Приложение N 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов". Распоряжение администрации муниципального образования "Город Саратов" от 15.06.2023 N 205-р "Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов" и Правил ведения документов по организации приема и обработки обращений и запросов субъектов персональных данных или их представителей в администрации муниципального образования "Город Саратов"

Приложение N 1
к распоряжению администрации
муниципального образования
"Город Саратов"
от 15 июня 2023 года N 205-р

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов"

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в администрации муниципального образования "Город Саратов" (далее - администрация города) определяют мероприятия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.2. Правила разработаны во исполнение требований статьи 18.1 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

1.3. Для обработки персональных данных в администрации города используются информационные системы персональных данных (далее - ИСПДн), перечень которых утверждается распоряжением администрации муниципального образования "Город Саратов".

1.4. Пользователем информационной системы (далее - пользователь) является работник администрации города, участвующий в рамках выполнения своих функциональных обязанностей в процессе обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты информации ИСПДн.

1.5. Контроль за обеспечением уровня защищенности персональных данных и за соблюдением условий использования средств защиты информации, а также за соблюдением требований законодательства Российской Федерации по обработке персональных данных в ИСПДн проводится в следующих целях:

1.5.1. Проверка выполнения требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных по защите информации в администрации города.

1.5.2. Оценка уровня осведомленности и знаний работников администрации города в области обработки и защиты персональных данных.

1.5.3. Оценка обоснованности и эффективности применяемых мер и средств защиты информации.

2. Внутренний контроль

Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных включает:

2.1. Проверка соответствия обработки персональных данных установленным требованиям. Виды:

- регулярные;

- плановые;

- внеплановые.

2.2. Регулярные контрольные мероприятия. Проводятся должностным лицом, ответственным за обеспечение безопасности персональных данных, и предназначены для осуществления контроля за выполнением требований в области защиты персональных данных в администрации города.

2.3. Плановые контрольные мероприятия. Проводятся периодически в соответствии с утвержденным Планом внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - План, приложение N 1) и направлены на постоянное совершенствование системы защиты персональных данных, обрабатываемых в информационной системе.

2.4. Внеплановые контрольные мероприятия. Проводятся на основании решения комиссии по защите и обработке персональных данных, обрабатываемых в информационных системах персональных данных. Решение о проведении внеплановых контрольных мероприятий и создании комиссии по информационной безопасности может быть принято:

- по результатам расследования инцидента информационной безопасности;

- по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

- по решению главы муниципального образования "Город Саратов".

3. План проведения контрольных мероприятий

3.1. Для проведения плановых внутренних контрольных мероприятий ответственный за обеспечение безопасности персональных данных в администрации города разрабатывает План на текущий год.

3.2. План проведения внутренних контрольных мероприятий (как плановых, так и внеплановых) включает следующие сведения по каждому из мероприятий:

- цели проведения контрольных мероприятий;

- задачи проведения контрольных мероприятий;

- объекты контроля (процессы, подразделения, информационные системы и т.п.);

- состав участников, привлекаемых для проведения контрольных мероприятий;

- сроки и этапы проведения контрольных мероприятий.

3.3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней. Соответствующие изменения отображаются в отчете, выполняемом по результатам проведенных контрольных мероприятий.

4. Оформление результатов проведенных контрольных мероприятий

4.1. По итогам проведения внутренних контрольных мероприятий ответственный за обеспечение безопасности персональных данных в администрации города подготавливает отчет, в котором указывается:

- описание проведенных мероприятий по каждому из этапов в соответствии с Планом;

- отклонения от Плана, в случае их наличия;

- перечень и описание выявленных нарушений;

- рекомендации по устранению выявленных нарушений;

- заключение по итогам проведения внутреннего контрольного мероприятия.

4.2. Отчет передается на рассмотрение главе муниципального образования "Город Саратов".

4.3. Результаты проведения мероприятий по плановому и внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов" (приложение N 2).

4.4. Общая информация о проведенном контрольном мероприятии фиксируется в Журнале регистрации проверок защиты персональных данных (приложение N 5).

5. Общий порядок проведения контрольных мероприятий

5.1. Контрольные мероприятия инициируются ответственным за обеспечение безопасности обработки персональных данных в администрации города.

5.2. Ответственный за обеспечение безопасности обработки персональных данных в администрации города не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий и направляет им для ознакомления План. При проведении внеплановых контрольных мероприятий уведомление не требуется.

5.3. Во время проведения контрольных мероприятий может выполняться проверка:

- на соответствие полномочий пользователя правилам доступа;

- на соблюдение пользователями требований инструкций по организации антивирусной и парольной защиты, инструкции пользователя информационных систем;

- на соблюдение порядка доступа в помещения администрации города, где ведется обработка персональных данных;

- на соблюдение порядка и условий применения средств защиты информации;

- состояния учета машинных носителей персональных данных;

- на наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- проведенных мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- технических мероприятий, связанных со штатным и нештатным функционированием средств защиты информации;

- технических мероприятий, связанных со штатным и нештатным функционированием подсистем средств защиты информации.

5.4. Проверки проводятся не реже одного раза в год в соответствии с Планом.

6. Порядок проведения внутренних проверок

6.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ответственный за обеспечение безопасности обработки персональных данных организует проведение периодических проверок условий обработки персональных данных.

6.2. Проверки соответствия обработки персональных данных установленным требованиям в администрации города проводятся на основании утвержденного ответственным за обеспечение безопасности обработки персональных данных Плана или на основании поступившего в администрацию гор