Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ инспекции государственного жилищного надзора Волгоградской области от 15 августа 2017 г. N 128 "Об обработке персональных данных в инспекции государственного жилищного надзора Волгоградской области" (с изменениями и дополнениями)
- Приложение 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в Инспекции государственного жилищного надзора Волгоградской области
Приложение 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в Инспекции государственного жилищного надзора Волгоградской области
Приложение 2
к приказу инспекции
государственного жилищного
надзора Волгоградской области
от 15 августа 2017 г. N 128
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в Инспекции государственного жилищного надзора Волгоградской области
1. Общие положения
1.1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в инспекции государственного жилищного надзора Волгоградской области (далее - Инспекция) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. Правила разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27 июля 2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 21 марта 2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", Постановления Правительства Российской Федерации от 01 ноября 2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Правила определяют процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере защиты персональных данных, разбирательства и составления отчета о разбирательстве инцидента информационной безопасности (далее - ИБ) по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а так же выявления и предотвращения нарушений ИБ в Инспекции.
1.3. Основные термины и понятия, используемые в Правилах.
Инцидент ИБ - событие, в результате наступления которого в Инспекции произошло разглашение конфиденциальной информации, персональных данных, нарушение работоспособности информационных систем, внесение несанкционированных изменений в информационные ресурсы Инспекции.
Нарушитель ИБ - лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно и использовавшее для этого различные возможности, методы и средства.
Информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационные ресурсы (далее - ИР) - совокупность данных, организованных для эффективного получения достоверной информации, документы и отдельные массивы документов в информационных системах;
Автоматизированное рабочее место (далее - АРМ) - индивидуальный комплекс технических и программных средств, предназначенный для автоматизации работы специалистов Инспекции.
2. Порядок проведения проверок условий обработки персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Инспекции организуется проведение периодических проверок условий обработки персональных данных.
2.2. Проверки осуществляются уполномоченными приказом руководителя Инспекции лицами. Ответственным лицом за организацию проверок является лицо, ответственное за организацию обработки персональных данных в Инспекции.
2.3. Плановые проверки соответствия обработки персональных данных установленным требованиям в Инспекции проводятся на основании утвержденного приказом руководителя Инспекции графика проведения плановых проверок соответствия обработки персональных данных требованиям законодательства к защите персональных данных.
Внеплановые проверки организуются в течение трех рабочих дней при наступлении следующих событий:
- поступившее в Инспекцию письменное заявление субъекта персональных данных о нарушениях правил обработки персональных данных;
- получение сигнала о нарушении режима конфиденциальности системы защиты информации;
- получение предписания органов надзора за соблюдением прав субъектов персональных данных.
2.4. При проведении любой проверки соответствия обработки персональных данных установленным требованиям определяется соответствие принимаемых мер по обеспечению безопасности персональных данных при их обработке требованиям Федерального закона от 27 июля 2006 N 152-ФЗ "О персональных данных".
2.5. Ответственный за организацию обработки персональных данных в Инспекции имеет право:
- запрашивать у специалистов Инспекции информацию, необходимую для реализации полномочий;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить руководителю Инспекции предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке.
Проверка должна быть завершена в срок не позднее чем через тридцать календарных дней со дня принятия решения о её проведении.
3. Порядок разбирательства инцидента ИБ
3.1. Цели разбирательства инцидентов ИБ:
выработка организационных и технических решений, направленных на снижение рисков нарушения ИБ, предотвращение подобных нарушений в будущем;
обеспечение безопасности обработки персональных данных;
обеспечение прав субъектов персональных данных на обеспечение безопасности и конфиденциальности их персональных данных, обрабатываемых Инспекцией;
предотвращение несанкционированного доступа к информационным системам.
3.2. Этапы разбирательства инцидента ИБ:
подтверждение или опровержение факта возникновения инцидента ИБ;
подтверждение или корректировка уровня значимости инцидента ИБ;
уточнение дополнительных обстоятельств инцидента ИБ;
получение доказательств возникновения инцидента ИБ;
минимизация последствий инцидента ИБ;
информирование и консультирование специалистов Инспекции по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;
разработка мероприятий по обнаружению и (или) предупреждению инцидентов ИБ.
3.3. Выявление инцидента ИБ.
В срок не более одного рабочего дня с момента поступления информации об инциденте ИБ, сотрудник отдела учета и хозяйственного обеспечения определяет и инициирует первоочередные меры (отключение АРМ предполагаемого нарушителя ИБ от информационной системы, восстановление информации из резервной копии, исправление ошибки ввода, проведение дополнительного инструктажа по ИБ), направленные на локализацию инцидента ИБ и минимизацию его последствий.
3.4. Проведение разбирательства инцидента ИБ. В процессе проведения разбирательства инцидента ИБ устанавливаются:
дата и время совершения инцидента ИБ;
структурное подразделение Инспекции, затронутое инцидентом ИБ;
информационные ресурсы, затронутые инцидентом ИБ;
ФИО, должность предполагаемого нарушителя ИБ;
уровень критичности инцидента ИБ;
обстоятельства и мотивы совершения инцидента ИБ;
характер и размер реального и потенциального ущерба;
обстоятельства, способствовавшие совершению инцидента ИБ.
3.5. В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
По результатам проверки руководителю Инспекции предоставляется отчет о разбирательстве инцидента ИБ, в котором указывается перечень мер, необходимых для устранения выявленных нарушений.