МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 6 июля 2012 г. N 678
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ
ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
В целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных при их автоматизированной обработке приказываю:
1. Утвердить прилагаемую Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации <1>.
--------------------------------
<1> Далее - "Инструкция".
2. Начальникам подразделений центрального аппарата МВД России, руководителям (начальникам) территориальных органов МВД России, образовательных, научных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации:
2.1. Организовать изучение сотрудниками, федеральными государственными гражданскими служащими и работниками органов внутренних дел Российской Федерации <1> требований настоящей Инструкции в части, их касающейся.
--------------------------------
<1> Далее - "органы внутренних дел".
2.2. Обеспечить реализацию положений настоящей Инструкции.
2.3. Утвердить перечень должностных лиц, уполномоченных на обработку персональных данных, содержащихся в информационных системах органов внутренних дел <1>.
--------------------------------
<1> Далее - "информационная система персональных данных".
2.4. Провести в течение 2012 - 2013 годов мероприятия по организации защиты персональных данных, содержащихся в информационных системах персональных данных, в соответствии с требованиями Федерального закона
от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1> и с учетом объемов ассигнований, выделяемых МВД России по государственному оборонному заказу.
--------------------------------
<1> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".
2.5. Обеспечить в срок до 30 ноября 2012 года сбор и представление в установленном порядке в ДИТСиЗИ МВД России сведений, указанных в части 3 статьи 22 Федерального закона N 152-ФЗ.
2.6. Принять меры по дальнейшему представлению в ДИТСиЗИ МВД России информации, указанной в подпункте 2.5 настоящего приказа, в случае ее изменения, а также прекращения обработки персональных данных, не позднее двух календарных дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
3. ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить:
3.1. Ведение перечня информационных систем персональных данных.
3.2. Представление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций сведений об операторе в порядке, установленном Министерством связи и массовых коммуникаций Российской Федерации.
4. ДГСК МВД России (В.Л. Кубышко) совместно с ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить подготовку проведения курсов повышения квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты персональных данных на базе федерального государственного казенного образовательного учреждения высшего профессионального образования "Воронежский институт Министерства внутренних дел Российской Федерации".
5. Контроль за выполнением настоящего приказа возложить на заместителя Министра А.М. Махонова.
Министр
генерал-лейтенант полиции
В.КОЛОКОЛЬЦЕВ
Приложение
к приказу МВД России
от 06.07.2012 N 678
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
I. Общие положения
1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации <1>, разработана в соответствии с Федеральным законом
от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <2>, постановлением Правительства Российской Федерации
от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" <3>, иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.
--------------------------------
<1> Далее - "Инструкция".
<2> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014; N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".
<3> Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257.
2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных <1>, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных <2>, а также определяет обязанности должностных лиц.
--------------------------------
<1> Далее - "ПДн".
<2> Далее - "ИСПДн" или "информационная система".
В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю
от 11 февраля 2013 г. N 17 <1>.
--------------------------------
<1> Зарегистрирован в Минюсте России 31 мая 2013 года, регистрационный N 28608. Российская газета, 2013, N 136.
3. Министерство внутренних дел Российской Федерации <1> в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
--------------------------------
<1> Далее - "МВД России".
4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке <1>.
--------------------------------
<1> Далее - "уполномоченное подразделение МВД России".
5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.
В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.
6. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научные, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации <1>, выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных <2>.
--------------------------------
<1> Далее - "подразделения МВД России".
<2> Далее - "подразделение-оператор ИСПДн".
II. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке
7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных <1> осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.
--------------------------------
<1> Далее - "СЗПДн".
8. Работы по обеспечению безопасности ПДн включаются в планирующие документы МВД России.
9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.
СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах <1>.
--------------------------------
<1> - <2> Сноски исключены. - Приказ МВД России
от 15.07.2013 N 538.
<1> Постановление Правительства Российской Федерации
от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.
10. Выбор средств защиты информации <1> для СЗПДн осуществляется в установленном порядке <2> подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации
от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
--------------------------------
<1> Сноска исключена. - Приказ МВД России
от 15.07.2013 N 538.
<1> Далее - "СрЗИ".
<2> Приказ ФСТЭК России
от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован в Минюсте России 14 мая 2013 года, регистрационный N 28375; Российская газета, 2013, N 107).
11. Установление класса защищенности информационной системы <1> и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
--------------------------------
Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.
12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.
13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.
14. Исключен. - Приказ МВД России
от 15.07.2013 N 538.
15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
18. Исключен. - Приказ МВД России
от 15.07.2013 N 538.
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.
Абзац исключен. - Приказ МВД России
от 15.07.2013 N 538.
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.
III. Организация разрешительной системы доступа к ИСПДн
23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.
24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.
25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения-оператора ИСПДн.
26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
IV. Обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных
27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:
планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;
защиту ПДн;
определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.
28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.
29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.
30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.
V. Контроль обеспечения безопасности персональных данных
31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
32. Задачами контроля являются:
установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;
выявление проблемных вопросов в организации обеспечения безопасности ПДн;
обеспечение соблюдения законодательства в сфере ПДн;
выработка мер по оказанию методической и практической помощи подразделениям МВД России;
повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.
33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.
--------------------------------
<1> Сноска исключена. - Приказ МВД России
от 15.07.2013 N 538.
34 - 35. Исключены. - Приказ МВД России
от 15.07.2013 N 538.