Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Администрации города Оби Новосибирской области от 29 января 2021 г. N 65 "Об организации обработки персональных данных в администрации города Оби Новосибирской области" (с изменениями и дополнениями)
- Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" в администрации города Оби Новосибирской области
Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" в администрации города Оби Новосибирской области
Приложение 3
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" в администрации города Оби Новосибирской области
(утв. постановлением администрации города Оби Новосибирской области от 29 января 2021 г. N 65)
1. Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Оби Новосибирской области (далее - Правила) разработаны в соответствии с требованиями постановления Правительства Российской Федерации от 21.03.2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. В Правилах определен порядок организации и осуществления внутреннего контроля обработки персональных данных с целью своевременного выявления и предотвращения:
1) хищения технических средств и носителей информации;
2) утраты информации;
3) преднамеренных программно-технических воздействий на информацию и (или) средства вычислительной техники, вызывающих нарушение целостности информации и нарушение работоспособности автоматизированной системы;
4) несанкционированного доступа к ПДн с целью уничтожения, искажения, модификации (подделки), копирования и блокирования;
5) утечки информации по техническим каналам.
1.3. Внутренний контроль состояния защиты информации включает в себя:
1) контроль организации защиты информации;
2) контроль эффективности защиты информации.
2. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности ПДн
2.1. В целях осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям организуется проведение периодических проверок условий обработки ПДн. Проверки осуществляются не реже одного раза в год в соответствии с утвержденным графиком.
2.2. При осуществлении внутреннего контроля соответствия обработки ПДн установленным требованиям производится проверка:
1) соблюдения принципов обработки ПДн;
2) соответствия правовых актов администрации города Оби Новосибирской области (далее - администрация) в области ПДн действующему законодательству Российской Федерации;
3) выполнения муниципальными служащими (сотрудниками) администрации требований и правил обработки ПДн в информационных системах персональных данных (далее - ИСПДн);
4) актуальности информации о законности целей обработки ПДн и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн;
5) правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн в каждой ИСПДн;
6) актуальности перечня должностей должностных лиц, уполномоченных на обработку ПДн, имеющих доступ к ПДн;
7) соблюдения прав субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн;
8) соблюдения обязанностей оператора ПДн, предусмотренных действующим законодательством в области ПДн;
9) порядка взаимодействия с субъектами персональных данных, ПДн которых обрабатываются в ИСПДн, в том числе соблюдения сроков, предусмотренных действующим законодательством в области ПДн, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения (запросы) субъектов персональных данных, порядка действий при достижении целей обработки ПДн и отзыве согласий субъектами персональных данных;
10) наличия необходимых согласий субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн;
11) актуальности сведений, содержащихся в уведомлении об обработке (о намерении осуществлять обработку) персональных данных;
12) актуальности перечня ИСПДн;
13) знания и соблюдения муниципальными служащими (сотрудниками) администрации города Оби Новосибирской области (далее - администрация) положений действующего законодательства Российской Федерации в области ПДн, правовых актов администрации;
14) соблюдения муниципальными служащими (сотрудниками) администрации конфиденциальности ПДн;
15) соблюдения муниципальными служащими (сотрудниками) требований по обеспечению безопасности ПДн;
16) наличия и актуальности локальных актов, технической и эксплуатационной документации технических и программных средств ИСПДн.
2.3. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, лицо, ответственное за проведение проверки, докладывает управляющему делами администрации.
2.4. При проведении внутреннего контроля на ИСПДн составляется протокол контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте по форме, приведенной в Приложении к настоящим Правилам.
3. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн
3.1. Во время осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям производится соответствие оценки соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер по обработке и обеспечению безопасности ПДн в администрации.
3.2. При оценке соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн, для каждой ИСПДн производится экспертное сравнение заявленной оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и применяемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн и изложенных в настоящих Правилах осуществления внутреннего контроля соответствия обработки ПДн.
3.3. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер по обработке и обеспечению безопасности ПДн, оформляется в виде отдельного документа, подписывается управляющим делами администрации и утверждается Главой города Оби Новосибирской области.