Приложение. Регламент проведения внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации ограниченного доступа в администрации Прикубанского муниципального района Карачаево-Черкесской Республики. Постановление администрации Прикубанского муниципального района Карачаево-Черкесской Республики от 17.01.2020 N 25 "Об утверждении регламента проведения внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации ограниченного доступа"

Приложение

к постановлению администрации

Прикубанского муниципального района

от 17.01.2020 N 25

Регламент
проведения внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации ограниченного доступа в администрации Прикубанского муниципального района Карачаево-Черкесской Республики

1. Термины и определения

1.1. Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

1.2. Инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политики или рекомендаций по информационной безопасности;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

1.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.5. Средство защиты информации - программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.

2. Общие положения

2.1. Регламент проведения внутреннего контроля соответствия обработки информации ограниченного доступа в администрации Прикубанского муниципального района Карачаево-Черкесской Республики (далее - Администрация) разработан в соответствии с законодательством Российской Федерации об информации ограниченного доступа (далее - ИОД) и нормативно-методическими документами федеральных органов исполнительной власти по вопросам безопасности ИОД при ее обработке в информационных системах (далее - ИС).

2.2. Регламент определяет порядок проведения внутреннего контроля соответствия обработки ИОД (далее - внутренний контроль) требованиям к защите ИОД.

2.3. Регламент обязателен для исполнения ответственным за организацию обработки персональных данных (далее - ПДн), ответственным за защиту информации в ИС, администратором ИС.

3. Порядок проведения внутреннего контроля

3.1. Для проведения внутреннего контроля в ИС создается комиссия, состоящая не менее чем из трех человек с обязательным включением в ее состав:

- ответственного за организацию обработки ПДн;

- ответственного за защиту информации в ИС.

3.2. Председатель комиссии организует работу комиссии, решает вопросы взаимодействия комиссии с руководителями и работниками структурных подразделений организации, готовит и ведет заседания комиссии, подписывает протоколы заседаний. По окончании работы комиссии готовится заключение по результатам внутреннего контроля, которое передается на рассмотрение главе Администрации.

3.3. Внутренний контроль проводится в соответствии с "Планом проведения внутреннего контроля соответствия обработки информации ограниченного доступа требованиям к защите информации ограниченного доступа", утвержденным постановлением главы Администрации, форма которого приведена в Приложении N 1.

3.4. В Плане проведения внутреннего контроля указывается перечень проводимых мероприятий внутреннего контроля и периодичность их проведения.

3.5. Комиссия проводит внутренний контроль непосредственно на месте обработки ИОД, опрашивает работников, осуществляющих обработку ИОД, осматривает рабочие места.

3.6. Все работники обязаны по запросу контролирующих предъявить все материалы и документы, числящиеся за ними, дать устные или письменные объяснения по существу заданных вопросов.

3.7. По результатам проверки составляется "Акт о проведении контроля соответствия обработки информации ограниченного доступа", форма которого приведена в Приложение N 2.

4. Ответственность

4.1. За организацию проведения внутреннего контроля отвечает ответственный за организацию обработки ПДн.

5. Срок действия и порядок внесения изменений

5.1. Настоящий Регламент вступает в силу с момента его утверждения и действует бессрочно.

5.2. Настоящий Регламент подлежит пересмотру не реже одного раза в три года.

5.3. Изменения и дополнения в настоящий Регламент вносятся постановлением Главы администрации Прикубанского муниципального района Карачаево-Черкесской Республики.