Организации, осуществляющие обработку персональных данных, обязаны провести классификацию информационных систем с целью определения методов защиты персональных данных. Проведение классификации возможно на этапе формирования информационной системы и в процессе ее модернизации.
Для проведения классификации создается комиссия. Порядок проведения классификации регламентируется Совместным приказом ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008 г. № 55/86/20.
Постановление Правительства РФ от 1 ноября 2012 г. N 1119 устанавливает требования к защите персональных данных при их обработке в информационных системах. (Фаил: PDF, размер: 150кб)
Существует 3 типа актуальных угроз, от которых зависит требуемый уровень защищенности. Под актуальными угрозами понимаются условия и факторы, создающие опасность несанкционированного доступа к персональным данным (в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, копированы, предоставлены или распространены. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.