4.1. С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператором должны быть установлены уровни защищенности персональных данных ИС.
4.2. В целях обеспечения безопасности персональных данных определяются угрозы безопасности, оценивается актуальность угроз безопасности персональных данных. В результате разрабатывается модель угроз безопасности персональных данных. Модель угроз безопасности персональных данных корректируется при изменении состава основных технических средств и условий эксплуатации ИС персональных данных.
4.3. Установка, изменение (обновление) и удаление программного обеспечения в ИС персональных данных производится администратором информационной безопасности ИС персональных данных или в его присутствии.
4.4. Доступ лиц к ИС персональных данных, не допущенных к работе с персональными данными, должен быть исключен. ИС персональных данных должны быть защищены аппаратными и (или) программными средствами защиты информации от несанкционированного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
4.5. Обработка персональных данных в ИС осуществляется с использованием средств защиты информации в соответствии с установленными требованиями нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности информации.
4.6. Охрана помещений, в которых ведется работа с персональными данными, и организация режима безопасности в этих помещениях должна обеспечивать сохранность технических средств и носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Все носители персональных данных должны быть учтены с помощью их маркировки, а их учетные данные занесены в журнал учета с отметкой об их выдаче (приеме).
4.7. В целях обеспечения безопасности персональных данных должны быть разработаны организационно-распорядительные и организационно-методические документы по обеспечению безопасности персональных данных, обрабатываемых в ИС:
перечень информационных систем персональных данных;
перечень должностей служащих, замещение которых предусматривает осуществление обработки персональных данных;
список лиц, допущенных к соответствующим персональным данным;
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к их защите;
инструкция об организации пропускного и внутриобъектового режима управления;
инструкция по антивирусной защите в управлении;
инструкция резервного копирования информации, содержащей персональные данные;
инструкция учета машинных носителей информации, содержащих персональные данные;
инструкция ответственного по обеспечению безопасности персональных данных;
инструкция администратора информационной безопасности информационных систем персональных данных;
другие организационно-распорядительные документы по обеспечению безопасности персональных данных, обрабатываемых в информационных системах.
4.8. Лица, уполномоченные осуществлять обработку персональных данных, несут ответственность за соблюдение требований по защите персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации.