Паспорт ИСПДн и перечень ИСПДн: как собрать данные для документов из фактов, а не «со слов»
Почему ручные опросы больше не работают — и что делать вместо них
Почему документация отстаёт от реальности
Когда специалист по защите персональных данных спрашивает у системного администратора, какие базы данных хранят ПДн сотрудников, тот называет три системы. Когда несколько месяцев спустя проводят технический аудит, обнаруживаются ещё пять: тестовое окружение с реальными данными, старая CRM, не снятая с обслуживания, корпоративный мессенджер с историей переписки, файловый сервер с выгрузками кадровых данных.
Это не редкость — это норма. ИТ-ландшафт любой организации постоянно меняется: появляются новые поля в базах данных, запускаются интеграции с подрядчиками, разворачиваются тестовые среды, к которым забывают ограничить доступ. Документы, составленные полгода назад, устаревают незаметно.
Именно поэтому паспорт ИСПДн и перечень ИСПДн, написанные «со слов», становятся не просто неточными бумагами, а источником реального правового риска. Если в документах указано одно, а на проверке Роскомнадзора обнаруживается другое — это проблема не только с комплаенсом, но и с неспособностью оценить уровень защищённости данных.
Эта статья — практическое руководство по тому, как правильно собрать данные для обоих документов, на чём они основаны нормативно, какие данные нужны для каждого раздела и как автоматизация инвентаризации помогает поддерживать актуальность.
Часть 1. Нормативная основа: что требует регулятор
152-ФЗ и система документации оператора ПДн
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [2] устанавливает обязанность оператора принимать меры по обеспечению безопасности ПДн при их обработке в информационных системах. Конкретный состав и содержание организационных и технических мер определяется Приказом ФСТЭК России от 18.02.2013 № 21 [3], а требования к уровням защищённости — Постановлением Правительства РФ от 01.11.2012 № 1119 [4].
Перечень документов, которые должен вести оператор, охватывает десятки позиций [5]. Среди них два документа непосредственно связаны с инвентаризацией информационных систем:
Перечень информационных систем персональных данных — приказ, в котором указываются все ИСПДн организации, их назначение, категории и объём обрабатываемых ПДн в соответствии с ПП № 1119 [6].
Технический паспорт информационной системы персональных данных — документ, в котором фиксируются технические сведения о конкретной ИСПДн: состав оборудования, программного обеспечения, средств защиты информации, архитектура, схема размещения [7].
Место документов в системе защиты ПДн
Важно понимать логическую цепочку: без актуального перечня ИСПДн нельзя корректно определить уровни защищённости. Без уровней защищённости невозможно правильно выбрать и применить меры защиты по Приказу ФСТЭК № 21. Без корректного технического паспорта нельзя ни провести аттестацию, ни обоснованно оценить угрозы.
Таким образом, перечень ИСПДн и паспорт ИСПДн — это не «бумажная формальность», а фундамент всей системы защиты персональных данных. Ошибки в них транслируются во все последующие документы и решения.
Новые штрафы как мотиватор точности
С 30 мая 2025 года вступили в силу поправки в КоАП РФ (Федеральный закон № 420-ФЗ от 30.11.2024), радикально ужесточившие ответственность за нарушения в сфере ПДн [1]. Штрафы за утечку данных теперь зависят от масштаба инцидента:
За утечку от 1 000 до 10 000 субъектов — штраф для организации от 3 до 5 млн рублей. За утечку свыше 100 000 субъектов — от 10 до 15 млн рублей. За повторную утечку — оборотный штраф от 1% до 3% годовой выручки, но не менее 20–25 млн рублей и не более 500 млн рублей [8].
По данным InfoWatch, в 2025 году в России было вынесено шесть штрафов за утечки ПДн, крупнейшие из них — по 150 тыс. рублей РЖД и Почте России [9]. Это данные, собранные ещё до момента полноценного применения нового закона. Эксперты ожидают кратного роста числа штрафов в 2026 году [9]. При этом по данным Роскомнадзора, с января по май 2025 года в России зафиксировано 30 случаев утечек, в которых было скомпрометировано более 38 млн строк информации [10].
Очевидно, что точность документации прямо влияет на способность организации своевременно обнаруживать риски. Компания, не знающая о существовании какой-либо ИСПДн, не может защитить данные в ней — и узнаёт о проблеме лишь при инциденте.
Часть 2. Перечень ИСПДн: что это такое и что в нём должно быть
Назначение документа
Перечень ИСПДн — это организационно-распорядительный документ (как правило, оформляется в виде приказа с приложением), в котором оператор фиксирует все информационные системы, в которых обрабатываются персональные данные [6]. Это не просто список названий систем — это структурированная таблица, содержащая параметры, необходимые для определения уровня защищённости каждой системы по ПП № 1119 [4].
Что должно быть в каждой записи перечня
Для каждой ИСПДн в перечне фиксируются следующие данные:
Наименование и назначение системы. Например: «1С:Зарплата и управление персоналом» — автоматизация расчёта заработной платы и кадрового учёта.
Категория обрабатываемых ПДн. ПП № 1119 выделяет четыре группы: специальные (данные о здоровье, расовой принадлежности, религиозных взглядах и т.п.), биометрические, общедоступные и иные [4]. От категории напрямую зависит уровень защищённости.
Тип субъектов. Работники оператора или иные лица (клиенты, посетители, контрагенты — физические лица). Это второй ключевой параметр для определения уровня защищённости [4].
Количество субъектов. ПП № 1119 разделяет системы на обрабатывающие данные менее 100 000 субъектов и более 100 000 субъектов [4].
Тип актуальных угроз. Угрозы 1-го типа (связанные с недокументированными возможностями в системном ПО), 2-го типа (в прикладном ПО) или 3-го типа (прочие) [4]. Этот параметр определяется на основании модели угроз.
Итоговый уровень защищённости (УЗ1–УЗ4). Результирующий показатель, определяемый на основании всех вышеуказанных параметров по таблице из ПП № 1119 [4].
Ответственное структурное подразделение или должностное лицо.
Откуда взять данные для перечня: правильный подход
Вот здесь и возникает главная практическая проблема. Многие организации формируют перечень путём анкетирования руководителей подразделений: «Какие системы вы используете для работы с персональными данными?» Это порождает два класса ошибок.
Первый — системы, о которых «никто не знал». Тестовые базы с реальными данными. Файловые серверы с кадровыми выгрузками. Старые CRM и ERP, которые официально «выведены из эксплуатации», но фактически работают. Интеграционные шины с буфером данных.
Второй — системы, параметры которых указаны неточно. Количество субъектов часто называется «примерно», категории ПДн определяются без реального изучения состава полей базы данных.
Правильный подход предполагает инвентаризацию, а не анкетирование. Инвентаризация состоит из нескольких шагов:
Сканирование сетевой инфраструктуры для обнаружения активных сетевых узлов, открытых портов, работающих сервисов СУБД.
Опрос метаданных баз данных (системных каталогов) для выявления таблиц и полей, содержащих ПДн по характерным признакам: поля с именами типа «fio», «passport», «inn», «snils», «birth_date» и т.п.
Анализ сетевых взаимодействий и интеграций для выявления передачи данных между системами.
Изучение файловых хранилищ и почтовых систем на предмет наличия файлов с ПДн.
Опрос системных администраторов и владельцев приложений — но уже с результатами технической инвентаризации на руках, для верификации и уточнения контекста.
Как отмечают практики защиты данных, «пока нет карты данных, любая политика — как схема метро без линий» [11]. Инвентаризация — это честный список: где берём ПДн, что с ними делаем, где и сколько храним, кто имеет доступ, кому отдаём.
Часть 3. Паспорт ИСПДн: структура и содержание
Что такое технический паспорт ИСПДн
Технический паспорт информационной системы персональных данных — документ, фиксирующий технические характеристики конкретной ИСПДн. Он разрабатывается в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К) [7]. Прямых требований к обязательному составлению технического паспорта в законодательстве нет, однако необходимость его ведения косвенно вытекает из требований ФСТЭК и является устоявшейся практикой.
Паспорт составляется на каждую ИСПДн отдельно и содержит совокупность данных, позволяющих однозначно идентифицировать систему, её состав и конфигурацию защиты.
Типовой состав паспорта ИСПДн
Общие сведения об ИСПДн: наименование, назначение, дата ввода в эксплуатацию, ответственный администратор, основание для обработки ПДн (приказ, договор), уровень защищённости.
Перечень обрабатываемых персональных данных: наименование категории ПДн и цель обработки. Например: «Фамилия, имя, отчество — идентификация сотрудника», «ИНН — исполнение налоговых обязательств».
Описание технологических процессов обработки ПДн: каким образом данные вводятся, обрабатываются, передаются, хранятся и уничтожаются в системе.
Перечень основных технических средств (ОТСС): серверы и рабочие станции, на которых осуществляется обработка ПДн — тип, характеристики, место установки, количество [7].
Перечень вспомогательных технических средств (ВТСС): технические средства, не участвующие в обработке ПДн напрямую, но находящиеся в контролируемой зоне — принтеры, МФУ, телефоны [7]. Необходимость их включения связана с угрозами утечки по каналам ПЭМИН, хотя на практике такие угрозы признаются неактуальными в подавляющем большинстве случаев [7].
Перечень программного обеспечения: ОС, СУБД, прикладное ПО, средства виртуализации — с указанием версий и производителей.
Перечень средств защиты информации (СЗИ): антивирусы, МЭ, СКЗИ, DLP — с указанием сертификата ФСТЭК или ФСБ, места установки [7].
Структурная схема и схема размещения: топологическая схема ИСПДн с указанием информационных связей между компонентами, с иными информационными системами и с сетью Интернет [12].
Сведения о режимах доступа: описание всех типов пользователей (привилегированных и обычных), их полномочий и типа доступа к информационным ресурсам [12].
Откуда берутся данные для паспорта
Каждый раздел паспорта требует конкретного источника данных. Проблема в том, что эти данные рассредоточены по разным системам и подразделениям, и без систематического подхода к их сбору неизбежны пробелы.
Состав ОТСС и ВТСС должен быть получен из актуальной инвентаризации активов — не из CMDB трёхлетней давности. За это время могли появиться новые серверы, смениться конфигурации, добавиться виртуальные машины.
Перечень ПО требует актуальных данных с конечных точек и серверов: установленные версии, а не «предполагаемые». Версии ОС и СУБД критичны для корректного определения угроз и выбора СЗИ.
Перечень обрабатываемых ПДн должен соответствовать реальной схеме данных (data schema) в базах данных — не тому, что разработчики системы запланировали три года назад. Со временем в таблицы добавляются новые поля, часто без документирования.
Схема взаимодействий и интеграций должна отражать реальные потоки данных, включая API-интеграции, ETL-процессы, репликации. Это нельзя получить «со слов» — только из анализа сетевого трафика или из документации, которая актуальна лишь при наличии строгого governance.
Часть 4. Уровень защищённости: как его правильно определить
Логика ПП № 1119
Постановление Правительства № 1119 определяет уровень защищённости как функцию трёх параметров [4]:
Первый параметр — категория ПДн. Специальные категории (здоровье, взгляды, национальность) требуют более высокого уровня защищённости, чем иные категории.
Второй параметр — тип субъектов и их количество. Обработка данных более 100 000 субъектов, не являющихся сотрудниками оператора, требует более высокого уровня защищённости.
Третий параметр — тип актуальных угроз. Угрозы 1-го типа (риск закладок в системном ПО) влекут самые строгие требования. Угрозы 3-го типа (прочие, не связанные с недокументированными возможностями) — наиболее мягкие [4].
Результирующий уровень защищённости — от УЗ4 (наименее строгий) до УЗ1 (наиболее строгий) — определяется по таблице из ПП № 1119 путём последовательного применения условий [4].
Где ошибаются на практике
Практики выделяют несколько типичных ошибок в процессе определения уровня защищённости.
Неправильная классификация категорий ПДн. Когда система содержит, например, информацию о группе крови сотрудников в разделе «медицинская карта» — это уже специальная категория, даже если владелец системы считает её просто «дополнительными сведениями». Ошибка в классификации ведёт к неправильным основаниям обработки и заниженным мерам защиты [11].
Занижение числа субъектов. Число субъектов в системе нужно уточнять из реальных данных СУБД (COUNT по таблице субъектов), а не «по памяти». Реальное количество может превышать оценочное в разы — особенно в системах с историческими данными.
Формальный подход к типу угроз. Многие организации автоматически указывают угрозы 3-го типа, не имея обоснования. Это правомерно только при наличии задокументированного обоснования в модели угроз, основанной на реальном анализе архитектуры.
Часть 5. Практический алгоритм: как собрать данные правильно
Шаг 1. Сформируйте рабочую группу
Инвентаризация ИСПДн не может быть делом одного специалиста по ИБ. В рабочую группу должны войти: ИТ-администраторы (владеют инфраструктурой), ответственный за обработку ПДн (знает нормативные требования), владельцы бизнес-процессов (знают, зачем и как используются данные), юрист (верифицирует основания обработки).
Шаг 2. Проведите техническую инвентаризацию инфраструктуры
Задача — получить полный список активных ИТ-активов, потенциально содержащих ПДн. Инструменты: сканеры сети (nmap, Nessus), инвентаризационные системы (SCCM, GLPI), агентное ПО на конечных точках [13]. Результат — список IP-адресов, сервисов, СУБД, файловых серверов, почтовых серверов.
Шаг 3. Проведите инвентаризацию баз данных
Для каждой обнаруженной СУБД: подключитесь к системным каталогам (informationschema в MySQL/PostgreSQL, dbacolumns в Oracle), получите список таблиц и полей. Проведите классификацию по характерным признакам: имена полей, типы данных, примеры значений (без извлечения реальных ПДн — достаточно метаданных). Подсчитайте число строк в ключевых таблицах субъектов.
Шаг 4. Составьте карту потоков данных
Изучите интеграции: API-вызовы между системами, задания ETL, репликации. Ответьте на вопросы: куда передаются данные из каждой системы? Кому? На каком основании? Это критически важно как для перечня ИСПДн, так и для уведомления в Роскомнадзор.
Шаг 5. Верифицируйте данные с владельцами систем
Только после технической инвентаризации — встречи с владельцами. Теперь разговор идёт не «в вакууме», а с конкретными данными: «Мы обнаружили в базе данных CRM 280 тысяч записей с ФИО и контактными данными. Это ваши клиенты?» Такой подход резко снижает вероятность «забытых» данных.
Шаг 6. Определите уровни защищённости для каждой ИСПДн
Применяя критерии ПП № 1119 к собранным данным, комиссия определяет уровень защищённости каждой системы. Результат оформляется актом. Этот акт становится основой для технического паспорта и мер защиты по Приказу ФСТЭК № 21 [3].
Шаг 7. Сформируйте перечень и паспорта
На основании собранных данных формируется перечень ИСПДн (оформляется приказом). Для каждой системы составляется технический паспорт. Документы согласовываются с ответственными лицами и утверждаются руководителем.
Шаг 8. Установите процедуру актуализации
Это ключевой шаг, который большинство организаций пропускает. Перечень и паспорта должны актуализироваться при каждом значимом изменении: появлении новой системы, изменении состава обрабатываемых данных, появлении новой интеграции. Необходимо установить периодичность плановой актуализации (как минимум ежегодно) и процедуру внеплановой актуализации.
Часть 6. Типичные ошибки и риски
Ошибка 1. «Мы всё знаем» — и не проверяем
Наиболее распространённая ошибка — уверенность в том, что все ИСПДн уже известны. На практике в организациях с 500+ сотрудниками обычно существуют «теневые» системы: департаменты развёртывают облачные сервисы самостоятельно, разработчики оставляют тестовые среды с реальными данными, бухгалтерия хранит выгрузки в Excel на сетевой папке.
Ошибка 2. Документы составляются один раз и не обновляются
Паспорт ИСПДн, составленный при внедрении системы, устаревает при первом же обновлении или добавлении новых интеграций. Без процесса актуализации документы расходятся с реальностью нарастающим образом.
Ошибка 3. Уровень защищённости определяется «с запасом»
Некоторые организации намеренно завышают уровень защищённости, считая это «безопасным». Это влечёт избыточные требования к СЗИ и неоправданные затраты. Обратное — занижение — приводит к недостаточным мерам защиты и реальным рискам.
Ошибка 4. Паспорт описывает «идеальную» систему, а не реальную
В паспорте указывается СЗИ, которое «должно быть» установлено, но фактически ещё не внедрено. Или версия ПО, которую планировали обновить полгода назад. Паспорт должен фиксировать текущее состояние, а не желаемое.
Ошибка 5. Данные о числе субъектов берутся из «головы»
«У нас около пяти тысяч клиентов» — это не основание для записи в документе. Необходима актуальная выборка из СУБД. Погрешность «на глаз» может быть на порядок и более.
Ошибка 6. Игнорирование тестовых сред и резервных копий
Тестовые базы данных с реальными ПДн — типичная «серая зона». С точки зрения 152-ФЗ они являются такой же ИСПДн, как и продуктивная система. Требование о раздельном хранении ПДн (согласно Приказу Роскомнадзора № 140) распространяется на резервные копии и DR-системы [14].
Часть 7. Как меняется ситуация с развитием ИТ-ландшафта
Динамика ИТ-среды как постоянный вызов
Традиционный подход к документированию ИСПДн подразумевал относительно стабильный ИТ-ландшафт: несколько хорошо известных систем, понятный состав данных, минимум интеграций. Современная реальность иная.
Развитие микросервисной архитектуры, API-интеграций, облачных сервисов и Low-code платформ приводит к тому, что ИТ-ландшафт меняется ежемесячно. Новые поля в базах данных, новые коннекторы к внешним сервисам, новые подрядчики с доступом к данным — всё это создаёт постоянный поток изменений, за которыми документация не успевает.
По наблюдениям участников рынка, к 2025–2026 годам автоматизация задач DPO (Data Protection Officer) стала одной из центральных тем в профессиональном сообществе: инвентаризация данных, ведение документации, управление согласиями [15].
Роль автоматизации
Регулярные конференции по защите ПДн в России (ИТ-форум ITSEC 2024–2025) фиксируют устойчивый тренд: переход от ручных процессов к инструментальным [16]. Компании с развитой инфраструктурой всё чаще внедряют инструменты класса DCAP (Data-Centric Audit and Protection) и DAG (Data Access Governance) для автоматического обнаружения данных в системах.
Требования к раздельному хранению ПДн (Приказ Роскомнадзора № 140, 2024) дополнительно усиливают потребность в точном знании того, где какие данные хранятся и как они связаны между собой [14].
Часть 8. Пятый фактор: автоматизированная инвентаризация как основа точной документации
Описанная проблема — расхождение между документацией и реальностью — является одной из ключевых в практике защиты ПДн. Именно её решает платформа «Пятый фактор».
Это on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: СУБД, файловых хранилищах, почтовых серверах, Active Directory/LDAP, CRM, 1С, API.
Ключевая особенность подхода — работа исключительно с метаданными, структурой и агрегатами, без передачи и хранения «сырых» значений ПДн. Это означает, что платформа сама по себе не создаёт новый источник риска: она позволяет видеть, где и какие персональные данные обрабатываются, не извлекая их из систем.
Для задачи формирования паспорта ИСПДн и перечня ИСПДн это означает практически следующее:
Обнаружение ИСПДн: платформа автоматически сканирует инфраструктуру и выявляет системы, содержащие ПДн, — включая те, о которых «никто не знал».
Актуальная карта данных: система формирует живую картину того, где и какие данные есть, кто владелец, что изменилось. Вместо одноразовой инвентаризации — непрерывный мониторинг.
Раннее обнаружение изменений: новые поля в базах данных, новые интеграции, новые источники данных фиксируются автоматически — до того, как они превратятся в незадокументированный риск.
Ускорение аудита: вместо недель ручного обследования — актуальный срез за минуты. Это принципиально меняет скорость подготовки к проверкам Роскомнадзора и плановым аудитам ИБ.
Таким образом, Пятый фактор закрывает именно ту «серую зону», где паспорт ИСПДн превращается из «документа, написанного со слов» в документ, основанный на фактических данных.
Что делать дальше
Паспорт ИСПДн и перечень ИСПДн — не просто комплаенс-документы. Это инструменты управления рисками, и их качество прямо пропорционально качеству инвентаризации, на которой они основаны.
Несколько практических выводов:
Начните с честной ревизии. Проверьте, когда последний раз обновлялся перечень ИСПДн и паспорта. Если с момента последнего обновления прошло больше 12 месяцев или в компании появились новые системы — документация, скорее всего, устарела.
Используйте данные, а не опросы. Любое утверждение в документе должно иметь источник: результат сканирования, выборку из СУБД, схему от разработчика. «Со слов» — не источник.
Выстраивайте процесс, а не разовое мероприятие. Инвентаризация должна быть непрерывной или как минимум регулярной. Одноразовый аудит устаревает в день завершения.
Учитывайте «тёмные данные». Тестовые среды, резервные копии, архивные базы, файловые хранилища — все они могут содержать ПДн и требовать включения в документацию.
Смотрите на изменения как на сигнал. Новая интеграция, новый подрядчик, новый модуль в ERP — каждое такое событие потенциально означает изменение в картине ПДн и требует ревизии документов.
В условиях оборотных штрафов, начавших действовать с мая 2025 года, цена неактуальной документации резко возросла. Компании, выстроившие непрерывный контроль над своим ИТ-ландшафтом в части ПДн, имеют принципиальное преимущество: они видят риски до инцидента, а не после него.
Источники
[1] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — https://www.consultant.ru/legalnews/28492/
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_61801/
[3] Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн» — https://regulhub.kaspersky.ru/laws/fz-152
[4] Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — https://base.garant.ru/70252506/
[5] Нормативные документы по защите персональных данных — полный пакет по 152-ФЗ, Б-152 — https://b-152.ru/docs
[6] Перечень информационных систем персональных данных: назначение документа, Legal-Box — https://legal-box.ru/152fz-docs
[7] Технический паспорт информационных систем персональных данных, FreshDoc — https://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/other/tehnicheskij_pasport_ISPDn/
[8] Обработка персональных данных: изменения с 30.05.2025, Правовест Аудит — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnykh-dannykh-s-30-maya-2025-goda/
[9] В 2025 г. шесть компаний получили штрафы за утечки — в 2026 г. штрафов будет больше, ComNews — https://www.comnews.ru/content/243497/2026-01-29/2026-w05/1008/2025-g-shest-kompaniy-poluchili-shtrafy-za-utechki-2026-g-shtrafov-budet-bolshe
[10] Штрафы за утечку персональных данных: Россия на восьмом месте в мире, CNews — https://safe.cnews.ru/news/line/2026-01-29_shtrafy_za_utechku_personalnyh
[11] Руководство по защите персональных данных: 152-ФЗ, DTF/U4i.Online — https://dtf.ru/flood/3979074-zashchita-personalnykh-dannykh-152-fz-lokalizatsiya
[12] Технический паспорт информационной (автоматизированной) системы, Контур.Норматив — https://normativ.kontur.ru/document?moduleId=44&documentId=45914
[13] Как выполнить требования 152-ФЗ, StaffCop — https://www.staffcop.ru/blog/kak-vypolnit-trebovaniya-152-fz-zakona-o-personalnykh-dannykh/
[14] Как работать с персональными данными в 2025 году, РБК Компании — https://companies.rbc.ru/news/BSZ231iAod/kak-rabotat-s-personalnyimi-dannyimi-v-2025-godu-izmeneniya-s-1-sentyabrya/
[15] Будущее персональных данных: новые правила, новые вызовы, itsec.ru — https://www.itsec.ru/news/future-of-personal-data-new-rules-new-challenges
[16] Защита персональных данных в 2025 году: ключевые практики и вызовы, itsec.ru — https://www.itsec.ru/news/zashchita-personalnykh-dannykh-v-2025-godu-klyuchevyye-praktiki-i-vyzovy
[17] ИСПДн и уровни защищённости персональных данных, Selectel — https://selectel.ru/blog/personal-info-is/
[18] Уровни защищённости персональных данных в ИСПДн — таблица и классификация, Data-sec.ru — https://data-sec.ru/personal-data/protection-level/