Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации


Скачать 247.79 Kb.
Название Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации
Тип Инструкция
rykovodstvo.ru > Инструкция по эксплуатации > Инструкция




Приложение

к приказу МВД России

от . .2011 № ___


Инструкция

по защите персональных данных,

содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации


  1. Общие положения

  1. Настоящая инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации1, разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ
    «О персональных данных»2, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации, а также нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных, методическими документами уполномоченных органов Российской Федерации в области безопасности3, противодействия техническим разведкам и технической защиты информации4, по защите прав субъектов ПДн5

  2. Настоящая Инструкция определяет обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных6, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации, порядок выполнения мероприятий по защите ПДн, в том числе при трансграничной передаче, а также устанавливает методы и способы защиты информации в информационных системах персональных данных7 органов внутренних дел Российской Федерации.

В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

  1. В соответствии с пунктом 1 статьи 3 Федерального закона
    от 27 июля 2006 г. № 152-ФЗ «О персональных данных» под ПДн понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

  2. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научно-исследовательские и иные учреждения МВД России, созданные в установленном законодательством Российской Федерации порядке для реализации задач, возложенных на органы внутренних дел Российской Федерации1, являются операторами ПДн, если они самостоятельно или совместно с другими подразделениями МВД России организуют и (или) осуществляют обработку ПДн, а также определяют цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

В случаях, если реализацию мер по организации и обработке ПДн в ИСПДн необходимо возложить на разные подразделения МВД России, вопросы разграничения полномочий отражаются в инструкции по вводу в эксплуатацию соответствующей информационной системы.

  1. Вопросы обработки биометрических ПДн2 в ИСПДн
    МВД России определяются отдельной инструкцией, разрабатываемой в рамках создания (модернизации) ИСПДн.




  1. Права и обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных




  1. Координацию и контроль в сфере защиты ПДн, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации, осуществляет Департамент информационных технологий, связи и защиты информации МВД России3, являющийся единым координирующим и контролирующим органом в системе МВД России по вопросам защиты ПДн при их автоматизированной обработке.

ДИТСиЗИ МВД России также осуществляет:

взаимодействие по вопросам защиты ПДн при их автоматизированной обработке с Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности, ФСБ России, ФСТЭК России, Роскомнадзором и другими федеральными органами исполнительной власти по вопросам информационной безопасности в установленном порядке;

разработку проектов нормативных правовых актов и методических документов по защите ПДн при их автоматизированной обработке и осуществление контроля за их выполнением;

методическое руководство в проведении классификации ИСПДн и создании системы защиты ПДн в информационных системах;

согласование проектов технических требований (заданий, проектов) на создание (модернизацию) ИСПДн;

ведение учета ИСПДн МВД России;

анализ состояния работы по защите ПДн при их автоматизированной обработке в МВД России, оценка ее эффективности и выработка предложений по ее совершенствованию;

участие в проведении расследований по незаконному использованию ПДн, а также по установленным фактам несанкционированного доступа1 к ПДн, обрабатываемым в ИСПДн, компьютерных атак и воздействия компьютерных вирусов на ИСПДн;

централизованную методологическую и консультационную помощь подразделениям МВД России с целью выполнения мер по защите ПДн при их автоматизированной обработке, а также принимает непосредственное участие в организации проведения соответствующих мероприятий.

  1. Руководители подразделений МВД России, являющиеся операторами ПДн, обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательством Российской Федерации, иными нормативными правовыми актами и методическими документами по защите ПДн, при их автоматизированной обработке, в части их касающейся, в том числе:

планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;

конфиденциальность, целостность и доступность ПДн;

организацию взаимодействия подразделений, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн, защиту ПДн;

определение должностных обязанностей лицам, ответственным за организацию обработки ПДн и за эксплуатацию ИСПДн;

организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн;

планирование и организацию проведения занятий по изучению требований нормативных правовых актов и методических документов по вопросам обеспечения безопасности ПДн, а также ежегодную проверку их знаний;

направление уведомлений об обработке ПДн, в случаях определенных законодательством Российской Федерации;

представление в управление защиты информации
ДИТСиЗИ МВД России (по подчиненности) предложений по текущему и перспективному планированию потребностей подразделений МВД России, эксплуатирующих ИСПДн, в средствах защиты информации, антивирусной защиты на очередной год и обобщенных данных по их использованию за прошедший год.

Руководители подразделений МВД России могут издавать локальные правовые акты и методические документы по вопросам обработки ПДн в пределах своей компетенции.

  1. Ответственность за организацию работ и соблюдение требований по защите ПДн, при их автоматизированной обработке, возлагается на следующих должностных лиц:

руководителей подразделений МВД России, являющихся операторами ИСПДн;

руководителей структурных подразделений1, осуществляющих обработку ПДн с использованием средств автоматизации;

руководителей подразделений по технической защите информации, в части обеспечения защиты ПДн от НСД и утечки по техническим каналам;

сотрудников, назначенных в установленном порядке ответственными в подразделении МВД России (структурном подразделении): за организацию обработки ПДн, за эксплуатацию ИСПДн, за обеспечение безопасности ПДн, при их обработке в ИСПДн;

администраторов безопасности, системных и сетевых администраторов программно-технических комплексов, на которых организуется обработка ПДн, а также администраторов баз и банков данных ИСПДн;

сотрудников, уполномоченных на обработку ПДн в ИСПДн.

Обязанности и ответственность указанных лиц должны быть отражены в соответствующих должностных инструкциях.

  1. Сотрудники, федеральные государственные гражданские служащие и работники2 органов внутренних дел Российской Федерации осуществляют обработку ПДн в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», другими нормативными правовыми актами и методическими документами в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение установленных требований по защите ПДн.

  2. В органах внутренних дел Российской Федерации с сотрудниками, допущенными в установленном порядке к обработке ПДн, в рамках служебной подготовки должны проводиться занятия по изучению требований нормативных правовых актов Российской Федерации, ведомственных нормативных правовых актов, других руководящих документов по вопросам обеспечения безопасности ПДн граждан.




  1. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке




  1. Работы по обеспечению безопасности ПДн включаются в разрабатываемый план работы подразделения МВД России в установленном порядке, применяемом в системе МВД России.

  2. Организация работ по созданию и эксплуатации объектов информатизации, содержащих ИСПДн, и их систем защиты информации3 осуществляется в соответствии с положениями Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)1, Временным наставлением по технической защите информации в органах внутренних дел Российской Федерации и внутренних войсках Министерства внутренних дел Российской Федерации, утвержденным приказом МВД России от 5 июля 2001 г. № 0292, методическими документами в области обеспечения безопасности информации и соответствующими государственными стандартами.

  3. При обработке ПДн в ИСПДн должно быть обеспечено3:

проведение мероприятий, направленных на предотвращение несанкционированного доступа4 к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

своевременное обнаружение фактов НСД к ПДн;

недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

постоянный контроль за обеспечением уровня защищенности ПДн.

  1. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя5:

определение угроз безопасности ПДн, при их обработке в ИСПДн, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты персональных данных6, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

проверку готовности средств защиты информации7 к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию СрЗИ в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих СрЗИ, применяемые в ИСПДн, правилам работы с ними;

учет применяемых СрЗИ, эксплуатационной и технической документации к ним, носителей ПДн;

учет лиц, допущенных к работе с ПДн в ИСПДн;

контроль за соблюдением условий использования СрЗИ предусмотренной эксплуатационной и технической документацией;

разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СрЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание СЗПДн.

  1. В ИСПДн защите от несанкционированного доступа и утечки по техническим каналам подлежат:

персональные данные субъектов персональных данных;

ПДн сотрудников подразделений МВД России и членов их семей;

технологическая информация;

программно-технические средства обработки;

средства защиты ПДн;

каналы информационного обмена и телекоммуникации;

объекты и помещения, в которых размещены компоненты ИСПДн.

  1. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования.

СЗПДн включает в себя организационные и технические меры, СрЗИ, средства предотвращения НСД, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в ИСПДн информационные технологии.

Разработка и внедрение СЗПДн может осуществляться специализированными организациями, имеющими оформленные в установленном порядке лицензии на соответствующий вид деятельности.

  1. Обработка ПДн в создаваемых (модернизируемых) ИСПДн разрешается только после завершения работ по созданию СЗПДн, проверке ее функционирования и вводе в эксплуатацию ИСПДн в установленном порядке.

  2. Аттестация ИСПДн по требованиям безопасности информации проводится в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации1, Временным наставлением по технической защите информации, соответствующими распоряжениями МВД России и методическими рекомендациями.

За организацию работ по аттестации объектов информатизации, имеющих в своем составе ИСПДн, отвечает подразделение по технической защите информации (должностное лицо, назначенное ответственным за техническую защиту информации), за выполнение мероприятий по подготовке объекта к аттестации отвечает руководитель подразделения МВД России (структурного подразделения), эксплуатирующего ИСПДн.

  1. В ИСПДн запрещается обрабатывать информацию с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.

  2. ИСПДн, обрабатывающие ПДн, должны иметь в своем составе сертифицированные по требованиям безопасности СрЗИ.

  3. Выбор и реализация методов и способов защиты информации в ИСПДн осуществляется в соответствии с методическими документами ФСТЭК России1 на основе определяемых угроз безопасности ПДн (модели угроз и модели нарушителя) и в зависимости от класса ИСПДн.

  4. Класс ИСПДн определяется в соответствии с приказом
    ФСТЭК России, ФСБ России и Мининформсвязи России
    от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

  5. Классификация ИСПДн проводится оператором (заказчиком) ПДн на этапе их создания или в ходе эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем, изменения состава обрабатываемых ПДн) с целью установления методов и способов защиты информации, для обеспечения необходимого уровня безопасности ПДн.

  6. Для проведения классификации ИСПДн, определения категорий ПДн и экспертной оценки угроз их безопасности приказом руководителя подразделения МВД России назначается комиссия, в состав которой включаются представители структурного подразделения, эксплуатирующего ИСПДн, а также специалисты подразделений по защите информации.

Результаты классификации ИСПДн оформляются актом (приложение № 1 к настоящей Инструкции).

Копия акта направляется в ДИТСиЗИ МВД России (для территориальных подразделений МВД России – через соответствующие структурные подразделения, осуществляющие функции в сфере информационных технологий, связи и защиты информации).

  1. При изменении класса ИСПДн необходимо в течение месяца письменно сообщить об этом в уполномоченный орган2
    (ДИТСиЗИ МВД России), который осуществляет ведение реестра операторов ПДн (осуществляет учет ИСПДн) в соответствии с разделом V настоящей Инструкции.

  2. Определение угроз безопасности ПДн и разработка модели угроз и модели нарушителя осуществляется в соответствии методическими документами ФСТЭК России и ФСБ России.

  3. Доступ к ПДн, обрабатываемым в ИСПДн, оформляется только тем подразделениям и должностным лицам, которым он предусмотрен в соответствии с их положением о подразделении МВД России (структурном подразделении) и должностными обязанностями.

Доступ к ПДн осуществляется в установленном порядке на основании списков, утвержденных руководителем подразделения
МВД России.

  1. Для каждой ИСПДн разрабатываются (ведутся) следующие документы:

модель угроз и модель нарушителя (только для специальных ИСПДн);

перечень защищаемых информационных ресурсов в ИСПДн (приложение № 2 к настоящей Инструкции);

список должностных лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных обязанностей (приложение № 3 к настоящей Инструкции);

матрица доступа к ИСПДн;

описание технологического процесса обработки информации в ИСПДн;

перечень разрешенного к использованию в ИСПДн программного обеспечения;

перечень помещений, в которых осуществляется обработка ПДн, с указанием лиц, доступ которым в данные помещения разрешен;

список лиц, ответственных за обеспечение безопасности ПДн и за разработку, проведение мероприятий, направленных на выполнение требований по защите информации;

техническое задание на создание (модернизацию) СЗПДн (раздел в техническом задании на создание (модернизацию) ИСПДн);

технический проект СЗПДн (раздел в техническом проекте ИСПДн);

должностные обязанности лица, ответственного за обеспечение безопасности ПДн;

должностные обязанности администратора безопасности ИСПДн1;

должностные обязанности администратора ИСПДн2;

инструкция пользователю ИСПДн;

инструкция по резервному копированию информации, содержащей ПДн;

инструкция по парольной защите;

инструкция по проведению антивирусного контроля;

инструкция о порядке удаления (изменения) персонифицированных записей из (в) ИСПДн;

инструкция о порядке проведения технического обслуживания ИСПДн;

инструкция по организации работы с материальными носителями биометрических персональных данных;

журнал учета машинных носителей информации (приложение № 5 к настоящей Инструкции);

журнал учёта персональных идентификаторов и паролей (приложение № 6 к настоящей Инструкции);

журнал учета обращений субъектов ПДн о выполнении их законных прав при обработке ПДн в ИСПДн (приложение № 7 к настоящей Инструкции);

журнал учета уничтожения (стирания) ПДн (приложение № 8 к настоящей Инструкции);

журнал проведения инструктажей по обеспечению безопасности ПДн;

журнал проверки исправности технических средств и технического обслуживания.

Для объекта информатизации, имеющего в своем составе ИСПДн, разрабатывается инструкция о внутриобъектовом режиме в соответствии с положениями Временного наставления по технической защите информации.

Перечень разрабатываемых документов может быть уточнен и изменен (дополнен, сокращен) по результатам обследования ИСПДн. Форма акта обследования приведена в приложении № 4 к настоящей Инструкции.

Документы, содержащие единые требования для нескольких ИСПДн, независимо от подразделения МВД России (структурного подразделения), ее эксплуатирующего, разрабатываются подразделением МВД России (структурным подразделением), к компетенции которого относится данное направление деятельности. Отдельные документы, могут разрабатываться в рамках проведения научно-исследовательских и опытно-конструкторских работ.

Указанные в настоящем пункте организационно-распорядительные документы, если не определено иное, подписываются руководителем подразделения, ответственного за эксплуатацию ИСПДн, согласовываются с подразделением, осуществляющим функции в сфере информационных технологий, связи и защиты информации (подразделением по технической защите информации, должностным лицом, ответственным за техническую защиту информации) и утверждаются руководителем подразделения
МВД России.

  1. Учет, хранение и обращение с машинными носителями ПДн, (магнитные, оптические, электронные носители информации), резервными копиями специального программного обеспечения и программного обеспечения СрЗИ осуществляется в порядке, установленном для носителей информации «Для служебного пользования».

  2. Обработка ПДн в ИСПДн, предусматривающая их трансграничную передачу, осуществляется с учетом положений международных договоров Российской Федерации и нормативных правовых актов Российской Федерации в сфере международного информационного обмена.

Принимаемые меры по защите ПДн в ИСПДн при их трансграничной передаче должны быть определены в рабочей конструкторской документации и инструкции по эксплуатации данной ИСПДн.

  1. Для обеспечения сохранности информационных ресурсов ИСПДн производится резервное копирование.

Порядок и периодичность проведения резервного копирования и восстановления информации, а также места хранения резервных копий, определяется отдельной инструкцией, разрабатываемой подразделением, непосредственно осуществляющим резервное копирование совместно с подразделением, отвечающим за эксплуатацию ИСПДн.

  1. Передача компонентов ИСПДн на утилизацию производится с демонтированными машинными носителями информации.

  2. Машинные носители информации уничтожаются в установленном порядке1 с составлением акта об уничтожении.

Уничтожение немашинных носителей ПДн (бумажные носители, бланки и т.д.) производится способом, исключающим дальнейшую обработку этих данных, с составлением акта об уничтожении.

Акты на уничтожение носителей информации составляются применительно к форме № 12 Инструкции по обеспечению режима секретности в органах внутренних дел Российской Федерации, утвержденной приказом МВД России от 15 марта 2005 г. № 015.


  1. Организация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации




  1. При создании (модернизации) и эксплуатации ИСПДн организуется разрешительная система доступа разработчиков, пользователей, эксплуатирующего персонала к техническим и программным средствам ИСПДн, а также к ПДн и информационным ресурсам ИСПДн.

  2. Пользователям предоставляется право работать только с теми средствами и ресурсами, которые необходимы им для выполнения должностных обязанностей.

  3. Полномочия разработчиков, пользователей и эксплуатирующего персонала на доступ к ПДн и ресурсам ИСПДн устанавливаются оператором ИСПДн (заказчиком ИСПДн) и отражаются в техническом задании на создание (модернизацию) ИСПДн.

  4. Регистрация пользователей ИСПДн осуществляется оператором ПДн на основании письменного обращения (заявки) руководителя подразделения МВД России, с указанием сведений о сотрудниках, которым необходимо предоставить доступ к ПДн и объема полномочий по обработке ПДн.

Руководитель подразделения МВД России, являющегося оператором ПДн, направляет руководителям подразделений МВД России, представивших заявки, перечень учетных записей (логинов) и их идентификаторов (паролей) зарегистрированных пользователей ИСПДн. Указанным сведениям присваивается пометка «для служебного пользования».

  1. Список должностных лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных обязанностей и матрица доступа к ИСПДн, определяющая права доступа должностных лиц к ИСПДн, утверждается приказом руководителя подразделения МВД России.

Для изменения состава пользователей, имеющих право работы с ИСПДн, в подразделение МВД России, являющееся оператором ПДн, направляется заявка на регистрацию, исключение или перерегистрацию пользователей.

В случае увольнения (перевода) пользователя ИСПДн (администратора безопасности ИСПДн, администратора ИСПДн) руководитель подразделения МВД России информирует об этом письменно подразделение МВД России, являющееся оператором ПДн в течение суток после даты издания соответствующего приказа.

  1. В подразделении, эксплуатирующим ИСПДн, ответственным за обеспечение безопасности ПДн (администратором безопасности ИСПДн) ведется журнал учета персональных идентификаторов и паролей1, которому при заполнении присваивается пометка «для служебного пользования».

Журнал учета паролей хранится у ответственного за обеспечение безопасности ПДн (администратора безопасности ИСПДн) в опечатываемом сейфе (металлическом шкафу). Он несет персональную ответственность за сохранность журнала и содержащихся в нем сведений.

Журнал учета паролей хранится один год после заполнения, затем уничтожается в установленном порядке2.

  1. В случае увольнения (перевода) должностного лица, имевшего непосредственный доступ к журналу учета паролей, все пароли должны быть изменены в течение месяца.

  2. Изменение паролей осуществляется ответственным за обеспечение безопасности ПДн (администратором безопасности ИСПДн).

Для этих целей предусматривается формирование следующих уровней паролей:

пароль первого уровня для администрирования СрЗИ ИСПДн;


пароль второго уровня для системного администратора и администраторов баз и банков данных;

пароль третьего уровня для пользователей ИСПДн.

Запрещается работа пользователей ИСПДн с правами системного администратора, администратора баз и банков данных или администратора безопасности ИСПДн.

  1. Длина пароля должна быть не менее:

для паролей первого и второго уровней 8 буквенно-цифровых символов. Смена производиться не реже одного раза в квартал, а также в случае увольнения (перевода) сотрудника;

для паролей третьего уровня 6 буквенно-цифровых символов. Смена производиться не реже одного раза в год, а также в случае увольнения (перевода) сотрудника.

  1. Пароли формируются ответственным за обеспечение безопасности ПДн (администратором безопасности ИСПДн) с помощью соответствующего сертифицированного программного обеспечения.

Пароли и идентификаторы выдаются пользователю ответственным за обеспечение безопасности ПДн (администратором безопасности ИСПДн) под роспись в Журнале учета паролей. При этом необходимо обеспечить конфиденциальность других паролей (невозможность визуального просмотра), к которым данный пользователь не имеет отношения.

Выданные пользователям пароли могут записываться на учтенных носителях информации. В этом случае эти носители информации подлежат хранению в сейфе пользователя, опечатанном его личной печатью.

  1. Учетная запись (логин) составляется из буквенно-цифровых обозначений, состоящих из не менее семи знаков и включающих в себя краткое наименование подразделение МВД России, номера АРМ ИСПДн и номера пользователя (при многопользовательском режиме обработки ПДн), например: «giz1400-1», «giz1400-2».

  2. Запрещается устанавливать в качестве логина и пароля фамилию, имя или отчество пользователя, даты рождения, слова «admin», «administrator» или аналогичные им.

  3. В ИСПДн и сетевом оборудовании перед вводом в эксплуатацию должны быть сменены все логины и пароли, в том числе установленные при проведении пуско-наладочных, ремонтных (восстановительных) работ и работ по авторскому надзору.

  4. В случае утраты пароля необходимо:

работу на АРМ ИСПДн немедленно прекратить;

доложить о происшествии (по подчиненности) руководителю подразделения МВД России, являющегося оператором ПДн данной ИСПДн;

произвести немедленную смену пароля.

По решению руководителя подразделения МВД России по факту утраты пароля проводится служебная проверка в установленном порядке.

  1. Для ИСПДн, эксплуатирующихся до введения в действие настоящей Инструкции, может быть предусмотрен упрощенный вариант доработки (модернизации) СЗПДн, разрешительной системы доступа, переоформления организационно-распорядительной, технологической и эксплуатационной документации. Для такого рода объектов информатизации разрабатывается программа аттестационных испытаний с целью проверки ее соответствия установленным требованиям.



  1. Порядок включения в реестр подразделений МВД России в качестве оператора ПДн и ведения учета ИСПДн




  1. ИСПДн, эксплуатирующиеся в подразделениях МВД России, подлежат включению в реестр операторов осуществляющих обработку ПДн, ведение которого осуществляется в соответствии с приказом Министерства связи и массовых коммуникаций Российской Федерации
    от 30 января 2010 г. № 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных».

  2. Уведомление об обработке (намерении осуществлять обработку) ПДн направляются в соответствии с приказом Роскомнадзора
    от 19 августа 2011 г. № 706 «Об утверждении рекомендаций по ее заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

Данное уведомление оформляется подразделением МВД России, являющимся оператором ПДн, и направляется в территориальный орган Роскомнадзора.

  1. Подразделение МВД России, являющееся оператором ПДн, имеет право обрабатывать ПДн без направления уведомления в уполномоченный орган по защите прав субъектов ПДн в случаях, предусмотренных пунктом 2 статьи 22 Федерального закона
    от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

ИСПДн, в отношении которых уведомление в уполномоченный орган по защите прав субъектов ПДн не направляется, подлежат учету в ДИТСиЗИ МВД России. Соответствующее уведомление, разрабатываемое по форме, установленной для других ИСПДн, направляется подразделением МВД России в ДИТСиЗИ МВД России в месячный срок после введения в эксплуатацию данной ИСПДн.


  1. Контроль обеспечения безопасности персональных данных




  1. Целью контроля является обеспечение соблюдения подразделениями МВД России требований руководящих документов по обеспечению безопасности ПДн при их обработке в ИСПДн.

  2. Задачами контроля являются:

установление фактического положения дел в подразделении
МВД России в сфере обеспечения безопасности ПДн при их обработке в ИСПДн;

выявление проблемных вопросов в организации обеспечения безопасности ПДн;

недопущение неблагоприятного развития ситуации по соблюдению прав субъектов ПДн;

выработка мер по оказанию методической и практической помощи подразделениям МВД России;

повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.

  1. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в автоматизированных информационных системах органов внутренних дел Российской Федерации оценивается при проведении государственного контроля и надзора1, а также по линии ведомственного контроля не реже одного раза в два года.

  2. Контроль и надзор за соответствием обработки ПДн требованиям законодательства Российской Федерации в области ПДн осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 2.

  3. Проверка вопросов обеспечения безопасности ПДн при их автоматизированной обработке по линии ведомственного контроля в подразделениях МВД России осуществляется в ходе зонального и особого контроля при проведении инспектирования, контрольных проверок, комплексных и целевых выездов подразделениями, осуществляющими функции в сфере информационных технологий, связи и защиты информации.




1 Далее – «Инструкция».

2 Собрание законодательства Российской Федерации,  2006,  № 31,  ст.3451;  2009,  № 48,  ст.5716;  № 52,
ст. 6439; 2010, № 27, ст. 3407, № 31, ст. 4173; ст. 4196, № 49, ст. 6409; 2011, № 23, ст. 3263, № 31, ст.4701.

3 Далее – «ФСБ России».

4 Далее – «ФСТЭК России».

5 Далее – «Роскомнадзор».

6 Далее – «ПДн».

7 Далее – «ИСПДн».

1 Далее – «подразделения МВД России».

2 Под биометрическими ПДн понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

3 Далее – «ДИТСиЗИ МВД России».

1 Далее – «НСД».

1 Здесь и далее под структурными подразделениями понимаются подразделения (управления, центры, отделы, отделения, группы), входящие в состав самостоятельных структурных подразделений центрального аппарата МВД России, территориальных органов МВД России, органов, организаций и подразделений системы МВД России в соответствии с их типовыми структурами.

2 Далее – «Сотрудники».

3 Далее – «СЗИ».

1 Утверждены приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. № 282.

2 Далее – «Временное наставление по технической защите информации».

3 Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Опубликовано в Российской газете, № 260, 21.11.2007.

4 Далее – «НСД».

5 Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Опубликовано в Российской газете, № 260, 21.11.2007.

6 Далее – «СЗПДн».

7 Далее – «СрЗИ».

1 Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

1 Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

2 Управление Роскомнадзора по субъекту Российской Федерации, на территории которого находится соответствующее подразделение МВД России.

1 Администратор безопасности – субъект доступа, ответственный за защиту ИСПДн от несанкционированного доступа к информации.

2 Администратор ИСПДн (системный администратор, программист) – лицо, отвечающее за эксплуатацию системы и поддерживающее в работоспособном состоянии.


1 Путем механического разрушения или гарантированным стиранием информации в специальных устройствах, сертифицированных по требованиям безопасности информации.

1 Далее – «Журнал учета паролей».

2 Инструкция по документационному обеспечению управления в системе органов внутренних дел Российской Федерации, утвержденная приказом МВД России от 4 декабря 2006 г. № 987.

1 Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

2 Постановление Правительства Российской Федерации от 6 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».

Приказ Роскомнадзора России от 1 декабря 2009 г. № 630 «Об утверждении Административного регламента проведения проверок федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».


Похожие:

Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Овсянниковского сельского поселения распоряжени е
Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Мероприятия и документы по защите персональных данных
Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Настоящая инструкция разработана в соответствии с требованиями
Правительства Российской Федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Руководство пользователя по обеспечению безопасности информационной...
Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon О мерах, направленных на обеспечение безопасности
Постановлением Правительства Российской Федерации от 01. 11. 2012 n 1119 "Об утверждении требований к защите персональных данных...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Об организации и проведении работ по обеспечению безопасности персональных...
Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Приказ о назначении ответственного лица в области обработки и защиты...
Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Обработки персональных данных и реализуемых требованиях к защите персональных данных
Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Инструкция по организации антивирусной защиты информационных систем...
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Инструкция пользователей и технология обработки персональных данных...
Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Администрация Егорлыкского района Ростовской области постановление
Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Обработке в информационных системах персональных данных
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Положение по организации и проведению работ по обеспечению безопасности...
Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Утверждено
«Основы законодательства Российской Федерации об охране здоровья граждан», а также Постановления Правительства Российской Федерации...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Инструкция по работе ответственного за обеспечение безопасности персональных...
Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение...
Инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации icon Методические рекомендации по проведению проверки деятельности информационных...
Российской Федерации надзора за соблюдением законности в деятельности отделов статистики информационных центров органов внутренних...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск