В соответствии с пунктом 1 части 3 статьи 19 Федерального закона от 27.06.2006 г. №152-ФЗ "О персональных данных" обязанности по установке уровня защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных возложены на Правительство Российской Федерации.
Уровни защищенности персональных данных установлены Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. №1119.
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Правительство Российской Федерации установило 4 (четыре) уровня защищенности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Определить уровень защищенности персональных данных в ИСПДн.
Согласно пункту 2 части 2 статьи 19 Федерального закона "О персональных данных" оператор при обработке персональных данных обязан применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных. Акт определения уровня защищенности персональных данных в ИСПДн.
Контроль за правильностью установки уровня защищенности персональных данных на соответствие требованиям Правительства Российской Федерации организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Под уполномоченным лицом понимается лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.