Об обработке персональных данных в органах принудительного исполнения Российской Федерации (с изменениями на 22 августа 2022 года)

X. Требования к защите персональных данных при их обработке в информационных системах персональных данных

68. Безопасность персональных данных при их обработке в информационных системах персональных данных федерального органа принудительного исполнения (территориального органа принудительного исполнения) как являющихся, так и не являющихся подсистемами АИС ФССП России, обеспечивается при помощи системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257).

69. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2020, N 14 (ч.I), ст.2035).

70. Выбор организационных и технических мер по защите персональных данных в подсистемах АИС ФССП России осуществляется подразделением по обеспечению информационной безопасности ФССП России в соответствии с приказом ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (зарегистрирован Минюстом России 18.08.2014, регистрационный N 33620) и приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован Минюстом России 31.05.2013, регистрационный N 28608), с изменениями, внесенными приказами ФСТЭК России от 15.02.2017 N 27 (зарегистрирован Минюстом России 14.03.2017, регистрационный N 45933), от 28.05.2019 N 106 (зарегистрирован Минюстом России 13.09.2019, регистрационный N 55924) (далее - Приказ ФСТЭК России от 11.02.2013 N 17).

71. Реализация организационных и технических мер по защите информации в подсистемах АИС ФССП России, расположенных в территориальном органе принудительного исполнения, осуществляется подразделением по обеспечению информационной безопасности территориального органа принудительного исполнения. Реализация методов и способов защиты информации в подсистемах АИС ФССП России, расположенных в органе принудительного исполнения, организуется подразделением по обеспечению информационной безопасности органа принудительного исполнения, в случаях, предусмотренных федеральными законами.

________________

Приказ ФСТЭК России от 11.02.2013 N 17.

72. Выбор и реализация организационных и технических мер по защите информации в информационных системах персональных данных федерального органа принудительного исполнения (территориального органа принудительного исполнения), не являющихся подсистемами АИС ФССП России, осуществляется подразделением по обеспечению информационной безопасности федерального органа принудительного исполнения (территориального органа принудительного исполнения).

73. При обработке персональных данных в информационных системах персональных данных проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных, а также выполняется контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

74. До ввода в промышленную эксплуатацию информационной системы персональных данных лицо, ответственное за организацию обработки персональных данных в федеральном органе принудительного исполнения (территориальном органе принудительного исполнения), организует мероприятия по оценке защищенности персональных данных и дает заключение об эффективности принимаемых мер по обеспечению безопасности персональных данных.

75. На основании оценки эффективности ПДТК ФССП России принимает решение о пересмотре перечня угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных, являющихся подсистемами АИС ФССП России.

76. Подразделение по обеспечению информационной безопасности федерального органа принудительного исполнения (территориального органа принудительного исполнения) организует и контролирует ведение учета материальных носителей персональных данных. Учет материальных носителей ведется подразделением, эксплуатирующим информационную систему персональных данных, по каждой информационной системе отдельно.

77. Подразделение по обеспечению информационной безопасности федерального органа принудительного исполнения (территориального органа принудительного исполнения) осуществляет выявление и фиксацию фактов несанкционированного доступа к персональным данным, а также принятие мер по проверке и расследованию нарушений (инцидентов) информационной безопасности, в том числе с использованием программных, программно-аппаратных и технических средств.

78. Подразделение, осуществляющее сопровождение информационных систем в федеральном органе принудительного исполнения (территориальном органе принудительного исполнения), обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

79. При создании новых бумажных и электронных носителей, предусматривающих внесение в них персональных данных, использование персональных данных согласовывается с лицом, ответственным за организацию обработки персональных данных в федеральном органе принудительного исполнения (территориальном органе принудительного исполнения).

80. При внедрении новых информационных систем персональных данных, изменении объема (содержания), порядка и целей обработки персональных данных лицо, ответственное за организацию обработки персональных данных в федеральном органе принудительного исполнения (территориальном органе принудительного исполнения), инициирует внесение изменений в уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных в федеральном органе принудительного исполнения (территориальном органе принудительного исполнения).