Перейти к содержанию
инструкция 19 февраля 2027 По состоянию на 19 февраля 2027

Акт классификации ИСПДн по УЗ

Акт классификации информационной системы персональных данных (ИСПДн) — внутренний документ оператора, который фиксирует уровень защищённости системы (УЗ-1, УЗ-2, УЗ-3 или УЗ-4) по правилам ПП РФ №1119 от 01.11.2012.
Без этого акта организационно-распорядическая документация (ОРД) оператора неполна: Роскомнадзор при проверке запросит его в первую очередь, а отсутствие — основание для протокола по ст. 18.1 ФЗ-152 и ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽, при повторности — до 500 000 ₽).
→ Если вы юрист и проверяете комплаенс компании — ниже пошаговый порядок составления акта с разбором типовых ошибок и нормативных требований.

Классификация ИСПДн — не формальность, а точка входа в систему технической защиты: именно уровень защищённости определяет, какие меры по Приказу ФСТЭК №21 нужно внедрить. Ошибка в акте — неверный набор мер, которые не закроют реальные риски. Материал ниже охватывает нормативную основу, алгоритм присвоения УЗ и требования к самому документу.

Что такое уровень защищённости ИСПДн и зачем нужен акт?

Постановление Правительства РФ №1119 от 01.11.2012 устанавливает четыре уровня защищённости информационных систем, обрабатывающих персональные данные. Уровень зависит от трёх переменных: категории обрабатываемых ПДн, типа актуальных угроз и числа субъектов.

«ПП РФ №1119 — оператор обязан самостоятельно определить уровень защищённости ИСПДн, исходя из категории ПДн, типа угроз и числа субъектов. Результат оформляется в виде акта.»

По категориям ПДн системы делятся на четыре группы: специальные (здоровье, национальность, вероисповедание и пр. по ст. 10 ФЗ-152), биометрические (ст. 11 ФЗ-152), общедоступные и иные (все остальные). По числу субъектов порог — 100 000 человек: больше или меньше. По типу угроз — три градации (угрозы, связанные с недокументированными возможностями в системном ПО, прикладном ПО или только с характеристиками ИСПДн).

Акт классификации — документ, который фиксирует итог этой оценки. Он не является самостоятельным требованием ФЗ-152, но вытекает из ст. 19 ФЗ-152 и ПП РФ №1119: оператор обязан обеспечить уровень защищённости, а значит — доказать, что он его определил. На практике РКН и ФСТЭК при проверке запрашивают акт как первичный документ системы защиты.

Как правильно определить уровень защищённости ИСПДн?

Алгоритм присвоения УЗ строго детерминирован ПП РФ №1119. Произвольный выбор уровня — типичная ошибка, которая влечёт либо завышение требований (избыточные затраты), либо занижение (реальные пробелы в защите и нарушение закона).

Шаг 1. Определите категорию ПДн в системе. Если в ИСПДн обрабатываются данные о состоянии здоровья, расовой принадлежности, религиозных взглядах, судимости или интимной жизни — это специальные категории по ст. 10 ФЗ-152. Если только изображение лица или голос для идентификации — биометрические по ст. 11 ФЗ-152. Если ни то ни другое — иные ПДн (ФИО, контакты, должность). Общедоступные ПДн — отдельная категория, как правило самый низкий УЗ.

Шаг 2. Подсчитайте число субъектов. Порог — 100 000 субъектов. Считаются физические лица, чьи ПДн фактически обрабатываются в данной ИСПДн (не потенциальная клиентская база, а реальные записи). При неопределённости — лучше выбрать «более 100 000»: занижение числа чревато присвоением более низкого УЗ и пробелами в защите.

Шаг 3. Классифицируйте актуальные угрозы. ПП РФ №1119 выделяет три типа угроз. Тип 1 — угрозы связаны с недокументированными возможностями в системном ПО (операционная система). Тип 2 — в прикладном ПО. Тип 3 — не связаны с недокументированными возможностями. На практике большинство коммерческих ИСПДн получают Тип 3 — если нет оснований предполагать использование зарубежного системного ПО с неисследованными функциями. Выбор типа угроз должен быть обоснован в акте со ссылкой на модель угроз.

Шаг 4. Примените матрицу ПП РФ №1119. Пересечение категории, числа субъектов и типа угроз однозначно даёт УЗ-1, УЗ-2, УЗ-3 или УЗ-4. УЗ-1 — наиболее жёсткий (специальные ПДн + более 100 000 субъектов + угрозы типа 1 или 2). УЗ-4 — базовый (иные ПДн + менее 100 000 + угрозы типа 3).

Нужно составить акт классификации и собрать полный пакет ОРД?

Если вы юрист компании и готовите документацию к проверке РКН — правильный акт классификации ИСПДн критичен: он определяет весь набор технических мер по Приказу ФСТЭК №21. Ошибка в матрице ПП РФ №1119 означает неверный набор мер защиты, что РКН фиксирует как нарушение ст. 19 ФЗ-152. Юристы DATUM составят акт, проведут аудит ОРД по чек-листу из 38 позиций и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как правильно составить акт классификации ИСПДн: структура документа

Ни ФЗ-152, ни ПП РФ №1119 не устанавливают обязательной формы акта. Требование одно: документ должен отражать обоснование присвоенного уровня защищённости. На практике РКН и ФСТЭК ожидают определённой структуры, сложившейся в ходе проверочной практики.

Обязательные разделы акта:

Что должен содержать акт классификации ИСПДн

  • Наименование и описание ИСПДн (название, цель обработки, перечень обрабатываемых ПДн, структура системы — локальная, распределённая, с подключением к интернету).
  • Категория обрабатываемых ПДн со ссылкой на ст. 10 или ст. 11 ФЗ-152 (если применимо) и обоснованием отнесения.
  • Число субъектов ПДн с указанием, превышает ли оно 100 000 человек.
  • Тип актуальных угроз с обоснованием (Тип 1 / 2 / 3 по ПП РФ №1119) и ссылкой на модель угроз или протокол оценки.
  • Присвоенный уровень защищённости (УЗ-1 / УЗ-2 / УЗ-3 / УЗ-4) с указанием нормы ПП РФ №1119, на основании которой он установлен.
  • Подпись руководителя организации (или уполномоченного лица) и ответственного за обработку ПДн по ст. 22.1 ФЗ-152, дата составления.

Отдельно — рекомендация по оформлению: акт утверждается приказом руководителя или подписывается им непосредственно. Если ИСПДн несколько — составляется отдельный акт на каждую. Объединять системы с разными категориями ПДн в одном акте допустимо только если они действительно являются единой технической системой.

Связь с другими документами ОРД: акт классификации является основанием для технического задания на систему защиты, перечня мер по Приказу ФСТЭК №21 и раздела политики обработки ПДн, посвящённого техническим мерам (ст. 18.1 ФЗ-152). Ответственный за организацию обработки по ст. 22.1 ФЗ-152 должен быть назначен до составления акта — его подпись обязательна.

Какие ошибки допускают операторы при классификации ИСПДн?

Практика сопровождения проверок выявляет несколько устойчивых паттернов ошибок.

Ошибка 1: занижение категории ПДн. Часто HR-системы с медицинскими справками сотрудников классифицируют как «иные ПДн», игнорируя, что сведения о состоянии здоровья — специальная категория по ст. 10 ФЗ-152. Следствие — УЗ-3 вместо УЗ-2 или УЗ-1, неполный набор мер ФСТЭК, нарушение ст. 19 ФЗ-152.

Ошибка 2: выбор типа угроз без модели угроз. Часто операторы выбирают Тип 3 «потому что так проще», не составляя модель угроз. РКН при проверке запрашивает обоснование типа угроз. Отсутствие модели угроз при угрозах Типа 1 или 2, зафиксированных актом, — нарушение системы документирования.

Ошибка 3: единый акт для нескольких разнородных систем. Система кадрового учёта и система CRM имеют разные категории ПДн и разное число субъектов. Один акт на обе системы формально не запрещён, но если итоговый УЗ занижен хотя бы по одной — нарушение.

Ошибка 4: отсутствие актуализации акта. ПП РФ №1119 не устанавливает периодичность пересмотра, но если состав ИСПДн изменился (добавили новую категорию ПДн, выросло число субъектов свыше 100 000, изменилась инфраструктура), акт необходимо переоформить. Устаревший акт — риск при проверке.

Если вы юрист и выявили, что акт классификации в компании отсутствует или составлен с ошибками — это пробел в ОРД, который РКН фиксирует при проверке. Составим акт и закроем весь комплект документации под ключ.

Собрать ОРД под ключ

Как акт классификации связан с политикой конфиденциальности и уведомлением РКН?

Акт классификации — один из нескольких взаимосвязанных документов ОРД. Понимание этих связей важно для юриста, который выстраивает систему комплаенса, а не собирает отдельные документы.

Политика обработки персональных данных по ст. 18.1 ФЗ-152 обязана включать перечень применяемых мер защиты — он прямо вытекает из присвоенного УЗ. Без акта классификации политика содержит декларативный раздел о мерах без реального обоснования. Для согласий работников после 01.09.2025 (ФЗ-156 от 24.06.2025) отдельный документ согласия должен отражать перечень обрабатываемых ПДн — а значит, юрист обязан понимать, какие данные в какой ИСПДн обрабатываются.

Уведомление в реестр операторов РКН по ст. 22 ФЗ-152 и форме Приказа РКН №180 включает раздел о мерах по обеспечению безопасности ПДн. Корректно заполнить этот раздел без акта классификации невозможно: именно УЗ определяет, какой класс мер применяется. Несоответствие уведомления и реальной системы защиты — нарушение ст. 22 ФЗ-152 и основание для штрафа по ч. 10 ст. 13.11 КоАП (100 000 – 300 000 ₽).

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — лицо, которое подписывает акт классификации. Требования к квалификации ответственного закреплены в ч. 4 ст. 22.1 ФЗ-152. Если ответственный не назначен, акт подписывает руководитель — но это создаёт риск при персональной ответственности должностного лица.

Как это работает на практике

Кейс 1. Медицинская лаборатория (Сибирский ФО, осень 2025) прошла внеплановую проверку РКН после жалобы пациента. В ходе проверки выяснилось: акт классификации ИСПДн отсутствует, МИС содержит данные о состоянии здоровья более 50 000 пациентов — специальная категория по ст. 10 ФЗ-152. Применяемые технические меры соответствовали УЗ-3, тогда как с учётом специальных ПДн требовался УЗ-2. РКН выдал предписание об устранении нарушений по ст. 19 ФЗ-152; параллельно был составлен протокол по ч. 3 ст. 13.11 КоАП за отсутствие надлежащей документации. Штраф — в диапазоне 30 000 – 60 000 ₽. После составления акта, пересмотра модели угроз и внедрения дополнительных мер ФСТЭК предписание было снято.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) при подготовке к плановой проверке РКН обнаружила, что акт классификации составлен три года назад: с тех пор число клиентов выросло с 80 000 до 140 000 субъектов, что переводило ИСПДн через порог 100 000 и меняло уровень защищённости. Технический директор совместно с юристом переоформил акт, обновил модель угроз, дополнил технические меры до уровня УЗ-2. При проверке замечания по документации отсутствовали; проверка завершилась без предписаний.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов, включая акт классификации ИСПДн, политику обработки ПДн и модель угроз.
  • Аудит соответствия 152-ФЗ — проверка полноты и корректности ОРД, включая акт классификации и соответствие УЗ реальным техническим мерам.
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152, включая подписание и актуализацию актов.

Частые вопросы

1. Обязан ли оператор составлять акт классификации ИСПДн по закону?

Прямого требования «составить акт» в ФЗ-152 нет. Однако ст. 19 ФЗ-152 обязывает обеспечить уровень защищённости в соответствии с ПП РФ №1119, а ст. 18.1 — документально подтвердить применяемые меры. На практике единственный способ выполнить эти требования — зафиксировать УЗ в документе. РКН при проверке запрашивает акт в составе ОРД, и его отсутствие трактуется как нарушение ст. 18.1 ФЗ-152.

2. Кто подписывает акт классификации ИСПДн?

Акт подписывает руководитель организации или уполномоченное лицо. Если назначен ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152, его подпись также включается. Если ответственный по ст. 22.1 не назначен — это отдельное нарушение, которое следует устранить до составления акта. Требования к квалификации ответственного закреплены в ч. 4 ст. 22.1 ФЗ-152.

3. Что делать, если в компании несколько ИСПДн с разными уровнями защищённости?

Составить отдельный акт на каждую ИСПДн. Нельзя объединять системы с разными категориями ПДн или разным числом субъектов в один акт, если итоговый уровень хотя бы одной будет занижен. На практике крупные операторы ведут реестр ИСПДн с отдельным актом на каждую систему. Объединение допустимо только если системы технически интегрированы и обрабатывают однородные данные с одинаковыми параметрами по ПП РФ №1119.

4. Как часто нужно пересматривать акт классификации?

Периодичность пересмотра ПП РФ №1119 не устанавливает. Пересмотр обязателен при изменении существенных параметров: состава обрабатываемых ПДн (появились специальные или биометрические), числа субъектов (пересечён порог 100 000), структуры системы (добавлено подключение к интернету, изменилась инфраструктура), оценки актуальных угроз. Рекомендуемая практика — ежегодный пересмотр как часть внутреннего аудита ОРД по ст. 18.1 ФЗ-152.

5. Влияет ли акт классификации на содержание уведомления в РКН?

Да, напрямую. Форма уведомления по Приказу РКН №180 от 28.10.2022 содержит раздел о мерах по обеспечению безопасности. Меры определяются УЗ, зафиксированным в акте классификации. Несоответствие уведомления реальной системе защиты — нарушение ст. 22 ФЗ-152, основание для штрафа по ч. 10 ст. 13.11 КоАП в размере 100 000 – 300 000 ₽.

6. Нужно ли согласовывать акт классификации с РКН или ФСТЭК?

Нет. Акт классификации — внутренний документ оператора, согласования с регуляторами не требует. ФСТЭК и РКН проверяют его наличие и корректность при плановой или внеплановой проверке. Если система обрабатывает ПДн государственных информационных систем, порядок может отличаться — уточняйте применительно к конкретной системе.

Итог

Акт классификации ИСПДн — базовый документ системы защиты персональных данных. Он определяет уровень защищённости, на котором строится весь набор технических и организационных мер по Приказу ФСТЭК №21, содержание политики обработки ПДн по ст. 18.1 ФЗ-152 и раздел уведомления РКН по Приказу №180. Ошибка в матрице ПП РФ №1119 или устаревший акт означают системное несоответствие, которое РКН фиксирует в предписании. Актуальный акт — не гарантия отсутствия нарушений, но необходимое условие для построения защиты, которая выдержит проверку.

Практика DATUM по ОРД охватывает полный цикл: от классификации ИСПДн и модели угроз до уведомления РКН и сопровождения проверок. Акт классификации составляется в составе комплекта из 38 документов или как отдельный элемент при частичном аудите.

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.