Классификация ИСПДн

В ФЗ "О персональных данных" ничего не говорится о классах ИСПДн, вместо этого вводится новое понятие "уровни защищенности", которое будет уточнено в дальнейшем. Однако на сегодняшний момент Роскомнадзор при проведении проверок требует акт классификации системы. Следовательно, необходимо придерживаться Приказа трех. В данном приказе не говорится о создании комиссии и составлении акта, но оператору необходимо присвоить информационной системе соответствующий класс и его документально оформить. Акт классификации перекочевал из практики по аттестации автоматизированных систем, для его  составления необходимо создать комиссию и утвердить ее приказом по организации. Я рекомендую председателем комиссии сделать лицо, ответственное за обработку персональных данных. 

В акте должно быть указано следующее:

1.Состав экспертной комиссии и основание их деятельности (№ и дата приказа);

2.Основные особенности ИСПДн (категория данных, наличие подключений и т.д.);

3.Ссылка на другие документы, уточняющие характер и состав ИСПДн (список помещений, матрица доступа и т.д.);

4.Класс системы, который определила комиссия.

Также в акте можно указать дополнительную информацию, требований к форме нет, но мое личное мнение - указывайте только необходимый для классификации минимум, подробности лучше выносить в отдельные локальные акты и на них ссылаться. Все-таки основная задача акта классификация - декларировать класс системы.