Согласно ст. 19 Закона №152-ФЗ обработка оператором персональных данных (ПДн) должна производиться с применением правовых, организационных и технических мер или с обеспечением их принятия с целью защиты ПДн от изменения, неправомерного или случайного доступа к ним, блокирования, уничтожения, предоставления, копирования, распространения ПДн, а также других неправомерных действий, относящихся к ПДн.

Организационные меры защиты ПДн включают в себя

определение перечня ПДн, которые подлежат защите;

определение круга лиц, которым необходим доступ к ПДн для выполнения своих служебных обязанностей;

назначение лица или группы лиц, ответственных за организацию и обеспечение безопасности ПДн;

разработку и внедрение на предприятии пакета организационно-распорядительной документации, определяющей порядок обработки и защиты ПДн;

разработку частной модели угроз;

классификацию информационных систем ПДн (ИСПДн);

разработку документов, которые определяют правила парольной и антивирусной защиты, резервного копирования, ремонта вычислительной техники и обновления ПО;

хранение бумажных и электронных носителей ПДн в надёжном хранилище (металлический шкаф или сейф);

расположение экранов мониторов, исключающее случайное или преднамеренное считывание информации посторонними лицами;

обязательное введение пароля (не менее 8 символов) для входа в компьютер;

формирование письменного запроса для передачи ПДн сторонним лицам и организациям с указанием законного основания для получения этих данных и цели их обработки.

Организационные меры перекрывают большую часть всех угроз безопасности обрабатываемых ПДн. Для минимизирования вероятности остальных угроз используются технические меры, предполагающие применение программно-аппаратных средств защиты информации. Если для обработки ПДн используются средства автоматизации, то технические меры защиты применяются в обязательном порядке. Для определения степени защиты и количества мер проводится предпроектное обследование информационных ресурсов организации.

Направления технической защиты

регистрация, учёт, управление доступом;

антивирусная защита и организация безопасного межсетевого взаимодействия при подключении к сетям общего пользования или к сети Интернет;

размещение, специальное оборудование, организация режима допуска и охрана помещений, в которых ведётся работа с ПДн;

обеспечение защиты от утечек по техническим каналам, обнаружение вторжений и применение систем шифрования при необходимости передачи ПДн по открытым каналам связи.

В соответствии с Требованиями к защите ПДн при их обработке в информационных системах ПДн, утвержденных Постановлением Правительства № 1119, все технические средства, которые используются для защиты ПДн, должны быть сертифицированы ФСТЭК или ФСБ России.