Приложение 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных" в Комитете по архитектуре и градостроительству г. Москвы. Приказ Комитета по архитектуре и градостроительству г. Москвы от 21.06.2019 N 410 "Об обработке персональных данных в Комитете по архитектуре и градостроительству города Москвы" (с изменениями и дополнениями)

Приложение 2
к приказу Москомархитектуры
от 21 июня 2019 г. N 410

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных" в Комитете по архитектуре и градостроительству города Москвы

С изменениями и дополнениями от:

20 октября 2020 г.

1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных".

2. Под внутренним контролем понимается комплекс организационных и технических мероприятий, которые направлены на обеспечение безопасности персональных данных, в частности предупреждение и пресечение возможности получения посторонними лицами персональных данных, исключение несанкционированного доступа к персональным данным, предотвращение утечки информации о персональных данных, хищения персональных данных.

3. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Комитете организовывается проведение плановых и внеплановых контрольных мероприятий за обеспечением уровня защищенности персональных данных и соблюдением условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных.

4. Внутренний контроль осуществляется комиссией, образуемой приказом Комитета, в состав которой входят лица из числа государственных гражданских служащих Комитета, ответственных за организацию обработки персональных данных и уполномоченных на обработку персональных данных.

5. Плановые контрольные мероприятия проводятся данной комиссией в соответствии с планом, утвержденным председателем Комитета, и направлены на постоянное совершенствование системы защиты персональных данных. Для проведения плановых внутренних контрольных мероприятий комиссия разрабатывает План внутренних контрольных мероприятий на текущий год.

6. План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:

- цели проведения контрольных мероприятий;

- задачи проведения контрольных мероприятий;

- объекты контроля (процессы, подразделения, информационные системы и т.п.);

- состав участников, привлекаемых для проведения контрольных мероприятий;

- сроки и этапы проведения контрольных мероприятий.

Информация об изменениях:

Пункт 7 изменен с 20 октября 2020 г. - Приказ Комитета по архитектуре и градостроительству г. Москвы от 20 октября 2020 г. N 255

См. предыдущую редакцию

7. Длительность каждого контрольного мероприятия не должна превышать трех рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на пять рабочих дней. Общий срок проведения контрольных мероприятий в течение календарного года не должен превышать двадцати одного рабочего дня.

8. Решение о проведении внеплановых контрольных мероприятий может быть принято в следующих случаях:

- по результатам расследования инцидента информационной безопасности;

- по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

- по решению председателя Комитета.

9. По итогам проведения плановых и внеплановых контрольных мероприятий комиссия составляет акт, в котором указываются:

- описание проведенных мероприятий;

- перечень и описание выявленных нарушений;

- рекомендации по устранению выявленных нарушений;

- заключение по итогам проведения внутреннего контрольного мероприятия.

Акт передается на рассмотрение председателю Комитета.

10. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий могут выполняться следующие проверки:

- соответствия полномочий пользователя правилам доступа;

- соблюдения пользователями требований инструкций по организации антивирусной и парольной политики, инструкции по обеспечению безопасности персональных данных;

- соблюдения администраторами инструкций и регламентов по обеспечению безопасности информации в Комитете;

- соблюдения Порядка доступа в помещения Комитета, где ведется обработка персональных данных;

- соблюдения порядка и условий применения средств защиты информации;

- состояния учета машинных носителей персональных данных;

- наличия (отсутствия) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- проверки проведенных мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- проверки технических мероприятий, связанные со штатным и нештатным функционированием средств защиты информации;

- иные.

11. Члены комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.