Приложение N 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов". Распоряжение администрации муниципального образования "Город Саратов" от 15.06.2023 N 205-р "Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов" и Правил ведения документов по организации приема и обработки обращений и запросов субъектов персональных данных или их представителей в администрации муниципального образования "Город Саратов"

Приложение N 1
к распоряжению администрации
муниципального образования
"Город Саратов"
от 15 июня 2023 года N 205-р

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов"

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в администрации муниципального образования "Город Саратов" (далее - администрация города) определяют мероприятия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.2. Правила разработаны во исполнение требований статьи 18.1 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

1.3. Для обработки персональных данных в администрации города используются информационные системы персональных данных (далее - ИСПДн), перечень которых утверждается распоряжением администрации муниципального образования "Город Саратов".

1.4. Пользователем информационной системы (далее - пользователь) является работник администрации города, участвующий в рамках выполнения своих функциональных обязанностей в процессе обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты информации ИСПДн.

1.5. Контроль за обеспечением уровня защищенности персональных данных и за соблюдением условий использования средств защиты информации, а также за соблюдением требований законодательства Российской Федерации по обработке персональных данных в ИСПДн проводится в следующих целях:

1.5.1. Проверка выполнения требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных по защите информации в администрации города.

1.5.2. Оценка уровня осведомленности и знаний работников администрации города в области обработки и защиты персональных данных.

1.5.3. Оценка обоснованности и эффективности применяемых мер и средств защиты информации.

2. Внутренний контроль

Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных включает:

2.1. Проверка соответствия обработки персональных данных установленным требованиям. Виды:

- регулярные;

- плановые;

- внеплановые.

2.2. Регулярные контрольные мероприятия. Проводятся должностным лицом, ответственным за обеспечение безопасности персональных данных, и предназначены для осуществления контроля за выполнением требований в области защиты персональных данных в администрации города.

2.3. Плановые контрольные мероприятия. Проводятся периодически в соответствии с утвержденным Планом внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - План, приложение N 1) и направлены на постоянное совершенствование системы защиты персональных данных, обрабатываемых в информационной системе.

2.4. Внеплановые контрольные мероприятия. Проводятся на основании решения комиссии по защите и обработке персональных данных, обрабатываемых в информационных системах персональных данных. Решение о проведении внеплановых контрольных мероприятий и создании комиссии по информационной безопасности может быть принято:

- по результатам расследования инцидента информационной безопасности;

- по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

- по решению главы муниципального образования "Город Саратов".

3. План проведения контрольных мероприятий

3.1. Для проведения плановых внутренних контрольных мероприятий ответственный за обеспечение безопасности персональных данных в администрации города разрабатывает План на текущий год.

3.2. План проведения внутренних контрольных мероприятий (как плановых, так и внеплановых) включает следующие сведения по каждому из мероприятий:

- цели проведения контрольных мероприятий;

- задачи проведения контрольных мероприятий;

- объекты контроля (процессы, подразделения, информационные системы и т.п.);

- состав участников, привлекаемых для проведения контрольных мероприятий;

- сроки и этапы проведения контрольных мероприятий.

3.3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней. Соответствующие изменения отображаются в отчете, выполняемом по результатам проведенных контрольных мероприятий.

4. Оформление результатов проведенных контрольных мероприятий

4.1. По итогам проведения внутренних контрольных мероприятий ответственный за обеспечение безопасности персональных данных в администрации города подготавливает отчет, в котором указывается:

- описание проведенных мероприятий по каждому из этапов в соответствии с Планом;

- отклонения от Плана, в случае их наличия;

- перечень и описание выявленных нарушений;

- рекомендации по устранению выявленных нарушений;

- заключение по итогам проведения внутреннего контрольного мероприятия.

4.2. Отчет передается на рассмотрение главе муниципального образования "Город Саратов".

4.3. Результаты проведения мероприятий по плановому и внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Город Саратов" (приложение N 2).

4.4. Общая информация о проведенном контрольном мероприятии фиксируется в Журнале регистрации проверок защиты персональных данных (приложение N 5).

5. Общий порядок проведения контрольных мероприятий

5.1. Контрольные мероприятия инициируются ответственным за обеспечение безопасности обработки персональных данных в администрации города.

5.2. Ответственный за обеспечение безопасности обработки персональных данных в администрации города не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий и направляет им для ознакомления План. При проведении внеплановых контрольных мероприятий уведомление не требуется.

5.3. Во время проведения контрольных мероприятий может выполняться проверка:

- на соответствие полномочий пользователя правилам доступа;

- на соблюдение пользователями требований инструкций по организации антивирусной и парольной защиты, инструкции пользователя информационных систем;

- на соблюдение порядка доступа в помещения администрации города, где ведется обработка персональных данных;

- на соблюдение порядка и условий применения средств защиты информации;

- состояния учета машинных носителей персональных данных;

- на наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- проведенных мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- технических мероприятий, связанных со штатным и нештатным функционированием средств защиты информации;

- технических мероприятий, связанных со штатным и нештатным функционированием подсистем средств защиты информации.

5.4. Проверки проводятся не реже одного раза в год в соответствии с Планом.

6. Порядок проведения внутренних проверок

6.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ответственный за обеспечение безопасности обработки персональных данных организует проведение периодических проверок условий обработки персональных данных.

6.2. Проверки соответствия обработки персональных данных установленным требованиям в администрации города проводятся на основании утвержденного ответственным за обеспечение безопасности обработки персональных данных Плана или на основании поступившего в администрацию города письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

6.3. Проведение внеплановой проверки осуществляется в течение трех рабочих дней со дня поступления соответствующего заявления.

6.4. Проверки осуществляются администратором информационной безопасности либо комиссией, создаваемой распоряжением администрации муниципального образования "Город Саратов".

6.5. В проведении проверки не может участвовать работник администрации города или работник сторонней организации, осуществляющей сопровождение информационной системы по договору подряда, прямо или косвенно заинтересованный в ее результатах.

6.6. Количество плановых проверок зависит:

- от результатов проведения предыдущих проверок;

- от критичности объекта (структурного подразделения, осуществляющего обработку персональных данных, или процесса обработки персональных данных), по которому планируется проведение проверки;

- от предложений руководства и специалистов подразделений администрации города.

6.7. Внеплановые внутренние проверки могут проводиться:

- по результатам расследования выявленных нарушений требований законодательства в сфере персональных данных;

- по результатам внешних контрольных мероприятий, проводимых уполномоченным органом по защите прав субъектов персональных данных;

- при существенных изменениях процессов или процедуры обработки и защиты персональных данных;

- при выявлении большого числа нарушений требований законодательства в сфере персональных данных или повторяемости одних и тех же нарушений от проверки к проверке;

- по указанию главы муниципального образования "Город Саратов".

6.8. Проверки проводятся непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест работников, участвующих в процессе обработки персональных данных.

6.9. По результатам проверки составляется протокол проведения внутренней проверки (приложение N 2), результаты проверок фиксируются в журнале (приложение N 5). Протокол подписывается администратором информационной безопасности или членами комиссии.

6.10. При выявлении нарушений в сфере защиты персональных данных составляется акт (приложение N 3), выявленные нарушения фиксируются в журнале (приложение N 4).

6.11. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

6.12. Протоколы и акты хранятся у администратора информационной безопасности. Уничтожение протоколов и актов проводится администратором информационной безопасности самостоятельно в январе года, следующего за проверочным годом. При необходимости протоколы могут храниться до полного устранения нарушений.

6.13. Результаты проведения внутренних проверок фиксируются в протоколе проведения внутренних проверок соответствия обработки персональных данных требованиям к защите персональных данных (далее - протокол).

6.14. В протоколе должно быть указано:

- основание проверки;

- вид проверки (плановая/внеплановая);

- цель проведения проверки;

- выявленные нарушения.

6.15. По результатам проведения внутреннего контроля ответственным за обеспечение безопасности обработки персональных данных проводится анализ выявленных нарушений и разрабатывается план действий по их устранению.

6.16. Результаты проведения внутреннего контроля и план действий по устранению выявленных нарушений доводятся до сведения главы муниципального образования "Город Саратов" для принятия решения о необходимости проведения работ по устранению выявленных нарушений.