Оператором персональных данных должно быть обеспечено управление взаимодействием с внешними информационными системами персональных данных (ИСПДн), включающими ИСПДн и вычислительные ресурсы (мощности) уполномоченных лиц, ИСПДн, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными ИСПДн, информационное взаимодействие с которыми необходимо для функционирования ИСПДн.
Управление взаимодействием с внешними ИСПДН должно включать:
- предоставление доступа к ИСПДн только авторизованным (уполномоченным) пользователям в соответствии с УПД.2;
- определение типов прикладного программного обеспечения ИСПДн, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних ИСПДн;
- определение системных учетных записей, используемых в рамках данного взаимодействия;
- определение порядка предоставления доступа к ИСПД не авторизованными (уполномоченным) пользователями из внешних ИСПДн;
- определение порядка обработки, хранения и передачи персональных данных с использованием внешних ИСПДн.
Управление взаимодействием с внешними ИСПДн в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется в том числе с использованием единой системы идентификации и аутентификации (ЕСИА), созданной в соответствии с постановлением Правительства Российской Федерации от 28.11.2011 N977.
Правила и процедуры управления взаимодействием с внешними ИСПДн регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.16:
1) оператор персональных данных предоставляет доступ к ИСПДн авторизованным (уполномоченным) пользователям внешних ИСПДн или разрешает обработку, хранение и передачу персональных данных с использованием внешней ИСПДн при выполнении следующих условий:
а) при наличии договора (соглашения) об информационном взаимодействии с оператором (обладателем, владельцем) внешней ИСПДн;
б) при наличии подтверждения выполнения во внешней ИСПДн предъявленных к ней требований о защите персональных данных (наличие оценки эффективности (аттестата) соответствия требованиям по безопасности персональных данных).
Содержание базовой меры УПД.16:
Мера защиты персональных данных | Уровень защищенности персональных данных | |||
4 | 3 | 2 | 1 | |
УПД.16 | + | + | + | + |
Усиление УПД.16 | 1а | 1а, 1б | 1а, 1б | 1а, 1б |