Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансов Администрации города Салехарда. Приказ департамента финансов администрации г. Салехард Ямало-Ненецкого автономного округа от 27.12.2016 N 82 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей оператора, предусмотренных Федеральным законом "О персональных данных" (с изменениями и дополнениями)

Приложение N 3
к приказу
департамента финансов
администрации г. Салехард
от 27 декабря 2016 г. N 82

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансов Администрации города Салехарда

1. Общие положения

1.1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансов Администрации города Салехарда (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами" и другими нормативными правовыми актами.

1.3. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных.

1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в департаменте финансов Администрации города Салехарда (далее - Департамент финансов) организовывается проведение проверок условий обработки персональных данных.

2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных в Департаменте финансов осуществляются комиссией, создаваемой приказом Департамента финансов. В состав комиссии входит председатель комиссии и не менее трех членов комиссии. Проверки могут быть плановыми и внеплановыми (далее - Проверки).

2.3. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, разрабатываемым структурным подразделением, выполняющим функции по технической защите (безопасности) информации, и утверждается приказом Департамента финансов. Периодичность плановой проверки не реже одного раза в квартал. Срок проведения плановой проверки составляет не более трех рабочих дней.

2.4. Внеплановые проверки проводятся на основании поступившего в Департамент финансов письменного заявления субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных о нарушениях правил обработки персональных данных.

2.5. В течение трех рабочих дней с момента поступления в Департамент финансов заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется приказом Департамента финансов.

2.6. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента издания приказа Департамента финансов о проведении внеплановой проверки и должна быть завершена не позднее чем через месяц со дня ее назначения.

2.7. При проведении Проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Департаменте финансов, а именно:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

2.8. В случае выявления фактов нарушений требований обработки персональных данных, а именно:

- несоблюдения установленного порядка обработки персональных данных;

- несоблюдения условий хранения носителей персональных данных;

- использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

- нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность), в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.

2.9. Комиссия имеет право:

- запрашивать у сотрудников Департамента финансов информацию, необходимую для реализации своих полномочий;

- требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить начальнику Департамента финансов предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить начальнику Департамента финансов предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

2.10. По результатам Проверок Комиссии администратором информационной безопасности составляется план устранения выявленных нарушений, который доводится до руководителя проверенного подразделения.

2.11. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.

2.12. Результаты внутреннего контроля оформляются в виде справки. Справка о результатах проведенных Проверок, перечень мероприятий по устранению выявленных нарушений и сроки их устранения направляются для согласования начальнику Департамента финансов за подписью председателя комиссии.

2.13. Устранение выявленных в ходе Проверок нарушений проводится в порядке и сроки, установленные действующим законодательством в сфере обработки персональных данных.

2.14. В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.