Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Федерального агентства по техническому регулированию и метрологии от 25 июля 2013 г. N 249-к "О реализации требований постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
- Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами
Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами
Приложение N 3
к приказу Федерального агентства по
техническому регулированию и метрологии
от 25 июля 2013 г. N 249-к
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила определяют порядок осуществления организации внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами.
2. Тематика внутреннего контроля
2.1. Тематика проверок обработки персональных данных с использованием средств автоматизации:
- соответствие полномочий пользователя матрице доступа;
- соблюдение пользователями информационных систем персональных данных (далее - ИСПД) оператором парольной политики;
- соблюдение пользователями ИСПД в организации антивирусной политики;
- соблюдение пользователями ИСПД оператора правил работы со съемными носителями персональных данных;
- соблюдение ответственными за криптографические средства защиты информации правил работы с ними;
- соблюдение порядка доступа в помещения оператора, где расположены элементы ИСПД;
- соблюдение порядка резервирования баз данных и хранения резервных копий;
- соблюдение порядка работы со средствами защиты информации;
- знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации:
- хранение бумажных носителей с персональными данными;
- доступ к бумажным носителям с персональными данными;
- доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
3. Порядок проведения внутренних проверок
3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, указанным в пункте 1.2. настоящих Правил, в организации организуется проведение периодических проверок условий обработки персональных данных в соответствии с Планом внутренних проверок условий обработки персональных данных в организации, а также внеплановых проверок условий обработки персональных данных.
3.2. Проверки осуществляются ответственным за организацию обработки персональных данных лицом или лицами (далее - Ответственное лицо) либо комиссией, образуемой по указанию руководителя организации (далее - комиссия).
3.3. Внеплановые проверки проводятся в случае поступления оператору сведений об имеющихся нарушениях при осуществлении обработки персональных данных.
3.4. Проверки осуществляются ответственным лицом (комиссией) непосредственно на месте обработки персональных данных путем опроса сотрудников, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных, а в иных формах в соответствии с действующим законодательством.
3.5. Для каждой проверки составляется Протокол проведения внутренней проверки условий обработки персональных данных в организации (далее - Протокол). Примерная форма Протокола приведена в приложении 1 к настоящим Правилам.
3.6. При выявлении в ходе проверки нарушений ответственным лицом (председателем комиссии) в Протоколе делается запись о необходимых мероприятиях по устранению выявленных нарушений и сроках их устранения.
3.7. Протоколы хранятся у ответственного лица (председателя комиссии) в течение текущего года. Уничтожение Протоколов обеспечивается ответственным лицом (комиссией) самостоятельно в январе года, следующего за проверочным.
3.8. О результатах проверки и мерах, необходимых для устранения нарушений, докладывается руководителю организации ответственным лицом (председателем комиссии).