Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Распоряжение Администрации г. Железногорска Курской области от 14 октября 2014 г. N 1258 "Об утверждении документов по обработке и защите персональных данных в администрации города Железногорска"
- Приложение N 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Железногорска
Приложение N 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Железногорска
Приложение N 2
к распоряжению
Администрации г. Железногорска
Курской области
от 14 октября 2014 г. N 1258
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Железногорска
1. Общие положения
1.1. Настоящие Правила определяют основания, порядок и формы проведения внутреннего контроля соответствия обработки персональных данных в администрации города Железногорска (далее - администрация) требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и в соответствии с ним принятыми нормативными правовыми актами администрации.
1.2. Правила разработаны в соответствии с постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
2. Виды внутреннего контроля
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям защиты персональных данных в администрации организуется плановый, внеплановый и комиссионный контроли обработки персональных данных.
2.2. Плановый внутренний контроль осуществляется на постоянной основе администратором безопасности информационных систем персональных данных (далее - ИСПДн) администрации в соответствии с разработанным и утвержденным главным ответственным лицом по обработке и защите персональных данных в администрации (далее - главное ответственное лицо) ежеквартальным планом.
2.3. Внеплановый внутренний контроль может проводиться по указанию главы города Железногорска и при необходимости сбора дополнительных сведений о работе специалистов администрации в локально-вычислительной сети администрации.
2.4. Комиссионный внутренний контроль осуществляется Комиссией по рассмотрению вопросов по обработке и защите персональных данных в ИСПДн на основе поступившего в администрацию письменного заявления (запроса) о нарушениях правил обработки персональных данных.
2.5. Комиссия создается по решению главы города Железногорска в течение трех рабочих дней со дня поступления соответствующего заявления (запроса).
2.6. Во внутренней проверке не может участвовать специалист прямо или косвенно заинтересованный в её результатах.
2.7. О результатах проведенной проверки администратор безопасности ИСПДн докладывает главному ответственному лицу в письменной форме.
2.8. В случае выявления грубых нарушений условий обработки персональных данных в служебной записке указываются причины нарушений, виновные лица в возникновении нарушений и перечень мер, необходимых для устранения нарушений. Мелкие нарушения устраняются в ходе проверки.
2.9. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении.
3. Проведение внутреннего контроля
3.1. При проведении внутреннего контроля (планового, внепланового, комиссионного) соответствия обработки персональных данных установленным требованиям к защите персональных данных полностью, объективно и всесторонне проверяется следующее:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
3.2. Администратор безопасности ИСПДн при проведении проверки имеет право:
запрашивать у сотрудников структурного подразделения администрации информацию, необходимую для реализации полномочий;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований действующего законодательства Российской Федерации;
вносить предложения по применению организационных и технических мер для повышения безопасности персональных данных при их обработке в ИСПДн;
вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении действующего законодательства Российской Федерации в отношении обработки персональных данных.
3.3. Контроль за выполнением плана проверок и порядка их проведения осуществляет главное ответственное лицо в администрации.
4. Проведение комиссионной внутренней проверки
4.1. При проведении комиссионной проверки председатель комиссии имеет право:
запрашивать у специалистов администрации информацию, необходимую для реализации полномочий;
требовать от лиц, непосредственно осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить главе города Железногорска предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить главе города Железногорска предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
4.2. В отношении персональных данных, ставших известными членам комиссии в ходе проведения мероприятий комиссионного внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
4.3. Комиссионная проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, главе города Железногорска докладывает председатель комиссии в форме письменного заключения.
4.4. Глава города Железногорска, назначивший комиссионную проверку, обязан контролировать своевременность и правильность её проведения.