Да, акт определения требуемого уровня защищенности персональных данных при их обработке в информационной системе (ИСПДн) рассчитывается на основании 152-ФЗ «О персональных данных» и его подзаконных актов.

Какие нормативные документы учитываются?

1. Федеральный закон № 152-ФЗ «О персональных данных» – определяет общие требования к защите ПДн.
2. Постановление Правительства РФ от 01.11.2012 № 1119 – устанавливает уровни защищенности ИСПДн и порядок их определения.
3. Приказ ФСТЭК России от 18.02.2013 № 21 – содержит методику определения актуальных угроз безопасности персональных данных.
4. Приказ ФСБ России от 10.07.2014 № 378 – определяет требования к криптографическим средствам защиты.
5. Приказ ФСТЭК России от 11.02.2013 № 17 – устанавливает требования к защите ПДн в ИСПДн.

Как рассчитывается требуемый уровень защищенности?

Акт составляется на основе Постановления № 1119, которое устанавливает четыре уровня защищенности в зависимости от:

• Категории персональных данных (общедоступные, специальные, биометрические и т. д.).
• Количество субъектов персональных данных (чем больше, тем выше уровень).
• Типа обработки (автоматизированная, смешанная, неавтоматизированная).
• Формы собственности оператора (государственный, коммерческий и т. д.).
• Актуальных угроз (определяются по Приказу ФСТЭК № 21).

Вывод:
Да, акт определяется из требований 152-ФЗ и его подзаконных актов, в первую очередь Постановления № 1119, с учетом методик ФСТЭК и ФСБ.