Основная информация
Дата опубликования: | 06 июля 2012г. |
Номер документа: | 25488 |
Текущая редакция: | 4 |
Статус нормативности: | Нормативный |
Принявший орган: | МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РФ |
Раздел на сайте: | Нормативные правовые акты федеральных органов исполнительной власти |
Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
В201203491
В201203491
В201605170
ОПУБЛИКОВАНО:
РОССИЙСКАЯ ГАЗЕТА, 05.10.2012, N 230, СТР. 23
ЗАРЕГИСТРИРОВАНО В МИНИСТЕРСТВЕ ЮСТИЦИИ РФ 18.09.2012 ПОД N 25488
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
06.07.2012 N 678
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ
ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
<Изменения:
приказ Министерства внутренних дел РФ от 15.07.2013 N 538 ,
приказ Министерства внутренних дел РФ от 20.04.2015 N 447 ,
приказ Министерства внутренних дел РФ от 07.12.2016 N 807 >
В целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных при их автоматизированной обработке приказываю:
1. Утвердить прилагаемую Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации1.
___________________
1 - Далее - "Инструкция".
2. Начальникам подразделений центрального аппарата МВД России, руководителям (начальникам) территориальных органов МВД России, образовательных, научных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации:
<В ред.
приказа Министерства внутренних дел РФ от 20.04.2015 N 447 ,
приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
2.1. Организовать изучение сотрудниками, федеральными государственными гражданскими служащими и работниками органов внутренних дел Российской Федерации2 требований настоящей Инструкции в части, их касающейся.
___________________
2 - Далее - "органы внутренних дел".
2.2. Обеспечить реализацию положений настоящей Инструкции.
2.3. Утвердить перечень должностных лиц, уполномоченных на обработку персональных данных, содержащихся в информационных системах органов внутренних дел1.
___________________
1 - Далее - "информационная система персональных данных".
2.4. Провести в течение 2012 - 2013 годов мероприятия по организации защиты персональных данных, содержащихся в информационных системах персональных данных, в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"2 и с учетом объемов ассигнований, выделяемых МВД России по государственному оборонному заказу.
___________________
2 - Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".
<Сноска дана в ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
2.5. Обеспечить в срок до 30 ноября 2012 года сбор и представление в установленном порядке в ДИТСиЗИ МВД России сведений, указанных в части 3 статьи 22 Федерального закона N 152-ФЗ.
2.6. Принять меры по дальнейшему представлению в ДИТСиЗИ МВД России информации, указанной в подпункте 2.5 настоящего приказа, в случае ее изменения, а также прекращения обработки персональных данных, не позднее двух календарных дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
3. ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить:
<В ред.
приказа Министерства внутренних дел РФ от 15.07.2013 N 538 ,
приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
3.1. Ведение перечня информационных систем персональных данных.
3.2. Представление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций сведений об операторе в порядке, установленном Министерством связи и массовых коммуникаций Российской Федерации.
4. ДГСК МВД России (В.Л. Кубышко) совместно с ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить подготовку проведения курсов повышения квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты персональных данных на базе федерального государственного казенного образовательного учреждения высшего профессионального образования "Воронежский институт Министерства внутренних дел Российской Федерации".
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
5. Контроль за выполнением настоящего приказа возложить на заместителя Министра А.М. Махонова.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
Министр
генерал-лейтенант полиции
В. Колокольцев
Приложение
к приказу МВД России
от 06.07.2012 N 678
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
I. Общие положения
1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации1, разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"2, постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"3, иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
___________________
1 - Далее - "Инструкция".
2 - Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014; N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".
<Сноска в ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
3 - Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257.
<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных4, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных5, а также определяет обязанности должностных лиц.
___________________
4 - Далее - "ПДн".
5 - Далее - "ИСПДн" или "информационная система".
В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 6
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
_____________________
6 Зарегистрирован в Минюсте России 31 мая 2013 года, регистрационный N 28608. Российская газета, 2013, N 136.
<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >
3. Министерство внутренних дел Российской Федерации7 в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
___________________
7 - Далее - "МВД России".
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке1.
___________________
1 - Далее - "уполномоченное подразделение МВД России".
5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.
В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.
6. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научные, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации2, выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных3.
<В ред.
приказа Министерства внутренних дел РФ от 20.04.2015 N 447 ,
приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
___________________
2 - Далее - "подразделения МВД России".
3 - Далее - "подразделение-оператор ИСПДн".
II. Организация работ по обеспечению безопасности
персональных данных при их автоматизированной обработке
7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных4 осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.
___________________
4 - Далее - "СЗПДн".
8. Работы по обеспечению безопасности ПДн включаются в планирующие документы МВД России.
<В ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.
СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах <1>
___________________
<1> Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
10. Выбор средств защиты информации <2> для СЗПДн осуществляется в установленном порядке <3> подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
___________________
<2> Далее - "СрЗИ".
<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >
<3> Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован в Минюсте России 14 мая 2013 года, регистрационный N 28375; Российская газета, 2013, N 107).
<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >
11. Установление класса защищенности информационной системы <4> и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
___________________
<4> Приказ ФСТЭК России от 11 февраля 2013 г. N 17.
<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
14. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
18. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
III. Организация разрешительной системы доступа к ИСПДн
23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.
24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.
25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения-оператора ИСПДн.
26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
IV. Обязанности должностных лиц органов внутренних дел
Российской Федерации по защите персональных данных
27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:
планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;
защиту ПДн;
определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.
28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.
29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.
30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.
V. Контроль обеспечения безопасности персональных данных
31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
32. Задачами контроля являются:
установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;
выявление проблемных вопросов в организации обеспечения безопасности ПДн;
обеспечение соблюдения законодательства в сфере ПДн;
выработка мер по оказанию методической и практической помощи подразделениям МВД России;
повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.
33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
34. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
35. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
[введено: 27.09.2012 оператор НЦПИ - Дементьева Е.В.]
[проверено: 03.10.2012 редактор НЦПИ – Гудочкин Р.А.]
[ТРТ: 24.10.2013 юрист НЦПИ - Филина А. А.]
[ТРТ: 19.06.2015 юрист НЦПИ – Пушкарева И.Н.]
[ТРТ: 17.01.2017 юрист НЦПИ - Филина А. А.]
В201203491
В201203491
В201605170
ОПУБЛИКОВАНО:
РОССИЙСКАЯ ГАЗЕТА, 05.10.2012, N 230, СТР. 23
ЗАРЕГИСТРИРОВАНО В МИНИСТЕРСТВЕ ЮСТИЦИИ РФ 18.09.2012 ПОД N 25488
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
06.07.2012 N 678
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ
ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
<Изменения:
приказ Министерства внутренних дел РФ от 15.07.2013 N 538 ,
приказ Министерства внутренних дел РФ от 20.04.2015 N 447 ,
приказ Министерства внутренних дел РФ от 07.12.2016 N 807 >
В целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных при их автоматизированной обработке приказываю:
1. Утвердить прилагаемую Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации1.
___________________
1 - Далее - "Инструкция".
2. Начальникам подразделений центрального аппарата МВД России, руководителям (начальникам) территориальных органов МВД России, образовательных, научных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации:
<В ред.
приказа Министерства внутренних дел РФ от 20.04.2015 N 447 ,
приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
2.1. Организовать изучение сотрудниками, федеральными государственными гражданскими служащими и работниками органов внутренних дел Российской Федерации2 требований настоящей Инструкции в части, их касающейся.
___________________
2 - Далее - "органы внутренних дел".
2.2. Обеспечить реализацию положений настоящей Инструкции.
2.3. Утвердить перечень должностных лиц, уполномоченных на обработку персональных данных, содержащихся в информационных системах органов внутренних дел1.
___________________
1 - Далее - "информационная система персональных данных".
2.4. Провести в течение 2012 - 2013 годов мероприятия по организации защиты персональных данных, содержащихся в информационных системах персональных данных, в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"2 и с учетом объемов ассигнований, выделяемых МВД России по государственному оборонному заказу.
___________________
2 - Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".
<Сноска дана в ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
2.5. Обеспечить в срок до 30 ноября 2012 года сбор и представление в установленном порядке в ДИТСиЗИ МВД России сведений, указанных в части 3 статьи 22 Федерального закона N 152-ФЗ.
2.6. Принять меры по дальнейшему представлению в ДИТСиЗИ МВД России информации, указанной в подпункте 2.5 настоящего приказа, в случае ее изменения, а также прекращения обработки персональных данных, не позднее двух календарных дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
3. ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить:
<В ред.
приказа Министерства внутренних дел РФ от 15.07.2013 N 538 ,
приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
3.1. Ведение перечня информационных систем персональных данных.
3.2. Представление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций сведений об операторе в порядке, установленном Министерством связи и массовых коммуникаций Российской Федерации.
4. ДГСК МВД России (В.Л. Кубышко) совместно с ДИТСиЗИ МВД России (С.Н. Ляшенко) обеспечить подготовку проведения курсов повышения квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты персональных данных на базе федерального государственного казенного образовательного учреждения высшего профессионального образования "Воронежский институт Министерства внутренних дел Российской Федерации".
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
5. Контроль за выполнением настоящего приказа возложить на заместителя Министра А.М. Махонова.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
Министр
генерал-лейтенант полиции
В. Колокольцев
Приложение
к приказу МВД России
от 06.07.2012 N 678
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
I. Общие положения
1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации1, разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"2, постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"3, иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
___________________
1 - Далее - "Инструкция".
2 - Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014; N 23, ст. 2927; N 30, ст. 4217, ст. 4243. Далее - "Федеральный закон N 152-ФЗ".
<Сноска в ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
3 - Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257.
<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных4, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных5, а также определяет обязанности должностных лиц.
___________________
4 - Далее - "ПДн".
5 - Далее - "ИСПДн" или "информационная система".
В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 6
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
_____________________
6 Зарегистрирован в Минюсте России 31 мая 2013 года, регистрационный N 28608. Российская газета, 2013, N 136.
<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >
3. Министерство внутренних дел Российской Федерации7 в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
___________________
7 - Далее - "МВД России".
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке1.
___________________
1 - Далее - "уполномоченное подразделение МВД России".
5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.
В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.
6. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научные, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации2, выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных3.
<В ред.
приказа Министерства внутренних дел РФ от 20.04.2015 N 447 ,
приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
___________________
2 - Далее - "подразделения МВД России".
3 - Далее - "подразделение-оператор ИСПДн".
II. Организация работ по обеспечению безопасности
персональных данных при их автоматизированной обработке
7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных4 осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.
___________________
4 - Далее - "СЗПДн".
8. Работы по обеспечению безопасности ПДн включаются в планирующие документы МВД России.
<В ред. приказа Министерства внутренних дел РФ от 07.12.2016 N 807 >
9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.
СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах <1>
___________________
<1> Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
10. Выбор средств защиты информации <2> для СЗПДн осуществляется в установленном порядке <3> подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
___________________
<2> Далее - "СрЗИ".
<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >
<3> Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован в Минюсте России 14 мая 2013 года, регистрационный N 28375; Российская газета, 2013, N 107).
<Сноска введена приказом Министерства внутренних дел РФ от 15.07.2013 N 538 >
11. Установление класса защищенности информационной системы <4> и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
___________________
<4> Приказ ФСТЭК России от 11 февраля 2013 г. N 17.
<Сноска в ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
14. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
18. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
III. Организация разрешительной системы доступа к ИСПДн
23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.
24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.
25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения-оператора ИСПДн.
26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
IV. Обязанности должностных лиц органов внутренних дел
Российской Федерации по защите персональных данных
27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:
планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;
защиту ПДн;
определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.
28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.
29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.
30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.
V. Контроль обеспечения безопасности персональных данных
31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
32. Задачами контроля являются:
установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;
выявление проблемных вопросов в организации обеспечения безопасности ПДн;
обеспечение соблюдения законодательства в сфере ПДн;
выработка мер по оказанию методической и практической помощи подразделениям МВД России;
повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.
33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.
<В ред. приказа Министерства внутренних дел РФ от 15.07.2013 N 538 >
34. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
35. <Исключен: приказ Министерства внутренних дел РФ от 15.07.2013 N 538 >
[введено: 27.09.2012 оператор НЦПИ - Дементьева Е.В.]
[проверено: 03.10.2012 редактор НЦПИ – Гудочкин Р.А.]
[ТРТ: 24.10.2013 юрист НЦПИ - Филина А. А.]
[ТРТ: 19.06.2015 юрист НЦПИ – Пушкарева И.Н.]
[ТРТ: 17.01.2017 юрист НЦПИ - Филина А. А.]
Дополнительные сведения
Государственные публикаторы: | РОССИЙСКАЯ ГАЗЕТА № 230 от 05.10.2012 Стр. 23 |
Рубрики правового классификатора: | 120.030.060 Информация о гражданах (персональные данные), 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030), 160.020.080 Органы внутренних дел (см. также 020.010.040) |
Вопрос юристу
Поделитесь ссылкой на эту страницу: