Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в Администрации Петрозаводского городского округа. Постановление Администрации Петрозаводского городского округа Республики Карелия от 25.05.2023 N 2018 "Об утверждении Политики в отношении обработки персональных данных в Администрации Петрозаводского городского округа" (с изменениями и дополнениями)

Приложение N 3
УТВЕРЖДЕНЫ
постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в Администрации Петрозаводского городского округа

1. Общие положения

Настоящие правила разработаны в соответствии с положениями, а также требованиями по соблюдению мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и определяют порядок организации и осуществления контроля выполнения соответствия обработки персональных данных (далее - ПДн) требованиям к защите ПДн в структурных подразделениях (отделах) Администрации Петрозаводского городского округа (далее - Администрация).

Правила обязательны для исполнения всеми должностными лицами Администрации, осуществляющими контроль состояния защиты ПДн.

Контроль выполнения соответствия обработки ПДн требованиям к защите ПДн в структурных подразделениях (отделах) Администрации осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты ПДн и его фактическим состоянием, правильности обработки ПДн ответственными лицами в структурных подразделениях (отделах), а также выработать меры по их устранению и недопущению в дальнейшем.

Контроль осуществляет ответственный за организацию обработки ПДн (далее - Ответственный) в Администрации.

Контроль проводится в форме плановых и внеплановых проверок.

Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.

Основанием для проведения внеплановых проверок является поступившее в Администрацию письменное обращение субъекта ПДн (или его представителя) или контрольно-надзорного органа о нарушении правил обработки ПДн.

Проверки охватывают отдельные направления по защите ПДн и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты ПДн субъектов ПДн Администрации или нарушения требований по обработке и защите ПДн.

Проверки осуществляются Ответственным Администрации либо комиссией, сформированной постановлением (распоряжением) Администрации.

Сроки проведения контрольных проверок доводятся руководителям проверяемых структурных подразделений (отделов) не позднее, чем за 24 часа до начала проверки.

Проверки могут проводиться без уведомления руководителей проверяемых структурных подразделений (отделов).

Периодичность и сроки проведения плановых проверок структурных подразделений (отделов) Администрации устанавливаются планом, утверждаемый Главой Петрозаводского городского округа. Рекомендованная форма плана проведения плановых проверок состояния защиты ПДн приведена в приложении к данному документу (Приложение N 1). Сроки проведения плановых проверок доводятся руководителям проверяемых структурных подразделений (отделов) не позднее, чем за 10 суток до начала проверки.

2. Порядок подготовки к проверке

Проверка проводится на основании приказа аппарата Администрации и плана проведения плановых проверок, утвержденного Главой Петрозаводского городского округа. Проверка может проводиться ответственным Администрации или комиссионно. Ответственный Администрации подготавливает предложения по составу комиссии. Проект приказа о проверке и составе комиссии подготавливает Ответственный Администрации.

Проверяющие лица (комиссия, при ее наличии) и Ответственный Администрации обязаны получить у руководителей проверяемых структурных подразделений (отделов) информацию об условиях обработки ПДн, необходимую для достижения целей проверки.

3. Порядок проведения проверки

По прибытию в структурное подразделение (отдел) для проведения проверки председатель комиссии или Ответственный Администрации прибывает к руководителю проверяемого структурного подразделения (отдела) Администрации, представляется ему и представляет других прибывших на проверку лиц (при наличии).

Руководитель проверяемого структурного подразделения (отдела) обязан оказывать содействие Ответственному Администрации и комиссии по проверке и в случае необходимости, определяет должностное лицо, ответственное за сопровождение проверки.

На период проведения контрольных мероприятий обработку ПДн необходимо по возможности прекратить. Допуск проверяющих лиц к конкретным информационным ресурсам, защищаемым сведениям и техническим средствам должен исключать ознакомление проверяющих лиц с конкретными ПДн.

Общий порядок проведения проверки включает следующее:

1) получение документов о распределении обязанностей по обработке и защите ПДн, выявление ответственных за обработку и защиту ПДн и установление факта ознакомления служащими проверяемого структурного подразделения (отдела) с организационными документами по обработке ПДн и защите информации;

2) получение при содействии служащих проверяемого структурного подразделения (отдела) документов, касающихся обработки и защиты ПДн в данном структурном подразделении (отделе);

3) анализ полученной документации;

4) непосредственная проверка выполнения установленного порядка обработки и защиты ПДн и требований законодательства Российской Федерации в области защиты ПДн.

При этом согласовываются конкретные вопросы по объему, содержанию, срокам проведения проверки, а также каких должностных лиц структурного подразделения (отдела) необходимо привлечь к проверке и какие объекты следует посетить.

В ходе осуществления контроля выполнения требований по обработке и защите ПДн в проверяемом структурном подразделении (отделе) Администрации рассматриваются, в частности, следующие показатели:

5) в части общей организации работы по обработке ПДн:

а) соответствие информации, указанной в уведомлении об обработке ПДн Администрации, реальному положению дел;

б) соответствие обрабатываемой и собираемой информации (ПДн), их полнота, в соответствии с нормативными правовыми актами и локальными актами;

в) наличие нормативных документов по защите ПДн;

г) знание нормативных документов служащими, имеющими доступ к ПДн;

д) полнота и правильность выполнения требований нормативных документов служащими Администрации, имеющими доступ к ПДн;

е) наличие документов, определяющих состав служащих, ответственных за обработку ПДн в структурном подразделении (отделе), соответствие этих документов реальному штатному составу структурного подразделения (отдела), а также подтверждение факта ознакомления ответственных служащих с данными документами;

ж) уровень подготовки служащих, ответственных за обработку ПДн в структурном подразделении (отделе);

з) наличие необходимых, в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" согласий на обработку ПДн субъектов ПДн. Соответствие объема обрабатываемых ПДн и сроков их обработки к указанным целям обработки ПДн.

6) в части защиты информационных систем с защищаемой информацией:

а) соответствие средств вычислительной техники, средств защиты информации и программного обеспечения в информационных системах показателям, указанным в документации на конкретную информационную систему (технический паспорт);

б) структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) защищаемой информации в сети передачи данных;

в) соблюдение установленного порядка использования средств вычислительной техники информационной системы;

г) наличие и эффективность применения средств и методов защиты информации, обрабатываемых на средствах вычислительной техники информационной системы;

д) соблюдение требований, предъявляемых к паролям на информационные ресурсы, средствам вычислительной техники, в том числе и BIOS;

е) соблюдение требований и правил антивирусной защиты средств вычислительной техники;

ж) контроль журналов учета машинных носителей защищаемой информации. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);

з) тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.

7) в части защиты информационных ресурсов и помещений:

а) правильность отнесения обрабатываемой информации к защищаемой информации;

б) правильность установления уровня защищенности ПДн в информационных системах ПДн и (или) правильности установления класса защищенности в государственных (муниципальных) информационных системах, при обработке в них ПДн;

в) закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности в правилах внутреннего трудового распорядка, положениях о структурных подразделениях (отделов) Администрации, должностных регламентах и служебных контрактах (контрактах) служащих;

г) порядок передачи защищаемой информации органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);

д) действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;

е) состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих ПДн;

ж) выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;

з) соответствие защищаемых помещений их техническим паспортам.

Во время проведения проверки, выявленные нарушения требований по обработке и защите ПДн должны быть по возможности устранены. Проверяющие лица могут давать рекомендации по устранению на месте отмечаемых нарушений и недостатков.

Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

4. Оформление результатов проверки

Результаты проверки оформляются:

1) актом - при проведении проверки комиссией (при наличии);

2) служебной запиской - при проведении проверки Ответственным Администрации.

Акт или служебная записка составляется в двух экземплярах и подписывается служащими, выполнявших проверку.

Один экземпляр хранится у Ответственного Администрации, второй экземпляр хранится в аппарате Администрации в установленном порядке. Копия документа о проверке остается у руководителя (начальника) проверяемого структурного подразделения (отдела).

Результаты проверок структурных подразделений (отделов) периодически обобщаются Ответственным Администрации и доводятся до руководителей структурных подразделений (отделов). При необходимости принятия решений по результатам проверок структурных подразделений (отделов) на имя главы Петрозаводского городского округа готовятся соответствующие служебные записки.