Приложение 5. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации городского округа Троицк. Постановление Администрации городского округа Троицк в г. Москве от 20.10.2020 N 696 "Об утверждении положения об обработке и защите персональных данных в администрации городского округа Троицк"

Приложение 5
к постановлению администрации
городского округа Троицк
от 20.10.2020 N 696

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации городского округа Троицк

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в администрации городского округа Троицк (далее - Администрации), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.2. Настоящие Правила разработаны на основании Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и в соответствии с постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.3. Для обработки персональных данных в Администрации используются информационные системы, перечень которых утверждается распоряжением администрации городского округа Троицк (далее - информационные системы).

1.4. Пользователем информационной системы (далее - Пользователь) является работник Администрации, участвующий в рамках выполнения своих функциональных обязанностей в процессах автоматизированной обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты информации информационной системы.

1.5. Контрольные мероприятия за обеспечением уровня защищенности персональных данных и соблюдений условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных в информационных системах проводятся в следующих целях:

1.5.1. проверка выполнения требований организационно-распорядительной документации по защите информации в Администрации и действующего законодательства Российской Федерации в области обработки и защиты персональных данных;

1.5.2. оценка уровня осведомленности и знаний работников Администрации в области обработки и защиты персональных данных;

1.5.3. оценка обоснованности и эффективности применяемых мер и средств защиты информации.

2. Тематика внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных:

2.1. Проверки соответствия обработки персональных данных установленным требованиям в Администрации разделяются на следующие виды:

2.1.1. регулярные;

2.1.2. плановые;

2.1.3. внеплановые.

2.2. Регулярные контрольные мероприятия проводятся периодически должностным лицом, ответственным за обеспечение безопасности персональных данных в соответствии с требованиями организационно-распорядительной документации и предназначены для осуществления контроля выполнения требований в области защиты персональных данных в Администрации.

2.3. Плановые контрольные мероприятия проводятся периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее - План) и направлены на постоянное совершенствование системы защиты персональных данных информационной системы.

2.4. Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности. Решение о проведении внеплановых контрольных мероприятий и создании комиссии по информационной безопасности может быть принято в следующих случаях:

2.4.1. по результатам расследования инцидента информационной безопасности;

2.4.2. по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

2.4.3. по решению главы Администрации.

3. Для проведения плановых внутренних контрольных мероприятий в Администрации, разрабатывается План внутренних контрольных мероприятий на текущий год, форма которого устанавливается приложением 1 к настоящим Правилам. Лица, ответственные за обеспечение безопасности персональных данных, устанавливаются распоряжением Администрацией городского округа.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3.2. План проведения внутренних контрольных мероприятий (как плановых, так и внеплановых) включает следующие сведения по каждому из мероприятий:

3.2.1. цели проведения контрольных мероприятий;

3.2.2. задачи проведения контрольных мероприятий,

3.2.3. объекты контроля (процессы, подразделения, информационные системы и т.п.);

3.2.4. состав участников, привлекаемых для проведения контрольных мероприятий;

3.2.5. сроки и этапы проведения контрольных мероприятий.

3.3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней, соответствующие изменения отображаются в Отчете, выполняемом по результатам проведенных контрольных мероприятий.

4. По итогам проведения внутренних контрольных мероприятий, ответственный за обеспечение безопасности персональных данных в Администрации, разрабатывает отчет, в котором указывается:

4.1. описание проведенных мероприятий по каждому из этапов в соответствии с планом;

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

4.1.2. отклонения от плана, в случае их наличия;

4.1.3. перечень и описание выявленных нарушений;

4.1.4. рекомендации по устранению выявленных нарушений;

4.1.5. заключение по итогам проведения внутреннего контрольного мероприятия.

4.2. Отчет передается на рассмотрение Главе городского округа Троицк.

4.3. Общая информация о проведенном контрольном мероприятии фиксируется в Журнале регистрации проверок в сфере защиты персональных данных (приложение 5 к настоящим Правилам).

4.4. Результаты проведения мероприятий по плановому и внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации (приложение 2 к настоящим Правилам).

5. Контрольные мероприятия проводятся ответственным за обеспечение безопасности обработки персональных данных в Администрации.

5.1. Ответственный за обеспечение безопасности персональных данных в Администрации не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий, и направляет им для ознакомления План проведения контрольных мероприятий. При проведении внеплановых контрольных мероприятий уведомление не требуется.

5.2. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий, могут выполняться следующие проверки:

5.2.1. соответствие полномочий Пользователя правилам доступа;

5.2.2. соблюдение Пользователями требований инструкций по организации антивирусной и парольной защите, инструкции по обеспечению безопасности персональных данных;

5.2.3. соблюдение Порядка доступа в помещения администрации, где ведется обработка персональных данных;

5.2.4. порядок и условия применения средств защиты информации;

5.2.5. состояние учета машинных носителей персональных данных;

5.2.6. наличие (отсутствие) фактов несанкционированного доступа к персональных данных и принятие необходимых мер;

5.2.7. проведенные мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.2.8. технические мероприятия, связанные со штатным и нештатным функционированием средств защиты информации;

5.2.9. технические мероприятия, связанные со штатным и нештатным функционированием подсистем средств защиты информации.

5.3. Плановые проверки проводятся не реже одного раза в год в соответствии с Планом внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - План внутреннего контроля).

6. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям, ответственный за обеспечение безопасности обработки персональных данных, организует проведение периодических (плановых) проверок условий обработки персональных данных.

6.1. П