Мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах ПДн включают в себя:
определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса информационных систем;
проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;
учет лиц, допущенных к работе с ПДн в информационной системе;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
Методами и способами защиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации;
разграничение доступа пользователей к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей, контроль несанкционированного доступа и действий пользователей;