Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансово-бюджетного надзора Краснодарского края. Приказ департамента финансово-бюджетного надзора Краснодарского края от 24.11.2020 N 145 "Об организационных мероприятиях по обработке и обеспечению безопасности персональных данных, обрабатываемых в департаменте финансово-бюджетного надзора Краснодарского края" (с изменениями и дополнениями)

Приложение 3
к приказу департамента
финансово-бюджетного надзора
Краснодарского края

от 24.11.2020 N 145

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансово-бюджетного надзора Краснодарского края

1. Общие положения

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансово-бюджетного надзора Краснодарского края (далее - Правила) определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации и принятыми в соответствии с ним нормативными правовыми актами.

1.2. Настоящие Правила разработаны в соответствии с:

Федеральным законом от 27 июня 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального законом следует читать как "от 27 июля 2006 г."

постановлением Правительства Российской Федерации от 15 августа 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного постановления следует читать как "от 15 сентября 2008 г."

постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами;

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке информационных системах персональных данных".

1.3. Настоящими Правилами в своей работе должны руководствоваться:

сотрудники департамента финансово-бюджетного надзора Краснодарского края (далее - департамент), осуществляющие внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных.

2. Структура процессов по внутреннему контролю

2.1. Контроль выполнения требований по защите персональных данных в структурных подразделениях департамента осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработки мер по их устранению и недопущению в дальнейшем.

2.2. Контроль выполнения требований по защите персональных данных в структурных подразделениях департамента осуществляет ответственный за организацию обработки персональных данных в департаменте и администратор информационной безопасности Департамента.

2.3. Общий контроль выполнения требований по обеспечению безопасности персональных данных осуществляет ответственный за выполнение мероприятий по контролю исполнения в структурных подразделениях департамента требований документов по обеспечению безопасности персональных данных.

2.4. Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.

2.5. Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.

2.6. Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов персональных данных или нарушения требований по защите персональных данных.

2.7. Сроки проведения контрольных проверок доводятся руководителям проверяемых структурных подразделений департамента не позднее, чем за 24 часа до начала проверки.

2.8. Проверки по частным вопросам могут проводиться без уведомления руководителей структурных подразделений департамента.

2.9. Периодичность и сроки проведения плановых проверок структурных подразделений департамента устанавливаются планом проверок на календарный год. Сроки проведения плановых проверок доводятся руководителям проверяемых подразделений не позднее, чем за 10 суток до начала проверки.

3. Порядок подготовки к проверке

3.1. Общий контроль выполнения требований по обеспечению безопасности персональных данных в структурных подразделениях департамента осуществляется в соответствии с Планом проведения внутренних проверок соответствия обработки персональных данных требованиям к защите персональных данных департамента (форма представлена в приложении 1), утвержденным руководителем департамента финансово-бюджетного надзора Краснодарского края.

3.2. Ответственный за выполнение мероприятий по контролю исполнения структурных подразделений департамента требований документов по обеспечению безопасности персональных данных подготавливает предложения по составу комиссии или группы проверяющих лиц.

3.3. Контроль в структурных подразделениях департамента, осуществляемый ответственными за обеспечение контроля процессов обеспечения безопасности персональных данных структурных подразделений департамента, осуществляется в соответствии с Планом проведения внутренних проверок соответствия обработки персональных данных требованиям к защите персональных данных структурных подразделений департамента (форма представлена в приложении 2). Данные Планы утверждаются руководителями структурных подразделений департамента и согласовываются с ответственным за выполнение мероприятий по контролю исполнения структурных подразделений департамента, требований документов по обеспечению безопасности персональных данных.

3.4. Проверяющие лица обязаны получить у руководителей проверяемых структурных подразделений департамента информацию об условиях обработки персональных данных, необходимую для достижения целей проверки. Перед началом проверки они должны изучить материалы предыдущих проверок данного структурного подразделения департамента.

4. Порядок проведения проверки

4.1. Руководитель проверяемого структурного подразделения департамента обязан оказывать содействие комиссии по проверке или группе проверяющих лиц и в случае необходимости определяет должностное лицо, ответственное за сопровождение проверки.

4.2. Допуск проверяющих лиц к конкретным информационным ресурсам, защищаемым сведениям и техническим средствам должен исключать ознакомление проверяющих лиц с конкретными персональными данными.

4.3. Должны быть согласованы конкретные вопросы по объему, содержанию, срокам проведения проверки, а также каких сотрудников структурных подразделений департамента необходимо привлечь к проверке и какие помещения следует посетить.

4.4. Общий порядок проведения проверки включает:

выявление сотрудников, задействованных в обработке персональных данных;

проверка факта ознакомления сотрудников проверяемого структурного подразделения департамента с нормативными документами, регламентирующими вопросы обработки и защиты персональных данных;

получение при содействии сотрудников проверяемого структурного подразделения департамента документов, касающихся обработки и защиты персональных данных в данном структурном подразделении;

анализ полученной документации;

непосредственная проверка выполнения установленного порядка обработки и защиты персональных данных и требований законодательства Российской Федерации в области защиты персональных данных.

4.5. В ходе осуществления контроля выполнения требований по защите персональных данных в структурном подразделении департамента рассматриваются следующие показатели работ по защите персональных данных: наличие согласий на обработку персональных данных субъектов персональных данных, в случаях, предусмотренных законодательствам Российской Федерации;

соответствие состава и сроков обработки целям обработки ПДн;

соответствие Перечня должностей государственных гражданских служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным реальному составу сотрудников;

соответствие Перечня лиц, имеющих доступ в помещения, в которых ведется обработка персональных данных реальному составу сотрудников;

наличие нормативных документов по защите персональных данных;

знание нормативных документов и уровень подготовки сотрудников, имеющих доступ к персональным данным;

полнота и правильность выполнения требований нормативных документов сотрудниками, имеющими доступ к персональным данным;

наличие документов, подтверждающих учет и сохранность материальных носителей персональных данных;

4.6. В ходе осуществления контроля выполнения требований по защите персональных данных в структурном подразделении департамента дополнительно рассматриваются следующие показатели работ по защите персональных данных:

соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;

наличие и корректность перечня информационных систем;

наличие документа, подтверждающего:

правильность определения уровня защищенности персональных данных, обрабатываемых в информационных системах, а также классов защищенности информационных систем;

наличие документа, подтверждающего факт определения угроз безопасности персональных данных, а также его актуальность (срок актуальности документа не может превышать 3 года);

соответствие состава средств вычислительной техники информационных систем указанному в документации на информационную систему;

соответствие требованиям по организации разграничения доступа пользователей к информационным ресурсам (в том числе сетевым);

порядок защиты персональных данных при передаче по сети;

применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценка эффективности принимаемых мер по обеспечению безопасности персональных данных.

4.7. Во время проведения проверки, выявленные нарушения требований по обработке и защите персональных данных должны быть по возможности устранены. Проверяющие лица могут дать рекомендации по устранению на месте отмечаемых нарушений и недостатков.

4.8. Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

5. Оформление результатов проверки

5.1. Результаты проверки оформляются актом.

5.2. Акт составляется в одном экземпляре и подписывается членами комиссии. Оригинал документа с результатами проверки хранится (передается) у ответственного за выполнение мероприятий по контролю исполнения структурными подразделениями департамента требований документов по обеспечению безопасности персональных данных. Копия документа о проверке передается в проверяемое структурное подразделение департамента.

5.3. Результаты проверок подразделений периодически обобщаются ответственным за выполнение мероприятий по контролю исполнения структурными подразделениями департамента и доводятся до сведения ответственного за организацию обработки и обеспечение безопасности персональных данных департамента.

5.4. При необходимости принятия решений по результатам проверки структурного подразделения департамента - ответственному за организацию обработки и обеспечение безопасности персональных данных департамента готовится соответствующая служебная записка.

6. Корректирующие мероприятия и контроль за их исполнением

6.1. Руководитель структурного подразделения департамента анализирует акт о результатах внутренней проверки и в пятидневный срок определяет перечень мероприятий, необходимых для устранения нарушений и их причин.

6.2. Перечень мероприятий согласуется с ответственным за организацию обработки и обеспечение безопасности персональных данных департамента.

6.3. Если корректирующие мероприятия касаются других структурных подразделений департамента, то к анализу привлекаются специалисты соответствующих структурных подразделений.

6.4. Выполнение корректирующих мероприятий и их достаточность определяется ответственным за организацию обработки и обеспечение безопасности персональных данных департамента.

6.5. Внутренняя проверка считается оконченной после выполнения всех корректирующих мероприятий и устранения выявленных нарушений.

Главный консультант отдела кадровой работы, противодействия коррупции, учета и материально технического обеспечения

Л.В. Голиков