В соответствии с законом «О персональных данных», а именно частью первой статьи 19, в отношении персональных данных, обрабатываемых в организации, необходимо применять технические и организационные меры защиты от несанкционированного, в том числе и случайного, доступа посторонних лиц, модификации, копирования, распространения, уничтожения и других несанкционированных действий.
Организационные меры включают в себя:
- разработку и внедрение в организации пакета локальной организационно-распорядительной документации, регламентирующей порядок обработки и защиты персональных данных, ознакомление с документами сотрудников и ответственных лиц;
- введение физической охраны территории, внедрение систем видеонаблюдения, охранной сигнализации, усиление дверей и замков в помещения, установку решеток на окна первого и последнего этажей здания;
- организацию хранения материальных носителей ПДн в сейфах, металлических запираемых шкафах;
- внедрение пропускной системы на территорию организации и в помещения, в которых хранятся и/или обрабатываются ПДн, установление контролируемой зоны;
- обучение, периодическое повышение квалификации сотрудников, ответственных за организацию системы защиты ПДн, проведение для всех сотрудников обзорных лекций, семинаров по вопросам обработки и защиты ПДн;
- проведение внешнего аудита или внутреннего контроля обработки ПДн на соответствие принятым в организации мерам, нормативным и локальным актам;
- организацию постоянного контроля защищенности персональных данных, работоспособности средств защиты, исполнения обязанностей ответственными сотрудниками;
- расследование инцидентов, связанных с нарушением безопасности ПДн, и привлечение виновных лиц к дисциплинарной, административной и другим видам ответственности и т.п.
Организационные меры являются наиболее действенными и, как правило, минимизируют вероятность реализации до 80% всех угроз безопасности обрабатываемых персональных данных. Оставшиеся угрозы перекрываются техническими мерами обеспечения информационной безопасности, которые могут включать в себя:
- программную или программно-техническую защиту от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест информационных систем персональных данных (ИСПДн);
- организацию безопасного межсетевого взаимодействия при подключении ИСПДн к локальным сетям общего пользования или к сети Интернет;
- применение систем шифрования ПДн при необходимости их передачи по открытым каналам связи, например, при обмене информацией между территориально удаленными филиалами или офисами через сеть Интернет;
- защиту ПДн, обрабатываемых в информационных системах, от вредоносного программного обеспечения, вирусов, троянов и т.д.
Важным моментом является тот факт, что все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, то есть сертифицированы ФСТЭК или ФСБ России. Данное требование устанавливается подпунктом «г» пункта 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1119.
