УЗ2 по 21 Приказу ФСТЭК на пальцах: что на самом деле требуется

Когда мы говорим клиенту «вам нужна ИСПДн с уровнем защищённости УЗ2», в 80 % случаев в ответ — непонимающий взгляд: «мы школа, какие у нас ИСПДн». Проблема в том, что 21 Приказ ФСТЭК написан сухим формальным языком, и большая часть его «обязательности» упирается в термины, которые никто не объясняет. Разбираем простыми словами: что такое УЗ2, почему без него в ГИС «Профилактика» не попасть, и какой реальный комплект мер за этим стоит.

С чего вообще взялся «уровень защищённости»

Приказ ФСТЭК России № 21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ввёл 4 уровня защищённости (УЗ1 — УЗ4). Уровень определяется двумя параметрами:

• Категория обрабатываемых данных — общедоступные, биометрические, иные (т. е. ФИО/контакты/адрес/и т.п.) или специальные.
• Объём данных — до 100 тыс. субъектов, более 100 тыс., либо обработка данных сотрудников.

В ГИС «Профилактика» данные несовершеннолетних относятся к иной категории, но с усилением — это данные с несовершеннолетних, их правового статуса и членов семьи. В сочетании с массивом более 100 тыс. субъектов по региону (КДНиЗП + школы + опека) это даёт УЗ2.

Что требует УЗ2

Приказ № 21 описывает меры защиты по 10 группам: идентификация и аутентификация, управление доступом, ограничение программной среды, защита машинных носителей, регистрация событий безопасности, антивирусная защита, обнаружение вторжений, контроль (анализ) защищённости, обеспечение целостности ИС и защита среды виртуализации. Для каждой группы в приложении таблица «обязательные / по необходимости». На УЗ2 обязательных мер — свыше 50.

На практике всё это упаковывается в 7 категорий СЗИ, которые нужно иметь на каждом АРМ:

1. СЗИ от НСД

Разграничение прав, контроль запуска программ, блокировка сессии по неактивности, контроль целостности файлов. Практические варианты: Secret Net Studio (наш выбор по умолчанию), Dallas Lock 8.0-K, Аккорд-Win64. Сертификат ФСТЭК обязательно должен быть действующим.

2. Сертифицированная операционная система

Для УЗ2 нужна ОС, прошедшая сертификацию ФСТЭК. Варианты:

• Astra Linux Special Edition (релиз Смоленск, Воронеж) — самая распространённая в госсекторе.
• Alt Linux СП (8 СП, 10 СП).
• РЕД ОС версии 7.3+ с действующим сертификатом.
• Windows 10 LTSC — допустим только с наложенным СЗИ НСД; сам Windows не сертифицирован.

3. СКЗИ — защита канала

Обмен с ГИС «Профилактика» идёт по VPN с криптографией по ГОСТ. Обязательно: КриптоПро CSP (класс КС1 или КС2) + КриптоПро NGate Client. Браузер на АРМ должен поддерживать TLS-ГОСТ — Yandex Browser Corporate или Chromium-Gost.

4. Антивирусная защита

Сертифицированный ФСТЭК антивирус: Dr.Web Enterprise Security Suite, Kaspersky Endpoint Security for Business (сертифицированная версия, не стандартная). Должен стоять с актуальными базами и централизованным управлением.

5. Средство доверенной загрузки

Требование УПД.17 из Приказа № 21. Варианты:

• ПАК «Соболь» v4 — аппаратный модуль в слот PCI-E или USB-ключ. Проверяет BIOS, MBR и критичные файлы ОС до загрузки.
• Аккорд-АМДЗ — аналог.
• Dallas Lock 8.0-K — программный СДЗ в комплекте с СЗИ НСД.

6. Система обнаружения вторжений (СОВ)

Мониторинг сетевых атак и попыток проникновения. Встроенный модуль СОВ в Secret Net Studio покрывает требование АНЗ.2 и ИНЦ.1. Альтернатива — отдельный IDS-продукт из реестра ФСТЭК.

7. Средство анализа защищённости

Регулярный scan на уязвимости. Практика: RedCheck, XSpider, Сканер-ВС. Отчёт по результатам сканирования — часть технического паспорта ИСПДн.

Восемь документов без которых ничего не работает

Техника — это половина дела. Вторая половина — бумаги. Без них Роскомнадзор и прокуратура сразу выписывают предписание даже при наличии всех СЗИ. Полный комплект ИСПДн УЗ2:

1. Уведомление в Роскомнадзор о начале обработки ПДн (форма по Приказу РКН № 274 от 30.05.2017). Подаётся через rkn.gov.ru.
2. Акт обследования ИСПДн — инвентаризация: сколько АРМ, какие ОС, какие сети, где хранятся резервные копии, кто имеет доступ.
3. Модель угроз — документ на 20–40 страниц по методике ФСТЭК 2021 г. Перечисляет актуальные угрозы и меры их нейтрализации.
4. Акт классификации ИСПДн — формальное определение УЗ (в нашем случае УЗ2) с обоснованием.
5. Техническое задание на СЗПДн — какие именно СЗИ ставим, на каких АРМ, какой объём настроек.
6. Программа и методики испытаний (ПМИ) — как будем проверять, что СЗИ настроены правильно. Обычно 60–80 проверок.
7. Технический паспорт ИСПДн — итоговый документ: что стоит, где стоит, кто за что отвечает, контакты администраторов ИБ.
8. Заключение о соответствии требованиям 21 Приказа ФСТЭК + Протокол оценки. Оформляет лицензиат ФСТЭК. Действует 3 года.

Как проходит аттестация

1. Обследование (3–5 дней). Приезжает инженер, делает схему сети, инвентаризирует АРМ, составляет акт. Параллельно — интервью с ответственным за ПДн.
2. Разработка документов (10–15 дней). Пачка из 8 документов выше, плюс ЛНА (политика обработки ПДн, приказы о назначении, журналы).
3. Поставка и установка СЗИ (5–10 дней). Параллельно с документами, если закупка уже пройдена. По 44-ФЗ закупка занимает +30 дней, учитывайте в плане.
4. Настройка СЗИ (5–7 дней). Secret Net Studio, Соболь, КриптоПро NGate, антивирус, СОВ.
5. Испытания (аудит) (3–5 дней). Проход по ПМИ — 60–80 проверок. Исправление замечаний.
6. Оформление Протокола и Заключения (2–3 дня). Подпись руководителя лицензиата ФСТЭК.
7. Подача в ГИС «Профилактика». Заключение прикладывается к заявке на подключение.

Сколько это реально стоит

Фактические рынок-цены на 2026 год — ориентировочная вилка на одно учреждение до 5 АРМ (типовая школа / КДНиЗП):

• Комплект документов ИСПДн (8 документов) — 80–150 тыс. ₽.
• Secret Net Studio на 5 АРМ (коробка + год ТП) — 120–180 тыс. ₽.
• ПАК «Соболь» v4 × 5 — 80–120 тыс. ₽.
• КриптоПро CSP × 5 + КриптоПро NGate Client × 5 — 60–90 тыс. ₽.
• Astra Linux SE × 5 (+ сертифицированные лицензии) — 90–150 тыс. ₽.
• Dr.Web ESS × 5 (сертифицированная) — 25–40 тыс. ₽.
• Работы по установке, настройке, аттестации — 100–200 тыс. ₽.

Итого от 555 тыс. до 930 тыс. ₽ на организацию. В рамках муниципального бюджета это защищается через дополнительное финансирование по 120-ФЗ (несовершеннолетние — приоритет) или через региональную программу цифровизации. Практика: региональная субсидия на УЗ2 в рамках ГИС «Профилактика» — покрывает 50–80 % стоимости.

Что дальше — Приказы ФСТЭК № 77 и № 117

Параллельно с 21-м Приказом ФСТЭК выпустил два новых требования:

• Приказ № 77 от 11.04.2025 — обязательный пентест (тест на проникновение) для ГИС 1–2 класса защищённости, начиная с 26.01.2026. Раз в 3 года.
• Приказ № 117 от 11.04.2025 — расширенные требования к ГИС с 01.03.2026: доверенная среда, усиленный контроль целостности, расширенная регистрация событий.

ГИС «Профилактика» относится к 1–2 классу, поэтому эти приказы касаются всех участников прямо сейчас. При планировании закупки СЗИ закладывайте совместимость с требованиями № 117, чтобы не переделывать всё через год.

Итог

УЗ2 — это не заоблачно сложная конструкция, а стандартный рабочий комплект, который собирает любая профильная ИБ-компания с лицензией ФСТЭК за 35–45 рабочих дней. Главное — не покупать СЗИ «в разнобой» на свой страх и риск: любая нестыковка (например, СЗИ НСД без сертификата под вашу версию ОС) → завал аттестации → переделка за свой счёт.

Если хотите прикинуть ориентир по своей организации — калькулятор на 60 секунд подскажет рекомендованный пакет.