# самостоятельная работа 2

# Выбор мер по обеспечению персональных данных

# Состав и содержание мер по обеспечению безопасности персональных данных

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности персональных данных;

- обеспечение целостности информационной системы и персональных данных;

- обеспечение доступности персональных данных;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

Управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.
Выбор мер защиты персональных данных осуществляется исходя из применения в ИСПДн средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных, включенных в модель угроз безопасности ИСПДн.

Правила и процедуры по реализации требований о защите персональных данных и мер защиты персональных данных в конкретной ИСПДн определяются в эксплуатационной документации на систему защиты персональных данных и организационно-распорядительных документах по защите персональных данных. 

Эксплуатационная документация на систему защиты персональных данных разрабатывается с учетом национальных стандартов и, как правило, включает руководства пользователей и администраторов, инструкцию по эксплуатации комплекса средств защиты информации и иных технических средств, описание технологического процесса обработки персональных данных, общее описание ИСПДн. 

Организационно-распорядительные документы по защите персональных данных включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором персональных данных для регламентации процедур защиты персональных данных в ИСПДн в ходе ее эксплуатации.
Состав работ:
- Выбор базового состава мер по обеспечению безопасности ПДн согласно Приказа ФСТЭК России от 18.02.2013 г. № 
- Адаптацию выбранного состава мер по обеспечению безопасности ПДн с учетом структурно-функциональных - характеристик ИСПДн, применяемых информационных технологий, особенностей функционирования ИСПДн.
- Уточнение выбранного состава мер по обеспечению безопасности ПДн с учетом актуальных угроз безопасности ПДн.
- Дополнение адаптированного состава мер по обеспечению безопасности ПДн мерами, установленными иными - нормативными актами в области обеспечения безопасности и защиты информации (если актуально для заказчика).
- Формирование требований к защите ПДн, обрабатываемых в ИСПДн.
Формирование требований к СЗПДн предполагает разработку технического задания на ее создание, которое включает:
- цель и задачи обеспечения защиты ПДн;
- требуемый уровень защищенности ПДн;
- требования к применяемым мерам и средствам защиты ПДн;
- стадии (этапы работ) создания СЗПДн;
- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты ПДн;
- требования к защите средств и систем, обеспечивающих функционирование ИСПДн;
- требования к защите ПДн при информационном взаимодействии с иными информационными системами и - информационно-телекоммуникационными сетями.
- Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, - выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от -выбранного уровня защищенности ПДн.

Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:

- Идентификацию и аутентификацию субъектов доступа и объектов доступа.
- Управление доступом субъектов доступа к объектам доступа.
- Ограничение программной среды.
- Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
- Регистрацию событий безопасности.
- Антивирусную защита.
- Обнаружение (предотвращение) вторжений.
- Контроль (анализ) защищенности ПДн.
- Обеспечение целостности ИСПДн и ПДн.
- Обеспечение доступности ПДн.
- Защиту среды виртуализации.
- Защиту технических средств.
- Защиту ИСПДн, ее средств, систем связи и передачи данных.
- Выявление инцидентов.
- Управление конфигурацией ИСПДн и системы защиты ПДн.

# Перечень мер по защите персональных данных
Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.

В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:

- установление ограничений по доступу персонала к личным сведениям;
- выбор ответственного за безопасность ПДн лица;
- составление и утверждение локальных документов;
- информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
- планирование правильного расположения рабочих мест;
- создание списков работников, которые могут находиться в помещениях с носителями ПДн;
- установление порядка уничтожения конфиденциальных сведений;
- интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.

### <h1 align="center">Список литературы</h1>
https://www.consultant.ru/document/cons_doc_LAW_146520/93a8513732506560f98071d0c59aed5f21e8f1d5/

https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html

https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/

https://data-sec.ru/personal-data/protect/