12.1. Меры по обеспечению безопасности информации, содержащейся в информационных системах персональных данных основаны на требованиях ст. 18.1, ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами операторами, являющимся государственными и муниципальными органами", Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован в Минюстом России 14.05.2013, рег. N 28375).
12.2. Состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Депфина Югры в отношении обеспечения безопасности персональных данных, предусмотренных Федеральным законом РФ от 27 июля 2006 N 152-ФЗ "О персональных данных" определяются Депфином Югры самостоятельно, если иное не предусмотрено действующим законодательством в соответствии с определенными угрозами безопасности персональных данных, актуальных при обработке персональных данных в ИСПДн Депфина Югры, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
12.3. Меры по защите информации реализуются в СЗИ ИСПДн применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном уровнях.
Блокирование (нейтрализация) актуальных угроз безопасности информации, приведенных в модели угроз безопасности информации, может обеспечиваться одной или совокупностью мер по защите информации.
Содержание мер по защите информации, реализуемых в СЗИ ИСПДн определяется в зависимости от уровня защищенности ИСПДн.
12.4. Система защиты информации, реализуемая в ИСПДн, в зависимости от актуальных угроз безопасности информации и структурно-функциональных характеристик ИСПДн должна включать следующие меры по защите информации:
идентификацию и аутентификацию субъектов и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
обеспечение замкнутой программной среды;
регистрацию событий безопасности;
обеспечение целостности информации и программного обеспечения;
контроль использования съемных машинных носителей информации;
антивирусную защиту;
парольную защиту;