Приказ № 21

Приказ ФСТЭК России от 18.02.2013 N 21 

«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Кого касается

  • Оператора осуществляющего обработку персональных данных
  • Лица, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации


Когда применяется


При обработке персональных данных в информационной системе персональных данных



Самое главное


Приказ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).



Сокращения и термины, используемые в НПА


Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)


Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств



Краткое изложение


Приказ ФСТЭК России № 21 разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»  


Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.


Выбор мер по обеспечению безопасности персональных данных зависит от уровней защищенности персональных данных.  


Определить уровень защищенности ПДн в организации можно исходя из постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119.


Оценка эффективности реализованных мер по обеспечению безопасности ПДн проводится не реже одного раза в 3 года. 


Оценка проводится оператором самостоятельно или с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.


Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах (ГИС) , принимаются в соответствии с Приказом ФСТЭК России N 17



Выбор мер по обеспечению безопасности ПДн, подлежащих реализации, включает:


  • определение базового набора мер по обеспечению безопасности ПДн;

  • адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы;

  • уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, для учета всех актуальных угроз безопасности;

  • дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, в соответствии с требованиями иных нормативных правовых актов.

Полная версия документа

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией

Оставьте заявку на  бесплатную консультацию