15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям, по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.
17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.
18. Исключен.
19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.
20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.
21. Для каждой ИСПДн предусматривается ведение следующих журналов:
учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
учета и выдачи машинных носителей ПДн;
проведения инструктажей по обеспечению безопасности ПДн;
проверки исправности технических средств и технического обслуживания.
22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.
Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.
III. Организация разрешительной системы доступа к ИСПДн
23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.
24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.
25. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения - оператора ИСПДн.
26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
IV. Обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных
27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:
планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
конфиденциальность, целостность и доступность ПДн;
организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;
защиту ПДн;
определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;
организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.
28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.
29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.
30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.
V. Контроль обеспечения безопасности персональных данных
31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
32. Задачами контроля являются:
установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;
выявление проблемных вопросов в организации обеспечения безопасности ПДн;
обеспечение соблюдения законодательства в сфере ПДн;
выработка мер по оказанию методической и практической помощи подразделениям МВД России;
повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.
33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.
34. Исключен.
35. Исключен.
_____________________________
*(1) Далее - "Инструкция".
*(2) Собрание законодательства Российской Федерации, 2006. N 31, ст. 3451; 2009, N 48. ст. 5716; N 52, ст. 6439: 2010, N 27. ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52. ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701. Далее - "Федеральный закон N 152-ФЗ".
*(3) Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257.
*(4) Далее - "ПДн".
*(5) Далее - "ИСПДн" или "информационная система".
*(6) Зарегистрирован в Минюсте России 31 мая 2013 года, регистрационный N 28608. Российская газета, 2013, N 136.
*(7) Далее - "МВД России".