ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ



В201203491

В201203491

В201605170

ОПУБЛИКОВАНО:

РОССИЙСКАЯ ГАЗЕТА, 05.10.2012, N 230, СТР. 23

ЗАРЕГИСТРИРОВАНО В МИНИСТЕРСТВЕ ЮСТИЦИИ РФ 18.09.2012 ПОД N 25488

МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

06.07.2012 N 678

ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ

ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,

СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ

ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

<Изменения:

приказ Министерства внутренних дел РФ от 15.07.2013 N 538 ,

приказ Министерства внутренних дел РФ от 20.04.2015 N 447 ,

приказ Министерства внутренних дел РФ от 07.12.2016 N 807 >

В целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных при их автоматизированной обработке приказываю:

1. Утвердить прилагаемую Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации1.

___________________

1 - Далее - "Инструкция".

2. Начальникам подразделений центрального аппарата МВД России, руководителям (начальникам) территориальных органов МВД России, образовательных, научных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации:

<В ред.

приказа Министерства внутренних дел РФ от 20.04.2015 N 447 ,

приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >

2.1. Организовать изучение сотрудниками, федеральными государственными гражданскими служащими и работниками органов внутренних дел Российской Федерации2 требований настоящей Инструкции в части, их касающейся.

___________________

2 - Далее - "органы внутренних дел".

2.2. Обеспечить реализацию положений настоящей Инструкции.

2.3. Утвердить перечень должностных лиц, уполномоченных на обработку персональных данных, содержащихся в информационных системах органов внутренних дел1.

___________________

1 - Далее - "информационная система персональных данных".

2.4. Провести в течение 2012 - 2013 годов мероприятия по организации защиты персональных данных, содержащихся в информационных системах персональных данных, в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"2 и с учетом объемов ассигнований, выделяемых МВД России по государственному оборонному заказу.

___________________

2 - Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".

<Сноска дана в ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >

2.5. Обеспечить в срок до 30 ноября 2012 года сбор и представление в установленном порядке в ДИТСиЗИ МВД России сведений, указанных в части 3 статьи 22 Федерального закона N 152-ФЗ.

2.6. Принять меры по дальнейшему представлению в ДИТСиЗИ МВД России информации, указанной в подпункте 2.5 настоящего приказа, в случае ее изменения, а также прекращения обработки персональных данных, не позднее двух календарных дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

3. ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить:

<В ред.

приказа Министерства внутренних дел РФ от 15.07.2013 N 538 ,

приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >

3.1. Ведение перечня информационных систем персональных данных.

3.2. Представление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций сведений об операторе в порядке, установленном Министерством связи и массовых коммуникаций Российской Федерации.

4. ДГСК МВД России (В.Л. Кубышко) совместно с ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить подготовку проведения курсов повышения квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты персональных данных на базе федерального государственного казенного образовательного учреждения высшего профессионального образования "Воронежский институт Министерства внутренних дел Российской Федерации".

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

5. Контроль за выполнением настоящего приказа возложить на заместителя Министра А.М. Махонова.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

Министр

генерал-лейтенант полиции

В. Колокольцев

Приложение

к приказу МВД России

от 06.07.2012 N 678

ИНСТРУКЦИЯ

ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,

СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ

ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

I. Общие положения

1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации1, разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"2, постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"3, иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

___________________

1 - Далее - "Инструкция".

2 - Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014; N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".

<Сноска в ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >

3 - Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257.

<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных4, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных5, а также определяет обязанности должностных лиц.

___________________

4 - Далее - "ПДн".

5 - Далее - "ИСПДн" или "информационная система".

В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 6

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

_____________________

6 Зарегистрирован в Минюсте России 31 мая 2013 года, регистрационный N 28608. Российская газета, 2013, N 136.

<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >

3. Министерство внутренних дел Российской Федерации7 в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

___________________

7 - Далее - "МВД России".

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке1.

___________________

1 - Далее - "уполномоченное подразделение МВД России".

5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.

В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.

6. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научные, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации2, выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных3.

<В ред.

приказа Министерства внутренних дел РФ от 20.04.2015 N 447 ,

приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >

___________________

2 - Далее - "подразделения МВД России".

3 - Далее - "подразделение-оператор ИСПДн".

II. Организация работ по обеспечению безопасности

персональных данных при их автоматизированной обработке

7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных4 осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.

___________________

4 - Далее - "СЗПДн".

8. Работы по обеспечению безопасности ПДн включаются в планирующие документы МВД России.

<В ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >

9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.

СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах <1>

___________________

<1> Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

10. Выбор средств защиты информации <2> для СЗПДн осуществляется в установленном порядке <3> подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

___________________

<2> Далее - "СрЗИ".

<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >

<3> Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован в Минюсте России 14 мая 2013 года, регистрационный N 28375; Российская газета, 2013, N 107).

<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >

11. Установление класса защищенности информационной системы <4> и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.

___________________

<4> Приказ ФСТЭК России от 11 февраля 2013 г. N 17.

<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

14. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >

15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.

16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.

17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.

18. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >

19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.

20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.

Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.

21. Для каждой ИСПДн предусматривается ведение следующих журналов:

учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;

учета и выдачи машинных носителей ПДн;

проведения инструктажей по обеспечению безопасности ПДн;

проверки исправности технических средств и технического обслуживания.

22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.

Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

III. Организация разрешительной системы доступа к ИСПДн

23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.

24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.

25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения-оператора ИСПДн.

26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.

При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.

IV. Обязанности должностных лиц органов внутренних дел

Российской Федерации по защите персональных данных

27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:

планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;

конфиденциальность, целостность и доступность ПДн;

организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;

защиту ПДн;

определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;

организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.

28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.

29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.

30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.

V. Контроль обеспечения безопасности персональных данных

31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

32. Задачами контроля являются:

установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;

выявление проблемных вопросов в организации обеспечения безопасности ПДн;

обеспечение соблюдения законодательства в сфере ПДн;

выработка мер по оказанию методической и практической помощи подразделениям МВД России;

повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.

33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.

<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >

34. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >

35. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >

[введено:     27.09.2012 оператор НЦПИ - Дементьева Е.В.]

[проверено: 03.10.2012 редактор НЦПИ – Гудочкин    Р.А.]

[ТРТ:            24.10.2013 юрист      НЦПИ -  Филина      А. А.]

[ТРТ:            19.06.2015 юрист      НЦПИ – Пушкарева  И.Н.]

[ТРТ:            17.01.2017 юрист      НЦПИ -  Филина       А. А.]