пароль первого уровня – для администратора

advertisement
3
Приложение
к приказу МВД России
от
.
.2012 №
ИНСТРУКЦИЯ
по защите персональных данных,
содержащихся в автоматизированных информационных системах
органов внутренних дел Российской Федерации
I. Общие положения
1. Настоящая Инструкция по защите персональных данных,
содержащихся в автоматизированных информационных системах органов
внутренних дел Российской Федерации1, разработана в соответствии с
Федеральным
законом от 27 июля
2006
г. № 152-ФЗ
2
«О персональных данных» , иными федеральными законами, указами
Президента Российской Федерации и постановлениями Правительства
Российской Федерации, а также нормативными правовыми актами
Российской Федерации, регламентирующими порядок обработки
персональных данных, методическими документами уполномоченных
органов Российской Федерации в области безопасности3, противодействия
техническим разведкам и технической защиты информации4, по защите
прав субъектов персональных данных5.
2. Настоящая Инструкция определяет порядок выполнения
мероприятий по защите персональных данных6, в том числе при
трансграничной передаче, при их автоматизированной обработке,
устанавливает методы и способы защиты информации в информационных
системах персональных данных7 органов внутренних дел Российской
Федерации, а также определяет обязанности должностных лиц органов
внутренних дел Российской Федерации по защите ПДн, содержащихся в
автоматизированных информационных системах органов внутренних дел
Российской Федерации.
В Инструкции не рассматриваются вопросы обеспечения
безопасности ПДн, отнесенные в установленном порядке к сведениям,
составляющим государственную тайну, а также вопросы применения
Далее – «Инструкция».
Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52,
ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; № 52, ст. 6974; 2011, № 23,
ст. 3263; № 31, ст. 4701.
3
Далее – «ФСБ России».
4
Далее – «ФСТЭК России».
5
Далее – «Роскомнадзор».
6
Далее – «ПДн».
7
Далее – «ИСПДн».
1
2
4
криптографических методов и способов защиты информации.
3. В соответствии с пунктом 1 статьи 3 Федерального закона
от 27 июля 2006 г. № 152-ФЗ «О персональных данных» под ПДн
понимается любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту ПДн).
4. Подразделения центрального аппарата МВД России (за
исключением Главного командования внутренних войск МВД России),
территориальные органы МВД России, образовательные учреждения,
научно-исследовательские, медико-санитарные и санаторно-курортные
организации системы МВД России, окружные управления материальнотехнического снабжения системы МВД России, а также иные организации
и подразделения, созданные для выполнения задач и осуществления
полномочий, возложенных на органы внутренних дел Российской
Федерации1, являются операторами ПДн, если они самостоятельно или
совместно с другими подразделениями МВД России организуют и (или)
осуществляют обработку ПДн, а также определяют цели обработки ПДн,
состав ПДн, подлежащих обработке, действия (операции), совершаемые с
ПДн.
В случаях, когда реализация мер по организации и обработке ПДн в
ИСПДн возлагается на несколько подразделений МВД России, вопросы
разграничения полномочий между ними отражаются в инструкции по
эксплуатации соответствующей информационной системы.
5. Вопросы обработки биометрических ПДн2 в ИСПДн
МВД России определяются отдельной инструкцией, разрабатываемой в
рамках создания (модернизации) соответствующей ИСПДн.
6. Координацию и контроль деятельности по защите ПДн,
содержащихся в автоматизированных информационных системах органов
внутренних дел Российской Федерации, осуществляет подразделение
центрального аппарата МВД России, выполняющее функции головного
подразделения МВД России по вопросам защиты ПДн при их
автоматизированной обработке3.
II. Организация
работ
по
обеспечению
безопасности
персональных данных при их автоматизированной обработке
Организация работ по созданию и эксплуатации ИСПДн, а
также системы защиты персональных данных4 осуществляется в
соответствии с положениями нормативных правовых актов ФСТЭК России
и МВД России, а также методическими документами в области
7.
Далее – «подразделения МВД России».
Под биометрическими ПДн понимаются сведения, которые характеризуют физиологические и
биологические особенности человека, на основании которых можно установить его личность.
3
Далее – «уполномоченное подразделение МВД России».
4
Далее – «СЗПДн».
1
2
5
обеспечения
безопасности
информации
и
соответствующими
государственными стандартами.
8. Работы по обеспечению безопасности ПДн включаются в
разрабатываемый План основных организационных мероприятий МВД
России (планы работ подразделений МВД России) в установленном
порядке, применяемом в системе МВД России.
9. Уровень технической защиты ПДн, а также перечень
необходимых мер защиты определяется дифференцировано по результатам
обследования ИСПДн.
10. В целях обеспечения безопасности ПДн создается СЗПДн,
которая должна обеспечивать конфиденциальность, целостность и
доступность ПДн при их обработке в ИСПДн во всех структурных
элементах, на технологических участках обработки и во всех режимах
функционирования.
СЗПДн включает в себя организационные и технические меры,
средства
защиты
информации1,
средства
предотвращения
2
несанкционированного доступа , утечки информации по техническим
каналам, программно-технических воздействий на технические средства
обработки ПДн, а также используемые в ИСПДн информационные
технологии.
11. Объекты информатизации, содержащие ИСПДн, в том числе
эксплуатирующиеся до введения в действие настоящей Инструкции
подлежат аттестации по требованиям безопасности информации.
12. При обработке ПДн в ИСПДн должно быть обеспечено3:
проведение мероприятий, направленных на предотвращение НСД к
ПДн и (или) передачи их лицам, не имеющим права доступа к такой
информации;
своевременное обнаружение фактов НСД к ПДн;
недопущение
воздействия
на
технические
средства
автоматизированной обработки ПДн, в результате которого может быть
нарушено их функционирование;
возможность
незамедлительного
восстановления
ПДн,
модифицированных или уничтоженных вследствие НСД к ним;
постоянный контроль за обеспечением уровня защищенности ПДн.
13. Мероприятия по обеспечению безопасности ПДн при их
обработке в ИСПДн включают в себя4:
определение угроз безопасности ПДн при их обработке в ИСПДн,
формирование на их основе модели угроз;
Далее – «СрЗИ».
Далее – «НСД».
3
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении
Положения об обеспечении безопасности персональных данных при их обработке в информационных
системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48,
ст. 6001).
4
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781.
1
2
6
разработку на основе модели угроз СЗПДн, обеспечивающей
нейтрализацию предполагаемых угроз с использованием методов и
способов защиты ПДн, предусмотренных для соответствующего класса
ИСПДн;
проверку готовности СрЗИ к использованию с составлением
заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию СрЗИ в соответствии с
эксплуатационной и технической документацией;
обучение лиц, использующих СрЗИ, применяемые в ИСПДн,
правилам работы с ними;
учет применяемых СрЗИ, эксплуатационной и технической
документации к ним, носителей ПДн;
учет лиц, допущенных к работе с ПДн в ИСПДн;
контроль за соблюдением условий использования СрЗИ,
предусмотренных эксплуатационной и технической документацией;
разбирательство и составление заключений по фактам несоблюдения
условий хранения носителей ПДн, использования СрЗИ, которые могут
привести к нарушению конфиденциальности ПДн или другим
нарушениям, приводящим к снижению уровня защищенности ПДн,
разработку и принятие мер по предотвращению возможных опасных
последствий подобных нарушений;
описание СЗПДн.
14. В ходе эксплуатации ИСПДн защите от несанкционированного
доступа и утечки по техническим каналам подлежат:
информационные ресурсы в виде информационных массивов и баз
данных, содержащих персональные данные, и представленные на
магнитных, оптических и других носителях;
средства автоматизации (средства вычислительной техники,
программно-технические комплексы, сети и системы), программные
средства (операционные системы, системы управления базами данных,
другое общесистемное и прикладное программное обеспечение),
автоматизированные системы управления, системы связи и передачи
данных и другие средства.
15. Обработка ПДн в ИСПДн разрешается только после завершения
работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
16. В ИСПДн запрещается обрабатывать информацию с
применением аппаратно-программных средств, не предусмотренных
конструкторской и эксплуатационной документацией.
17. ИСПДн, обрабатывающие ПДн, должны иметь в своем составе
сертифицированные по требованиям безопасности СрЗИ.
18. Выбор и реализация методов и способов защиты информации в
ИСПДн осуществляется в соответствии с методическими документами
7
ФСТЭК России1 на основе определяемых угроз безопасности ПДн (модели
угроз) и в зависимости от класса ИСПДн.
19. Класс ИСПДн определяется в соответствии с приказом
ФСТЭК
России,
ФСБ
России
и
Мининформсвязи
России
от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных данных»2.
20. Классификация
ИСПДн
проводится
подразделением
3
МВД России, являющимся оператором ПДн на этапе создания ИСПДн, в
ходе ее эксплуатации (для ранее введенных в эксплуатацию и (или)
модернизируемых информационных систем) или изменения состава
обрабатываемых ПДн с целью установления методов и способов защиты
информации для обеспечения необходимого уровня безопасности ПДн.
21. Для проведения классификации ИСПДн, определения категорий
ПДн и экспертной оценки угроз безопасности персональных данных
приказом руководителя подразделения – оператора ПДн назначается
комиссия, в состав которой включаются представители подразделения
МВД России, эксплуатирующего ИСПДн, а также специалисты
подразделения МВД России, осуществляющего функции в сфере
информационных технологий, связи и защиты информации.
Результаты
классификации
ИСПДн
оформляются
актом
классификации информационной системы персональных данных
(приложение № 1 к настоящей Инструкции), который хранится в
подразделении МВД России, эксплуатирующем ИСПДн.
22. Определение угроз безопасности ПДн и разработка модели
угроз осуществляется подразделением – оператором ПДн в соответствии с
методическими документами ФСТЭК России.
23. Для каждой ИСПДн подразделением – оператором ПДн на этапе
создания (модернизации) СЗПДн разрабатываются следующие документы:
модель угроз;
перечень защищаемых информационных ресурсов ИСПДн4;
список должностных лиц, доступ которых к персональным данным,
обрабатываемым в информационной системе персональных данных,
необходим для выполнения служебных обязанностей5 (приложение № 2 к
настоящей Инструкции);
матрица доступа к ИСПДн6;
описание технологического процесса обработки ПДн в ИСПДн;
Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах
защиты информации в информационных системах персональных данных» (зарегистрирован в
Министерстве юстиции Российской Федерации 19 февраля 2010 г., регистрационный № 16456).
2
Зарегистрирован в Министерстве юстиции Российской Федерации 3 апреля 2008 г., регистрационный
№ 11462.
3
Далее – «подразделение – оператор ПДн».
4
Информационные ресурсы ИСПДн – отдельные документы, отдельные массивы документов,
документы и массивы документов, формируемые, хранимые и используемые в ИСПДн.
5
Далее – «список должностных лиц».
6
Под матрицей доступа к ИСПДн понимается таблица, отображающая правила разграничения доступа.
1
8
перечень разрешенного к использованию в ИСПДн программного
обеспечения;
перечень помещений, в которых осуществляется обработка ПДн, с
указанием лиц, доступ которым в данные помещения разрешен;
список лиц, ответственных за обеспечение безопасности ПДн и за
разработку, проведение мероприятий, направленных на выполнение
требований по защите информации;
техническое задание на создание (модернизацию) СЗПДн (раздел в
техническом задании на создание (модернизацию) ИСПДн);
технический проект СЗПДн (раздел в техническом проекте ИСПДн);
руководство администратора безопасности ИСПДн1;
руководство администратора ИСПДн2;
руководство пользователя ИСПДн3.
В разрабатываемых руководствах должны быть отражены вопросы
резервного копирования информации, содержащей ПДн, парольной
защиты, проведения антивирусного контроля, порядка удаления
(изменения) персонифицированных записей из (в) ИСПДн, порядка
проведения технического обслуживания ИСПДн, работы с материальными
носителями ПДн.
Помещения, в которых размещены объекты информатизации,
содержащие
ИСПДн,
должны
соответствовать
требованиям,
предъявляемым к защищаемым помещениям.
24. Перечень разрабатываемых для ИСПДн документов может быть
уточнен и изменен (дополнен, сокращен) по результатам обследования
ИСПДн.
Отдельные документы, могут разрабатываться в рамках проведения
научно-исследовательских и опытно-конструкторских работ.
25. Для каждой ИСПДн ведутся следующие журналы:
журнал учета и выдачи машинных носителей информации
(приложение № 3 к настоящей Инструкции);
журнал учета и выдачи персональных идентификаторов
пользователям информационной системы персональных данных
(приложение № 4 к настоящей Инструкции);
журнал проведения инструктажей по обеспечению безопасности
персональных данных;
журнал проверки исправности технических средств и технического
обслуживания.
Администратор безопасности – лицо, ответственное за защиту ИСПДн от несанкционированного
доступа к информации.
2
Администратор ИСПДн (системный администратор, программист) – лицо, отвечающее за
настройку, обслуживание и функционирование ИСПДн, а также поддерживающее ИСПДн в
работоспособном состоянии.
3
Пользователь ИСПДн – лицо, пользующееся информационными ресурсами ИСПДн в соответствии с
установленными правами и правилами доступа к ней.
1
9
26. Учет, хранение и обращение с машинными носителями
информации (магнитные, оптические, электронные носители информации
и иные), резервными копиями специального программного обеспечения и
программного
обеспечения
СрЗИ
осуществляется
в
порядке,
установленном для носителей служебной информации ограниченного
распространения.
27. Взаимодействие
ИСПДн
МВД
России
с
внешними
информационными системами сторонних организаций осуществляется с
учетом положений нормативных правовых актов Российской Федерации и
МВД России, заключенных договоров и соглашений в области
межведомственного взаимодействия.
Обработка ПДн в ИСПДн, предусматривающая их трансграничную
передачу, осуществляется с учетом положений международных договоров
Российской Федерации и нормативных правовых актов Российской
Федерации в сфере международного информационного обмена.
Принимаемые меры по защите ПДн в ИСПДн МВД России при их
взаимодействии с внешними информационными системами сторонних
организаций, а также при трансграничной передаче ПДн должны быть
отражены в проектной, эксплуатационной и организационнораспорядительной документации данной ИСПДн.
28. Для обеспечения сохранности информационных ресурсов
ИСПДн производится резервное копирование.
Порядок и периодичность проведения резервного копирования
информации определяются в рабочей конструкторской документации на
ИСПДн, а также в инструкции по эксплуатации ИСПДн.
29. Передача компонентов ИСПДн на утилизацию производится с
демонтированными машинными носителями информации.
30. Машинные
носители
информации
уничтожаются
в
1
установленном порядке с составлением акта об уничтожении.
Акты на уничтожение носителей информации составляются в
установленном для носителей служебной информации ограниченного
распространения порядке, применяемом в системе МВД России.
III.
Организация разрешительной системы доступа к ИСПДн
31. При эксплуатации ИСПДн, а также создании (модернизации) ее
СЗПДн организуется разрешительная система доступа разработчиков и
эксплуатирующего персонала2 к техническим и программным средствам
ИСПДн, а также к информационным ресурсам ИСПДн.
Путем механического разрушения или гарантированным стиранием информации в специальных
устройствах, сертифицированных по требованиям безопасности информации.
2
К эксплуатирующему персоналу относятся администраторы безопасности ИСПДн, администраторы
ИСПДн, администраторы баз данных, пользователи ИСПДн, непосредственно обрабатывающие ПДн в
ИСПДн и инженерно-технический персонал, обеспечивающие устойчивое функционирование ИСПДн
при ее использовании.
1
10
Полномочия разработчиков и эксплуатирующего персонала на
доступ к ИСПДн отражаются в техническом задании на создание
(модернизацию) СЗПДн.
32. Доступ к ИСПДн зарегистрированных пользователей
осуществляется в установленном порядке на основании списков
должностных лиц, утвержденных приказом руководителя подразделения
МВД России.
Регистрацию пользователей в ИСПДн осуществляет администратор
безопасности ИСПДн.
Порядок и условия доступа к ИСПДн определяется в рабочей
конструкторской документации на ИСПДн и в инструкции по
эксплуатации ИСПДн.
33. Списки должностных лиц формируются администратором
безопасности ИСПДн подразделения МВД России, эксплуатирующего
ИСПДн на основании заявки о регистрации пользователей ИСПДн, в
которой указывается наименование подразделения МВД России,
должность, специальное звание, фамилия, имя и отчество пользователя,
его контактные телефоны и права доступа к ПДн1.
Заявка о регистрации пользователей ИСПДн направляется
руководителю подразделения МВД России, эксплуатирующего ИСПДн
руководителем подразделения МВД России, сотрудникам которого
необходим доступ к ИСПДн.
34. Руководитель подразделения МВД
России направляет
перечень зарегистрированных пользователей ИСПДн, а также их
персональные идентификаторы2 руководителям подразделений МВД
России, представивших соответствующие заявки. Указанным сведениям
присваивается пометка «Для служебного пользования».
35. В случае увольнения (перевода) пользователей ИСПДн,
руководитель подразделения МВД России информирует об этом
письменно руководителя подразделения МВД России, предоставившего
доступ к ИСПДн в течение суток после даты издания соответствующего
приказа и направляет заявку о регистрации, исключении или
перерегистрации пользователей ИСПДн.
36. Запросы пользователей ИСПДн на получение ПДн, а также
факты предоставления ПДн по этим запросам регистрируются средствами
ИСПДн в электронном журнале обращений, содержание которого
проверяется администратором безопасности ИСПДн.
Под правами доступа к ПДн понимается совокупность правил, регламентирующих порядок и условия
доступа пользователей к ПДн и её носителям.
2
Под персональным идентификатором понимается средство идентификации доступа, представляющее
собой кодовое слово в буквенной, цифровой или буквенно-цифровой форме, которое вводится в систему
с клавиатуры, при помощи идентификационной (кодовой) карты или с использованием иного носителя
информации и обеспечивает субъекту доступа возможность входа в систему с управляемым доступом.
1
11
При обнаружении нарушений порядка предоставления ПДн
администратор безопасности ИСПДн незамедлительно информирует
руководителя подразделения МВД России.
37. В подразделении – операторе ПДн администратором
безопасности ИСПДн ведется журнал учета и выдачи персональных
идентификаторов пользователям информационной системы персональных
данных1 (приложение № 4 к настоящей Инструкции), которому при
заполнении присваивается пометка «Для служебного пользования».
Журнал учета идентификаторов хранится у администратора
безопасности ИСПДн в опечатываемом сейфе (металлическом шкафу). Он
несет персональную ответственность за сохранность журнала и
содержащихся в нем сведений.
Журнал учета идентификаторов хранится до окончания действия
идентификаторов, затем уничтожается в установленном порядке,
применяемом в системе МВД России.
38. Присвоение имен пользователей ИСПДн (логинов) и
формирование паролей осуществляется администратором безопасности
ИСПДн на основании документов, указанных в пункте 33 настоящей
Инструкции.
39. Имя пользователя ИСПДн (логин) составляется из буквенноцифровых символов, состоящих не менее чем из шести знаков.
40. Пароли
формируются
с
помощью
соответствующего
сертифицированного программного обеспечения.
41. Для доступа к ИСПДн предусматривается формирование
следующих уровней паролей:
пароль первого уровня – для администратора безопасности ИСПДн;
пароль второго уровня – для администратора ИСПДн;
пароль третьего уровня – для пользователей ИСПДн.
Запрещается
работа
пользователей
ИСПДн
с
правами
администратора ИСПДн или администратора безопасности ИСПДн.
42. Длина пароля должна составлять:
для паролей первого и второго уровней – не менее 8 буквенноцифровых символов. Смена пароля должна производиться не реже одного
раза в квартал, а также в случае увольнения (перевода) сотрудника;
для паролей третьего уровня – не менее 6 буквенно-цифровых
символов. Смена пароля должна производиться не реже одного раза в год,
а также в случае увольнения (перевода) сотрудника.
43. Персональные идентификаторы выдаются пользователю
ИСПДн администратором безопасности ИСПДн под роспись в Журнале
учета идентификаторов.
Выдаваемые пользователям пароли могут записываться на учтенных
в установленном порядке носителях информации. В данном случае эти
1
Далее – «Журнал учета идентификаторов».
12
носители информации подлежат хранению в сейфе пользователя,
опечатанном его личной печатью.
44. В ИСПДн и сетевом оборудовании перед вводом в
эксплуатацию должны быть сменены все идентификаторы, в том числе
установленные
при
проведении
пуско-наладочных,
ремонтных
(восстановительных) работ и работ по авторскому надзору.
45. В случае компрометации пароля1 необходимо:
работу на соответствующем автоматизированном рабочем месте
ИСПДн немедленно прекратить;
доложить о происшествии (по подчиненности)
руководителю
подразделения – оператору ПДн данной ИСПДн;
произвести немедленную смену пароля.
По решению руководителя подразделения – оператора ПДн по
факту компрометации пароля проводится служебная проверка в
установленном порядке.
IV. Порядок включения в реестр подразделений МВД России в
качестве оператора ПДн и ведения учета ИСПДн
46. ИСПДн, эксплуатирующиеся в подразделениях МВД России,
подлежат включению в реестр операторов, осуществляющих обработку
ПДн.
Основанием для включения в реестр операторов, осуществляющих
обработку ПДн, является уведомление об обработке (намерении
осуществлять обработку) ПДн2, которое направляется в установленном
порядке подразделением – оператором ПДн3.
47. Подразделение – оператор ПДн, имеет право обрабатывать ПДн
без направления уведомления в уполномоченный орган по защите прав
субъектов ПДн в случаях, предусмотренных частью 2 статьи 22
Федерального
закона
от
27
июля
2006
г.
№
152-ФЗ
«О персональных данных».
48. ИСПДн, эксплуатирующиеся в МВД России подлежат
включению в каталог автоматизированных информационных систем в
уполномоченном подразделении МВД России.
Под компрометацией пароля в настоящей Инструкции понимается утрата доверия к тому, что
используемый пароль обеспечивает доступ в ИСПДн только уполномоченного лица (событие, при
котором
пароль стал доступен неуполномоченным лицам, в том числе утрата, хищение,
несанкционированное копирование или подозрение на копирование пароля, а также другие ситуации,
при которых имеются сомнения в отсутствии доступа к ИСПДн неуполномоченных лиц).
2
Далее – «уведомление».
3
Ведение данного реестра осуществляется в соответствии с приказом Министерства связи и массовых
коммуникаций Российской Федерации от 30 января 2010 г. № 18 «Об утверждении Административного
регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых
коммуникаций по исполнению государственной функции «Ведение реестра операторов,
осуществляющих обработку персональных данных» (зарегистрирован в Министерстве юстиции
Российской Федерации 24 марта 2010 г., № 16717).
1
13
V. Права и обязанности должностных лиц органов внутренних
дел Российской Федерации по защите персональных данных
49. Руководители подразделений – операторов ПДн, обеспечивают
выполнение
правовых,
организационных
и
технических
мер,
предусмотренных законодательством Российской Федерации, иными
нормативными правовыми актами и методическими документами по
защите ПДн, при их автоматизированной обработке, в части их
касающейся, в том числе:
планирование и организацию выполнения мероприятий по
обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России,
обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн,
защиту ПДн;
определение должностных обязанностей лицам, ответственным за
организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением
установленных требований по обеспечению безопасности ПДн;
направление уведомлений об обработке ПДн в случаях,
определенных законодательством Российской Федерации и настоящей
Инструкцией.
Руководители подразделений МВД России издают локальные
правовые акты и методические документы по вопросам обработки ПДн в
пределах своей компетенции.
50. Ответственность за соблюдение требований по защите ПДн при
их автоматизированной обработке возлагается на следующих
должностных лиц:
руководителей подразделений – операторов ПДн;
руководителей подразделений МВД России;
руководителей подразделений МВД России, осуществляющих
функции в сфере информационных технологий, связи и защиты
информации;
администраторов безопасности ИСПДн;
сотрудников, федеральных государственных гражданских служащих
и работников, включая эксплуатирующий персонал 1 органов внутренних
дел Российской Федерации, уполномоченных на обработку ПДн в ИСПДн.
Обязанности и ответственность указанных лиц должны быть
отражаются в соответствующих должностных инструкциях (должностных
регламентах).
51. Сотрудники органов внутренних дел Российской Федерации
осуществляют обработку ПДн в соответствии с требованиями
1
Далее – «сотрудники».
14
Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных
данных», иными нормативными правовыми актами и методическими
документами в сфере защиты ПДн, а также несут ответственность в
соответствии с законодательством Российской Федерации за нарушение
установленных требований по защите ПДн.
52. В
подразделениях
МВД
России
с
сотрудниками,
уполномоченными на обработку ПДн в ИСПДн, в рамках служебной
подготовки должны проводиться занятия по изучению требований
нормативных правовых актов Российской Федерации, ведомственных
нормативных правовых актов, других руководящих документов по
вопросам обеспечения безопасности ПДн, а также ежегодная проверка их
знаний.
VI.
Контроль обеспечения безопасности персональных данных
53. Целью
контроля
является
обеспечение
соблюдения
подразделениями МВД России требований по обеспечению безопасности
ПДн при их обработке в ИСПДн.
54. Задачами контроля являются:
установление фактического положения дел в подразделении
МВД России по обеспечению безопасности ПДн при их обработке в
ИСПДн;
выявление проблемных вопросов в организации обеспечения
безопасности ПДн;
недопущение неблагоприятного развития ситуации по соблюдению
прав субъектов ПДн;
выработка мер по оказанию методической и практической помощи
подразделениям МВД России;
повышение ответственности руководителей за выполнение
возложенных задач, соблюдение законности в их деятельности.
55. Достаточность принятых мер по обеспечению безопасности
ПДн при их обработке в автоматизированных информационных системах
органов внутренних дел Российской Федерации оценивается при
проведении государственного контроля и надзора1, а также по линии
ведомственного контроля не реже одного раза в два года.
56. Контроль и надзор за соответствием обработки ПДн
требованиям законодательства Российской Федерации в области ПДн
осуществляется Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций Российской
Федерации 2.
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781.
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых
коммуникаций Российской Федерации от 14 ноября 2011 г. № 312 «Об утверждении Административного
регламента проведения проверок федеральной службой по надзору в сфере связи, информационных
1
2
15
57. Проверка вопросов обеспечения безопасности ПДн при их
автоматизированной обработке по линии ведомственного контроля в
подразделениях МВД России осуществляется в ходе зонального и особого
контроля при проведении инспектирования, контрольных проверок,
комплексных и целевых выездов подразделениями МВД России,
осуществляющими функции в сфере информационных технологий, связи и
защиты информации.
технологий и массовых коммуникаций при осуществлении федерального государственного контроля
(надзора) за соответствием обработки персональных данных требованиям законодательства Российской
Федерации в области персональных данных» (зарегистрирован в Министерстве юстиции Российской
Федерации 13 декабря 2011 г., регистрационный № 22595).
Скачать