Приказ МВД РФ от 6 июля 2012 г. № 678 “Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации”
В целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных при их автоматизированной обработке - приказываю:
1. Утвердить прилагаемую Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации*(1).
2. Начальникам подразделений центрального аппарата МВД России (за исключением Главного командования внутренних войск МВД России), руководителям (начальникам) территориальных органов МВД России, образовательных учреждений, научно-исследовательских, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации:
2.1. Организовать изучение сотрудниками, федеральными государственными гражданскими служащими и работниками органов внутренних дел Российской Федерации*(2) требований настоящей Инструкции в части, их касающейся.
2.2. Обеспечить реализацию положений настоящей Инструкции.
2.3. Утвердить перечень должностных лиц, уполномоченных на обработку персональных данных, содержащихся в информационных системах органов внутренних дел*(3).
2.4. Провести в течение 2012 - 2013 годов мероприятия по организации защиты персональных данных, содержащихся в информационных системах персональных данных, в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»*(4) и с учетом объемов ассигнований, выделяемых МВД России по государственному оборонному заказу.
2.5. Обеспечить в срок до 30 ноября 2012 года сбор и представление в установленном порядке в ДИТСиЗИ МВД России сведений, указанных в части 3 статьи 22 Федерального закона № 152-ФЗ.
2.6. Принять меры по дальнейшему представлению в ДИТСиЗИ МВД России информации, указанной в подпункте 2.5 настоящего приказа, в случае ее изменения, а также прекращения обработки персональных данных, не позднее двух календарных дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
3. ДИТСиЗИ МВД России (М.Л. Тюркину) обеспечить:
3.1. Ведение перечня информационных систем персональных данных.
3.2. Представление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций сведений об операторе в порядке, установленном Министерством связи и массовых коммуникаций Российской Федерации.
4. ДГСК МВД России (В.Л. Кубышко) совместно с ДИТСиЗИ МВД России (М.Л. Тюркиным) обеспечить подготовку проведения курсов повышения квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты персональных данных на базе федерального государственного казенного образовательного учреждения высшего профессионального образования «Воронежский институт Министерства внутренних дел Российской Федерации».
5. Контроль за выполнением настоящего приказа возложить на заместителя Министра С.А. Герасимова.
Министр генерал-лейтенант полиции |
В. Колокольцев |
______________________________
*(1) Далее - «Инструкция».
*(2) Далее - «органы внутренних дел».
*(3) Далее - «информационная система персональных данных».
*(4) Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716: № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; № 52, ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701. Далее - «Федеральный закон № 152-ФЗ».
Зарегистрировано в Минюсте РФ 18 сентября 2012 г.
Регистрационный № 25488
Приложение
к приказу МВД РФ
от 6 июля 2012 г. № 678
Инструкция
по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации
I. Общие положения
1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации*(1), разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»*(2), постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»*(3), иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.
2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных*(4), содержащихся в информационных системах органов внутренних дел Российской Федерации, в том числе полученных при трансграничной передаче, устанавливает методы и способы защиты информации в информационных системах персональных данных*(5), а также определяет обязанности должностных лиц.
В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
3. Министерство внутренних дел Российской Федерации*(6) в соответствии с Федеральным законом № 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке*(7).
5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.
В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.
6. Подразделения центрального аппарата МВД России (за исключением Главного командования внутренних войск МВД России), территориальные органы МВД России, образовательные учреждения, научно-исследовательские, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации*(8), выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных*(9).
II. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке
7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных*(10) осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.
8. Работы по обеспечению безопасности ПДн включаются в План основных организационных мероприятий МВД России (планы работ подразделений МВД России), а также в План научного обеспечения деятельности органов внутренних дел и внутренних войск МВД России.
9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.
СЗПДн включает в себя организационные и технические меры, средства защиты информации*(11), средства предотвращения несанкционированного доступа*(12), утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в ИСПДн информационные технологии.
10. Выбор и реализация методов и способов защиты информации в информационной системе*(13) осуществляются на основе модели угроз и в зависимости от класса ИСПДн.
11. Классификация информационной системы*(14) проводится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн или при изменении состава обрабатываемых ПДн.
Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.
12. Для проведения классификации ИСПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего функции в сфере информационных технологий, связи и защиты информации.
13. Результаты классификации ИСПДн оформляются соответствующим актом подразделения-оператора ИСПДн.
14. Мероприятия по защите персональных данных на объектах информатизации, содержащих ИСПДн, осуществляются на основе нормативных правовых актов и методических документов, утверждаемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям, по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
18. При обработке ПДн в ИСПДн должно быть обеспечено*(15):
проведение мероприятий, направленных на предотвращение.
несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов НСД к ПДн;
недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
постоянный контроль за обеспечением уровня защищенности ПДн.
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений законодательных и иных нормативных правовых актов Российской Федерации, заключенных договоров и соглашений в области межведомственного информационного взаимодействия.
Обработка ПДн в ИСПДн, предусматривающая их трансграничную передачу, осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в сфере международного информационного обмена.
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, а также при трансграничной передаче ПДн, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.
III. Организация разрешительной системы доступа к ИСПДн
23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.
24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.
25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения - оператора ИСПДн.
26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
IV. Обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных
27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:
планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;
защиту ПДн;
определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.
28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.
29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона № 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.
30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.
V. Контроль обеспечения безопасности персональных данных
31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
32. Задачами контроля являются:
установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;
выявление проблемных вопросов в организации обеспечения безопасности ПДн;
обеспечение соблюдения законодательства в сфере ПДн;
выработка мер по оказанию методической и практической помощи подразделениям МВД России;
повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.
33. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в информационных системах органов внутренних дел Российской Федерации оценивается при проведении государственного контроля и надзора*(16), а также по линии ведомственного контроля (не реже одного раза в два года).
34. Государственный контроль и надзор за соответствием обработки ПДн требованиям законодательства Российской Федерации в области ПДн осуществляются Роскомнадзором*(17).
35. Проверка обеспечения безопасности ПДн при их автоматизированной обработке по линии ведомственного контроля осуществляется уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, выполняющими функции в области информационных технологий, связи и защиты информации.
_____________________________
*(1) Далее - «Инструкция».
*(2) Собрание законодательства Российской Федерации, 2006. № 31, ст. 3451; 2009, № 48. ст. 5716; № 52, ст. 6439: 2010, № 27. ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; № 52. ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701. Далее-«Федеральный закон № 152-ФЗ».
*(3) Собрание законодательства Российской Федерации, 2007. № 48, ст. 6001.
*(4) Далее - «ПДн».
*(5) Далее - «ИСПДн» или «информационная система».
*(6) Далее «МВД России».
*(7) Далее «уполномоченное подразделение МВД России».
*(8) Далее - «подразделения МВД России».
*(9) Далее - «подразделение-оператор ИСПДн».
*(10) Далее «СЗПДн».
*(11) Далее - «СрЗИ».
*(12) Далее - «НСД».
*(13) Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован в Минюсте России 19 февраля 2010 года, регистрационный № 16456).
*(14) Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован в Минюсте России 3 апреля 2008 года, регистрационный № 11462).
*(15) Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
*(16) Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
*(17) Постановление Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (Собрание законодательства Российской Федерации, 2009, № 12, ст. 1431; 2010, № 13, ст. 1502; № 26, ст. 3350; 2011, № 14, ст. 1935; № 21, ст. 2965; № 40, ст. 5548).
Обзор документа
Утверждена инструкция по организации защиты персональных данных, содержащихся в информационных системах ОВД России.
Для обеспечения их безопасности создается система защиты. Она должна обеспечивать конфиденциальность, целостность и доступность данных при их обработке. Названная система включает в себя организационные и технические меры, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам и др.
Выбор и реализация методов и способов защиты информации осуществляются на основе модели угроз и в зависимости от класса информационных систем персональных данных. Классификация проводится подразделением-оператором. Для этого создается специальная комиссия.
Модели угроз разрабатываются для каждой информационной системы на этапе ее создания (модернизации).
Персональные данные обрабатываются только после создания системы защиты и ввода в эксплуатацию информационной системы.
Для сохранности информационных ресурсов проводится их резервное копирование на материальный носитель.
Для каждой информационной системы предусматривается ведение соответствующих журналов. Приведен их перечень.
Администратор безопасности регистрирует пользователей информационных систем. Их список утверждается приказом руководителя подразделения-оператора.
Закреплены обязанности должностных лиц ОВД России по защите персональных данных.