Меры по обеспечению безопасности персональных данных согласно Приказу ФСТЭК России: можно ли использовать другие меры кроме средств защиты информации?

Добрый день! Согласно пункту № 4 приказа ФСТЭК России от 18.02.2013 N 21, меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных. Таким образом, при нейтрализации актуальных угроз могут применяться как средства защиты информации, прошедших в установленном порядке процедуру оценки соответствия, так и другие меры защиты. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, не является обязательным даже при актуальных угрозах, однако их использование может увеличить эффективность защиты персональных данных.

В соответствии с пунктом 4 Приказа ФСТЭК России от 18.02.2013 N 21, меры по обеспечению безопасности персональных данных могут реализовываться при необходимости применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда такие средства необходимы для нейтрализации актуальных угроз безопасности персональных данных. Однако данный приказ не исключает возможности применения иных мер по нейтрализации актуальных угроз безопасности персональных данных. При выборе конкретных мер необходимо ориентироваться на ситуативные обстоятельства и принципы соотношения затрат и эффективности.

Да, при нейтрализации актуальных угроз безопасности персональных данных применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, не является обязательным, но может использоваться вместе с другими мерами. Решение о выборе мер принимается ответственным за обеспечение безопасности персональных данных лицом на основе анализа угроз и рисков безопасности. Для решения данного вопроса может понадобиться изучение положений нормативных актов, определяющих порядок обеспечения безопасности персональных данных в Российской Федерации, а также документов и материалов, подтверждающих актуальность угроз и рисков безопасности персональных данных в конкретном случае.

Для ответа на данный вопрос, необходимо проанализировать законодательство Российской Федерации в области защиты персональных данных, включая Приказ ФСТЭК России от 18.02.2013 N 21, а также учесть конкретные обстоятельства и контекст вопроса.

Согласно Приказу ФСТЭК России от 18.02.2013 N 21, при нейтрализации актуальных угроз безопасности персональных данных, меры по обеспечению безопасности реализуются в том числе путем применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. Таким образом, применение таких средств необходимо в случаях, когда они могут нейтрализовать актуальные угрозы безопасности персональных данных.

Однако, при этом не следует исключать другие меры по обеспечению безопасности персональных данных, если они также могут быть эффективны для нейтрализации угроз. Таким образом, наличие других мер по защите персональных данных (например, правильная организация и контроль доступа к персональным данным) не исключает необходимости применения соответствующих средств защиты информации, но также может быть необходимо для полной защиты персональных данных.

Таким образом, применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, может быть необходимо при нейтрализации актуальных угроз безопасности персональных данных, но не является единственной возможной мерой, и при необходимости могут быть использованы и другие меры по обеспечению безопасности персональных данных.

Статья 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".