Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства энергетики и жилищно-коммунального комплекса Омской области от 20 ноября 2023 г. N 65-п "Об обработке персональных данных в Министерстве энергетики и жилищно-коммунального хозяйства Омской области" (с изменениями и дополнениями)
- Приложение N 8. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве энергетики и жилищно-коммунального комплекса Омской области
Приложение N 8. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве энергетики и жилищно-коммунального комплекса Омской области
Приложение N 8
к распоряжению Министерства
энергетики и жилищно-коммунального
комплекса Омской области
от 20 ноября 2023 г. N 65-п
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве энергетики и жилищно-коммунального комплекса Омской области
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в части обработки персональных данных, основания, порядок, формы и методы проведения в Министерстве энергетики и жилищно-коммунального комплекса Омской области (далее - Министерство) внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет их соответствия Федеральному закону N 152-ФЗ от 27 июля 2006 года "О персональных данных", принятым в соответствии с ним нормативными правовыми актами и локальными актами Министерства (далее - проверки).
3. Проверки проводятся в Министерстве на основании ежегодного плана или на основании поступившего в Министерство письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
4. Ежегодный план проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Министерстве.
5. Основанием для проведения внеплановой проверки является поступившее в Министерство письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
6. Проведение внеплановой проверки организуется в течение пяти рабочих дней с момента поступления обращения. По существу поставленных в обращении (жалобе) вопросов Министерство в течение пяти рабочих дней со дня окончания проверки дает письменный ответ заявителю.
7. Проверка обработки персональных данных с использованием средств автоматизации осуществляется по следующим направлениям:
- соблюдения порядка доступа в помещения Министерство, в которых расположены элементы информационных систем, обрабатывающих
персональные данные (далее - ИСПДн);
- соблюдения порядка работы работников Министерства со средствами защиты информации в ИСПДн;
- соблюдения правил организации парольной защиты в ИСПДн;
- соблюдения правил антивирусной защиты в ИСПДн;
- соблюдения режима защиты при подключении ИСПДн к сетям общего пользования, а также при информационном взаимодействии с внешними информационными системами с использованием Мультисервисной сети Омской области;
- организации анализа и пересмотра имеющихся угроз безопасности персональных данных, обрабатываемых в ИСПДн;
- неизменности состава персональных данных, обрабатываемых в ИСПДн;
- соответствия полномочий пользователей ИСПДн разрешительной системе доступа ИСПДн;
- проверки срока действия сертификатов соответствия на подсистемы защиты ИСПДн;
- соответствия организационно-распорядительной и проектной документации на систему защиты ИСПДн, структурно-функциональным характеристикам ИСПДн;
- соответствия перечня должностей работников Министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, приложению N 16 к настоящему распоряжению;
- ознакомления пользователей ИСПДн с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами Министерства по вопросам обработки персональных данных;
- проверки актуальности опубликованных на официальном сайте Министерства документов, определяющих политику в отношении обработки персональных данных;
- проверки использования в работе сотрудников Министерства утвержденной настоящим распоряжением документации;
- проверки на актуальность законодательству Российской Федерации утвержденной настоящим распоряжением документации;
- проверки актуальности сведений, представленных в уведомлении уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных.
8. При необходимости направления проверок могут быть расширены.
9. Проверка обработки персональных данных без использования средств автоматизации осуществляется по следующим направлениям:
- проверка порядка хранения бумажных носителей с персональными данными;
- проверка порядка доступа к бумажным носителям с персональными данными;
- проверка порядка доступа в помещения Министерства, где обрабатываются и хранятся бумажные носители с персональными данными.
10. Проверки (в том числе внеплановые) осуществляются лицом, ответственным за организацию обработки персональных данных в Министерстве.
11. По результатам проверки составляется протокол проведения проверки, который подписывается лицом, ответственным за организацию обработки персональных данных в Министерстве и утверждается Министром.
12. Лицо, ответственное за обработку персональных данных в Министерстве, докладывает Министру о результатах проверки и мерах, необходимых для устранения выявленных нарушений.
13. По результатам проведенных мер, необходимых для устранения выявленных нарушений, лицом, ответственным за организацию обработки персональных данных в Министерстве составляется акт, в котором отражаются проведенные мероприятия и выводы о достаточности данных мероприятий для нейтрализации выявленных нарушений. Акты проведенных мероприятий подписываются лицом, ответственным за организацию обработки персональных данных в Министерстве и утверждаются Министром.
14. Протоколы проведения проверки и акты проведенных мероприятий хранятся у лица, ответственного за обработку персональных данных в Министерстве, в течение года. Уничтожение протоколов проводится лицом, ответственным за обработку персональных данных в Министерстве самостоятельно в январе года, следующего за проверочным.