Внутренней комиссией, образованной приказом Росреестра/ТО Росреестра, для каждой ИСПДн определяется перечень ПДн, уточняются цели и основание обработки ПДн, а также срок хранения и условия прекращения обработки.
Целью классификации ИС Росреестра/территориального органа Росреестра как ИСПДн с последующим определением требуемого уровня защищенности обрабатываемых в ней ПДн является определение по ее результатам перечня обоснованных организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн с учетом особенностей конкретной ИСПДн. Классификация может проводиться на этапе создания ИС или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИС).
Определение требуемого уровня защищенности ПДн осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Определение требуемого уровня защищенности ПДн проводится внутренней комиссией и включает в себя следующие этапы:
сбор и анализ исходных данных по ИС;
определение требуемого уровня защищенности ПДн и его документальное оформление.
При определении требуемого уровня защищенности ПДн при их обработке в ИСПДн внутренней комиссией определяется:
количество обрабатываемых ПДн;
категории обрабатываемых ПДн;
тип угроз безопасности.
Предложения комиссии по установлению определенного требуемого уровня защищенности ПДн согласовываются с оператором ИР ИСПДн.
Результаты определения требуемого уровня защищенности ПДн оформляются актом, утверждаемым руководителем Росреестра/ТО Росреестра. Сформированные материалы являются неотъемлемой частью организационно-распорядительной документации ИСПДн и относятся к информации конфиденциального характера. Оригиналы организационно-распорядительной документации ИСПДн хранятся в подразделении, ответственном за обеспечение безопасности ПДн.
Требуемый уровень защищенности ПДн может быть пересмотрен внутренней комиссией в случае изменения количества, категории или типа угроз ПДн, но не реже чем один раз в три года.