Приказ № 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21, и в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31
- О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21
Последние изменения
с 14 мая 2020
Действующая редакция
с 14 июня 2020
Описание приказа №21
Кого касается
- Оператора осуществляющего обработку персональных данных
- Лица, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации
Когда применяется
При обработке персональных данных в информационной системе персональных данных
Самое главное
Приказ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).
Сокращения и термины, используемые в НПА
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Краткое изложение
Приказ ФСТЭК России № 21 разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Выбор мер по обеспечению безопасности персональных данных зависит от уровней защищенности персональных данных.
Определить уровень защищенности ПДн в организации можно исходя из постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Оценка эффективности реализованных мер по обеспечению безопасности ПДн проводится не реже одного раза в 3 года.
Оценка проводится оператором самостоятельно или с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах (ГИС) , принимаются в соответствии с Приказом ФСТЭК России N 17
Выбор мер по обеспечению безопасности ПДн, подлежащих реализации, включает:
-
определение базового набора мер по обеспечению безопасности ПДн;
-
адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы;
-
уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, для учета всех актуальных угроз безопасности;
-
дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, в соответствии с требованиями иных нормативных правовых актов.
Меры по обеспечению безопасности персональных данных
