Постановление Администрации г. Вологды от 25.09.2012 N 5503 "Об утверждении Порядка осуществления Управлением информационных технологий и защиты информации Администрации города Вологды мероприятий по контролю за деятельностью в области защиты персональных данных отраслевых, функциональных органов Администрации города Вологды и муниципальных организаций"

Руководствуясь Федеральными законами от 6 октября 2003 года N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации" (с последующими изменениями), от 27 июля 2006 года N 152-ФЗ "О персональных данных" (с последующими изменениями), от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями), постановлениями Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", от 15 сентября 2008 года N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", в соответствии со статьями 38, 42 Устава муниципального образования "Город Вологда", постановлением Администрации города Вологды от 25 июня 2012 года N 3571 "Об утверждении Положения об Управлении информационных технологий и защиты информации Администрации города Вологды, Положения об отделе разработки и сопровождения информационных систем Управления информационных технологий и защиты информации Администрации города Вологды, Положения о секторе защиты информации и администрирования сети Управления информационных технологий и защиты информации Администрации города Вологды, Положения о секторе по ведению базы данных "Избирателей города Вологды" Управления информационных технологий и защиты информации Администрации города Вологды", постановляю:

1. Утвердить прилагаемый Порядок осуществления Управлением информационных технологий и защиты информации Администрации города Вологды мероприятий по контролю за деятельностью в области защиты персональных данных отраслевых, функциональных органов Администрации города Вологды и муниципальных организаций.

2. Настоящее постановление подлежит опубликованию в газете "Вологодские новости" и размещению на официальном сайте Администрации города Вологды в информационно-телекоммуникационной сети "Интернет".

Глава города Вологды

Е.Б. Шулепов

Порядок
осуществления Управлением информационных технологий и защиты информации Администрации города Вологды мероприятий по контролю за деятельностью в области защиты персональных данных отраслевых, функциональных органов Администрации города Вологды и муниципальных организаций
(утв. постановлением Администрации г. Вологды
от 25 сентября 2012 г. N 5503)

1. Общие положения

1.1. Настоящий порядок осуществления Управлением информационных технологий и защиты информации Администрации города Вологды мероприятий по контролю за деятельностью в области защиты персональных данных отраслевых, функциональных органов Администрации города Вологды (далее - органы Администрации города Вологды) и муниципальных организаций (далее - Порядок) устанавливает сроки и последовательность действий при осуществлении Управлением информационных технологий и защиты информации Администрации города Вологды (далее - УИТЗИ) внутреннего контроля деятельности органов Администрации города Вологды, контрольных мероприятий в отношении муниципальных организаций, в пределах компетенции УИТЗИ по вопросам соблюдения действующих нормативных правовых актов в области защиты персональных данных, оценки обоснованности принятия управленческих решений, связанных с обеспечением защиты персональных данных от утечки информации по техническим каналам, несанкционированного доступа к защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства ее обработки, а также по устранению и предупреждению нарушений требований законодательства Российской Федерации в области персональных данных.

1.2. Мероприятия по контролю за деятельностью в области защиты персональных данных органов Администрации города Вологды и муниципальных организаций проводятся УИТЗИ в виде проверок деятельности отраслевых, функциональных органов Администрации города Вологды, муниципальных организаций в целях:

1.2.1. Обеспечения соответствия организации работ по защите персональных данных, наличия и содержания внутренних организационно-распорядительных документов в органе Администрации города Вологды, муниципальной организации требованиям действующих нормативных правовых актов в области защиты персональных данных.

1.2.2 Своевременного выявления предпосылок и предотвращения утечки персональных данных в органах Администрации города Вологды и муниципальных организациях по техническим каналам, несанкционированного доступа и непреднамеренных воздействий на персональные данные и средства их обработки.

1.3. Предметом контроля за деятельностью органов Администрации города Вологды и муниципальных организаций в области защиты персональных данных являются:

1.3.1. Документы, характер информации в которых предполагается или допускается включение в них персональных данных.

1.3.2. Информационные системы персональных данных.

1.3.3. Деятельность органов Администрации города Вологды и муниципальных организаций по обработке персональных данных.

2. Виды проверок

2.1. Проверки, проводимые УИТЗИ, могут быть плановыми или внеплановыми. Плановые проверки в свою очередь, как и внеплановые, могут быть выездными или документарными.

2.1.1. Плановые или внеплановые документарные проверки проводятся без выезда по месту нахождения и (или) ведения деятельности проверяемого органа Администрации города Вологды, муниципальной организации путем изучения предоставленных документов.

2.1.2. Плановые или внеплановые выездные проверки проводятся по месту нахождения и (или) ведения деятельности проверяемого органа Администрации города Вологды, муниципальной организации.

2.1.3. Выездные проверки проводятся в случае, если при документарной проверке не представляется возможным:

удостовериться в полноте и достоверности сведений, содержащихся в предоставленных документах;

оценить соответствие деятельности органа Администрации города Вологды, муниципальных организаций обязательным требованиям в области защиты персональных данных, без проведения соответствующих мероприятий по контролю.

2.2. Плановой является проверка, включенная в ежегодный план проведения проверок (далее - план проверок), формируемый УИТЗИ и утверждаемый Главой города Вологды.

2.2.1. Проект плана проверок формируется УИТЗИ ежегодно в срок до 15 ноября года, предшествующего году проведения проверок, и содержит в себе следующие сведения:

наименования органов Администрации города Вологды, муниципальных организаций, деятельность которых подлежит плановым проверкам;

цель и основание проведения каждой плановой проверки;

дата начала и сроки проведения плановой проверки;

наименование органа Администрации города Вологды, осуществляющего конкретную плановую проверку.

2.2.2. Подготовленный проект распоряжения Администрации города Вологды, утверждающий план проверок, в срок до 1 декабря года, предшествующего году проведения проверок, представляется на утверждение Главе города Вологды.

2.2.3. Утвержденный распоряжением Администрации города Вологды план проверок в течение 5 рабочих дней после его утверждения направляется органам Администрации города Вологды, муниципальным организациям полностью оформленным, заверенным в установленном порядке с указанием адресов в соответствии с указателем рассылки и публикуется на официальном сайте Администрации города Вологды в информационно-телекоммуникационной сети "Интернет".

2.3. Плановые проверки могут проводится не чаще чем один раз в три года.

2.4. Проверка, не включенная в план проверок и проводимая по поручению Главы города Вологды, является внеплановой.

2.5. Срок проведения как документарной, так и выездной проверки не может превышать двадцати рабочих дней.

В исключительных случаях, связанных с необходимостью проведения дополнительных мероприятий по контролю, срок проведения проверки может быть продлен Главой города Вологды по представлению начальника Управления информационных технологий и защиты информации Администрации города Вологды, но не более чем на двадцать рабочих дней.

3. Организация проведения плановой проверки

3.1. В целях проведения проверки согласно плану проверок начальник Управления информационных технологий и защиты информации Администрации города Вологды издает приказ о проведении проверки.

3.2. В приказе о проведении проверки указываются:

наименование органа Администрации города Вологды, муниципальной организации, в отношении которой проводится проверка;

цели, задачи, предмет проверки и срок ее проведения, в том числе даты начала и окончания проведения проверки;

правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования и требования, установленные муниципальными правовыми актами, с указанием перечня мероприятий по контролю, необходимых для достижения целей и задач проведения проверки;

фамилия, имя, отчество, должность лица (лиц) УИТЗИ, уполномоченного (ых) на проведение проверки;

перечень документов, представление которых органом Администрации города Вологды, муниципальной организацией необходимо для достижения целей и задач проведения проверки.

3.3. О проведении плановой проверки орган Администрации города Вологды, муниципальная организация уведомляются УИТЗИ не позднее, чем в течение трех рабочих дней до начала ее проведения посредством направления в установленном порядке копии приказа УИТЗИ о начале проведения плановой проверки.

При проведении плановой проверки муниципальной организации УИТЗИ не позднее чем в течение трех рабочих дней до начала ее проведения информирует в установленном порядке орган Администрации города Вологды, которому подведомственна данная муниципальная организация.

3.4. При проведении плановой документарной проверки в случае, если представленных согласно обозначенным в приказе о проведении проверки документов недостаточно для достижения целей и задач проведения проверки, УИТЗИ направляет в адрес органа Администрации города Вологды, муниципальной организации мотивированный запрос с требованием представить дополнительные для рассмотрения в ходе проведения документарной проверки документы.

В течение двух рабочих дней со дня получения мотивированного запроса орган Администрации города Вологды, муниципальная организация обязаны направить в УИТЗИ указанные в запросе документы в виде копий, заверенных в установленном порядке.

3.5. При проведении плановой выездной проверки обязательным является предъявление служебного удостоверения должностными лицами УИТЗИ и ознакомление руководителя или иного должностного лица органа Администрации города Вологды, руководителя муниципальной организации с полномочиями проводящих выездную проверку лиц, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, со сроками и с условиями ее проведения.

3.6. Руководитель проверяемого органа Администрации города Вологды, а также руководитель органа Администрации города Вологды, которому подведомственна проверяемая муниципальная организация, обязаны обеспечить надлежащие условия для проведения проверки, своевременно представлять все необходимые для проведения проверки материалы и документы.

В случае отказа руководителя проверяемого органа Администрации города Вологды, муниципальной организации обеспечить доступ уполномоченному на проведение проверки должностному лицу (лицам) УИТЗИ на территорию проверяемого органа Администрации города Вологды, муниципальной организации, либо отказа в предоставлении запрашиваемых документов должностным лицом УИТЗИ составляется акт об отказе в доступе либо в предоставлении документов, с которым знакомится и ставит свою подпись руководитель проверяемого органа Администрации города Вологды, руководитель проверяемой муниципальной организации, в отношении которых проводилась проверка.

При отказе руководителя проверяемого органа Администрации города Вологды, муниципальной организации, в совершении подписи в акте делается соответствующая пометка.

3.7. Несоответствие организации работ по защите персональных данных, наличия и содержания внутренних организационно-распорядительных документов, а также качественных и количественных показателей эффективности мероприятий, проводимых в органе Администрации города Вологды, муниципальной организации, по защите персональных данных требованиям действующих нормативных правовых актов в области защиты персональных данных является нарушениями, которые по степени опасности делятся на две категории:

первая - невыполнение требований или норм по защите персональных данных, в результате чего имелась или имеется реальная угроза ее утечки;

вторая - невыполнение требований или норм по защите персональных данных, в результате чего созданы предпосылки к ее утечке.

3.8. При выявлении нарушений первой категории руководители органов Администрации города Вологды, муниципальных организаций обязаны на основании предписания об устранении выявленных нарушений с указанием сроков их устранения, выданного УИТЗИ, прекратить работы, связанные с обработкой персональных данных в автоматизированной информационной системе, где обнаружены нарушения, и принять меры по устранению нарушений.

Возобновление работ допускается при условии устранения выявленных нарушений, а также достаточности и эффективности предпринятых мер по результатам проводимых УИТЗИ контрольных мероприятий.

4. Организация и проведение внеплановой проверки

4.1. Внеплановая проверка проводится в форме документарной и (или) выездной проверки в порядке, предусмотренном разделом 3 настоящего Порядка.

4.2. Основанием для проведения внеплановой проверки является истечение срока исполнения органом Администрации города Вологды, муниципальной организацией ранее выданного предписания об устранении выявленного нарушения обязательных требований в области защиты персональных данных.

4.3. О проведении внеплановой выездной или документарной проверки орган Администрации города Вологды, муниципальная организация предварительно, но не менее чем за три часа до начала ее проведения уведомляются УИТЗИ телефонограммой о начале проведения внеплановой выездной или документарной проверки.

5. Ограничения при проведении проверки

5.1. При проведении проверки должностные лица УИТЗИ не вправе:

5.1.1. Проверять выполнение обязательных требований в области защиты информации, если такие требования не относятся к полномочиям УИТЗИ;

5.1.2. Осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного должностного лица органа Администрации города Вологды, муниципальной организации.

5.1.3. Требовать представления документов и информации, если они не являются объектами проверки или не относятся к предмету проверки, а также изымать оригиналы таких документов.

5.1.4. Распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.1.5. Превышать установленные сроки проведения проверки.

6. Порядок оформления результатов проверки

6.1. По итогам проведения проверки составляются акт о результатах проверки (далее - акт) и служебная записка на имя Главы города Вологды.

6.2. Акт проверки состоит из вводной и основной частей.

6.2.1. В вводной части акта указываются:

дата, время и место составления акта;

дата и номер приказа о проведении проверки;

наименование проверяемого органа Администрации города Вологды, муниципальной организации, в отношении которого проводилась проверка;

фамилии, имена, отчества и должности должностного лица или должностных лиц УИТЗИ, проводивших проверку;

дата, время, продолжительность и место проведения проверки.

6.2.2. В основной части акта указываются:

сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований, установленных нормативными правовыми актами, со ссылками на них, об их характере и о лицах, допустивших указанные нарушения;

сведения о недостатках в деятельности органа Администрации города Вологды, муниципальной организации, не являющихся нарушением, но отрицательно влияющих на деятельность соответствующего органа Администрации города Вологды, муниципальной организации, либо создающих предпосылки к возникновению нарушений;

информация о произведенном органом Администрации города Вологды, муниципальной организацией в ходе проведения проверки устранении выявленных нарушений или предпосылок к их возникновению;

рекомендации по устранению выявленных нарушений или предпосылок к их возникновению;

сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя органа Администрации города Вологды, муниципальной организации о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием указанного журнала;

подписи должностного лица или должностных лиц, проводивших проверку.

6.3. Акт, имеющий сквозную нумерацию страниц, составляется в двух экземплярах, один из которых с копиями приложений не позднее 5 рабочих дней вручается руководителю или иному должностному лицу органа Администрации города Вологды, муниципальной организации под расписку о получении акта проверки.

В случае отсутствия руководителя или иного должностного лица органа Администрации города Вологды, муниципальной организации дать расписку о получении акта либо об отказе в получении акта проверки акт направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле УИТЗИ.

6.4. В случае несогласия с фактами, выводами и предложениями, изложенными в акте, руководитель органа Администрации города Вологды, муниципальной организации, в течение 15 дней с даты получения акта проверки вправе представить в УИТЗИ письменные возражения по акту в целом или по его отдельным разделам, а также приложить документы (их копии), подтверждающие обоснованность возражений.

6.5. В случае выявления при проведении проверки нарушений обязательных требований, установленных нормативными правовыми актами, должностные лица УИТЗИ, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, выдают предписание об устранении выявленных нарушений с указанием сроков их устранения.

6.6. В служебной записке на имя Главы города Вологды излагаются краткие итоги проверки, предложения о внесении изменений в муниципальные правовые акты и (или) предложения о повышении эффективности деятельности проверяемых органов Администрации города Вологды, муниципальной организации, а также предложения о привлечении к дисциплинарной и иной ответственности муниципальных служащих Администрации города Вологды, руководителей муниципальных организаций за неисполнение, несвоевременное исполнение или неудовлетворительную организацию исполнения документов, нарушение норм действующего законодательства.

7. Заключительные положения

7.1. Все полученные при проведении проверки, а также контрольных мероприятий документы и материалы (за исключением подлинников документов, которые возвращаются объекту проверки) формируются в отдельное дело и хранятся в УИТЗИ в установленном порядке.