Со вступлением в силу Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» классификация информационной системы персональных данных (ИСПДн) была отменена, и было введено определение уровня защищенности (УЗ) персональных данных (ПДн). Под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн. Согласно ПП № 1119 определяется 4 УЗ ПДн. Для определения УЗ необходимо установить тип обрабатываемых ПДн, категорию и количество субъектов ПДн, тип актуальных угроз. Определение типа угроз безопасности персональных данных, актуальных для информационной системы ПДн, производится оператором ПДн.

Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» устанавливает правила для организаций в отношении порядка обработки и обеспечения конфиденциальности ПДн.

Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяет состав мероприятий, которые должны быть реализованы в зависимости от уровня защищенности ИСПДн для устранения актуальных угроз. Также документ содержит требования к сертификации применяемых средств защиты информации.

Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» определяет состав организационных и технических мер, которые необходимо реализовывать при применении в ИСПДн средств криптографической защиты информации. Документ также содержит требования к классу защиты СКЗИ в зависимости от уровня защищенности ПДн.

В случае с государственной информационной системой (ГИС), с 01 сентября 2013 года требования о защите информации, содержащейся в ГИС, определяются Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Данный Приказ определяет 4 класса защищенности ГИС, устанавливаемых в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы.