Приложение N 9. Порядок осуществления Министерством культуры Республики Крым внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве культуры Республики Крым, а также в учреждениях и образовательных организациях в сфере культуры и искусства, отнесенными к ведению Министерства культуры Республики Крым. Приказ Министерства культуры Республики Крым от 09.01.2023 N 2 "Об организации работ по защите информации в Министерстве культуры Республики Крым" (с изменениями и дополнениями)

Приложение N 9
к приказу Министерства культуры
Республики Крым
от 09.01.2023 г. N 2

Порядок осуществления Министерством культуры Республики Крым внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве культуры Республики Крым, а также в учреждениях и образовательных организациях в сфере культуры и искусства, отнесенными к ведению Министерства культуры Республики Крым

I. Общие положения

1.1. Настоящий Порядок определяет порядок планирования и проведения контроля безопасности режима обработки персональных данных (далее - ПДн) в Министерстве культуры Республики Крым (далее - Министерство), а также в учреждениях и образовательных организациях в сфере культуры и искусства, отнесенных к ведению Министерства (далее - Учреждения), в том числе ее защищенности от несанкционированного доступа (НСД), распространения, искажения и утраты, а также порядок реагирования на инциденты информационной безопасности.

Настоящие Порядок разработан на основании Федерального закона Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" и в соответствии с пунктом 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", утвержденных постановлением Правительства Российской Федерации от 21 марта 2012 года N 211

1.2. Целью контроля безопасности режима обработки ПДн в Министерстве является определение истинного состояния дел в области защиты ПДн, оценки эффективности принимаемых для исключения утечки ПДн мер, выявления возможных каналов утечки, выработки предложений и рекомендаций руководству Министерство по совершенствованию системы защиты ПДн (далее - СЗПДн).

В число основных объектов контроля безопасности режима обработки ПДн входят:

а) структурные подразделения Министерства привлекаемые к обработке ПДн и Учреждения, являющиеся операторами обработки ПДн;

б) сотрудники Министерства и Учреждений, допущенные в установленном порядке к ПДн, и их носителям, и выполняющие работы с их использованием;

в) служебные помещения, в которых проводятся работы с носителями ПДн;

г) места непосредственного хранения носителей ПДн (хранилища, сейфы, шкафы);

д) непосредственно носители ПДн (документы, материалы, изделия, магнитные носители);

е) компоненты информационных систем ПДн (далее - ИСПДн), в которых осуществляется обработка ПДн;

ж) Локальные сети Министерства и Учреждений.

Особенности контроля безопасности ПДн в отдельных ИСПДн могут регулироваться дополнительными инструкциями и регламентами.

1.3. Основными задачами контроля режима обработки ПДн являются:

а) сбор, обобщение и анализ информации о состоянии СЗПДн Министерстве и/или подведомственном учреждении;

б) анализ состояния дел в области защиты ПДн в структурных подразделениях Министерства и/или подведомственного учреждения;

в) проверка организации выполнения мероприятий по защите ПДн в структурных подразделениях Министерства и/или подведомственного учреждения, учета требований по защите ПДн в разрабатываемых плановых и распорядительных документах;

г) выявление угроз безопасности ПДн и выработка мер по их нейтрализации;

д) проверка наличия носителей ПДн;

е) проверка выполнения установленных норм и требований по защите ПДн от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите ПДн;

ж) оперативное принятие мер по пресечению нарушений требований (норм) защиты ПДн в ИСПДн;

з) разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации;

и) оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;

к) ходатайства о применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями ПДн;

1.4. Контроль безопасности режима обработки ПДн в Министерстве осуществляет отдел защиты информации, гражданской обороны и антитеррористической безопасности управление имущественных отношений, защиты информации и гражданской обороны Министерства культуры Республики Крым (далее - Отдел).

1.5. Отдел при осуществлении контроля безопасности режима обработки ПДн, кроме настоящего Порядка, руководствуется федеральными законами от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 года N 152-ФЗ "О персональных данных", Доктриной информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 05 декабря 2016 года N 646, Указом Президента Российской Федерации от 01 мая 2022 года N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом Российской Федерации "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 15 июля 2022 года N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)"

II. Организация и формы контроля

2.1. По форме осуществления контроля проводятся документальные и выездные проверки соответствия обработки персональных данных требованиям к защите персональных данных.

2.1.1. Документальная проверка проводится по месту нахождения Отдела на основании документации, предоставленной к проверке, а также других документов, имеющихся у Министерства, в том числе документов, размещенных Учреждениями в информационно-телекоммуникационной сети Интернет.

2.1.2. Выездная проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится на территории Учреждения.

2.1.3. Для осуществления проверок соответствия обработки персональных данных требованиям к защите персональных данных приказом Министерства могут создаваться рабочие группы. В состав рабочих групп, кроме представителей Отдела, могут быть включены члены комиссии по информационной безопасности Министерства.

2.2. В зависимости от основания проведения контроля проводятся плановые и внеплановые проверки.

2.2.1. Плановые проверки организуются заблаговременно, включаются в соответствующий План проведения внутренних проверок составленный по форме согласно приложению 3 к данному Порядку.

2.2.2. В план внутренних проверок могут быть включены следующие пункты:

а) Контроль соблюдения организационно-режимных требований в помещениях, в которых осуществляется обработка ПДн.

Ежегодно в соответствии с Планом внутренних проверок должна быть проведен контроль соблюдения организационно-режимных требований в помещениях, в которых осуществляется обработка ПДн. Данный вид контроля включает:

- проверку актуальности перечня лиц, имеющих право самостоятельного доступа в помещение;

- проверку корректности расположения мониторов рабочих станций, на которых осуществляется обработка ПДн, исключающего несанкционированный ПДн не допущенными лицами;

- наличие жалюзи на окнах;

- контроль отсутствия конфиденциальных документов, содержащих ПДн, без присмотра на рабочих столах сотрудников;

- контроль сохранности пломб на технических средствах передачи и обработки ПДн, а также на устройствах их защиты;

- и т.п.

б) Контроль доступа к приложениям информационных систем, в которых осуществляется обработка ПДн.

Ежеквартально в целях снижения рисков несанкционированного доступа к информации должен проводиться контроль доступа к приложениям ИСПДн, включающий в себя:

- контроль фактов подачи заявок на блокирование доступа к ИСПДн, в которых осуществляется обработка конфиденциальной информации, увольняемых сотрудников и своевременности подачи таких заявок;

- контроль использования предоставленных прав доступа (в том числе и право удаленного доступа). Если предоставленные права доступа не используются в течение трех и более месяцев, ответственным за защиту ПДн инициироваться расследование правомерности подачи заявки на доступ;

- и т.п.

в) Контроль порядка обращения с носителями ПДн.

Ежеквартально ответственным сотрудником должен осуществляться контроль порядка обращения с носителями ПДн, включающий в себя:

- проверку корректности ведения журнала учета машинных носителей и соответствия записей в журнале записям в автоматизированной системе контроля съемных магнитных носителей информации;

- проверку корректности ведения журналов учета конфиденциальных документов в части ПДн;

- и т.п.

г) Проверка выполнения запросов субъектов персональных данных.

Ежеквартально должна проводиться проверка выполнения запросов субъектов ПДн по средствам контроля заполнения и выполнения Журнала учета обращений субъектов ПДн по вопросам обработки ПДн.

д) Контроль нейтрализации выявленных нарушений режима обработки ПДн.

Ежеквартально должен осуществляться контроль нейтрализации выявленных нарушений режима обработки ПДн, включающий в себя проверку корректности ведения базы данных инцидентов информационной безопасности, заполнения отчетов об инцидентах, а также все ли обнаруженные инциденты нейтрализованы.

е) Организация анализа и пересмотра имеющихся угроз безопасности ПДн:

Ежегодно на основании анализа произошедших инцидентов информационной безопасности, изменений в условиях обработки ПДн в ИСПДн должна осуществляться корректировка и актуализация угроз безопасности ПДн при их обработке в ИСПДн, а при необходимости и разработка частных моделей угроз безопасности ПДн в соответствии с действующими нормативными правовыми акты и методическими документами ФСТЭК и ФСБ России.

ж) Поддержание в актуальном состоянии нормативно-организационных документов по вопросам обеспечения безопасности ПДн:

Ежегодно следует проводить актуализацию нормативно-организационных документов по вопросам обеспечения безопасности ПДн в соответствии с:

изменениями требований законодательных и иных нормативных правовых актов по защите ПДн, отраслевых стандартов;

результатами анализа состояния дел в области защиты ПДн, проводимого ответственным сотрудником на основании материалов плановых проверок и расследований выявленных инцидентов информационной безопасности;

результатами контроля за состоянием защиты ПДн, проводимого контролирующими органами (Роскомнадзором, правоохранительными органами и т.п.).

Типовой перечень контрольных параметров проверок в области обработки и обеспечения безопасности персональных данных приведен в приложении 4 к настоящему Порядку.

2.3. Внеплановые проверки организуются и проводятся при необходимости по указанию министра или его заместителей. Они могут проводиться как в масштабах всего Министерства включая подведомственные учреждения, так и в его отдельно взятых структурных подразделениях и подведомственных учреждениях. Особенность организации таких проверок состоит в том, что они отсутствуют в Планах внутренних проверок режима защиты ПДн.

2.4. Для проведения плановой и внеплановой проверок издаётся приказ Министерства о проведении проверки.

2.4.1. Приказ Министерства о проведении плановой проверки должен быть издан не позднее 2 (двух) рабочих дней до даты начала ее проведения, а в случае проведения внеплановой проверки - не позднее 1 рабочего дня.

2.5. Общий срок проведения проверки не может превышать 5 (пяти) календарных дней.

2.6. Руководители Учреждений обязаны обеспечить условия для проведения контрольных мероприятий, в том числе предоставить помещения для работы, оргтехнику, доступ к прикладным программам учёта.

2.7. По результатам проведения плановой или внеплановой проверки должностным лицом (должностными лицами) Отдела:

2.7.1. Составляется акт проверки по форме согласно приложению 1 к настоящему Порядку, который в течение 5 (пяти) рабочих дней направляется в адрес Учреждения или вручается уполномоченному должностному лицу Учреждения под роспись. В случае отказа уполномоченного должностного лица Учреждения от подписания в акте проверки делается соответствующая запись.

В случае несогласия с фактами и выводами, изложенными в акте проверки, Учреждение в течение 5 (пяти) рабочих дней с даты получения акта проверки представляет в Отдел письменные возражения в отношении акта проверки в целом или его отдельных положений, и документы или их заверенные копии, подтверждающие обоснованность возражений.

2.7.2. Направляет Учреждению предписание по форме согласно приложению 2 к настоящему Порядку об устранении выявленных нарушений с указанием сроков их исполнения.

2.7.3. Обеспечивает контроль за устранением выявленных нарушений и недостат