Законодательные требования
Оператор в соответствии со ст. 19 Федерального закона №152-ФЗ «О персональных данных» обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн.
Согласно ч.2 ст.19 152-ФЗ, обеспечение безопасности ПДн достигается за счет выполнения следующих мероприятий:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учет машинных носителей персональных данных;
6) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Безопасность ПДн при их обработке в информационной системе обеспечивается с помощью системы защиты ПДн, нейтрализующей актуальные угрозы.
Система защиты персональных данных
Система защиты ПДн разрабатывается оператором в соответствии с требованиями Постановления правительства РФ №1119 и включает в себя организационные и технические меры защиты.
Выбор средств защиты для системы защиты ПДн осуществляется оператором в соответствии с нормативными правовыми актами ФСБ и ФСТЭК России. Документ, определяющий состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн — Приказ ФСТЭК России №21.
Согласно Приказу ФСТЭК №21, выбор мер по обеспечению безопасности ПДн включает:
1) определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с приложением к Приказу ФСТЭК №21;
2) адаптацию базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
3) уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к Приказу ФСТЭК №21, в результате чего определяются меры по обеспечению безопасности ПДн, направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы;
4) дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации.
Стоит отметить, что выбор и реализация вышеуказанных мер потребуют от оператора специальных знаний и умений, а также временных и финансовых затрат.
Наши услуги
Наши специалисты помогут вам:
- определить объект защиты;
- составить перечень обрабатываемых ПДн и определить уровень их защищенности;
- определить и описать основные характеристики и конфигурацию ИСПДн;
- оценить соответствие системы защиты ПДн требованиям ФСБ и ФСТЭК;
- оценить эффективность технических и организационных мер по обеспечению безопасности ПДн;
- подобрать и интегрировать в существующую инфраструктуру недостающие средства защиты ПДн.
Обратитесь к нам
Мы поможем вам обеспечить техническую защиту ПДн и выполнить требования законодательства с минимальными затратами.
Перед разработкой или оптимизацией системы защиты ПДн рекомендуем вам пройти аудит соответствия.
Просто напишите нам письмо на почту или позвоните по контактам в конце страницы.