Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Постановление Администрации Вичугского муниципального района Ивановской области от 9 августа 2021 г. N 424-п "Об организации работы с персональными данными в администрации Вичугского муниципального района"
- Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Вичугского муниципального района
Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Вичугского муниципального района
Приложение 3
к постановлению
Администрации Вичугского
муниципального района
от 09.08.2021 N 424-п
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Вичугского муниципального района
1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Вичугского муниципального района (далее - Правила) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Вичугского муниципального района (далее - Администрация).
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", п. 8 ч. 1 ст. 14 Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации могут осуществляться следующие мероприятия по обеспечению безопасности персональных данных:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
- контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организуется проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются комиссией, образуемой распоряжением Администрации, не реже одного раза в год (плановые проверки) или на основании поступившего в Администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение 3 (трех) рабочих дней с момента поступления соответствующего заявления.
6. При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям производится проверка:
- соблюдения принципов обработки персональных данных;
- соответствия локальных актов в области персональных данных действующему законодательству Российской Федерации;
- правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных;
- актуальности перечня должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- соблюдения сотрудниками администрации конфиденциальности персональных данных;
- иных вопросов.
6.1. Тематика проверок обработки персональных данных с использованием средств автоматизации:
- соответствие полномочий пользователя матрице доступа;
- соблюдение пользователями информационных систем персональных данных парольной политики;
- соблюдение пользователями информационных систем персональных данных антивирусной политики;
- соблюдение пользователями информационных систем персональных данных правил работы со съемными носителями персональных данных;
- соблюдение ответственными за криптографические средства защиты информации правил работы с ними;
- соблюдение порядка доступа в помещения, где расположены элементы информационных систем персональных данных;
- соблюдение порядка резервирования баз данных и хранения резервных копий;
- соблюдение порядка работы со средствами защиты информации;
- знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.
6.2. Тематика проверок обработки персональных данных без использования средств автоматизации:
- хранение бумажных носителей с персональными данными;
- доступ к бумажным носителям с персональными данными;
- доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
7. Комиссия имеет право:
- запрашивать у сотрудников администрации информацию, необходимую для реализации полномочий;
- требовать от сотрудников администрации уполномоченных на обработку персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить Главе Вичугского муниципального района предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить Главе Вичугского муниципального района предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8. В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9. Проверка должна быть завершена не позднее чем через 1 (один) месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, составляется Акт (Приложение). При выявлении в ходе проверки нарушений в акте делается запись о мероприятиях по устранению нарушений и сроках исполнения. Акты хранятся у ответственного в течение текущего года.