Рейтинг: 5.0/5.0 (1651 проголосовавших)Категория: Инструкции
ПРИКАЗ МВД РФ от 06-07-2012 678 ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СОДЕРЖАЩИХСЯ В. Актуально в 2016 году
ИНСТРУКЦИЯ ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации <1>, разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <2>, постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" <3>, иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.
<1> Далее - "Инструкция".
<2> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701. Далее - "Федеральный закон N 152-ФЗ".
<3> Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001.
2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных <1>, содержащихся в информационных системах органов внутренних дел Российской Федерации, в том числе полученных при трансграничной передаче, устанавливает методы и способы защиты информации в информационных системах персональных данных <2>, а также определяет обязанности должностных лиц.
<1> Далее - "ПДн".
<2> Далее - "ИСПДн" или "информационная система".
В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
3. Министерство внутренних дел Российской Федерации <1> в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
<1> Далее - "МВД России".
4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке <1>.
<1> Далее - "уполномоченное подразделение МВД России".
5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.
В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.
6. Подразделения центрального аппарата МВД России (за исключением Главного командования внутренних войск МВД России), территориальные органы МВД России, образовательные учреждения, научно-исследовательские, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации <1>, выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных <2>.
<1> Далее - "подразделения МВД России".
<2> Далее - "подразделение-оператор ИСПДн".
7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных <1> осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.
<1> Далее - "СЗПДн".
8. Работы по обеспечению безопасности ПДн включаются в План основных организационных мероприятий МВД России (планы работ подразделений МВД России), а также в План научного обеспечения деятельности органов внутренних дел и внутренних войск МВД России.
9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.
СЗПДн включает в себя организационные и технические меры, средства защиты информации <1>, средства предотвращения несанкционированного доступа <2>, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в ИСПДн информационные технологии.
<1> Далее - "СрЗИ".
<2> Далее - "НСД".
10. Выбор и реализация методов и способов защиты информации в информационной системе <1> осуществляются на основе модели угроз и в зависимости от класса ИСПДн.
<1> Приказ ФСТЭК России от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (зарегистрирован в Минюсте России 19 февраля 2010 года, регистрационный N 16456).
11. Классификация информационной системы <1> проводится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн или при изменении состава обрабатываемых ПДн.
<1> Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" (зарегистрирован в Минюсте России 3 апреля 2008 года, регистрационный N 11462).
Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.
12. Для проведения классификации ИСПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего функции в сфере информационных технологий, связи и защиты информации.
13. Результаты классификации ИСПДн оформляются соответствующим актом подразделения-оператора ИСПДн.
14. Мероприятия по защите персональных данных на объектах информатизации, содержащих ИСПДн, осуществляются на основе нормативных правовых актов и методических документов, утверждаемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
18. При обработке ПДн в ИСПДн должно быть обеспечено <1>:
<1> Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов НСД к ПДн;
недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
постоянный контроль за обеспечением уровня защищенности ПДн.
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений законодательных и иных нормативных правовых актов Российской Федерации, заключенных договоров и соглашений в области межведомственного информационного взаимодействия.
Обработка ПДн в ИСПДн, предусматривающая их трансграничную передачу, осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в сфере международного информационного обмена.
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, а также при трансграничной передаче ПДн, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.
23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.
24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.
25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения-оператора ИСПДн.
26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:
планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;
определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.
28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.
29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.
30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.
31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
32. Задачами контроля являются:
установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;
выявление проблемных вопросов в организации обеспечения безопасности ПДн;
обеспечение соблюдения законодательства в сфере ПДн;
выработка мер по оказанию методической и практической помощи подразделениям МВД России;
повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.
33. Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в информационных системах органов внутренних дел Российской Федерации оценивается при проведении государственного контроля и надзора <1>, а также по линии ведомственного контроля (не реже одного раза в два года).
<1> Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
34. Государственный контроль и надзор за соответствием обработки ПДн требованиям законодательства Российской Федерации в области ПДн осуществляются Роскомнадзором <1>.
<1> Постановление Правительства Российской Федерации от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431; 2010, N 13, ст. 1502; N 26, ст. 3350; 2011, N 14, ст. 1935; N 21, ст. 2965; N 40, ст. 5548).
35. Проверка обеспечения безопасности ПДн при их автоматизированной обработке по линии ведомственного контроля осуществляется уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, выполняющими функции в области информационных технологий, связи и защиты информации.
Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации (с изменениями на 20 апреля 2015 года)
Приказ МВД России
Российская газета, N 230, 05.10.2012
Дата начала действия:
16 октября 2012
Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
от 6 июля 2012 года N 678
(с изменениями на 20 апреля 2015 года)
____________________________________________________________________
Документ с изменениями, внесенными:
приказом МВД России от 15 июля 2013 года N 538 (Российская газета, N 211, 20.09.2013);
приказом МВД России от 20 апреля 2015 года N 447 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 20.05.2015, N 0001201505200020).
____________________________________________________________________
В целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных при их автоматизированной обработке
2. Начальникам подразделений центрального аппарата МВД России (за исключением Главного командования внутренних войск МВД России), руководителям (начальникам) территориальных органов МВД России, образовательных, научных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации:
(Пункт в редакции, введенной в действие с 31 мая 2015 года приказом МВД России от 20 апреля 2015 года N 447 .
2.1. Организовать изучение сотрудниками, федеральными государственными гражданскими служащими и работниками органов внутренних дел Российской Федерации требований настоящей Инструкции в части, их касающейся.
________________
Далее - "органы внутренних дел".
2.2. Обеспечить реализацию положений настоящей Инструкции .
2.3. Утвердить перечень должностных лиц, уполномоченных на обработку персональных данных, содержащихся в информационных системах органов внутренних дел .
________________
Далее - "информационная система персональных данных".
2.4. Провести в течение 2012-2013 годов мероприятия по организации защиты персональных данных, содержащихся в информационных системах персональных данных, в соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и с учетом объемов ассигнований, выделяемых МВД России по государственному оборонному заказу.
________________
Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; N 52, ст.6974; 2011, N 23, ст.3263; N 31, ст.4701. Далее - "Федеральный закон N 152-ФЗ" .
2.5. Обеспечить в срок до 30 ноября 2012 года сбор и представление в установленном порядке в ДИТСиЗИ МВД России сведений, указанных в части 3 статьи 22 Федерального закона N 152-ФЗ .
2.6. Принять меры по дальнейшему представлению в ДИТСиЗИ МВД России информации, указанной в подпункте 2.5 настоящего приказа, в случае ее изменения, а также прекращения обработки персональных данных, не позднее двух календарных дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
3. ДИТСиЗИ МВД России (А.М.Махонову) обеспечить:
(Пункт в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
3.1. Ведение перечня информационных систем персональных данных.
3.2. Представление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций сведений об операторе в порядке, установленном Министерством связи и массовых коммуникаций Российской Федерации.
4. ДГСК МВД России (В.Л.Кубышко) совместно с ДИТСиЗИ МВД России (А.М.Махоновым) обеспечить подготовку проведения курсов повышения квалификации сотрудников, федеральных государственных гражданских служащих и работников органов внутренних дел в области защиты персональных данных на базе федерального государственного казенного образовательного учреждения высшего профессионального образования "Воронежский институт Министерства внутренних дел Российской Федерации".
(Пункт в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
5. Контроль за выполнением настоящего приказа возложить на заместителя Министра С.А.Герасимова.
Зарегистрировано
в Министерстве юстиции
Российской Федерации
18 сентября 2012 года,
регистрационный N 25488
Приложение
к приказу МВД России
от 6 июля 2012 года N 678
(с изменениями на 20 апреля 2015 года)
I. Общие положенияСобрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; N 52, ст.6974; 2011, N 23, ст.3263; N 31, ст.4701. Далее - "Федеральный закон N 152-ФЗ".
Собрание законодательства Российской Федерации, 2012, N 45, ст.6257.
(Сноска в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных . содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных . а также определяет обязанности должностных лиц.
(Абзац в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
________________
Далее - "ПДн".
Далее - "ИСПДн" или "информационная система".
В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
(Абзац в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
3. Министерство внутренних дел Российской Федерации в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
(Пункт в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
________________
- Далее "МВД России".
(Сноска в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке .
________________
Далее - "уполномоченное подразделение МВД России".
5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.
В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.
6. Подразделения центрального аппарата МВД России (за исключением Главного командования внутренних войск МВД России), территориальные органы МВД России, образовательные, научные, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации . выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных .
(Пункт в редакции, введенной в действие с 31 мая 2015 года приказом МВД России от 20 апреля 2015 года N 447 .
________________
Далее - "подразделения МВД России".
Далее - "подразделение-оператор ИСПДн".
II. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.
________________
Далее - "СЗПДн".
8. Работы по обеспечению безопасности ПДн включаются в План основных организационных мероприятий МВД России (планы работ подразделений МВД России), а также в План научного обеспечения деятельности органов внутренних дел и внутренних войск МВД России.
9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.
СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах .
(Абзац в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
________________
Сноска исключена с 1 октября 2013 года - приказ МВД России от 15 июля 2013 года N 538.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ .
(Абзац дополнительно включен с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 )
11. Установление класса защищенности информационной системы и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
(Абзац в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
________________
Приказ ФСТЭК России от 11 февраля 2013 года N 17 .
(Сноска в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.
12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.
(Пункт в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.
(Пункт в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям, по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.
(Абзац в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.
(Абзац в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.
24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.
25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения-оператора ИСПДн.
26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
IV. Обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:
планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;
определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.
28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.
29. Лица, указанные в пункте 28 настоящей Инструкции. осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.
30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.
V. Контроль обеспечения безопасности персональных данных31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
32. Задачами контроля являются:
установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;
выявление проблемных вопросов в организации обеспечения безопасности ПДн;
обеспечение соблюдения законодательства в сфере ПДн;
выработка мер по оказанию методической и практической помощи подразделениям МВД России;
повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.
33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.
(Пункт в редакции, введенной в действие с 1 октября 2013 года приказом МВД России от 15 июля 2013 года N 538 .
________________
Сноска исключена с 1 октября 2013 года - приказ МВД России от 15 июля 2013 года N 538.
Редакция документа с учетом
изменений и дополнений подготовлена
АО "Кодекс"
*ПАКЕТ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (152-ФЗ) включает следующие документы Положение о защите персональных данных работников. Политика по обработке и защите ПД. Инструкция по учету лиц, допущенных к ПД.
Оформление доступа к персональным данным
Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде. 2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
должностная инстр.зам.зав. Инструкции для младшего воспитателя. Инструкция по охране жизни и здоровья детей в ДОУ. ПОЛОЖЕНИЕ о защите персональных данных работников. 1. ОБЩИЕ ПОЛОЖЕНИЯ.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
С Положением о порядке обработки персональных данных работников ООО "Полигон-2" и гарантиях их защиты ознакомлен(а). Снегирева. 7. Должностная инструкция секретаря общего отдела, утв. 14.07.2009.22 февраля 2011
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей. 3. Оформление приказа об установлении списка лиц, имеющих доступ к персональным данным работников
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
К персональным данным сотрудников организации могут быть допущены только те сотрудники, которым эти данные необходимы для выполнения своей работы 4. Оформление письменных обязательств о неразглашении персональных данных работников
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.
и передаче персональных данных сотрудников, студентов, выпускников КнАГТУ с. 1 из 27 РАБОЧАЯ ИНСТРУКЦИЯ уничтожение персональных данных работников Оператор; Система менеджмента качества РИ 6.5-1 Положение о защите, хранении
ПОЛОЖЕНИЕ об обработке и защите персональных данных работников. 1. ОБЩИЕ ПОЛОЖЕНИЯ. 5.2. Выполнять относящиеся к работнику требования приказов, инструкций и положений по обеспечению сохранности КТ Организации и их
Образцы договоров, формы счетов, актов, инструкции для рекрутеров. Главная > Типовые документы > Положение о защите персональных данных работников. Вторник, 8 Декабря 2015 г.
Положение о защите персональных данных ООО "Спектр". 1. Общие положения. 3.1. Создание персональных данных работника. Документы, содержащие персональные данные работника, создаются путем
«О защите персональных данных» к персональным данным, в частности относятся: - фамилия, имя, отчество - год, месяц, дата и место рождения - адрес - семейное, социальное, имущественное положение - образование - профессия - доходы27 июля 2006
Оформляем документы для защиты личных данных работников. 4 комментария. 530. С июля этого года Закон о персональных данных действует в новой Внести изменения в должностную инструкцию Тихоновой М.А. в связи с новым назначением.
– персональные данные работника — любая информация, относящаяся к подразделениях, должностные инструкции работников, приказы, распоряжения, указания 3.2.2.4. Защита персональных данных работника от неправомерного их
Главная > Типовые документы > Положение о защите персональных данных работников. Немного не доработано, например: где мнение представительного органа сотрудников или отметка, что данный орган отсутствует?
3.2. Разработка Положения об обработке и использовании персональных данных работника, Положения о защите персональных данных 51. 3.3. Проектирование Инструкции по работе с документами, содержащими персональные данные 55.
Норм, регулирующих обработку и защиту персональных данных. 1. 3. ( положения о структурных подразделениях, должностные инструкции. ). Сотрудники работодателя, имеющие доступ к персональным данным работников, имеют право
2. Понятие и состав персональных данных. 2.1. Персональные данные работника – информация, необходимая Защита персональных данных сотрудника на электронных носителях осуществляется в соответствии с Инструкцией по
2.8. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны
ПОЛОЖЕНИЕ. о защите, хранении, обработке и передаче персональных данных работников муниципального которых входит обработка персональных данных Работника, определяются трудовыми договорами и должностными инструкциями.
трудовые обязанности которых входит обработка персональных данных Работника, определяются должностными инструкциями. 4. Права работника на защиту его персональных данных. 4.1. Работник в целях обеспечения защиты своих
Положение о комиссии по урегулирированию споров. Инструкция по охране труда. Формы контроля успеваемости. Положение. о защите, хранении, обработке и передаче персональных данных работников автономного учреждения Омской
2. Общие требования при обработке персональных данных работника и гарантии их защиты. Евгений к записи Инструкция и общие требования безопастности проведения производственных работ.
Положение. О защите персональных данных работников. I. Общие положения. в трудовые обязанности которых входит обработка персональных данных работников, определяются также должностными инструкциями.
«Положение о защите персональных данных работников» соответствует действующему трудовому законодательству Российской Федерации. Образец документа подготовлен ООО «Точка Выбора».
Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. Как оформить Положение о структурном подразделении. Должностные инструкции.
Положение о защите персональных данных сотрудников (утверждается и вводится в действие приказом руководителя Инструкция по правилам обработки, хранения и передачи персональных данных работника (один из вариантов).
1.2. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Информация о работниках должна быть надежно защищена от утраты и использования в незаконных целях. Поэтому берем ручку и бумагу и составляем Положение о защите персональных данных.
Законодательство о защите персональных данных работника. Дипломная работа помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.
Как защитить персональные данные работников? Разработать эффективное Положение о защите персональных данных. Необходимо ли принимать локальный нормативный акт, если на первый взгляд кажется
Должностная инструкция учителя. о защите прав персональных данных работников в муниципальном общеобразовательном учреждении Нукутской вечерней общеобразовательной школе.
Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.
Технологические инструктивные документы отражают систему защиты персональных данных работников организации. К ним относят: перечни, инструкции по обработке и защите персональных данных.
Понятие персональных данных работников Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника.
положение или инструкция о защите персональных данных работника
