Согласно ст. 19 Закона №152-ФЗ обработка оператором персональных данных (ПДн) должна производиться с применением правовых, организационных и технических мер или с обеспечением их принятия с целью защиты ПДн от изменения, неправомерного или случайного доступа к ним, блокирования, уничтожения, предоставления, копирования, распространения ПДн, а также других неправомерных действий, относящихся к ПДн.
Организационные меры защиты ПДн включают в себя
определение перечня ПДн, которые подлежат защите;
определение круга лиц, которым необходим доступ к ПДн для выполнения своих служебных обязанностей;
назначение лица или группы лиц, ответственных за организацию и обеспечение безопасности ПДн;
разработку и внедрение на предприятии пакета организационно-распорядительной документации, определяющей порядок обработки и защиты ПДн;
разработку частной модели угроз;
классификацию информационных систем ПДн (ИСПДн);
разработку документов, которые определяют правила парольной и антивирусной защиты, резервного копирования, ремонта вычислительной техники и обновления ПО;
хранение бумажных и электронных носителей ПДн в надёжном хранилище (металлический шкаф или сейф);
расположение экранов мониторов, исключающее случайное или преднамеренное считывание информации посторонними лицами;
обязательное введение пароля (не менее 8 символов) для входа в компьютер;
формирование письменного запроса для передачи ПДн сторонним лицам и организациям с указанием законного основания для получения этих данных и цели их обработки.
Организационные меры перекрывают большую часть всех угроз безопасности обрабатываемых ПДн. Для минимизирования вероятности остальных угроз используются технические меры, предполагающие применение программно-аппаратных средств защиты информации. Если для обработки ПДн используются средства автоматизации, то технические меры защиты применяются в обязательном порядке. Для определения степени защиты и количества мер проводится предпроектное обследование информационных ресурсов организации.
Направления технической защиты
регистрация, учёт, управление доступом;
антивирусная защита и организация безопасного межсетевого взаимодействия при подключении к сетям общего пользования или к сети Интернет;
размещение, специальное оборудование, организация режима допуска и охрана помещений, в которых ведётся работа с ПДн;
обеспечение защиты от утечек по техническим каналам, обнаружение вторжений и применение систем шифрования при необходимости передачи ПДн по открытым каналам связи.
В соответствии с Требованиями к защите ПДн при их обработке в информационных системах ПДн, утвержденных Постановлением Правительства № 1119, все технические средства, которые используются для защиты ПДн, должны быть сертифицированы ФСТЭК или ФСБ России.