GOLD — нет конкуренции

152-ФЗ20265 мин

Акт определения уровня защищённости персональных данных

Акт определения уровня защищённости ПДн по Постановлению Правительства РФ № 1119: образец, пошаговая инструкция, таблица уровней УЗ-1 — УЗ-4 и онлайн-калькулятор.

Скачать образец Калькулятор УЗ

Что такое акт определения уровня защищённости ПДн

Акт определения уровня защищённости персональных данных — это внутренний документ организации, фиксирующий результат классификации информационной системы персональных данных (ИСПДн) по уровню защищённости.

Требование определить уровень защищённости установлено Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Согласно пункту 2 данного постановления, оператор обязан определить уровень защищённости для каждой ИСПДн.

Зачем нужен акт

Акт выполняет несколько ключевых функций:

Фиксирует результат классификации — документально подтверждает, какой уровень защищённости (от УЗ-1 до УЗ-4) установлен для ИСПДн;
Определяет набор мер защиты — от уровня защищённости зависит перечень организационных и технических мер по приказам ФСТЭК № 21 и ФСБ;
Является обязательным при проверке — Роскомнадзор и ФСТЭК вправе запросить документ при контрольных мероприятиях;
Связан с моделью угроз — уровень защищённости определяется с учётом типов актуальных угроз из модели угроз.

Без утверждённого акта невозможно корректно выстроить систему защиты ПДн, поскольку именно уровень защищённости определяет минимально необходимый набор мер.

Когда нужен акт определения уровня защищённости

Акт определения уровня защищённости необходим каждому оператору персональных данных, эксплуатирующему информационную систему персональных данных (ИСПДн). Это требование установлено ПП РФ № 1119.

Ситуации, когда акт обязателен

При вводе ИСПДн в эксплуатацию — уровень защищённости определяется до начала обработки ПДн в системе;
При изменении состава обрабатываемых данных — если добавляются специальные или биометрические категории ПДн;
При изменении количества субъектов — при переходе через пороговое значение 100 000 субъектов;
При пересмотре модели угроз — если изменился тип актуальных угроз (1-й, 2-й или 3-й тип);
При проверке Роскомнадзора или ФСТЭК — акт входит в обязательный пакет документов.

Кто обязан составлять акт

Любая организация, которая обрабатывает ПДн с использованием средств автоматизации: юридические лица (ООО, АО, учреждения), индивидуальные предприниматели, государственные и муниципальные органы. Если у вас есть хотя бы одна ИСПДн (например, 1С:Зарплата, CRM-система, сайт с базой пользователей), акт обязателен.

4 уровня защищённости персональных данных (УЗ-1 — УЗ-4)

Уровень	Описание	Когда применяется	Меры защиты
УЗ-1 (максимальный)	Наивысший уровень защиты, максимальный набор организационных и технических мер	Специальные категории ПДн + угрозы 1 типа; более 100 000 субъектов со специальными ПДн	Полный набор мер по Приказу ФСТЭК № 21, средства криптозащиты по классу КС3 и выше
УЗ-2	Повышенный уровень защиты, расширенный набор мер	Специальные категории ПДн + угрозы 2 типа; биометрические ПДн + угрозы 1–2 типа; более 100 000 субъектов с общедоступными ПДн + угрозы 2 типа	Расширенный набор мер по Приказу ФСТЭК № 21, средства криптозащиты по классу КС2 и выше
УЗ-3	Стандартный уровень защиты для большинства организаций	Общедоступные ПДн + угрозы 2 типа (до 100 000 субъектов); иные категории ПДн + угрозы 2 типа (до 100 000 субъектов); специальные категории + угрозы 3 типа (до 100 000 субъектов)	Базовый набор мер по Приказу ФСТЭК № 21, средства криптозащиты по классу КС1 и выше
УЗ-4 (минимальный)	Базовый уровень защиты с минимальным набором мер	Общедоступные ПДн + угрозы 3 типа; иные категории ПДн + угрозы 3 типа (до 100 000 субъектов, только свои сотрудники)	Минимальный набор мер по Приказу ФСТЭК № 21, антивирус, межсетевое экранирование

Как определить уровень защищённости ПДн: 5 шагов

1
Определите категорию обрабатываемых ПДн
Персональные данные делятся на 4 категории по ПП 1119: специальные (расовая принадлежность, здоровье, судимость и т.д.), биометрические (фотография, отпечатки пальцев), общедоступные (данные из открытых источников с согласия субъекта), иные (ФИО, телефон, e-mail, адрес и прочие данные, не относящиеся к первым трём категориям). Определите, какие категории присутствуют в вашей ИСПДн.
2
Определите тип субъектов ПДн и их количество
Установите, чьи данные обрабатываются: только сотрудников организации или также иных лиц (клиенты, контрагенты, посетители сайта). Определите объём: менее 100 000 субъектов или 100 000 и более. Пороговое значение 100 000 является ключевым критерием по ПП 1119.
3
Определите тип актуальных угроз
Тип угроз определяется на основании модели угроз: 1-й тип — актуальны угрозы, связанные с НДВ в системном ПО (ОС, СУБД); 2-й тип — актуальны угрозы, связанные с НДВ в прикладном ПО; 3-й тип — актуальны угрозы, не связанные с НДВ. Для большинства коммерческих организаций актуален 3-й тип угроз.
4
Определите уровень защищённости по таблице ПП 1119
Используя данные из шагов 1–3, определите уровень защищённости по таблице из пунктов 8–16 Постановления Правительства РФ № 1119. Для автоматизации этого процесса используйте наш калькулятор уровня защищённости: /tools/calculator-uz/
5
Оформите акт определения уровня защищённости
Зафиксируйте результат в акте: укажите наименование ИСПДн, категорию ПДн, объём обрабатываемых данных, тип актуальных угроз и установленный уровень защищённости. Акт утверждается руководителем организации и подписывается комиссией. Рекомендуется включить ссылку на модель угроз.

Образец акта определения уровня защищённости ПДн

УТВЕРЖДАЮ Генеральный директор ООО «_» _____________ / ФИО / «» ________ 2026 г.

АКТ определения уровня защищённости персональных данных при их обработке в информационной системе персональных данных «__________________»

Комиссия в составе: Председатель комиссии: _______________ (должность, ФИО) Члены комиссии: — _______________ (должность, ФИО) — _______________ (должность, ФИО)

провела определение уровня защищённости персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

1. Информационная система персональных данных: Наименование: _______________ Назначение: _______________

2. Исходные данные для определения уровня защищённости: — Категория обрабатываемых ПДн: иные персональные данные — Принадлежность субъектов: сотрудники оператора / иные лица — Количество субъектов ПДн: менее 100 000 — Тип актуальных угроз: 3-й тип

3. Результат: На основании пунктов 8–16 ПП РФ от 01.11.2012 № 1119 установлен уровень защищённости — УЗ-4.

Председатель комиссии: _________ / ФИО / Члены комиссии: _________ / ФИО / _________ / ФИО /

Скачать образец

Актуальный бланк 2026 года в формате DOCX

Скачать

Что должен содержать акт определения уровня защищённости

Наименование организации (полное и сокращённое), ИНН, ОГРН
Наименование информационной системы персональных данных (ИСПДн)
Состав комиссии (председатель и члены) с указанием должностей
Категория обрабатываемых персональных данных (специальные, биометрические, общедоступные, иные)
Категория субъектов: сотрудники оператора или иные лица
Объём обрабатываемых ПДн: менее или более 100 000 субъектов
Тип актуальных угроз безопасности (1-й, 2-й или 3-й тип) со ссылкой на модель угроз
Установленный уровень защищённости (УЗ-1, УЗ-2, УЗ-3 или УЗ-4)
Ссылка на нормативный акт: Постановление Правительства РФ от 01.11.2012 № 1119
Дата составления акта и подписи всех членов комиссии
Гриф утверждения руководителем организации

Создайте акт определения уровня защищённости за 5 минут

Конструктор автоматически определит уровень защищённости на основании ваших ответов и сформирует готовый акт по ПП 1119.

Создать акт

Часто задаваемые вопросы

Акт подписывается комиссией, назначенной приказом руководителя организации. Обычно в комиссию входят: ответственный за организацию обработки ПДн, системный администратор (или специалист по информационной безопасности), руководитель подразделения — владельца ИСПДн. Утверждает акт генеральный директор или иное уполномоченное лицо.

Нужна помощь с этим документом?

«Акт определения уровня защищённости персональных данных» — сложный документ, который требует экспертизы. Обратитесь к специалистам Кибероснова — мы подготовим его под вашу организацию.

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Оставить заявку на комплект документов Собрать самостоятельно

Связанные материалы

Модель угроз ПДнМодель угроз безопасности персональных данных: как составить, методика ФСТЭК, образец 2026.Акт оценки вреда субъектам ПДнАкт оценки вреда субъектам персональных данных — образец 2026, требования ПП 1119.Перечень персональных данныхКак составить перечень ПДн для организации. Образец 2026, приказ об утверждении.