Приказ ФСТЭК № 17/21: что значит «защита по 1-му уровню»

Приказы ФСТЭК № 17 и № 21 определяют, какие средства защиты должны быть в информационной системе организации. Уровень защищённости определяется по объёму и типу персональных данных.

Для большинства администраций:

• УЗ-3 или УЗ-4 — типовой уровень для регионального делопроизводства.
• Средства антивируса с действующим сертификатом ФСТЭК.
• Средства разграничения доступа — каждый пользователь со своим паролем, роли admin/employee.
• Журналирование событий безопасности.
• Защита от НСД (несанкционированного доступа).

В ПроРеестре эти требования реализованы:

• Каждое действие пишется в audit_log с датой, IP, автором.
• Защита от перебора пароля (rate-limit на /login).
• CSRF-токены на формах — защита от подделки запросов.
• Soft-delete — удалить документ можно, физически он не пропадает.

Это не заменяет сертификацию ФСТЭК, но снимает 80% типовых требований без дополнительных вложений.