Акт определения уровня защищенности персональных данных: правила оформления и образец

19.06.2026
5 мин.
8751
Анна Золотарева

Анна Золотарева

Юрист, стаж работы более 10 лет в надзорной деятельности. Эксперт в сфере финансового мониторинга и защиты персональных данных. Руководитель юридического отдела ООО «Научно-Практический Центр Финансового Мониторинга»

Регистрация в Роскомнадзоре за 1 день

Не откладывайте на завтра, чтобы избежать штрафов

Защита персональных данных - одна из ключевых задач любой организации, обрабатывающей сведения о физических лицах. Важный этап в обеспечении безопасности — составление акта определения уровня защищённости персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн). Разберём, как правильно оформить этот документ и какие требования соблюдать.


Что такое акт определения уровня защищённости данных?

Акт определения уровня защищённости - официальный документ, фиксирующий результаты оценки уровня защищённости персональных данных в конкретной информационной системе. Он составляется комиссией организации и служит основанием для разработки и внедрения мер защиты.

Документ подтверждает, что организация выполнила требования Федерального закона №152‑ФЗ «О персональных данных» и постановления Правительства РФ, регламентирующего защиту ПДн.

Обеспечение защиты персональных данных (ПДн) - одна из главных задач любой организации, обрабатывающей сведения о субъектах персональных данных - гражданах РФ. В соответствии с требованиями федерального закона №152‑ФЗ «О персональных данных» и постановления Правительства РФ от 01.11.2012 №1119, каждая организация обязана определить уровень защищённости персональных данных при их обработке в информационных системах.

Что такое акт определения уровня защищённости данных

Нормативная база

Акт определения уровня защищенности информационных систем: при составлении опираются на следующие нормативные акты:

Федеральный закон от 27.07.2006 №152‑ФЗ «О персональных данных»;

  • постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • приказы ФСТЭК России, устанавливающие требования к мерам защиты информации;

  • внутренние регламенты и политику информационной безопасности организации.

Эти документы определяют категории обрабатываемых данных, типы угроз и необходимый уровень защищённости для каждой ИСПДн.


Кто и когда составляет акт определения уровня защищенности ИСПДн?

Акт составляется специально созданной комиссией организации, в состав которой обычно входят:

  • представитель руководства (председатель комиссии);

  • специалист по информационной безопасности;

  • IT‑специалист (администратор ИСПДн);

  • юрист или специалист по защите персональных данных;

  • представители подразделений, использующих ИСПДн.

Сроки составления:

  • при создании новой ИСПДн — до начала обработки ПДн;

  • при изменении состава обрабатываемых данных или конфигурации системы;

  • периодически (не реже 1раза в 3года) в рамках плановых проверок;

  • по требованию контролирующих органов.

Образец акта определения уровня защищенности ПДн

Порядок проведения оценки и составления акта

Процесс включает несколько этапов:

  1. Подготовка. Комиссия изучает документацию на ИСПДн, перечень обрабатываемых ПДн, цели обработки и категории субъектов.

  2. Анализ:

    • В ходе оценки анализируются категории обрабатываемых персональных данных, включая специальные категории (сведения о расе, политических взглядах, здоровье и т. п.), биометрические данные (отпечатки пальцев, распознавание лица), общедоступные данные и иные виды.

    • Определяется количество субъектов персональных данных: устанавливается, превышает ли их число 100000 человек либо остаётся в пределах этого значения.

    • Проводится анализ актуальных угроз безопасности, таких как несанкционированный доступ, утечка данных, кибератаки или ошибки персонала.

    • Изучается текущая конфигурация и архитектура информационной системы персональных данных (ИСПДн), включая структуру сети, используемые серверы и каналы передачи данных.

    • Проверяется эффективность применяемых средств защиты информации: антивирусного ПО, систем шифрования, межсетевых экранов и иных технических мер.

  3. Определение уровня защищённости. На основании постановления Правительства №1119 устанавливается один из четырёх уровней защищённости (УЗ‑1, УЗ‑2, УЗ‑3, УЗ‑4), где УЗ‑1 — максимальный.

  4. Оформление результатов. Комиссия фиксирует выводы в акте, указывая все исходные данные, расчёты и итоговое решение.

  5. Утверждение. Акт подписывается членами комиссии и утверждается руководителем организации.


Структура и содержание акта

Унифицированной формы акта нет, но он должен содержать обязательные разделы:

  1. Реквизиты документа: номер, дата составления, наименование организации.

  2. Состав комиссии: должности и ФИО членов комиссии.

  3. Основание для проведения оценки: ссылка на нормативный акт или приказ руководителя.

  4. Сведения об ИСПДн: В разделе со сведениями об информационной системе персональных данных (ИСПДн) указываются следующие данные: полное наименование информационной системы; точный адрес места её размещения, включая город, улицу и номер здания; наименование организации, выступающей в качестве оператора системы; а также чётко сформулированная цель обработки персональных данных, соответствующая требованиям законодательства.

  5. Данные об обрабатываемых ПДн:

      • категории данных (Ф.И.О., паспортные данные, сведения о доходах и т. д.);
      • категории субъектов (сотрудники, клиенты, посетители сайта и т. д.);
      • объём обрабатываемых данных (количество записей).

  6. Результаты оценки: перечень актуальных угроз безопасности; обоснование отнесения к определённому уровню защищённости (с указанием пунктов нормативных актов); текущий уровень защищённости (УЗ‑1, УЗ‑2, УЗ‑3 или УЗ‑4).

  7. Выводы и рекомендации: перечень необходимых мер защиты для соответствия требованиям.

  8. Подписи членов комиссии с расшифровкой.

  9. Утверждение руководителем (подпись, должность, ФИО, дата).


Акт оформляется в письменной форме либо в электронном виде с электронной подписью. Документ должен быть заполнен в соответствии с утверждёнными требованиями и содержать всю необходимую информацию для проведения проверки. Хранение акта осуществляется в течение установленного срока (не менее 5лет) вместе с другими документами по защите персональных данных. При изменениях в конфигурации ИСПДн, перечне обрабатываемых данных или требованиях законодательства акт подлежит актуализации.

Акт определения уровня защищенности ПДн: требования и образец 2026


Практические рекомендации

Чтобы акт был корректным и прошёл проверку:

  • используйте актуальные версии нормативных документов;

  • чётко указывайте категории ПДн и субъектов — это напрямую влияет на уровень защищённости;

  • подробно описывайте угрозы и обосновывайте выбор уровня защищённости;

  • фиксируйте все изменения в ИСПДн и своевременно обновляйте акт;

  • храните акт вместе с другими документами по защите ПДн в течение установленного срока (обычно не менее 5лет).


Где скачать образец акта определения уровня защищенности?

Готовый бланк акта определения уровня защищённости персональных данных можно скачать на официальном сайте Роскомнадзора, профильных порталах по информационной безопасности или заказать через звонок у нас на сайте.

Составление акта определения уровня защищённости персональных данных — не формальность, а важный шаг к реальной защите информации. Определение уровня защищённости персональных данных - важный этап в обеспечении безопасности персональных данных в организации. Грамотно составленный акт определения уровня защищённости позволяет:

  • подтвердить соответствие требованиям федерального закона и постановлений Правительства РФ;

  • минимизировать риски утечек и штрафов;

  • выстроить эффективную систему защиты ПДн;

  • обеспечить контроль за соблюдением прав субъектов персональных данных.

Регулярный пересмотр и актуализация акта - залог того, что система защиты будет соответствовать актуальным угрозам и нормативным требованиям в области обработки персональных данных.


Другие статьи

Журнал учёта средств защиты информации: как вести и заполнять
19.06.2026
7905

Журнал учёта средств защиты информации: как вести и заполнять

Кто обязан вести журнал учёта СЗИ и какие штрафы грозят за его отсутствие

Как правильно осуществлять трансграничную передачу персональных данных
7268

Как правильно осуществлять трансграничную передачу персональных данных

Что относится к трансграничной передаче данных и как в рамках закона осуществлять такие операции

Обработка персональных данных для ИП в 2026 году
7434

Обработка персональных данных для ИП в 2026 году

Информация о том, какие изменения ожидают индивидуальных предпринимателей в 2025 году в сфере обработки персональных данных

Зарегистрируйтесь на вебинар или получите консультацию по любому вопросу

Ваше имя
Номер телефона *
Это поле обязательно для заполнения
E-mail *
Введён некорректный e-mail
Реквизиты компании
Запрещено загружать файл данного типа
Источник
Я даю согласие на обработку моих персональных данных, подтверждаю ознакомление с политикой конфиденциальности и пользовательским соглашением. Оповещен, что на сайте используются файлы cookie и сервисы сбора технических данных посетителей.