Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства строительства Омской области от 27 июля 2023 г. N 60-п "Об обработке персональных данных в Министерстве строительства Омской области"
- Приложение N 5. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве строительства Омской области
Приложение N 5. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве строительства Омской области
Приложение N 5
к приказу Министерства
строительства Омской области
от 27 июля 2023 г. N 60-п
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве строительства Омской области (далее - Министерство)
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в части обработки персональных данных, основания, порядок, формы и методы проведения в Министерстве внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет их соответствия Федеральному закону "О персональных данных", принятым в соответствии с ним нормативным правовым актам и правовым актам Министерства (далее - проверки).
3. Проверки проводятся в Министерстве на основании ежегодного плана или на основании поступившего в Министерство письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
4. Ежегодный план проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Министерстве.
5. Основанием для проведения внеплановой проверки является поступившее в Министерство письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
6. Проведение внеплановой проверки организуется в течение пяти рабочих дней с момента поступления обращения. По существу поставленных в обращении (жалобе) вопросов Министерство в течение пяти рабочих дней со дня окончания проверки дает письменный ответ заявителю.
7. Проверка обработки персональных данных с использованием средств автоматизации осуществляется по следующим направлениям:
1) соблюдение порядка доступа работников в помещения Министерства, в которых расположены элементы информационных систем, обрабатывающих персональные данные (далее - ИСПДн);
2) соблюдение порядка работы работников Министерства со средствами защиты информации в ИСПДн;
3) соблюдение правил организации парольной защиты в ИСПДн;
4) соблюдение правил антивирусной защиты в ИСПДн;
5) соблюдение режима защиты при подключении ИСПДн к сетям общего пользования, а также, при информационном взаимодействии с внешними информационными системами с использованием мультисервисной сети Омской области;
6) организация анализа и пересмотра имеющихся угроз безопасности персональных данных, обрабатываемых в ИСПДн;
7) неизменность состава персональных данных, обрабатываемых в ИСПДн;
8) соответствие полномочий пользователей ИСПДн разрешительной системе доступа ИСПДн;
9) проверка срока действия сертификатов соответствия на подсистемы защиты ИСПДн;
10) соответствие организационно-распорядительной и проектной документации на систему защиты ИСПДн структурно-функциональным характеристикам ИСПДн;
11) соответствие перечня должностей работников Министерства, осуществляющих обработку персональных данных либо доступ к персональным данным, согласно приложению N 13 к настоящему приказу;
12) ознакомление пользователей ИСПДн с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами Министерства по вопросам обработки персональных данных;
13) проверка актуальности опубликованных на официальном сайте Министерства документов, определяющих политику в отношении обработки персональных данных;
14) проверка использования в работе сотрудниками Министерства утвержденной настоящим приказом документации;
15) проверка на соответствие законодательству Российской Федерации утвержденной настоящим приказом документации;
16) проверка актуальности сведений, представленных в уведомлении уполномоченного органа по защите прав субъектов персональных данных;
17) иное направление проверки в случаях, предусмотренных законодательством.
8. Проверка обработки персональных данных без использования средств автоматизации осуществляется по следующим направлениям:
1) проверка порядка хранения бумажных носителей с персональными данными;
2) проверка порядка доступа к бумажным носителям с персональными данными;
3) проверка порядка доступа работников в помещения Министерства, где обрабатываются и хранятся бумажные носители с персональными данными.
9. Проверки (в том числе внеплановые) осуществляются лицом, ответственным за организацию обработки персональных данных в Министерстве, в срок, определенный в распоряжении Министерства о проведении проверки.
10. По результатам проверки в течение семи рабочих дней после истечения срока, определенного в распоряжении Министерства о проведении проверки, составляется протокол проведения проверки, который подписывается лицом, ответственным за организацию обработки персональных данных в Министерстве, и утверждается Министром строительства Омской области (далее - Министр). В протоколе проведения проверки указывается срок, необходимый для устранения выявленных нарушений.
11. Лицо, ответственное за обработку персональных данных в Министерстве, докладывает Министру о результатах проверки и мерах, необходимых для устранения выявленных нарушений.
12. В течение семи рабочих дней после представления лицу, ответственному за организацию обработки персональных данных в Министерстве, выполненных работ по устранению выявленных нарушений, им составляется акт о выполнении или невыполнении, частичном выполнении работ по устранению выявленных нарушений (далее - акт). Акт подписывается лицом, ответственным за обработку персональных данных в Министерстве, а также лицом, предоставившим выполнение мероприятий, в течение срока, определенного в первом предложении настоящего пункта. Акт в течение двух рабочих дней после его подписания направляется Министру для принятия решения (о принятии надлежаще выполненных работ или назначении нового срока для устранения выявленных нарушений, при наличии оснований привлечении виновных лиц к ответственности в соответствии с законодательством).
13. Протоколы проведения проверки и акты хранятся у лица, ответственного за обработку персональных данных в Министерстве, в течение трех лет. Уничтожение протоколов проверки и актов проводится лицом, ответственным за обработку персональных данных в Министерстве.