# Выбор мер по обеспечению персональных данных

# Выбор мер защиты персональных данных для реализации в информационной системе персональных данных в рамках системы защиты персональных данных 

Выбор мер защиты персональных данных для их реализации в информационной системе персональных данных (ИСПДн) осуществляется в ходе проектирования системы защиты персональных данных ИСПДн в соответствии с техническим заданием на создание ИСПДн и (или) техническим заданием (частным техническим заданием) на создание системы защиты персональных данных ИСПДн.

![](koln2.PNG)

# Определение угроз безопасности персональных данных при их обработке

![](koln1.PNG)

Угроза безопасности персональных данных – совокупность условий и факторов, которые создают опасности несанкционированного доступа к персональным данным. В результате они могут быть уничтожены, изменены, заблокированы, скопированы, предоставлены или распространены (ч. 11 ст. 19 Закона № 152-ФЗ). При определении угроз учитывается содержание персональных данных, характер и способ их обработки, а также другие факторы.

В зависимости от степени возможного вреда, который может быть причинен субъекту персональных данных, угрозы принято разделять на три основные группы:

    Угрозы 1 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в системном программном обеспечении;
    Угрозы 2 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в прикладном программном обеспечении;
    Угрозы 3 типа актуальны для информационных систем, не имеющих недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.

Под недекларированными возможностями подразумеваются возможности программного обеспечения (ПО), которые не описаны в сопровождающей его документации и не оговорены разработчиком такого ПО. Тем не менее, такие возможности могут быть использованы для несанкционированного доступа к информации, обрабатываемой при помощи такого ПО.

Определить угрозы безопасности персональных данных можно самостоятельно, однако адекватно оценить степень опасности того или иного фактора неподготовленному человеку достаточно проблематично, а зачастую невозможно. По этой причине для определения угроз желательно обратиться в специализированную организацию, имеющую лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России), выданную в порядке, установленном постановлением Правительства РФ от 03.02.2012 № 79.

Выявление типа этих угроз необходимо для выбора уровня защищенности, который следует обеспечить работодателю. Постановлением № 1119 предусмотрено 4 уровня защищенности. Первый из них предполагает самую низкую степень защиты, а четвертый – максимальную защиту персональных данных.

 Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от выбранного уровня защищенности ПДн.

Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:

  -  Идентификацию и аутентификацию субъектов доступа и объектов доступа.
  -  Управление доступом субъектов доступа к объектам доступа.
  -  Ограничение программной среды.
  - Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
  -  Регистрацию событий безопасности.
  -  Антивирусную защита.
  -  Обнаружение (предотвращение) вторжений.
  -  Контроль (анализ) защищенности ПДн.
  -  Обеспечение целостности ИСПДн и ПДн.
  -  Обеспечение доступности ПДн.
  -  Защиту среды виртуализации.
  - Защиту технических средств.
  - Защиту ИСПДн, ее средств, систем связи и передачи данных.
  - Выявление инцидентов.
  - Управление конфигурацией ИСПДн и системы защиты ПДн.
![](koln3.PNG)

# Преимущества

Полученный состав мер по обеспечению безопасности ПДн позволяет сформировать Техническое задание на создание СЗПДн, с учетом требований ГОСТ и методических документов ФСТЭК России. 

### <h1 align="center">Список литературы</h1>

https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html
https://wikisec.ru/images/f/f6/%D0%A0%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%B0_%D0%BC%D0%B5%D1%80_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%9F%D0%94%D0%BD.pdf
https://its.1c.ru/db/stafft/content/34557/hdoc
https://data-sec.ru/personal-data/protection-level/
https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/
https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/sredstva-obespecheniya-bezopasnosti-personalnyh-dannyh/