Приложение 3. Приказ министерства экономики Краснодарского края от 12.07.2021 N 176 "О внесении изменений в приказ министерства экономики Краснодарского края от 30.06.2017 N 87 "О мерах по организации работы с персональными данными в министерстве экономики Краснодарского края"

Приложение 3
к приказу министерства экономики
Краснодарского края
от 12.07.2021 г. N 176

"Приложение 3

УТВЕРЖДЕНЫ
приказом министерства экономики
Краснодарского края
от 30 июня 2017 г. N 87
(в редакции приказа министерства
экономики Краснодарского края
от 12.07.2021 г. N 176)

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве экономики Краснодарского края

1. Общие положения

Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве экономики Краснодарского края (далее - Правила) определяют порядок организации и осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве экономики Краснодарского края (далее - министерство, контроль).

Контроль в структурных подразделениях министерства осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, правильности обработки персональных данных гражданскими служащими в структурном подразделении министерства, а также выработки мер по их устранению и недопущению в дальнейшем.

Контроль осуществляет ответственный за организацию обработки персональных данных в министерстве.

Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.

Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.

Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов персональных данных в министерстве или нарушения требований к защите персональных данных.

Сроки проведения контрольных проверок доводятся руководителям проверяемых структурных подразделений министерства не позднее, чем за 24 часа до начала проверки. Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых структурных подразделений министерства.

Периодичность и сроки проведения плановых проверок структурных подразделений министерства устанавливаются планом, утверждаемым министром. Сроки проведения плановых проверок доводятся руководителям проверяемых структурных подразделений министерства не позднее, чем за 10 суток до начала проверки. Проверка проводится комиссией на основании приказа министра.

Ответственный за организацию обработки персональных данных в министерстве подготавливает предложения по составу комиссии.

2. Порядок проведения проверки

Руководитель проверяемого структурного подразделения министерства обязан оказывать содействие в проверке и в случае необходимости определяет должностное лицо, ответственное за сопровождение проверки.

На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекратить.

Общий порядок проведения проверки включает следующее:

получение документов о распределении обязанностей по обработке и защите персональных данных, выявление ответственных за обработку и защиту персональных данных;

получение при содействии гражданских служащих проверяемого структурного подразделения министерства документов, касающихся обработки и защиты персональных данных в данном структурном подразделении министерства;

анализ полученной документации;

непосредственная проверка выполнения установленного порядка обработки и защиты персональных данных и требований законодательства Российской Федерации в области защиты персональных данных.

При этом согласовываются конкретные вопросы по объему, содержанию, срокам проведения проверки, а также каких должностных лиц структурных подразделений министерства необходимо привлечь к проверке.

В ходе осуществления контроля в проверяемом структурном подразделении министерства рассматриваются следующие показатели:

1) в части общей организации работ по обработке персональных данных:

соответствие информации, указанной в уведомлении об обработке персональных данных и в положении о порядке обработки персональных данных министерства, существующим условиям;

соответствие обрабатываемой и собираемой информации (персональных данных), их полнота, в соответствии с правовыми и локальными актами, принятыми в министерстве;

наличие нормативных документов по защите персональных данных;

полнота и правильность выполнения требований нормативных документов министерства гражданскими служащими, имеющими доступ к персональным данным;

наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объема персональных данных и сроков обработки целям обработки персональных данных.

2) в части защиты персональных данных в информационных системах персональных данных (далее - ИСПДн):

соответствие средств вычислительной техники ИСПДн показателям, указанным:

в документации на ИСПДн;

структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных;

соблюдение установленного порядка использования средств вычислительной техники ИСПДн;

наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах вычислительной техники;

соблюдение требований, предъявляемых к паролям на информационные ресурсы;

соблюдение требований и правил антивирусной защиты средств вычислительной техники;

контроль журналов учета машинных носителей персональных данных. Сверка основного журнала с дублирующим (если его ведение требуется);

тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора информационной безопасности, процесса регистрации действий администратора информационной безопасности, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.

3) в части защиты информационных ресурсов и помещений:

правильность отнесения обрабатываемой информации к персональным данным;

правильность установления уровня защищенности персональных данных в информационной системе;

порядок передачи персональных данных органам государственной власти, местного самоуправления и иным организациям;

действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию;

соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих персональные данные;

выполнение требований по оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера.

Нарушения соответствия обработки персональных данных требованиям к защите персональных данных в министерстве, выявленные во время проведения проверки, должны быть по возможности устранены. Проверяющие должностные лица могут дать рекомендации по устранению на месте отмечаемых нарушений и недостатков.

Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

3. Оформление результатов проверки

Результаты проверки оформляются служебной запиской.

Служебная записка составляется в двух экземплярах и подписывается членами комиссии.

Один экземпляр хранится у ответственного за организацию обработки персональных данных в министерстве. Второй экземпляр хранится в проверяемом структурном подразделении министерства.

Результаты проверок структурных подразделений министерства периодически обобщаются ответственным за организацию обработки персональных данных в министерстве и доводятся до руководителей структурных подразделений министерства. При необходимости принятия решений по результатам проверок структурных подразделений, на имя министра готовятся соответствующие служебные записки.

".

Заместитель начальника сводно-аналитического отдела управления сводного планирования и бюджетного учета

Е.А. Белая