Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей:
• организационные меры;
• средства защиты информации (в том числе шифровальные/криптографические) средства;
• средства предотвращения несанкционированного доступа;
• средства предотвращения утечки информации по техническим каналам;
• средства предотвращения программно-технических воздействий на технические средства обработки персональных данных).
Перечисленные выше меры и средства защиты персональных данных должны использоваться в комплексе и в рамках организации, работающей с персональными данными, должны формировать систему защиты персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
• определение модели угроз безопасности персональных данных при их обработке, формирование на их основе сценария угроз;
• разработку на основе сценария угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
• установку и ввод в эксплуатацию сертифицированных средств защиты информации в соответствии с эксплуатационной и технической документацией;
• описание реализованной системы защиты персональных данных;
• обучение лиц, использующих применяемые в информационных системах средства защиты информации, правилам работы с ними;
• учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
• учет лиц, допущенных к работе с персональными данными в информационной системе;
• контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• разбирательство и составление заключений по фактам несоблюдения условий хранения персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, вызывающим снижение уровня защищенности персональных данных.