|
|
@@ -0,0 +1,41 @@
|
|
|
+**Меры по обеспечению безопасности персональных данных при их обработке**
|
|
|
+
|
|
|
+\1. Оператор при обработке персональных данных обязан принимать
|
|
|
+
|
|
|
+необходимые правовые, организационные и технические меры или обеспечивать
|
|
|
+
|
|
|
+их принятие для защиты персональных данных от неправомерного или случайного
|
|
|
+
|
|
|
+доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления,
|
|
|
+
|
|
|
+распространения персональных данных, а также от иных неправомерных действий в
|
|
|
+
|
|
|
+отношении персональных данных.
|
|
|
+
|
|
|
+\2. Обеспечение безопасности персональных данных достигается, в частности:
|
|
|
+
|
|
|
+\1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
|
|
|
+
|
|
|
+\2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
|
|
|
+
|
|
|
+\3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
|
|
|
+
|
|
|
+\4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
|
|
|
+
|
|
|
+\5) учетом машинных носителей персональных данных;
|
|
|
+
|
|
|
+\6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
|
|
|
+
|
|
|
+\7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
|
|
|
+
|
|
|
+\8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
|
|
|
+
|
|
|
+\9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
|
|
|
+
|
|
|
+\3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
|
|
|
+
|
|
|
+\1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
|
|
|
+
|
|
|
+\2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
|
|
|
+
|
|
|
+\3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
|
