Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Приказ начальника Главного управления государственного административно-технического надзора Московской области от 27.03.2020 N 47-Пр-о "Об обработке персональных данных в Главном управлении государственного административно-технического надзора Московской области"

Приложение 3
к приказу начальника
Госадмтехнадзора Московской области
от 27 марта 2020 г. N 47-Пр-о

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

1. Общие положения

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила контроля) в Госадмтехнадзоре Московской области определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также цели, задачи, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн.

1.2. Настоящие Правила контроля разработаны на основании Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" и в соответствии с частью 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21.03.2012 N 211.

1.3. Госадмтехнадзор Московской области использует ИСПДн для выполнения основных целей и задач обработки ПДн, указанных в Перечне персональных данных, обрабатываемых в Госадмтехнадзоре Московской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

1.5. Пользователями ИСПДн (далее - Пользователь) являются сотрудники Госадмтехнадзора Московской области, участвующие в рамках выполнения своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющие доступ к аппаратным средствам, ПО, данным и средствам защиты информации (далее - СЗИ) ИСПДн.

1.6. Контрольные мероприятия по обеспечению уровня защищенности ПДн и соблюдению условий использования СЗИ, а также соблюдению требований законодательства Российской Федерации по обработке ПДн в ИСПДн Госадмтехнадзора Московской области проводятся в следующих целях:

проверка выполнения требований организационно-распорядительной документации по защите информации в Госадмтехнадзоре Московской области и действующего законодательства Российской Федерации в области обработки и защиты ПДн;

изучение и оценка фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения;

оценка уровня осведомленности и знаний сотрудников Госадмтехнадзора Московской области в области обработки и защиты ПДн;

оценка обоснованности и эффективности применяемых мер и средств защиты ПДн.

1.7. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:

обеспечение соблюдения должностными лицами Госадмтехнадзора Московской области требований настоящих Правил и нормативных правовых актов, регулирующих защиту ПДн;

оценку компетентности персонала, задействованного в обработке ПДн;

обеспечение работоспособности и эффективности технических средств ИСПДн и средств защиты ПДн, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности ПДн;

выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений;

принятие корректирующих мер, направленных на устранение выявленных нарушений в процессе обработки ПДн и в работе технических средств ИСПДн;

разработку рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий;

осуществление внутреннего контроля исполнения рекомендаций и указаний по устранению нарушений.

2. Формы внутреннего контроля

2.1. Проверки соответствия обработки ПДн установленным требованиям в Госадмтехнадзоре Московской области разделяются на следующие виды:

регулярные;

плановые;

внеплановые.

2.2. Регулярные контрольные мероприятия периодически проводятся администратором ИС (администратором безопасности) в соответствии с утвержденным планом проведения контрольных мероприятий (далее - План) и предназначены для осуществления контроля выполнения требований в области защиты информации в Госадмтехнадзоре Московской области.

2.3. Плановые контрольные мероприятия периодически проводятся в соответствии с утвержденным Планом лицом, ответственным за обеспечение безопасности ПНд в Госадмтехнадзоре Московской области, или Комиссией Главного управления государственного административно-технического надзора Московской области по внутреннему контролю соответствия обработки персональных данных установленным требованиям (далее - комиссия), формируемой на основании приказа (распоряжения) начальника Госадмтехнадзора Московской области, и направлены на постоянное совершенствование системы защиты ПДн ИСПДн Госадмтехнадзора Московской области.

2.4. Внеплановые контрольные мероприятия проводятся на основании решения комиссии. Решение о проведении внеплановых контрольных мероприятий может быть принято в следующих случаях:

по результатам расследования инцидента информационной безопасности;

по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

по решению начальника Госадмтехнадзора Московской области.

3. Планирование контрольных мероприятий

3.1. Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает план внутренних контрольных мероприятий на текущий год.

3.2. План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:

цели проведения контрольных мероприятий;

задачи проведения контрольных мероприятий;

объекты контроля (процессы, подразделения, информационные системы и т.п.);

состав участников, привлекаемых для проведения контрольных мероприятий;

сроки и этапы проведения контрольных мероприятий.

3.3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней, соответствующие изменения отображаются в отчете, выполняемом по результатам проведенных контрольных мероприятий.

4. Оформление результатов контрольных мероприятий

4.1. По итогам проведения регулярных контрольных мероприятий результаты проверок фиксируются в журнале учета событий информационной безопасности.

4.2. По итогам проведения плановых и внеплановых контрольных мероприятий лицо, ответственное за обеспечение безопасности ПНд в Госадмтехнадзоре Московской области (комиссия), составляет отчет (акт), в котором указывается:

описание проведенных мероприятий по каждому из этапов;

перечень и описание выявленных нарушений;

рекомендации по устранению выявленных нарушений;

заключение по итогам проведения внутреннего контрольного мероприятия.

Отчет (акт) является основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн, по модернизации технических средств ИСПДн и средств защиты ПДн, по обучению и повышению компетентности персонала, задействованного в обработке ПДн.

Отчет (акт) передается на рассмотрение начальнику Госадмтехнадзора Московской области - главному государственному административно-техническому инспектору Московской области.

4.3. Общая информация о проведенных контрольных мероприятиях фиксируется в журнале учета событий информационной безопасности.

4.4. Результаты проведения мероприятий по внеплановому контролю заносятся в Протокол проведения внутренних проверок контроля соответствия обработки ПДн требованиям к защите ПДн в Госадмтехнадзоре Московской области.

5. Порядок проведения плановых и внеплановых контрольных мероприятий

5.1. Плановые и внеплановые контрольные мероприятия проводятся при обязательном участии лица, ответственного за обеспечение безопасности ПДн, также по его ходатайству к проведению контрольных мероприятий могут привлекаться администраторы ИСПДн и ответственные за обеспечение безопасности ПДн информационных систем ПДн.

5.2. Лицо, ответственное за обеспечение безопасности ПДн, не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий, и направляет им для ознакомления План. При проведении внеплановых контрольных мероприятий уведомление не требуется.

5.3. Во время проведения контрольных мероприятий в зависимости от целей мероприятий могут выполняться следующие проверки:

соответствия полномочий Пользователя правилам доступа;

соблюдения Пользователями требований инструкций по организации антивирусной и парольной политики, инструкции по обеспечению безопасности ПДн;

соблюдения администраторами ИСПДн инструкций и регламентов по обеспечению безопасности информации в Госадмтехнадзоре Московской области;

соблюдения порядка доступа сотрудников в помещения Госадмтехнадзора Московской области, где ведется обработка персональных данных;

знания Пользователями положений инструкции пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций;

знание администратором ИСПДн (администратором безопасности) инструкций и регламентов по обеспечению безопасности информации в Госадмтехнадзоре Московской области;

порядок и условия применения средств защиты информации;

состояние учета машинных носителей ПДн;

наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер;

проведенные мероприятия по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

технические мероприятия, связанные со штатным и нештатным функционированием средств защиты;

технические мероприятия, связанные со штатным и нештатным функционированием подсистем системы защиты информации.