Приложение №3 к распоряжению администрации № 444-р
Приложение № 3
к распоряжению
администрации Аткарского муниципального района
От 25.06.2014 № 444-р
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора администрации Аткарского муниципального района Саратовской области
Цель внутреннего контроля.
1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям
к защите персональных данных, установленных Федеральным законом
№152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами администрации Аткарского муниципального района, Саратовской области.
Виды и периодичность внутреннего контроля
1. Внутренний контроль соответствия обработки персональных данных делится на текущий и периодический.
2. Текущий внутренний контроль осуществляется на постоянной основе пользователем информационной системы персональных данных.
3. Периодический внутренний контроль осуществляется ответственным за организацию обработки, безопасность персональных данных в администрации Аткарского муниципального района, Саратовской области в соответствии с поручением главы администрации Аткарского муниципального района, Саратовской области. Периодичность проверки – не реже одного раза в шесть месяцев.
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организовывается проведение периодических проверок условий обработки персональных данных в соответствии с планом проверок (приложение 1) или на основании поступившего в администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки)
Порядок назначения ответственного за организацию обработки, безопасность персональных данных в администрации Аткарского муниципального района, Саратовской области для осуществления
внутреннего контроля.
1. Проверки осуществляются ответственным за организацию обработки, безопасность персональных данных в администрации Аткарского муниципального района, Саратовской области назначенного распоряжением администрации Аткарского муниципального района, Саратовской области, из числа сотрудников администрации Аткарского муниципального района, Саратовской области, так же возможно привлечение экспертов. В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.
2. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.
Порядок проведения внутренней проверки.
1. При проведении внутренней проверки должны быть полностью, объективно и всесторонне установлены:
– порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
– порядок и условия применения средств защиты информации;
– эффективность принимаемых мер по обеспечению безопасности персональных данных;
– состояние учёта бумажных и машинных носителей персональных данных;
– соблюдение правил доступа к персональным данным;
– наличие (отсутствие) фактов несанкционированного доступа
к персональным данным;
– мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– осуществление мероприятий по обеспечению целостности персональных данных.
2. По каждой проверке составляется Протокол проведения внутренней проверки. Форма Протокола приведена в Приложении к настоящим Правилам.
3. При выявлении в ходе проверки нарушений в Протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
4. Протоколы хранятся у председателя комиссии в течение текущего года. Уничтожение Протоколов проводится комиссией самостоятельно
по истечении срока хранения.
5. О результатах проверки и мерах, необходимых для устранения нарушений председатель комиссии докладывает главе администрации Аткарского муниципального района, Саратовской области.
6. Срок проведения проверки не может составлять более 30 (тридцати) дней со дня принятия решения о её проведении.
Приложение 1
к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Утверждаю
__________________________
(должность, инициалы и фамилия)
"___" ___________ 20__ г.
План
внутренних проверок условий обработки персональных данных
в администрации Аткарского муниципального района
№ п/п Тема проверки Нормативный документ, предъявляющий требования Срок проведения Исполнитель
1. Соответствие полномочий пользователя требованиям к защите персональных данных Перечень ИСПДн
Перечень должностей служащих…
Порядок доступа служащих…
Правила обработки персональных данных 1-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
2. Соблюдение пользователями ИСПДн парольной политики
Политика информационной безопасности 1-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
3. Соблюдение пользователями ИСПДн антивирусной политики
Политика информационной безопасности 1-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
4. Соблюдение пользователями ИСПДн правил работы со съемными носителями персональных данных
Политика информационной безопасности 1-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
5. Соблюдение пользователями правил работы с криптографическими средствами защиты информации Политика информационной безопасности 1-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
6. Соблюдение порядка доступа в помещения, где расположены элементы ИСПДн Порядок доступа служащих в помещения, где ведется обработка персональных данных 2-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
7. Соблюдение порядка резервирования баз данных и хранения резервных копий Политика информационной безопасности 2-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
8. Соблюдение порядка работы со средствами защиты информации Политика информационной безопасности 2-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
9. Знание пользователями ИСПДн своих действий во внештатных ситуациях Политика информационной безопасности 2-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
10. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными Порядок доступа служащих в помещения, где ведется обработка персональных данных 2-е полугодие года Ответственный за организацию обработки, безопасность персональных данных
Ответственный за организацию
обработки персональных данных ___________ “____” __________ 20__ г.
( инициалы, фамилия)
Приложение 2
к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Утверждаю
__________________________
(должность, инициалы и фамилия)
"___" ___________ 20__ г.
Протокол
проведения внутренней проверки условий обработки персональных данных в администрации Аткарского муниципального района, Саратовской области
Настоящий Протокол составлен в том, что "__" _______20__ г. ответственным за организацию обработки, безопасность персональных данных в администрации Аткарского муниципального района, Саратовской области:
__________________________________________________________________
(фамилия имя отчество)
Проведена проверка: _____________________________________________________________________
(тема проверки)
Проверка осуществлялась в соответствии с требованиями: ______________________________________________________________
(название документа)
В ходе проверки проверено: ______________________________________________________________
Выявленные нарушения: ______________________________________________________________
Меры по устранению нарушений: _________________________________________
______________________________________________________________
Срок устранения нарушений: ___________________________________________
Ответственный за организацию обработки,
безопасность персональных данных в
администрации Аткарского муниципального
района, Саратовской области
________________ ______________________
(Ф.И.О.) (подпись)
"__" ________ 20__ г.