Выбор мер защиты персональных данных для их реализации в информационной системе персональных данных (ИСПДн) осуществляется в ходе проектирования системы защиты персональных данных ИСПДн в соответствии с техническим заданием на создание ИСПДн и (или) техническим заданием (частным техническим заданием) на создание системы защиты персональных данных ИСПДн.
Выбор мер защиты персональных данных осуществляется исходя из уровня защищенности ИСПДн, определяющего требуемый уровень защищенности содержащейся в ней персональных данных, и типа актуальных угроз безопасности персональных данных, включенных в модель угроз безопасности ИСПДн, а также с учетом структурно-функциональных характеристик ИСПДн, к которым относятся структура и состав ИСПДн, физические, логические, функциональные и технологические взаимосвязи между сегментами ИСПДн, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в ИСПДн и в ее отдельных сегментах, а также иные характеристики ИСПДн, применяемые информационные технологии и особенности ее функционирования.
Выбор мер защиты персональных данных осуществляется исходя из применения в ИСПДн средств защиты информации, прошедших в
установленном порядке процедуру оценки соответствия, в случаях, когда применение таких
средств необходимо для нейтрализации актуальных угроз безопасности персональных данных, включенных в модель угроз безопасности ИСПДн.
Правила и процедуры по реализации требований о защите персональных данных и мер защиты персональных данных в конкретной ИСПДн определяются в эксплуатационной документации на систему защиты персональных данных и организационно-распорядительных документах по защите персональных данных.
Эксплуатационная документация на систему защиты персональных данных разрабатывается с учетом национальных стандартов и, как правило, включает руководства пользователей и администраторов, инструкцию по эксплуатации комплекса средств защиты информации и иных технических средств, описание технологического процесса обработки персональных данных, общее описание ИСПДн.
Организационно-распорядительные документы по защите персональных данных включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором персональных данных для регламентации процедур защиты персональных данных в ИСПДн в ходе ее эксплуатации.
Определение уровня защищенности персональных данных в ИСПДн.
Определение уровня защищенности персональных данных в ИСПДн.