ДомойСправкиУправление защиты информации дитсизи мвд россии

Управление защиты информации дитсизи мвд россии

Наши юристы подготовили самую важную информацию на тему: "Управление защиты информации дитсизи мвд россии" и тема была обширно раскрыта с профессиональной точки зрения. Если вы хотите получить дополнительную информацию, можете обратиться к нашему юристу

содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации

Приложение

к приказу РњР’Р” России

от. .2011 № ___

Инструкция

по защите персональных данных,

содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации

I.  Общие положения

1.  Настоящая инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации[1], разработана в соответствии с Федеральным законом от 01.01.01 г.
«О персональных данных»[2], иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации, а также нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных, методическими документами уполномоченных органов Российской Федерации в области безопасности[3], противодействия техническим разведкам и технической защиты информации[4], по защите прав субъектов ПДн[5]

2.  Настоящая Инструкция определяет обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных[6], содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации, порядок выполнения мероприятий по защите ПДн, в том числе при трансграничной передаче, а также устанавливает методы и способы защиты информации в информационных системах персональных данных[7] органов внутренних дел Российской Федерации.

В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

3.  В соответствии с пунктом 1 статьи 3 Федерального закона
от 01.01.01 г. «О персональных данных» под ПДн понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

4.  Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научно-исследовательские и иные учреждения МВД России, созданные в установленном законодательством Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации порядке для реализации задач, возложенных на органы внутренних дел Российской Федерации[8], являются операторами ПДн, если они самостоятельно или совместно с другими подразделениями МВД России организуют и (или) осуществляют обработку ПДн, а также определяют цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

В случаях, если реализацию мер по организации и обработке ПДн в ИСПДн необходимо возложить на разные подразделения МВД России, вопросы разграничения полномочий отражаются в инструкции по вводу в эксплуатацию соответствующей информационной системы.

5.  Вопросы обработки биометрических ПДн[9] в ИСПДн
МВД России определяются отдельной инструкцией, разрабатываемой в рамках создания (модернизации) ИСПДн.

II.  Права и обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных

6.  Координацию и контроль в сфере защиты ПДн, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации, осуществляет Департамент информационных технологий, связи и защиты информации МВД России[10], являющийся единым координирующим и контролирующим органом в системе МВД России по вопросам защиты ПДн при их автоматизированной обработке.

ДИТСиЗИ МВД России также осуществляет:

взаимодействие по вопросам защиты ПДн при их автоматизированной обработке с Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности, ФСБ России, ФСТЭК России, Роскомнадзором и другими федеральными органами исполнительной власти по вопросам информационной безопасности в установленном порядке;

разработку проектов нормативных правовых актов и методических документов по защите ПДн при их автоматизированной обработке и осуществление контроля за их выполнением;

методическое руководство в проведении классификации ИСПДн и создании системы защиты ПДн в информационных системах;

согласование проектов технических требований (заданий, проектов) на создание (модернизацию) ИСПДн;

ведение учета ИСПДн МВД России;

анализ состояния работы по защите ПДн при их автоматизированной обработке в МВД России, оценка ее эффективности и выработка предложений по ее совершенствованию;

участие в проведении расследований по незаконному использованию ПДн, а также по установленным фактам несанкционированного доступа[11] к ПДн, обрабатываемым в ИСПДн, компьютерных атак и воздействия компьютерных РІРёСЂСѓСЃРѕРІ на ИСПДн;

централизованную методологическую и консультационную помощь подразделениям МВД России с целью выполнения мер по защите ПДн при их автоматизированной обработке, а также принимает непосредственное участие в организации проведения соответствующих мероприятий.

7.  Руководители подразделений МВД России, являющиеся операторами ПДн, обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательством Российской Федерации, иными нормативными правовыми актами и методическими документами по защите ПДн, при их автоматизированной обработке, в части их касающейся, в том числе:

планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;

конфиденциальность, целостность и доступность ПДн;

организацию взаимодействия подразделений, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн, защиту ПДн;

определение должностных обязанностей лицам, ответственным за организацию обработки ПДн и за эксплуатацию ИСПДн;

организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн;

планирование и организацию проведения занятий по изучению требований нормативных правовых актов и методических документов по вопросам обеспечения безопасности ПДн, а также ежегодную проверку их знаний;

направление уведомлений об обработке ПДн, в случаях определенных законодательством Российской Федерации;

представление в управление защиты информации
ДИТСиЗИ МВД России (по подчиненности) предложений по текущему и перспективному планированию потребностей подразделений МВД России, эксплуатирующих ИСПДн, в средствах защиты информации, антивирусной защиты на очередной год и обобщенных данных по их использованию за прошедший год.

Руководители подразделений МВД России могут издавать локальные правовые акты и методические документы по вопросам обработки ПДн в пределах своей компетенции.

8.  Ответственность за организацию работ и соблюдение требований по защите ПДн, при их автоматизированной обработке, возлагается на следующих должностных лиц:

руководителей подразделений МВД России, являющихся операторами ИСПДн;

руководителей структурных подразделений[12], осуществляющих обработку ПДн с использованием средств автоматизации;

руководителей подразделений по технической защите информации, в части обеспечения защиты ПДн от НСД и утечки по техническим каналам;

сотрудников, назначенных в установленном порядке ответственными в подразделении МВД России (структурном подразделении): за организацию обработки ПДн, за эксплуатацию ИСПДн, за обеспечение безопасности ПДн, при их обработке в ИСПДн;

администраторов безопасности, системных и сетевых администраторов программно-технических комплексов, на которых организуется обработка ПДн, а также администраторов баз и банков данных ИСПДн;

сотрудников, уполномоченных на обработку ПДн в ИСПДн.

Обязанности и ответственность указанных лиц должны быть отражены в соответствующих должностных инструкциях.

9.  Сотрудники, федеральные государственные гражданские служащие и работники[13] органов внутренних дел Российской Федерации осуществляют обработку ПДн в соответствии с требованиями Федерального закона от 01.01.01 г. «О персональных данных», другими нормативными правовыми актами и методическими документами в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение установленных требований по защите ПДн.

10.  В органах внутренних дел Российской Федерации с сотрудниками, допущенными в установленном порядке к обработке ПДн, в рамках служебной подготовки должны проводиться занятия по изучению требований нормативных правовых актов Российской Федерации, ведомственных нормативных правовых актов, других руководящих документов по вопросам обеспечения безопасности ПДн граждан.

III.  Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке

11.  Работы по обеспечению безопасности ПДн включаются в разрабатываемый план работы подразделения МВД России в установленном порядке, применяемом в системе МВД России.

12.  Организация работ по созданию и эксплуатации объектов информатизации, содержащих ИСПДн, и их систем защиты информации[14] осуществляется в соответствии с положениями Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)[15], Временным наставлением по технической защите информации в органах внутренних дел Российской Федерации и внутренних войсках Министерства внутренних дел Российской Федерации, утвержденным приказом МВД России от 5 июля 2001 г. № 000[16], методическими документами в области обеспечения безопасности информации и соответствующими государственными стандартами.

13.  При обработке ПДн в ИСПДн должно быть обеспечено[17]:

проведение мероприятий, направленных на предотвращение несанкционированного доступа[18] к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

своевременное обнаружение фактов НСД к ПДн;

недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

постоянный контроль за обеспечением уровня защищенности ПДн.

14.  Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя[19]:

определение угроз безопасности ПДн, при их обработке в ИСПДн, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты персональных данных[20], обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

проверку готовности средств защиты информации[21] к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию СрЗИ в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих СрЗИ, применяемые в ИСПДн, правилам работы с ними;

учет применяемых СрЗИ, эксплуатационной и технической документации к ним, носителей ПДн;

учет лиц, допущенных к работе с ПДн в ИСПДн;

контроль за соблюдением условий использования СрЗИ предусмотренной эксплуатационной и технической документацией;

разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СрЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание СЗПДн.

15.  В ИСПДн защите от несанкционированного доступа и утечки по техническим каналам подлежат:

персональные данные субъектов персональных данных;

ПДн сотрудников подразделений МВД России и членов их семей;

технологическая информация;

программно-технические средства обработки;

средства защиты ПДн;

каналы информационного обмена и телекоммуникации;

объекты и помещения, в которых размещены компоненты ИСПДн.

16.  В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования.

СЗПДн включает в себя организационные и технические меры, СрЗИ, средства предотвращения НСД, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в ИСПДн информационные технологии.

Разработка и внедрение СЗПДн может осуществляться специализированными организациями, имеющими оформленные в установленном порядке лицензии на соответствующий РІРёРґ деятельности.

17.  Обработка ПДн в создаваемых (модернизируемых) ИСПДн разрешается только после завершения работ по созданию СЗПДн, проверке ее функционирования и вводе в эксплуатацию ИСПДн в установленном порядке.

18.  Аттестация ИСПДн по требованиям безопасности информации проводится в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации[22], Временным наставлением по технической защите информации, соответствующими распоряжениями МВД России и методическими рекомендациями.

За организацию работ по аттестации объектов информатизации, имеющих в своем составе ИСПДн, отвечает подразделение по технической защите информации (должностное лицо, назначенное ответственным за техническую защиту информации), за выполнение мероприятий по подготовке объекта к аттестации отвечает руководитель подразделения МВД России (структурного подразделения), эксплуатирующего ИСПДн.

19.  В ИСПДн запрещается обрабатывать информацию с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.

20.  ИСПДн, обрабатывающие ПДн, должны иметь в своем составе сертифицированные по требованиям безопасности СрЗИ.

21.  Выбор и реализация методов и способов защиты информации в ИСПДн осуществляется в соответствии с методическими документами ФСТЭК России[23] на основе определяемых угроз безопасности ПДн (модели угроз и модели нарушителя) и в зависимости от класса ИСПДн.

22.  Класс ИСПДн определяется в соответствии с приказом
ФСТЭК России, ФСБ России и Мининформсвязи России
от 01.01.01 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

23.  Классификация ИСПДн проводится оператором (заказчиком) ПДн на этапе их создания или в ходе эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем, изменения состава обрабатываемых ПДн) с целью установления методов и способов защиты информации, для обеспечения необходимого уровня безопасности ПДн.

24.  Для проведения классификации ИСПДн, определения категорий ПДн и экспертной оценки угроз их безопасности приказом руководителя подразделения МВД России назначается комиссия, в состав которой включаются представители структурного подразделения, эксплуатирующего ИСПДн, а также специалисты подразделений по защите информации.

Результаты классификации ИСПДн оформляются актом (приложение № 1 к настоящей Инструкции).

Копия акта направляется в ДИТСиЗИ МВД России (для территориальных подразделений МВД России – через соответствующие структурные подразделения, осуществляющие функции в сфере информационных технологий, связи и защиты информации).

25.  При изменении класса ИСПДн необходимо в течение месяца письменно сообщить об этом в уполномоченный орган[24]
(ДИТСиЗИ МВД России), который осуществляет ведение реестра операторов ПДн (осуществляет учет ИСПДн) в соответствии с разделом V настоящей Инструкции.

26.  Определение угроз безопасности ПДн и разработка модели угроз и модели нарушителя осуществляется в соответствии методическими документами ФСТЭК России и ФСБ России.

27.  Доступ к ПДн, обрабатываемым в ИСПДн, оформляется только тем подразделениям и должностным лицам, которым он предусмотрен в соответствии с их положением о подразделении МВД России (структурном подразделении) и должностными обязанностями.

Доступ к ПДн осуществляется в установленном порядке на основании списков, утвержденных руководителем подразделения
МВД России.

28.  Для каждой ИСПДн разрабатываются (ведутся) следующие документы:

модель угроз и модель нарушителя (только для специальных ИСПДн);

перечень защищаемых информационных ресурсов в ИСПДн (приложение № 2 к настоящей Инструкции);

список должностных лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных обязанностей (приложение № 3 к настоящей Инструкции);

матрица доступа к ИСПДн;

описание технологического процесса обработки информации в ИСПДн;

перечень разрешенного к использованию в ИСПДн программного обеспечения;

перечень помещений, в которых осуществляется обработка ПДн, с указанием лиц, доступ которым в данные помещения разрешен;

ЧИТАЙТЕ ТАКЖЕ  Можно ли сдавать в аренду арестованное имущество

список лиц, ответственных за обеспечение безопасности ПДн и за разработку, проведение мероприятий, направленных на выполнение требований по защите информации;

техническое задание на создание (модернизацию) СЗПДн (раздел в техническом задании на создание (модернизацию) ИСПДн);

технический проект СЗПДн (раздел в техническом проекте ИСПДн);

ЧИТАЙТЕ ТАКЖЕ  Приказ о подразделении по защите персональных данных

должностные обязанности лица, ответственного за обеспечение безопасности ПДн;

должностные обязанности администратора безопасности ИСПДн[25];

должностные обязанности администратора ИСПДн[26];

инструкция пользователю ИСПДн;

инструкция по резервному копированию информации, содержащей ПДн;

инструкция по парольной защите;

инструкция по проведению антивирусного контроля;

инструкция о порядке удаления (изменения) персонифицированных записей из (в) ИСПДн;

инструкция о порядке проведения технического обслуживания ИСПДн;

инструкция по организации работы с материальными носителями биометрических персональных данных;

журнал учета машинных носителей информации (приложение № 5 к настоящей Инструкции);

журнал учёта персональных идентификаторов и паролей (приложение № 6 к настоящей Инструкции);

журнал учета обращений субъектов ПДн о выполнении их законных прав при обработке ПДн в ИСПДн (приложение № 7 к настоящей Инструкции);

журнал учета уничтожения (стирания) ПДн (приложение № 8 к настоящей Инструкции);

журнал проведения инструктажей по обеспечению безопасности ПДн;

журнал проверки исправности технических средств и технического обслуживания.

Для объекта информатизации, имеющего в своем составе ИСПДн, разрабатывается инструкция о внутриобъектовом режиме в соответствии с положениями Временного наставления по технической защите информации.

Перечень разрабатываемых документов может быть уточнен и изменен (дополнен, сокращен) по результатам обследования ИСПДн. Форма акта обследования приведена в приложении № 4 к настоящей Инструкции.

Документы, содержащие единые требования для нескольких ИСПДн, независимо от подразделения МВД России (структурного подразделения), ее эксплуатирующего, разрабатываются подразделением МВД России (структурным подразделением), к компетенции которого относится данное направление деятельности. Отдельные документы, могут разрабатываться в рамках проведения научно-исследовательских и опытно-конструкторских работ.

Указанные в настоящем пункте организационно-распорядительные документы, если не определено иное, подписываются руководителем подразделения, ответственного за эксплуатацию ИСПДн, согласовываются с подразделением, осуществляющим функции в сфере информационных технологий, связи и защиты информации (подразделением по технической защите информации, должностным лицом, ответственным за техническую защиту информации) и утверждаются руководителем подразделения
МВД России.

29.  Учет, хранение и обращение с машинными носителями ПДн, (магнитные, оптические, электронные носители информации), резервными копиями специального программного обеспечения и программного обеспечения СрЗИ осуществляется в порядке, установленном для носителей информации «Для служебного пользования».

30.  Обработка ПДн в ИСПДн, предусматривающая их трансграничную передачу, осуществляется с учетом положений международных договоров Российской Федерации и нормативных правовых актов Российской Федерации в сфере международного информационного обмена.

Принимаемые меры по защите ПДн в ИСПДн при их трансграничной передаче должны быть определены в рабочей конструкторской документации и инструкции по эксплуатации данной ИСПДн.

31.  Для обеспечения сохранности информационных ресурсов ИСПДн производится резервное копирование.

Порядок и периодичность проведения резервного копирования и восстановления информации, а также места хранения резервных копий, определяется отдельной инструкцией, разрабатываемой подразделением, непосредственно осуществляющим резервное копирование совместно с подразделением, отвечающим за эксплуатацию ИСПДн.

32.  Передача компонентов ИСПДн на утилизацию производится с демонтированными машинными носителями информации.

33.  Машинные носители информации уничтожаются в установленном порядке[27] с составлением акта об уничтожении.

Уничтожение немашинных носителей ПДн (бумажные носители, бланки и т. д.) производится способом, исключающим дальнейшую обработку этих данных, с составлением акта об уничтожении.

Акты на уничтожение носителей информации составляются применительно к форме № 12 Инструкции по обеспечению режима секретности в органах внутренних дел Российской Федерации, утвержденной приказом МВД России от 01.01.01 г. № 000.

IV.  Организация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации

34.  При создании (модернизации) и эксплуатации ИСПДн организуется разрешительная система доступа разработчиков, пользователей, эксплуатирующего персонала к техническим и программным средствам ИСПДн, а также к ПДн и информационным ресурсам ИСПДн.

35.  Пользователям предоставляется право работать только с теми средствами и ресурсами, которые необходимы им для выполнения должностных обязанностей.

36.  Полномочия разработчиков, пользователей и эксплуатирующего персонала на доступ к ПДн и ресурсам ИСПДн устанавливаются оператором ИСПДн (заказчиком ИСПДн) и отражаются в техническом задании на создание (модернизацию) ИСПДн.

37.  Регистрация пользователей ИСПДн осуществляется оператором ПДн на основании письменного обращения (заявки) руководителя подразделения МВД России, с указанием сведений о сотрудниках, которым необходимо предоставить доступ к ПДн и объема полномочий по обработке ПДн.

Руководитель подразделения МВД России, являющегося оператором ПДн, направляет руководителям подразделений МВД России, представивших заявки, перечень учетных записей (логинов) и их идентификаторов (паролей) зарегистрированных пользователей ИСПДн. Указанным сведениям присваивается пометка «для служебного пользования».

38.  Список должностных лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных обязанностей и матрица доступа к ИСПДн, определяющая права доступа должностных лиц к ИСПДн, утверждается приказом руководителя подразделения МВД России.

Для изменения состава пользователей, имеющих право работы с ИСПДн, в подразделение МВД России, являющееся оператором ПДн, направляется заявка на регистрацию, исключение или перерегистрацию пользователей.

В случае увольнения (перевода) пользователя ИСПДн (администратора безопасности ИСПДн, администратора ИСПДн) руководитель подразделения МВД России информирует об этом письменно подразделение МВД России, являющееся оператором ПДн в течение суток после даты издания соответствующего приказа.

39.  В подразделении, эксплуатирующим ИСПДн, ответственным за обеспечение безопасности ПДн (администратором безопасности ИСПДн) ведется журнал учета персональных идентификаторов и паролей[28], которому при заполнении присваивается пометка «для служебного пользования».

Журнал учета паролей хранится у ответственного за обеспечение безопасности ПДн (администратора безопасности ИСПДн) в опечатываемом сейфе (металлическом шкафу). Он несет персональную ответственность за сохранность журнала и содержащихся в нем сведений.

Журнал учета паролей хранится один год после заполнения, затем уничтожается в установленном порядке[29].

40.  В случае увольнения (перевода) должностного лица, имевшего непосредственный доступ к журналу учета паролей, все пароли должны быть изменены в течение месяца.

41.  Изменение паролей осуществляется ответственным за обеспечение безопасности ПДн (администратором безопасности ИСПДн).

Для этих целей предусматривается формирование следующих уровней паролей:

Самые популярные

Последние записи