10.1. Безопасность персональных данных при их обработке в информационных системах персональных данных центрального аппарата (территориального органа) ФССП России, как являющихся, так и не являющихся подсистемами АИС ФССП России, обеспечивается при помощи системы защиты персональных данных, нейтрализующей актуальные угрозы безопасности персональных данных.
10.2. Меры по обеспечению безопасности персональных данных должны обеспечить надлежащий уровень безопасности с учетом соразмерности затрат на их реализацию и опасности угроз, обусловленных природой защищаемых данных и условиями их обработки.
10.3. ПДТК центрального аппарата ФССП России ежегодно до 1 марта производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", и предоставляет территориальным органам ФССП России заключение о предполагаемой опасности угроз безопасности персональных данных, обрабатываемых в подсистемах АИС ФССП России.
10.4. В целях определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении функций, возложенных на ФССП России, территориальные органы ФССП России ведут и поддерживают в актуальном состоянии техническую документацию на информационные системы персональных данных.
10.5. ФССП России в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 принимает организационные меры, необходимые для определения уровня защищенности персональных данных для информационных систем персональных данных, являющихся подсистемами АИС ФССП России, и выполнения требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
10.6. Выбор организационных и технических мер по защите персональных данных в подсистемах АИС ФССП России осуществляется подразделением по обеспечению информационной безопасности центрального аппарата ФССП России в соответствии с приказом ФСБ России от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (зарегистрирован Министерством юстиции Российской Федерации 18 августа 2014 года, регистрационный N 33620) и приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован Министерством юстиции Российской Федерации 31 мая 2013 года, регистрационный N 28608).
10.7. Реализация организационных и технических мер по защите информации в подсистемах АИС ФССП России, расположенных в территориальном органе ФССП России, осуществляется подразделением по обеспечению информационной безопасности территориального органа ФССП России. Реализация методов и способов защиты информации в подсистемах АИС ФССП России, расположенных в центральном аппарате ФССП России, организуется подразделением по обеспечению информационной безопасности центрального аппарата ФССП России.
10.8. Выбор и реализация организационных и технических мер по защите информации в информационных системах персональных данных центрального аппарата (территориального органа) ФССП России, не являющихся подсистемами АИС ФССП России, осуществляется подразделением по обеспечению информационной безопасности центрального аппарата (территориального органа) ФССП России.
10.9. Средства защиты информации, применяемые для реализации выбранных методов и способов защиты информации, в порядке, установленном законодательством о техническом регулировании, проходят процедуру оценки соответствия.
10.10. При обработке персональных данных в информационных системах персональных данных должна проводиться оценка эффективности принимаемых мер по обеспечению безопасности персональных данных, а также выполняться контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
10.11. До ввода в промышленную эксплуатацию информационной системы персональных данных лицом, ответственным за организацию обработки персональных данных в центральном аппарате (территориальном органе) ФССП России, организуются мероприятия по оценке и дается заключение об эффективности принимаемых мер по обеспечению безопасности персональных данных. В дальнейшем оценка эффективности проводится в рамках внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
10.12. На основании оценки эффективности ПДТК центрального аппарата (территориального органа) ФССП России принимает решение о пересмотре перечня угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных, являющихся подсистемами АИС ФССП России.
10.13. Подразделение по обеспечению информационной безопасности центрального аппарата (территориального органа) ФССП России организует и контролирует ведение учета материальных носителей персональных данных. Учет материальных носителей ведется подразделением, эксплуатирующим информационную систему персональных данных, по каждой информационной системе отдельно.
10.14. Подразделение по обеспечению информационной безопасности центрального аппарата (территориального органа) ФССП России осуществляет выявление и фиксацию фактов несанкционированного доступа к персональным данным, а также принятие мер по проверке и расследованию нарушений (инцидентов) информационной безопасности, в том числе с использованием программных, программно-аппаратных и технических средств.
10.15. Подразделение, осуществляющее сопровождение информационных систем в центральном аппарате (территориальном органе) ФССП России, обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.