XVII. Требования к обработке и защите персональных данных

112. При назначении военнослужащего МЧС России, сотрудника МЧС России, гражданского служащего МЧС России или работника МЧС России на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, такому лицу доводится до сведения под подпись типовое обязательство уполномоченного на обработку персональных данных, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта (служебного контракта или трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей, утверждаемое в соответствии с подпунктом "б" пункта 1 перечня мер, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (далее - Типовое обязательство).

113. Подписанные уполномоченными на обработку персональных данных Типовые обязательства приобщаются к их личным делам.

114. Обязанности уполномоченных на обработку персональных данных по обработке персональных данных включаются в их должностные регламенты (обязанности, инструкции).

115. Уполномоченные на обработку персональных данных, получившие доступ к персональным данным, для обеспечения законной передачи персональных данных в случаях, соответствующих целям обработки:

осуществляют передачу персональных данных субъектов персональных данных, указанных в подпунктах 6.1 - 6.7 пункта 6 настоящих Правил, в пределах МЧС России, территориального органа МЧС России и организации, находящейся в ведении МЧС России, в соответствии с настоящими Правилами, с которыми указанные субъекты персональных данных должны быть ознакомлены под роспись <31(1)>;

--------------------------------

<31(1)> Абзац пятый статьи 88 Трудового кодекса.

не раскрывают персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно, а также в других случаях, предусмотренных Федеральным законом "О персональных данных" <31(2)>;

--------------------------------

<31(2)> Пункт 6 части 1 статьи 6, статья 7 Федерального закона "О персональных данных".

предупреждают лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требуют от этих лиц подтверждение того, что это правило соблюдено <31(3)>;

--------------------------------

<31(3)> Абзац четвертый статьи 88 Трудового кодекса.

включают персональные данные в общедоступные источники персональных данных при условии получения письменного согласия субъекта персональных данных в соответствии с частью 1 статьи 8 Федерального закона "О персональных данных".

116. Обработка персональных данных в МЧС России, территориальных органах МЧС России, организациях, находящихся в ведении МЧС России, осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо без использования средств вычислительной техники (неавтоматизированная обработка).

Перечень информационных систем, в которых осуществляется обработка персональных данных, утверждается приказом МЧС России, территориального органа МЧС России, организации, находящейся в ведении МЧС России.

Общее руководство организацией технической защиты персональных данных, обрабатываемых в информационных системах персональных данных, возлагается на структурное подразделение МЧС России, осуществляющее общее руководство организацией технической защиты служебной информации в МЧС России.

Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

117. Обеспечение внешней защиты персональных данных достигается:

установлением пропускного режима и особого порядка приема, учета и контроля посетителей;

использованием технических средств охраны;

применением программно-технических комплексов защиты информации, содержащейся на электронных и магнитных носителях информации.

118. Обеспечение внутренней защиты персональных данных достигается:

ограничением и регламентацией состава должностных лиц, должностные обязанности (должностные регламенты, инструкции) которых предусматривают доступ к персональным данным;

избирательным и обоснованным распределением (разделением) доступа должностных лиц к персональным данным и материальным носителям информации, которые их содержат;

размещением рабочих мест, в том числе автоматизированных, на которых обрабатываются персональные данные, способом, исключающим бесконтрольную обработку персональных данных;

формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на материальных (машинных) носителях информации, используемых в информационных системах персональных данных;

утверждением списков (перечней) должностных лиц, имеющих право доступа в помещения, в которых обрабатываются и (или) хранятся персональные данные;

выявлением нарушений при осуществлении обработки персональных данных и их устранением, в том числе связанных с нарушением требований к защите персональных данных и обеспечения безопасности информации;

проведением профилактической работы с должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.

119. При осуществлении обработки персональных данных без использования средств автоматизации, уполномоченные на обработку персональных данных, выполняют следующие действия:

обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности, путем их записи в специальных разделах или на полях форм (бланков);

создают условия, обеспечивающие сохранность персональных данных и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;

производят уточнение персональных данных, подлежащих обработке, путем их обновления (изменения);

осуществляют контроль в части, их касающейся, за соблюдением порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.

120. Доступ к информационным системам персональных данных уполномоченных на обработку персональных данных, осуществляющих обработку персональных данных, реализуется посредством создания учетной записи, состоящей из имени пользователя и пароля.

121. Доступ к информационным системам персональных данных предоставляется в соответствии с обязанностями, предусмотренными должностными регламентами (обязанностями, инструкциями) уполномоченных на обработку персональных данных.

122. Информация может размещаться в информационных системах персональных данных, как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

123. Безопасность персональных данных при их обработке в информационных системах персональных данных должна обеспечиваться с помощью системы защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным (далее - система защиты персональных данных).

124. Система защиты персональных данных в МЧС России, территориальных органах МЧС России, организациях, находящихся в ведении МЧС России, должна включать организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также современные информационные технологии, применяемые в информационных системах персональных данных.

125. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных должны разрабатываться и осуществляться должностными лицами МЧС России (территориальных органов МЧС России, организаций, находящихся в ведении МЧС России), в полномочия которых входит обеспечение технической защиты служебной информации, на основании требований к защите персональных данных и в целях обеспечения требуемого уровня защищенности персональных данных, которого необходимо достичь исходя из имеющихся угроз безопасности персональных данных (их типа), актуальных при их обработке в информационных системах персональных данных.

126. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" <32> с учетом изменений, внесенных приказом Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 <33>.

--------------------------------

<32> Зарегистрирован Министерством юстиции Российской Федерации 14 мая 2013 года, регистрационный N 28375.

<33> Зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 года, регистрационный N 46487.

127. Определение типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, производится в соответствии с пунктом 5 части 1 статьи 18.1 и части 5 статьи 19 Федерального закона "О персональных данных" с учетом оценки возможного вреда, к которому могут привести указанные угрозы.

128. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается в соответствии с требованиями к защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а также требованиями к защите персональных данных, утвержденными Постановлением N 1119.

129. Для обеспечения требуемого уровня защищенности персональных данных, соответствующего требованиям к защите персональных данных, применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

назначается по каждой информационной системе персональных данных, а при необходимости - по каждой ее составной части, эксплуатируемой в МЧС России (территориальном органе МЧС России, организации, находящейся в ведении МЧС России), должностное лицо, ответственное за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их обработке;

организуется режим обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующий неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения;

осуществляется учет электронных (магнитных) носителей информации, а также выполнение мер, направленных на обеспечение сохранности указанных материальных носителей информации, позволяющих производить хранение материальных носителей информации;

организуется режим доступа к обрабатываемым персональным данным в информационных системах персональных данных;

осуществляется мониторинг обработки персональных данных для обнаружения фактов несанкционированного доступа к ним, выявления модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним для их последующего восстановления;

допускаются к применению в информационных системах персональных данных только технические и программные средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, когда применение таких средств необходимо для нейтрализации угроз безопасности персональных данных, актуальных при обработке;

осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

осуществляется внутренний контроль принимаемых мер по обеспечению безопасности персональных данных, в том числе выполнения требуемого уровня защищенности информационных систем персональных данных и персональных данных, обрабатываемых без использования средств автоматизации.

130. В целях обеспечения надлежащей эксплуатации информационных систем персональных данных должны быть осуществлены:

классификация информационных систем персональных данных в соответствии с требованиями к защите персональных данных, утвержденными Постановлением N 1119, с оформлением соответствующих актов;

комплекс организационных и технических мер по обеспечению безопасности персональных данных (при их обработке в информационных системах персональных данных) в виде системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации в области обеспечения безопасности информации, в том числе в связи с использованием в МЧС России, территориальных органах МЧС России, организациях, находящихся в ведении МЧС России, информационно-телекоммуникационной сети "Интернет" в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" <34> и Указом Президента Российской Федерации от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации" <35>.

--------------------------------

<34> Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; 2015, N 21, ст. 3092.

<35> Собрание законодательства Российской Федерации, 2015, N 21, ст. 3092.

131. Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми в соответствии с частью 4 статьи 19 Федерального закона "О персональных данных".

132. Персональные данные являются сведениями конфиденциального характера, доступ к которым ограничен в соответствии с законодательством Российской Федерации, и подлежат защите должностными лицами при осуществлении их обработки.