Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 2
к распоряжению администрации города Иркутска
от 02.03.2015 N 031-10-124/5
План внутренних проверок режима защиты персональных данных в администрации города Иркутска
1. Общие положения
1.1. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (далее - План) содержит перечень мероприятий (внутренних проверок) по проверке режима защиты персональных данных в администрации города Иркутска.
1.2. План содержит следующую информацию:
- название проводимого мероприятия;
- периодичность проведения;
- исполнитель мероприятия.
1.3. План распространяется на все структурные подразделения администрации города Иркутска, в которых осуществляется обработка персональных данных либо имеется доступ к персональным данным.
Руководители структурных подразделений администрации города Иркутска доводят до сведения работников, назначенных ответственными за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска, настоящий План под роспись.
2. Мероприятия по проверке режима защиты персональных данных
2.1. Мероприятия по проверке режима защиты персональных данных имеют следующую периодичность:
- ежедневные мероприятия - мероприятия, предусматривающие постоянный контроль за выполнением требований действующего законодательства ответственным за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска (далее - ответственный исполнитель) и незамедлительное реагирование на инциденты информационной безопасности;
- еженедельные и ежемесячные мероприятия - мероприятия, предусматривающие проведение мероприятий ответственными исполнителями в один и тот же день недели или месяца. Факт проведения мероприятия должен быть зафиксирован в журнале, указанном в разделе 3 настоящего Плана;
- ежегодные или проводимые раз в несколько лет - мероприятия, предусматривающие проведение мероприятий в четко определенные ответственными исполнителями периоды времени. В ходе мероприятий должны быть учтены результаты проводимых ранее мероприятий по проверке режима защиты персональных данных в данном периоде.
3. Журнал учета мероприятий по контролю обеспечения защиты персональных данных
3.1. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты персональных данных (далее - Журнал). Форма Журнала представлена в Приложении N 1 к настоящему Плану.
В Журнале отмечаются мероприятия в соответствии с Планом, носящие периодический характер.
В Журнал заносится следующая информация:
- название проведенного мероприятия;
- дата проведенного мероприятия;
- исполнитель мероприятия;
- результат (отчет, действия) мероприятия (при необходимости).
4. План внутренних проверок режима защиты персональных данных
N п/п |
Мероприятие |
Периодичность |
Исполнитель |
1. |
Контроль за соблюдением режима защиты персональных данных, политики в отношении обработки персональных данных, за выполнением работниками обязанностей по защите персональных данных, определенных в организационно-распорядительной документации |
Ежедневно |
Руководитель структурного подразделения администрации города Иркутска, производящего обработку персональных данных (далее - руководитель подразделения). Администратор безопасности информационных систем персональных данных |
2. |
Контроль выполнения требований по режиму доступа в защищаемые помещения и на автоматизированные рабочие места, на которых производится обработка персональных данных |
Ежедневно |
Руководитель подразделения |
3. |
Контроль соблюдения правил работы с носителями персональных данных |
Ежедневно |
Руководитель подразделения |
4. |
Контроль целостности средств вычислительной техники, используемых для обработки персональных данных. Контроль корректной работы системного и прикладного программного обеспечения, средств защиты информации. Контроль состава технических средств. |
Ежедневно |
Пользователь информационной системы персональных данных |
5. |
Контроль за соблюдением режима обработки персональных данных |
Еженедельно |
Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
6. |
Пересмотр и, при необходимости, корректировка учетных записей пользователей |
Еженедельно |
Администратор безопасности информационных систем персональных данных |
7. |
Проверка журналов средств защиты информации для своевременного обнаружения фактов несанкционированного доступа к персональным данным |
Еженедельно |
Администратор безопасности информационных систем персональных данных |
8. |
Контроль за выполнением антивирусной защиты, неизменностью настроек средств антивирусной защиты и своевременным обновлением антивирусных баз |
Еженедельно |
Администратор безопасности информационных систем персональных данных |
9. |
Контроль за соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена |
Еженедельно |
Администратор безопасности информационных систем персональных данных |
10. |
Контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации |
Еженедельно |
Администратор безопасности информационных систем персональных данных |
11. |
Контроль за обеспечением резервного копирования, проверка работоспособности резервных копий |
Ежемесячно |
Администратор безопасности информационных систем персональных данных |
12. |
Контроль за соблюдением правил эксплуатации криптосредств, хранения криптосредств, эксплуатационной документации к ним |
Ежемесячно |
Ответственный пользователь криптосредств |
13. |
Поддержание в актуальном состоянии организационно-распорядительных документов |
Ежемесячно |
Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
14. |
Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное программное обеспечение, специально дорабатываемое собственными разработчиками или сторонними организациями |
Ежемесячно |
Администратор безопасности информационных систем персональных данных |
15. |
Контроль установленного (инсталлированного) в информационных системах персональных данных программного обеспечения на предмет соответствия его перечню программного обеспечения, разрешенному к установке в информационной системе персональных данных |
Ежемесячно |
Администратор информационных систем персональных данных |
16. |
Контроль состава технических средств и средств защиты информации, применяемых в информационных системах персональных данных |
Ежемесячно |
Администратор безопасности информационных систем персональных данных |
17. |
Контроль работоспособности, параметров настройки и правильности функционирования средств защиты информации |
Ежемесячно |
Администратор безопасности информационных систем персональных данных |
18. |
Контроль правил генерации и смены паролей пользователей |
Раз в три месяца |
Администратор безопасности информационных систем персональных данных |
19. |
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения |
Раз в три месяца |
Администратор информационных систем персональных данных |
20. |
Проверка наличия машинных носителей информации, содержащей персональные данные |
Раз в полгода |
Администратор безопасности информационных систем персональных данных |
21. |
Проверка знаний и осведомленности работников в области защиты персональных данных |
Раз в полгода |
Лицо, ответственное за организацию обработки информационных систем персональных данных |
22. |
Контроль реализации правил разграничения доступа, полномочий пользователей в информационных системах персональных данных согласно матрице доступа и исполненным заявкам |
Раз в полгода |
Администратор безопасности информационных систем персональных данных |
23. |
Пересмотр модели угроз |
Ежегодно По факту изменения целей, технологии или иного значимого аспекта информационной безопасности По факту обнаружения недостатков в ходе мероприятий по контролю уровня защищенности персональных данных |
Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска. Администратор безопасности информационных систем персональных данных |
24. |
Пересмотр организационно-распорядительной документации, регламентирующей порядок обработки персональных данных и требования по защите персональных данных, с учетом проводимых мероприятий по контролю |
Ежегодно По факту изменения целей, технологии или иного значимого аспекта информационной безопасности |
Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска. Администратор безопасности информационных систем персональных данных |
25. |
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных |
Ежегодно |
Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
26. |
Поиск и анализ уязвимостей информационных систем персональных данных, и оценка достаточности принятых мер защиты |
Ежегодно |
Администратор безопасности информационных систем персональных данных |
27. |
Обучение и повышение осведомленности работников в области защиты ПДн |
Ежегодно В случае изменения законодательной базы, внутренних нормативных актов в области защиты персональных данных не позднее одного месяца с момента изменений |
Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
28. |
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных |
Раз в три года |
Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска. Администратор безопасности информационных систем персональных данных или Юридическое лицо или индивидуальный предприниматель, имеющий лицензию на осуществление деятельности по технической защите конфиденциальной информации, привлеченные на договорной основе |
29. |
Контроль заведения и удаления учетных записей пользователей |
Прием/увольнение работника |
Администратор безопасности информационных систем персональных данных |
Заместитель мэра - председатель комитета |
А.А.Альмухамедов |
Начальник отдела информационной |
Е.В.Торгашин |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.