при атаках со стороны внешних злоумышленников, не имеющих физического доступа к СКЗИ организации.

КС2

Применяются для защиты от атак, совершаемых внутри информационной системы компании (например, со стороны внутренних пользователей с ограниченными правами).

КС3

Обеспечивают защиту при угрозе получения злоумышленником доступа к используемым СКЗИ и его окружению.

КВ

Применяются для предотвращения случаев перехвата зашифрованных данных с последующим криптоанализом злоумышленником, который обладает значительными ресурсами и квалификацией.

КА

Решения, обеспечивающие максимально высокий уровень защиты безопасности при широком спектре угроз, включая сложные, целевые и длительные сценарии атаки.

Чем выше класс СКЗИ, тем более «сильного» нарушителя он учитывает: от внешнего хакера без физического доступа (КС1) до профессиональных структур, имеющих ресурсы для проведения криптоанализа и длительного воздействия (КВ, КА).

Как операторы персональных данных могут выполнить требования Приказа ФСБ России № 378

Чтобы соответствовать требованиям Приказа ФСБ № 378, одной покупки СКЗИ недостаточно. Необходимо выстроить системный процесс защиты ПДн с учетом всех требований. Что следует делать операторам:

  • Периодически оценивать уже принятые меры (включая внедрение СКЗИ) и при необходимости пересматривать стратегию.
  • Актуализировать внутренние политики безопасности, связанные с обработкой ПДн.
  • Обновлять и тестировать инструменты защиты, своевременно продлевать и заменять СКЗИ по окончании сроков действия сертификатов.
  • Тщательно вести документацию и отчетность для проверок со стороны ФСБ и других регуляторов.
  • Следить за работой лиц, которые имеют доступ к персональным данным, и регистрировать их действия.
  • Использовать сертифицированные средства криптографической защиты, соответствующие уровню защищенности и классу СКЗИ, например сервис ГОСТ VPN от «Солара».

Ответственность за соблюдение Приказа ФСБ № 378 несет именно оператор ПДн. Передача части функций по криптозащите сервис-провайдеру снижает риски и нагрузку, но не отменяет необходимости оператора обеспечить реализацию организационных мер в полном объеме.

Как ГОСТ VPN помогает соблюдать Приказ ФСБ России № 37

ГОСТ VPN использует сертифицированные СКЗИ, поэтому полностью отвечает требованиям Приказа № 378 ФСБ России. В основе сервиса — решения от надежных российских вендоров, таких как «Код Безопасности», «ИнфоТеКС», «С-Терра СиЭсПи» и других. Все они поддерживают отечественные криптоалгоритмы и взаимодействие на уровнях L2/L3 модели OSI, QoS, что позволяет обеспечить качественное сетевое обслуживание и стабильную работу каналов связи.

соблюдение требований приказа фсб россии №378

Сервисная модель ГОСТ VPN закрывает сразу несколько критичных задач, среди которых: выбор и внедрение подходящего класса СКЗИ, корректная эксплуатация, мониторинг, отчетность для регулятора и прогнозируемая стоимость владения. Сервис ГОСТ VPN может предоставляться по подписке, поэтому компании не нужно самостоятельно закупать оборудование, нанимать технических специалистов и обслуживать СКЗИ. Достаточно оплачивать потребляемые услуги в рамках условий договора с «Соларом», а все остальное берут на себя эксперты сервиса.

Преимущества ГОСТ VPN от «Солара» для соблюдения требований Приказа ФСБ России № 378

Почему стоит использовать сервис:

  • Надежная защита персональных данных. Передача ПДн по открытым каналам происходит в зашифрованном виде. Это исключает несанкционированный доступ и гарантирует безопасное взаимодействие между удаленными филиалами компании.
  • Сертифицированное оборудование. Решение от «Солара» отвечает требованиям действующих нормативов и прошло сертификацию ФСТЭК России. Это подтверждает его надежность и соответствие стандартам информационной безопасности.
  • Упрощенная аттестация ИС клиентов. Сервис компании «Солар» имеет аттестат соответствия УЗ-1 (наивысший уровень защищенности ПДн) и К1 (первый класс защиты государственных ИС). Это позволяет существенно упростить процедуру аттестации клиентских ИСПДн: часть требований указывается как уже выполненная за счет использования сертифицированного сервиса.
  • Соответствие требованиям Приказа ФСБ № 378 на уровне эксплуатации СКЗИ. Эксплуатация осуществляется строго по нормам законодательства. Эксперты «Солара» берут на себя настройку, мониторинг, ведение журналов и полное обслуживание криптографических средств, обеспечивая соблюдение всех положений документа.
  • Простое и быстрое внедрение. Подключение сервиса ГОСТ VPN занимает минимум времени: клиент заполняет анкету для оценки потребностей бизнеса, подписывает договор, после чего специалисты устанавливают, настраивают и тестируют оборудование. Далее клиент пользуется защищенной инфраструктурой и оплачивает услугу по подписке.
  • Экономия ресурсов и снижение рисков. Сервисная модель позволяет сократить капитальные затраты, уменьшить нагрузку на штатных ИБ‑специалистов и снизить риск ошибок при эксплуатации СКЗИ, которые часто становятся причиной претензий регуляторов.

Соблюдение требований без лишних затрат

Операторы персональных данных обязаны соблюдать требования Приказа ФСБ России № 378 от 10.07.2014 и обеспечивать защиту ПДн с применением сертифицированных решений СКЗИ соответствующих классов. Чтобы не закупать и не обслуживать криптообрудование самостоятельно, можно воспользоваться сервисной моделью — оформить подписку на сервис ГОСТ VPN от «Солара».

При таком подходе вы оплачиваете только фактически потребляемый сервис, снижаете нагрузку на штатных ИБ-специалистов и получаете подтверждение технического соответствия своих средств защиты криптографической части требований Приказа ФСБ России № 378 за счет экспертизы и ответственности сервис-провайдера. Оставьте заявку на расчет стоимости и подключите защиту — так вы заранее подготовите свою ИСПДн к проверкам и снизите риски утечек и штрафов.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Технические аспекты работы ГОСТ TLS: что нужно знать ИТ-специалистам

Технические аспекты работы ГОСТ TLS: что нужно знать ИТ-специалистам

Узнать больше
Импортозамещение защиты веб-ресурсов: как безболезненно перейти на ГОСТ TLS

Импортозамещение защиты веб-ресурсов: как безболезненно перейти на ГОСТ TLS

Узнать больше
ГОСТ TLS vs обычный TLS: сравнение технологий защиты в 2026 году

ГОСТ TLS vs обычный TLS: сравнение технологий защиты в 2026 году

Узнать больше
DNS-запросы: как хакеры перехватывают трафик и крадут данные

DNS-запросы: как хакеры перехватывают трафик и крадут данные

Узнать больше
DNS-трафик: что это, виды и как защитить от кибератак

DNS-трафик: что это, виды и как защитить от кибератак

Узнать больше
Сравнение сервисов ГОСТ TLS: какие решения выбирают компании в 2026 году

Сравнение сервисов ГОСТ TLS: какие решения выбирают компании в 2026 году

Узнать больше
Управление уязвимостями: почему это важно для бизнеса

Управление уязвимостями: почему это важно для бизнеса

Узнать больше
Как подключить ГОСТ TLS к веб-ресурсу: пошаговое руководство

Как подключить ГОСТ TLS к веб-ресурсу: пошаговое руководство

Узнать больше
Варианты размещения TLS-шлюза: выбираем оптимальное решение

Варианты размещения TLS-шлюза: выбираем оптимальное решение

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.