Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края. Приказ департамента развития бизнеса и внешнеэкономической деятельности Краснодарского края от 04.07.2024 N 246 "О мерах, направленных на реализацию требований постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

Приложение 3

УТВЕРЖДЕНЫ
приказом департамента развития
бизнеса и внешнеэкономической
деятельности Краснодарского края
от 04.07.2024 N 246

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края

1. Общие положения

1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края (далее - департамент) организовывается проведение плановых и внеплановых проверок соответствия условий обработки персональных данных (далее - плановые проверки, внеплановые проверки) на предмет соответствия Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

2. Проверки проводятся в департаменте на основании ежегодного плана или на основании поступившего в департамент письменного обращения о нарушении правил обработки персональных данных (внеплановые проверки). Ежегодный план проверок разрабатывается и утверждается руководителем департамента на основании предложений комиссии департамента по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Комиссия), по форме согласно приложению к настоящим Правилам.

3. В ежегодном плане проверок по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

4. Проверки проводятся Комиссией, образованной приказом департамента, которая должна состоять не менее чем из пяти государственных гражданских служащих Краснодарского края, замещающих должности в департаменте (далее - служащие). В проведении проверки не могут участвовать служащие, заинтересованные в ее результатах.

Комиссия вправе запрашивать информацию и документы в структурных подразделениях департамента для целей проведения проверки.

5. Основанием для проведения внеплановой проверки является поступившее в департамент письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных данного субъекта персональных данных.

6. Проведение внеплановой проверки организуется в течение пяти рабочих дней со дня поступления обращения.

7. Срок проведения проверки не может превышать четырнадцать календарных дней со дня принятия решения о ее проведении.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

10. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, простым большинством голосов оформляются протоколом, который подписывается всеми членами Комиссии и доводятся до сведения руководителя департамента.

11. В течение пяти рабочих дней со дня окончания проверки, Комиссия направляет письменный ответ о результатах проверки лицу (его представителю), направившему обращение о нарушении правил обработки персональных данных.

2. Порядок проведения проверки

По прибытию в структурное подразделение департамента для проведения проверки председатель Комиссии (при наличии) или ответственный за организацию обработки персональных данных в департаменте (далее - Ответственный департамента) прибывает к руководителю проверяемого структурного подразделения департамента, представляется ему и представляет других прибывших на проверку лиц (при наличии).

Руководитель проверяемого структурного подразделения департамента обязан оказывать содействие Ответственному департамента и Комиссии по проверке (при наличии) и в случае необходимости определяет должностное лицо, ответственное за сопровождение проверки.

На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекращать. Допуск проверяющих лиц к конкретным информационным ресурсам, защищаемым сведениям и техническим средствам должен исключать ознакомление проверяющих лиц с конкретными персональными данными.

Общий порядок проведения проверки включает следующее:

1) получение документов о распределении обязанностей по обработке и защите персональных данных, выявление ответственных за обработку и защиту персональных данных и установление факта ознакомления служащими проверяемого структурного подразделения департамента со своей ответственностью;

2) получение при содействии служащих проверяемого структурного подразделения департамента документов, касающихся обработки и защиты персональных данных в данном структурном подразделении департамента;

3) анализ полученной документации;

4) непосредственная проверка выполнения установленного порядка обработки и защиты персональных данных и требований законодательства Российской Федерации в области защиты персональных данных.

При этом согласовываются конкретные вопросы по объему, содержанию, срокам проведения проверки, а также каких должностных лиц структурного подразделения департамента необходимо привлечь к проверке и какие объекты следует посетить.

В ходе осуществления контроля выполнения требований по обработке и защите персональных данных в проверяемом структурном подразделении департамента рассматриваются, в частности, следующие показатели:

1) в части общей организации работ по обработке персональных данных:

а) соответствие информации, указанной в уведомлении об обработке персональных данных департамента, реальному положению дел;

б) полнота и соответствие обрабатываемой, собираемой информации нормативным правовым актам и локальным актам, принятым в департаменте;

в) наличие нормативных документов по защите персональных данных;

г) знание нормативных документов служащими, имеющими доступ к персональным данным;

д) полнота и правильность выполнения требований нормативных документов служащими департамента, имеющими доступ к персональным данным;

е) наличие документов, определяющих состав служащих, ответственных за обработку персональных данных в структурном подразделении департамента, соответствие этих документов реальному штатному составу структурного подразделения департамента, а также подтверждение факта ознакомления ответственных служащих с данными документами;

ж) уровень подготовки служащих, ответственных за обработку персональных данных в структурном подразделении департамента;

з) наличие необходимых в соответствии с требованиями Федерального закона N 152-ФЗ согласий на обработку персональных данных субъектов персональных данных. Соответствие объема обрабатываемых персональных данных и сроков их обработки указанным целям обработки персональных данных;

2) в части защиты информационных систем с защищаемой информацией:

а) соответствие средств вычислительной техники, средств защиты информации и программного обеспечения в информационных системах показателям, указанным в документации на конкретную информационную систему (технический паспорт);

б) структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) защищаемой информации в сети передачи данных;

в) соблюдение установленного порядка использования средств вычислительной техники информационной системы;

г) наличие и эффективность применения средств и методов защиты информации, обрабатываемых на средствах вычислительной техники информационной системы;

д) соблюдение требований, предъявляемых к паролям на информационные ресурсы, средствам вычислительной техники, в том числе на вход в BIOS (UEFI);

е) соблюдение требований и правил антивирусной защиты средств вычислительной техники;

ж) контроль журналов учета машинных носителей защищаемой информации, сверка основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);

з) тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана;

3) в части защиты информационных ресурсов и помещений:

а) правильность отнесения обрабатываемой информации к защищаемой информации;

б) правильность установления уровня защищенности персональных данных в информационных системах персональных данных и (или) правильности установления класса защищенности в информационных системах при обработке в них персональных данных;

в) закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности в правилах внутреннего трудового распорядка, положениях о структурных подразделениях департамента, должностных регламентах и служебных контрактах (контрактах) служащих;

г) порядок передачи защищаемой информации органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);

д) действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;

е) состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих персональные данные;

ж) выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;

з) соответствие защищаемых помещений их техническим паспортам.

Более подробно вопросы, подлежащие проверке, могут раскрываться в отдельных документах (методических рекомендациях, технологических картах, памятках и т.п.).

Во время проведения проверки выявленные нарушения требований о обработке и защите персональных данных должны быть по возможности устранены. Проверяющие лица могут давать рекомендации по устранению на месте отмечаемых нарушений и недостатков.

Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

3. Оформление результатов проверки

Результаты проверки оформляются:

1) актом - при проведении проверки Комиссией (при наличии);

2) служебной запиской - при проведении проверки Ответственным департамента.

Акт и (или) служебная записка составляется в двух экземплярах и подписывается служащими, выполнявшими проверку.

Один экземпляр хранится у Ответственного департамента, второй экземпляр хранится в департаменте в установленном порядке. Копия документа о проверке остается у руководителя (начальника) проверяемого структурного подразделения департамента.

Результаты проверок структурных подразделений департамента периодически обобщаются Ответственным департамента и доводятся до руководителей структурных подразделений департамента. При необходимости принятия решений по результатам проверок структурных подразделений департамента на имя руководителя департамента готовятся соответствующие служебные записки.

Начальник финансового отдела департамента

Л.А. Черномаз