ГлавнаяУслугиЗащита персональных данныхВыполнение требований законодательства по защите персональных данных

Выполнение требований законодательства по защите персональных данных

Для обеспечения защиты информационных систем персональных данных в соответствии с Российским законодательством в области защиты персональных данных, необходимо выполнить ряд организационных и технических мероприятий, начиная с разработки организационно-распорядительной документации, регулирующей порядок обработки, хранения и передачи персональных данных и заканчивая построением полноценной системы защиты персональных данных.

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает организационные меры для 1,2,3,4 уровней защищенности (УЗ), приведенные в Таблице №2.

Перечень мер защиты 1 УЗ 2 УЗ 3 УЗ 4 УЗ
Организовать режим обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих прав доступа в эти помещения + + + +
Обеспечить сохранность носителей ПДн + + + +
Утвердить перечень лиц, имеющих доступ к ПДн в рамках выполнения своих служебных обязанностей + + + +
Использовать сертифицированные СЗИ + + + +
Назначить приказом должностное лицо, ответственное за обеспечение безопасности ПДн в ИСПДн. + + +
Доступ к электронному журналу сообщении определить только лицам, которым необходимы сведения, содержащиеся в данном журнале для выполнения своих служебных обязанностей + +
Обеспечить автоматическую регистрацию в электронном журнале безопасности изменения полномочии сотрудника по доступу к ПДн в ИСПДн +
Создать структурное подразделение ответственное за обеспечение безопасности ПДн в ИСПДн или возложить эти функции по обеспечению безопасности ПДн в ИСПДн на одно из существующих структурных подразделении +

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» устанавливает для 1,2,3,4 уровней защищенности в зависимости от типа актуальных угроз (АУ) технические меры защиты персональных данных и определяет какие средства защиты информации должны использоваться для каждого уровня защищенности.

В зависимости от уровней защищенности и максимального типа актуальных угроз приведены в Таблице №3.

УЗ1 УЗ2 УЗ3 УЗ4
АУ1, АУ2 или АУ3 с ССОП АУ3 без подкл. к ССОП АУ1, АУ2 или АУ3 с ССОП АУ3 без подкл. к ССОП АУ2 АУ3 с подк. к ССОП АУ3 без подкл. к ССОП -
СВТ 5 класс СВТ 5 класс СВТ 5 класс СВ 6 класс СВТ
СОВ 4 класс СОВ и 4 НДВ 4 класс СОВ и 4 НДВ 4 класс СОВ и 4 НДВ 4 класс СОВ 5 класс СОВ 5 класс СОВ
САЗ 4 класс САЗ и 4 НДВ 4 класс САЗ и 4 НДВ 4 класс САЗ и 4 НДВ 4 класс САЗ 5 класс САЗ 5 класс САЗ
МЭ 3 класс МЭ и 4 НДВ 4 класс МЭ и 4 НДВ 3 класс МЭ и 4 НДВ 4 класс МЭ и 4 НДВ 3 класс МЭ и 4 НДВ 3 класс МЭ 4 класс МЭ 5 класс МЭ
Другие СЗИ Любое ТУ или 3Б и 4 НДВ Любое ТУ или 3Б и 4 НДВ Любое ТУ или 3Б и 4 НДВ Любое ТУ или 3Б Любое ТУ или 3Б
  • УЗ - уровень защищенности ИСПДн
  • МЭ - межсетевое экранирование
  • АУ -максимальный тип актуальных угроз
  • ССОП - сеть связи общего пользования (Интернет)
  • СОВ - средство обнаружения вторжении
  • СВТ - средство вычислительной техники