Действующий
5. Контроль за выполнением настоящего приказа возложить на заместителя Министра С.А. Герасимова.
Министр
генерал-лейтенант полиции
В. Колокольцев
______________________________
*(1) Далее - "Инструкция".
*(2) Далее - "органы внутренних дел".
*(3) Далее - "информационная система персональных данных".
*(4) Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716: N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701. Далее - "Федеральный закон N 152-ФЗ".
Зарегистрировано в Минюсте РФ 18 сентября 2012 г.
Регистрационный N 25488
Приложение
к приказу МВД РФ
от 6 июля 2012 г. N 678

Инструкция
по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации

I. Общие положения

1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации*(1), разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"*(2), постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"*(3), иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.
2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных*(4), содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных*(5), а также определяет обязанности должностных лиц.
В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17*(6).
3. Министерство внутренних дел Российской Федерации*(7) в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке*(8).
5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.
В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.
6. Подразделения центрального аппарата МВД России (за исключением Главного командования внутренних войск МВД России), территориальные органы МВД России, образовательные учреждения, научно-исследовательские, медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации*(9), выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных*(10).

II. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке

7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных*(11) осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.
8. Работы по обеспечению безопасности ПДн включаются в План основных организационных мероприятий МВД России (планы работ подразделений МВД России), а также в План научного обеспечения деятельности органов внутренних дел и внутренних войск МВД России.
9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.
СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах*(12).
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.
10. Выбор средств защиты информации*(13) для СЗПДн осуществляется в установленном порядке*(14) подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
11. Установление класса защищенности информационной системы*(15) и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.
12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.
13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.
15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям, по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.

III. Организация разрешительной системы доступа к ИСПДн