Оператор персональных данных при обработке персональных данных в информационной системе персональных данных (ИСПДн) обязан принимать меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Основные меры защиты персональных данных определены в ст.19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных":
- определение угроз безопасности персональных данных при их обработке в ИСПДн;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
- учет машинных носителей персональных данных (ЗНИ.1);
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер (ИНЦ.2);
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (ОДТ.5);
- установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн (УПД.1, УПД.2, УПД.4, УПД.5, УПД.6);
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.