Меры по обеспечению безопасности персональных данных при их обработке в силу закона определены статьей 19 Федерального закона от 27.07.2006 г. №152-ФЗ "О персональных данных".
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных. Указанная оценка эффективности реализованных мер проводится не реже 1 раза в 3 года.
5. Учетом машинных носителей персональных данных.
6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Указанный контроль проводится не реже 1 раза в 3 года.
Оператор обязан в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.