Внутренний контроль соответствия обработки персональных данных

Помощь по теме: "Внутренний контроль соответствия обработки персональных данных" с полным описанием проблематики и решением. Ели у вас есть вопросы, то обратитесь к дежурному консультанту.

План проведения внутреннего контроля условий обработки персональных данных в ИСПДн на 2019 год, Положение об обработке персональных данных

Положение об обработке персональных данных

  1. Организация обработки персональных данных

2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за организацию обработки персональных данных (далее — Ответственный).

2.2. Ответственный обязан:

— обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Политики, Положения и иных локальных актов по вопросам обработки персональных данных;

— обеспечить неограниченный доступ к Политике, копия которой размещается по адресу нахождения Оператора;

— проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;

— ежегодно проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— ежегодно осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных (далее — Нормативные акты);

— доводить до работников под роспись положения Нормативных актов при заключении трудового договора, а также по собственной инициативе;

— осуществлять допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;

— организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав;

— обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее — Роскомнадзор).

  1. Обеспечение безопасности персональных данных

3.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.

3.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе Оператора.

3.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.

3.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:

— ежегодно выполнять определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;

— обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе Оператора;

— устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивать регистрацию и учёт всех действий с ними;

— организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе Оператора.

  1. Осуществление прав субъектов персональных данных

4.1. При обращении субъекта персональных данных или при получении его запроса (далее — Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с даты Обращения.

4.2. При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в течение 30 дней с даты Обращения.

4.3. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменений в персональные данные в течение 7 рабочих дней с даты Обращения.

4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с даты Обращения.

4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4.6. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

  1. Взаимодействие с Роскомнадзором

5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.

Читайте так же:  Определение на исковое заявление арбитражный суд

5.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.

5.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

5.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой Оператором.

  1. Ответственность за нарушение порядка обработки и обеспечения безопасности персональных данных

6.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ.

6.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.

Источник: http://www.xn--80agbsflvpeegf5e5d.xn--p1ai/page82

Внутренний контроль соответствия обработки персональных данных

Акт внутреннего контроля соответствия обработки персональных данных в администрации Народненского сельского поселения требованиям к защите персональных данных — СКАЧАТЬ

АКТ №1 определения необходимого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных «Бухгалтер» — СКАЧАТЬ

АКТ № 2 определения необходимого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных «Кадровый учет» — СКАЧАТЬ

АКТ № 3 определения необходимого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных «Делопроизводство» — СКАЧАТЬ

Источник: http://narodnenskoe.e-gov36.ru/its/akti-vnutrennego-kontrolya-sootvetstviya-obrabopersonalnih

Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

к Приказу службы финансово-экономического контроля

и контроля в сфере закупок Красноярского края

от 21 марта 2014 г. N 4НП

Правила
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных

С изменениями и дополнениями от:

25 декабря 2015 г.

1. Общие положения

1.1. Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее — Правила) определяются процедуры, с целью выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.

1.2. Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

Информация об изменениях:

Приказом службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 25 декабря 2015 г. N 6НП в пункт 1.3 настоящего Приложения внесены изменения

1.3. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.

1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

2. Порядок проведения проверки

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее — Служба) организовывается проведение проверок условий обработки персональных данных.

Проверки проводятся на основании приказа руководителя Службы.

Проверки осуществляются комиссией, образуемой приказом руководителя Службы.

В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в её результатах.

Проверки соответствия обработки персональных данных требованиям к защите персональных данных в Службе проводятся 1 раз в 2 года, установленным требованиям (плановые проверки) или на основании поступившего в Службу письменного заявления (обращения), служебной записки о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления (обращения), служебной записки о нарушениях правил обработки персональных данных.

2.2. При проведении проверки соответствия обработки персональных данных установленным требованиям должны полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

2.3. Члены комиссии имеют право:

запрашивать у сотрудников Службы информацию, необходимую для проведения проверки;

требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить руководителю Службы предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить руководителю Службы предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

Читайте так же:  Обязательность указаний суда кассационной инстанции

2.4. Проверка должна быть завершена не позднее чем через месяц со дня издания приказа о ее проведении. По результатам проведенной проверки составляется и подписывается комиссией заключение, в котором отражаются меры, необходимые для устранения выявленных нарушений. Подписанное заключение не позднее дня, следующего за днем завершения проверки, представляется руководителю Службы.

По результатам проверки руководитель Службы принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.

>
N 4. Перечень информационных систем персональных данных
Содержание
Приказ службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 21 марта 2014 г. N 4НП «Об.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/18681842/3e22e51c74db8e0b182fad67b502e640/

Внутренний контроль соответствия обработки персональных данных

приказом комитета Ставропольского края

по делам национальностей и казачества

от 22 марта 2013 г. № 18/од

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета Ставропольского края по делам национальностей и казачества

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета Ставропольского края по делам национальностей и казачества (далее – Правила) устанавливают порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете Ставропольского края по делам национальностей и казачества (далее – комитет).

2. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.

3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и Федеральном законе № 152-ФЗ.

4. Целью осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – внутренний контроль) является обеспечение защиты персональных данных от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля.

5. Внутренний контроль делится на текущий, плановый и внеплановый.

6. Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных в комитете (далее – ответственный за организацию обработки) в ходе мероприятий по обработке персональных данных.

7. Ответственный за организацию обработки имеет право:

запрашивать у сотрудников комитета информацию, необходимую для реализации полномочий;

требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить председателю комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить председателю комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.

8. Плановый внутренний контроль осуществляется комиссией, образуемой приказом председателя комитета, в состав которой входят работники комитета, допущенные к обработке персональных данных.

Плановый внутренний контроль соответствия обработки персональных данных установленным требованиям в комитете проводится на основании утвержденного председателем комитета плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии. Периодичность плановой проверки – не реже одного раза в год.

9. Внеплановый внутренний контроль может осуществляться на основании поступившего в комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется председателем комиссии в течение трех рабочих дней с момента поступления соответствующего заявления.

В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.

10. При проведении внутреннего контроля ответственным за организацию обработки или комиссией должны быть полностью, объективно и всесторонне изучены:

наличие, учет, порядок хранения и обезличивания персональных данных;

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных;

состояние учёта ПЭВМ и съемных носителей информации, содержащей персональные данные;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным;

порядок проведения мероприятий и результаты по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

порядок проведения мероприятий по обеспечению целостности персональных данных.

11. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

12. Срок проведения плановой и внеплановой проверки не может составлять более 30 (тридцати) дней со дня принятия решения о её проведении.

13. Результаты внутреннего контроля оформляются в виде протокола проведения внутренней проверки (далее – протокол).

14. При выявлении в ходе внутреннего контроля нарушений ответственным за организацию обработки либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

Читайте так же:  Порядок подачи встречного иска в арбитражном процессе

15. Протоколы хранятся у ответственного за организацию обработки в течение текущего года. Уничтожение протоколов проводится ответственным за организацию обработки самостоятельно в январе года, следующего за проверочным годом.

16. О результатах внутреннего контроля и мерах, необходимых для устранения нарушений, председателю комитета докладывает ответственный за организацию обработки либо председатель комиссии.

Источник: http://stavcomnat.ru/2009-10-07-10-19-08/359—l-r-

Приложение. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Ильинского муниципального района

от 18 октября 2012 г. N 353

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Ильинского муниципального района

1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Ильинского муниципального района (далее — Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 N 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03. 2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.

3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.06. 2006 N 152 ФЗ «О персональных данных».

4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации Ильинского муниципального района (далее — администрация) организовывается проведение периодических проверок условий обработки персональных данных.

5. Проверки осуществляются ответственным за организацию обработки персональных данных в администрации либо комиссией, образуемой распоряжением администрации района.

Видео (кликните для воспроизведения).

Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях администрации, в которых ведется обработка персональных данных.

В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в её результатах.

6. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным распоряжением администрации.

План проведения поверок разрабатывается лицом, ответственным за организацию обработки персональных данным в администрации.

Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения.

7. Проверки соответствия обработки персональных данных установленным требованиям в администрации проводятся на основании распоряжения администрации района об осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в администрацию заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

8. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:

— порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

— порядок и условия применения средств защиты информации;

— эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

— состояние учета машинных носителей персональных данных;

— соблюдение правил доступа к персональным данным;

— наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

— мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— осуществление мероприятий по обеспечению целостности персональных данных.

9. В случае выявления фактов:

— несоблюдения установленного порядка обработки персональных данных;

— несоблюдения условий хранения носителей персональных данных;

— использования условий хранения носителей персональных данных;

— использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальности, доступности, целостности) персональных данных или другим наращениям, приводящим, к снижению уровня защищенности персональных данных;

— нарушения заданного уровня безопасности персональных данных (конфиденциальность, целостность, доступность);

— в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.

10. Ответственный за организацию обработки персональных данных в администрации (комиссия) имеет право:

— запрашивать у сотрудников администрации информацию, необходимую для реализации полномочий;

— требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

— принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

— вносить главе администрации района предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

— вносить главе администрации района предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

11. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в администрации (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

12. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении.

О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, главе администрации Ильинского муниципального района докладывает ответственный за организацию обработки персональных данных либо председатель комиссии, в форме письменного заключения.

В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.

Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.

Читайте так же:  Разрыв связок ахиллова сухожилия сроки восстановления

В случае выявления нарушений обработки персональных данных, требующих незамедлительного устранения, принимаются меры оперативного реагирования

13. Глава администрации района, назначивший проверку, обязан контролировать своевременность и правильность её проведения.

14. В отношении персональных данных, ставших известными комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/28387184/53f89421bbdaf741eb2d1ecc4ddb4c33/

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных

к приказу директора школы -о/д «Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных»

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных

1. Общие положения

1.1. Настоящие правила разработаны в соответствии с требованиями Федерального закона -ФЗ «О персональных данных», Постановления Правительства Российской Федерации «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», Постановления Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.2. Правила определяют процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере защиты персональных данных, разбирательства и составления актов разбирательства инцидента информационной безопасности (далее — ИБ) по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а так же выявления и предотвращения нарушений ИБ в Муниципвльном бюджетном общеобразовательном учреждении «Основная общеобразовательная школа № 12» Асбестовского городского округа (далее по тексту – Оператор).
1.3. Основные термины и понятия, используемые в Правилах.

— Инцидент ИБ — событие, в результате наступления которого у Оператора произошло разглашение конфиденциальной информации, персональных данных, нарушение работоспособности информационных систем, внесение несанкционированных изменений в информационные ресурсы Оператора.

— Нарушитель ИБ — лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно и использовавшее для этого различные возможности, методы и средства.

— Информационная система персональных данных (далее — ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

— Информационные ресурсы (далее — ИР) — совокупность данных, организованных для эффективного получения достоверной информации, документы и отдельные массивы документов в информационных системах;

— Автоматизированное рабочее место (далее — АРМ) — индивидуальный комплекс технических и программных средств, предназначенный для автоматизации работы Оператора;

— Система защиты от несанкционированного доступа (далее СЗНД) — система защиты информации, предотвращающая или существенно затрудняющая несанкционированный доступ к информации.

2. Порядок проведения проверок условий обработки персональных данных

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям у Оператора организуется проведение периодических проверок условий обработки персональных данных.

2.2. Проверки осуществляются ответственным лицом за обеспечение безопасности персональных данных у Оператора, либо исполнителем, которому делегированы полномочия на проверку в соответствии с приказом Оператора.

2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Оператора, в которых ведется обработка персональных данных.

2.4. Плановые проверки соответствия обработки персональных данных установленным требованиям у Оператора проводятся не менее одного раза в год.

2.5. Внеплановые проверки организуются в течение трех рабочих дней при наступлении следующих событий:

— поступившее Оператору письменное заявление субъекта персональных данных о нарушениях правил обработки персональных данных;

— поступившее Оператору сообщение от сотрудников о предполагаемом нарушении правил обработки персональных данных;

— получение предписания органов надзора за соблюдением прав субъектов персональных данных.

2.6. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным у Оператора, а именно:

— соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;

— соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

— достаточность персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;

— отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

— порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

— порядок и условия применения средств защиты информации;

— соблюдение правил доступа к персональным данным;

— наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

— мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— осуществление мероприятий по обеспечению целостности персональных данных.

2.7. В случае выявления фактов:

— несоблюдения установленного порядка обработки персональных данных;

— несоблюдения условий хранения носителей персональных данных;

— использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

Читайте так же:  Жалоба задержка решения суда образец

— нарушения заданного уровня безопасности персональных данных (конфиденциальность/ целостность/доступность);

в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.

2.8. Лицо, ответственное за обеспечение безопасности персональных данных Оператора, уполномоченное на проведение проверок имеет право:

— запрашивать у работников информацию, необходимую для реализации полномочий;

— требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

— принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

— вносить директору школы предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

— вносить директору школы предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

2.9. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.

2.10. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.

2.11. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.

2.12. В отношении персональных данных, ставших известными лицу, ответственному за обеспечение безопасности персональных данных Оператора, в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

2.13. В процессе проверки ответственное лицо заполняет контрольный лист (Приложение ), при этом отметки проставляются по каждому информационному ресурсу в отдельности. Данный документ является обязательным приложениям к акту (Приложение ) по результатам контроля и аудита. Акт по результатам контроля и приложение к нему хранятся в кабинете у ответственного лица.

3. Порядок разбирательства инцидента ИБ

3.1. Разбирательство по вопросам инцидентов ИБ проводится ответственным лицом за обеспечение безопасности персональных данных Оператора или комиссией по защите персональных данных Оператора (далее по тексту – Комиссия), утвержденной приказом директора школы.

3.2. Цели разбирательства инцидентов ИБ:

— выработка организационных и технических решений, направленных на снижение рисков нарушения ИБ, предотвращение подобных нарушений в будущем;

— обеспечение безопасности обработки персональных данных;

— обеспечение прав субъектов персональных данных на обеспечение безопасности и конфиденциальности их персональных данных, обрабатываемых Оператором;

— предотвращение несанкционированного доступа к информационным системам.

3.3. Этапы разбирательства инцидента ИБ:

— подтверждение или опровержение факта возникновения инцидента ИБ;

— подтверждение или корректировка уровня значимости инцидента ИБ;

— уточнение дополнительных обстоятельств инцидента ИБ;

— получение доказательств возникновения инцидента ИБ, обеспечение их сохранности и целостности;

— минимизация последствий инцидента ИБ;

— информирование и консультирование сотрудников Управления образованием по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;

— разработка мероприятий по обнаружению и (или) предупреждению инцидентов ИБ.

3.4. Выявление инцидента ИБ. Основными источниками информации об инцидентах ИБ являются:

— результаты плановых или внеплановых проверок соответствия обработки персональных данных установленным требованиям;

— факты, выявленные работниками Оператора. Работник Оператора может выявить признаки наличия Инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям федерального законодательства в области защиты персональных данных и информационной безопасности. Выявленные несоответствия дают основания предполагать факт возникновения инцидента ИБ. Любые сведения о предполагаемом инциденте ИБ незамедлительно передаются выявившим их работником директору школы, ответственному лицу за обеспечение безопасности персональных данных Оператора в произвольной форме любым доступным способом (по телефону, докладной запиской, через непосредственного руководителя).

3.5. В срок не более одного рабочего дня с момента поступления информации об инциденте ИБ, Комиссия (ответственное лицо за защиту персональных данных), осуществляющие разбирательство, определяют и инициируют первоочередные меры (отключение АРМ предполагаемого нарушителя ИБ от информационной системы, восстановление информации из резервной копии, исправление ошибки ввода, проведение дополнительного инструктажа по ИБ), направленные на локализацию инцидента ИБ и минимизацию его последствий.
3.6. Проведение разбирательства инцидента ИБ.

3.6.1. В процессе проведения разбирательства инцидента ИБ устанавливаются:

— дата и время совершения инцидента ИБ;

— информационные ресурсы, затронутые инцидентом ИБ;

— Ф. И.О., должность предполагаемого нарушителя ИБ;

— уровень критичности инцидента ИБ;

— обстоятельства и мотивы совершения инцидента ИБ;

— характер и размер реального и потенциального ущерба;

— обстоятельства, способствовавшие совершению инцидента ИБ.

3.6.2. После получения необходимой информации по инциденту ИБ осуществляющая разбирательство Комиссия (ответственное лицо) проводит анализ полученных данных.

3.6.3. С целью минимизации последствий инцидента ИБ возможно временное отключение прав доступа у предполагаемого нарушителя ИБ к информационным ресурсам (далее — ИР) на время проведения расследования. Информация об отключении прав доступа работником, ответственным за проведение разбирательства, направляется непосредственному руководителю предполагаемого нарушителя ИБ.

3.6.4. Восстановление временно отключенных у нарушителя ИБ прав доступа к ИР производится по заявке руководителя нарушителя ИБ или осуществляющей разбирательство Комиссии (ответственного лица).

3.7. Собранная в процессе разбирательства инцидента ИБ информация фиксируется Комиссией (ответственным лицом) в карточке инцидента ИБ (Приложение ) и учитывается при подготовке акта разбирательства инцидента ИБ (Приложение ).

3.8. Комиссия (ответственное лицо) направляет акт разбирательства инцидента ИБ директору школы.

3.9. На основании полученного акта разбирательства инцидента ИБ в срок не более трех рабочих дней организуется проведение мероприятий, направленных на снижение рисков информационной безопасности в будущем:

— повторное ознакомление нарушителя ИБ с Правилами, с должностной инструкцией, с Положением об обработке и защите персональных данных;

— анализ и пересмотр имеющихся прав доступа к информационным ресурсам у нарушителя ИБ;

— доведение до всех работников требований правовых актов в области ИБ.

Видео (кликните для воспроизведения).

Источник: http://pandia.ru/text/80/269/82472.php

Внутренний контроль соответствия обработки персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here