Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 1 марта 2023 г. N 11-27/РВ "Об организации работ по защите персональных данных и иной информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, в Министерстве государственного управления, информационных технологий и связи Московской области"
- Приложение N 5. Правила осуществления внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации
Приложение N 5. Правила осуществления внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации
Приложение N 5
Утверждено
распоряжением Министерства
государственного управления,
информационных технологий и связи
Московской области
от 01.03.2023 г. N 11-27/РВ
Правила
осуществления внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации
1. Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации (далее - Правила) в Министерстве государственного управления, информационных технологий и связи Московской области (далее - Министерство) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области обработки информации ограниченного доступа, в том числе персональных данных (далее - ИОД, ПДн, соответственно), основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ИОД требованиям к защите информации.
1.2. Настоящие Правила разработаны на основании Федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и в соответствии с частью 1 "Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", утвержденных постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211.
1.3. Министерство использует информационные системы, предназначенные для обработки ИОД (далее - ИС) в целях реализации возложенных на Министерство задач, исполнения государственных функций и полномочий Министерства.
1.4. Министерство использует информационные системы персональных данных (далее - ИСПДн) для выполнения основных целей и задач обработки ПДн, указанных в приложении N 2 к настоящему распоряжению.
1.5. Пользователями ИС (далее - Пользователь) являются сотрудники Министерства, участвующие в рамках выполнения своих функциональных обязанностей в процессах автоматизированной обработки ИОД и имеющие доступ к аппаратным средствам, ПО, данным и средствам защиты информации (далее - СЗИ) ИС.
1.6. В целях реализации возложенных на Министерство задач, исполнение государственных функций и полномочий Министерства отдельные функции обработки ИОД могут осуществляться сотрудниками подведомственных Министерству учреждений, с учетом требований законодательства Российской Федерации. В данном случае права и обязанности указанных сотрудников, связанные с обработкой ИОД и описанные в настоящих Правилах соответствуют правам и обязанностям сотрудников Министерства.
1.7. Контрольные мероприятия по обеспечению безопасности ИОД, требуемого уровня защищенности ПДн и соблюдению условий использования СЗИ, а также соблюдению требований законодательства Российской Федерации по защите ИОД, обработке и защите ПДн в ИС Министерства (далее - Контрольные мероприятия) проводятся в следующих целях:
проверка выполнения требований организационно-распорядительной документации по защите информации в Министерстве и законодательства Российской Федерации и Московской области в области защиты информации, защиты и обработки ПДн;
оценка уровня осведомленности и знаний сотрудников Министерства в области защиты информации, защиты и обработки ПДн;
оценка обоснованности и эффективности применяемых мер и средств защиты ИОД.
2. Тематика внутреннего контроля соответствия обработки ИОД требованиям к защите информации
2.1. В Министерстве проводятся Контрольные мероприятия следующих видов:
регулярные;
плановые;
внеплановые.
2.2. Регулярные Контрольные мероприятия периодически проводятся в ИС (ИСПДн) Министерства администраторами ИС (ИСПДн) и предназначены для осуществления контроля выполнения требований в области защиты ИОД в Министерстве.
2.3. Плановые Контрольные мероприятия периодически проводятся Комиссией по проведению внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации Министерства (далее - Комиссия), состав которой утверждается правовым актом Министерства, не реже одного раза в год и направлены на постоянное совершенствование системы защиты информации в Министерстве.
2.4. Внеплановые Контрольные мероприятия проводятся на основании решения должностного лица, ответственного за защиту информации в Министерстве, созданной для проведения мероприятий комиссией (создается на период проведения мероприятий). Решение о проведении внеплановых Контрольных мероприятий может быть принято в следующих случаях:
по результатам расследования инцидента информационной безопасности;
по результатам внешних контрольных мероприятий, проводимых регулирующими органами в целях устранения выявленных замечаний;
в иных случаях по решению министра либо должностного лица, ответственного за защиту информации в Министерстве.
3. Планирование Контрольных мероприятий
3.1. Для проведения плановых Контрольных мероприятий должностное лицо, ответственное за выполнение работ по защите информации в Министерстве, утверждает план проведения внутреннего контроля условий обработки персональных данных (иной информации ограниченного доступа) в Министерстве на текущий год, форма которого утверждается правовым актом Министерства.
3.2. Плановые Контрольные мероприятия в отношении ИОД, не содержащей ПДн, проводятся совместно с Контрольными мероприятиями в отношении ПДн.
3.3. Плановые Контрольные мероприятия осуществляются Комиссией в соответствии с программой (порядком) проведения внутреннего контроля соответствия обработки ПДн требованиям законодательства Российской Федерации, утверждаемой правовым актом Министерства.
4. Порядок проведения плановых и внеплановых Контрольных мероприятий
4.1. При проведении плановых и внеплановых Контрольных мероприятий Комиссия руководствуется Положением о комиссии по проведению внутреннего контроля соответствия обработки ПДн требованиям законодательства Российской Федерации, утверждаемым правовым актом Министерства.
4.2. Плановые и внеплановые Контрольные мероприятия проводятся Комиссией при участии лица, ответственного за обеспечение информационной безопасности в Министерстве. Также по его ходатайству к проведению Контрольных мероприятий могут привлекаться администраторы ИС и лица, ответственные за эксплуатацию ИС либо за обеспечение безопасности информации в ИС.
4.3. При необходимости к проведению Контрольных мероприятий могут привлекаться представители организаций, подведомственных Министерству, при условии соблюдения требований законодательства Российской Федерации.
4.4. Во время проведения контрольных мероприятий в зависимости от целей мероприятий могут выполняться следующие проверки:
оценка соответствия процессов обработки ИОД, в том числе ПДн, в Министерстве, требованиям законодательства Российской Федерации;
оценка достаточности локальных нормативных актов Министерства в области защиты ИОД, обработки и защиты ПДн, и их соответствия требованиям законодательства Российской Федерации в указанных областях;
соответствия полномочий пользователей ИС (ИСПДн) правилам доступа;
соблюдения пользователями требований законодательства Российской Федерации к обработке ПДн;
соблюдения пользователями требований законодательства Российской Федерации к защите ИОД;
соблюдения Пользователями требований инструкций по организации антивирусной и парольной политики, инструкции по обеспечению безопасности ИОД, иных локальных нормативных актов Министерства в области обработки и защиты ИОД, обработки ПДн;
знания и соблюдения администраторами ИС инструкций и регламентов по обеспечению безопасности информации в Министерстве;
соблюдения порядка доступа сотрудников в помещения Министерства, где ведется обработка ИОД, в том числе ПДн (приложение N 13 к настоящему распоряжению);
порядок и условия применения средств защиты информации;
состояние учета машинных носителей ПДн (ИОД);
наличие (отсутствие) фактов несанкционированного доступа к ИОД и принятие необходимых мер;
проведенные мероприятия по восстановлению ИОД, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
технические мероприятия, связанные со штатным и нештатным функционированием подсистем системы защиты информации, средств обработки и защиты информации;
проверки соблюдения других требований законодательства Российской Федерации, Московской области, локальных правовых актов Министерства в области защиты информации, защиты и обработки ПДн.
5. Оформление результатов контрольных мероприятий
5.1. По итогам проведения регулярных Контрольных мероприятий выявленные инциденты и нарушения (при их наличии) фиксируются в журнале учета событий информационной безопасности (приложение N 16 к распоряжению).
5.2. По итогам проведения плановых и внеплановых Контрольных мероприятий оформляется акт проведения контроля, форма которого утверждается правовым актом Министерства.
5.3. При наличии выявленных нарушений процесса обработки ПДн (ИОД) по результатам плановых и внеплановых Контрольных мероприятий оформляется план мероприятий по устранению выявленных нарушений, форма которого утверждается правовым актом Министерства.
5.4. Оформленные по результатам проведения плановых и внеплановых Контрольных мероприятий акт проведения контроля и план мероприятий по устранению выявленных нарушений подписываются членами Комиссии и утверждаются ее председателем.
5.5. Результаты проведения плановых и внеплановых Контрольных мероприятий доводятся до министра. Отчетные документы, оформленные по результатам проведения указанных мероприятий, при необходимости (в целях исполнения требований законодательства Российской Федерации либо по запросу) направляются в уполномоченные федеральные исполнительные органы государственной власти Российской Федерации в установленном в Министерстве порядке.