Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
|
УТВЕРЖДАЮ
____________ (фамилия и инициалы) «___» ______________ 201_ г. |
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в _______________________________________________
- Общие положения
1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – Правила) в ______________________________________________________________________________________ (далее – _________________________), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – ПДн); основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн, необходимой для предоставления государственных и муниципальных услуг, требованиям к защите ПДн.
1.2. Настоящие Правила разработаны на основании Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона РФ от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.
1.3. Для обработки ПДн, необходимых для предоставления государственных и муниципальных услуг _________________________, используется информационная система персональных данных (далее – ИСПДн) «___________________________________________________________», предназначенная для осуществления деятельности _________________________, согласно _________________________________________________________________________________________.
1.4. Для обработки ПДн сотрудников, необходимых для обеспечения кадровой и бухгалтерской деятельности в _________________________ в соответствии с Трудовым кодексом Российской Федерации, используется ИСПДн «_________________» и ИСПДн « _________________________».
1.5. Пользователем ИСПДн (далее – Пользователь) является сотрудник _________________________, участвующий в рамках выполнения своих функциональных обязанностей в процессах автоматизированной обработкиПДн и имеющий доступ к аппаратным средствам, ПО, данным и средствам защиты информации (далее – СЗИ) ИСПДн.
1.6. Контрольные мероприятия за обеспечением уровня защищенности персональных данных и соблюдений условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных в ИСПДн _________________________ проводятся в следующих целях:
1.6.1 проверка выполнения требований организационно-распорядительной документации по защите информации в _________________________ и действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
1.6.2 оценка уровня осведомленности и знаний работников _________________________ в области обработки и защиты персональных данных;
1.6.3 оценка обоснованности и эффективности применяемых мер и средств защиты.
- Тематика внутреннего контроля
Тематика внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн:
2.1. Проверки соответствия обработки ПДн установленным требованиям в _________________________ разделяются на следующие виды:
- регулярные;
- плановые;
- внеплановые.
2.2. Регулярные контрольные мероприятия проводятся Администратором АИС периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее – План, приложение 1) и предназначены для осуществления контроля выполнения требований в области защиты информации в _________________________.
2.3. Плановые контрольные мероприятия проводятся постоянной комиссией периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее – План, приложение 1) и направлены на постоянное совершенствование системы защиты персональных данных ИСПДн _________________________.
2.4. Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности (создается на период проведения мероприятий). Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности может быть принято в следующих случаях:
2.4.1 по результатам расследования инцидента информационной безопасности;
2.4.2 по результатам внешних контрольных мероприятий, проводимых регулирующими органами;
2.4.3 по решению руководителя _________________________.
- Планирование контрольных мероприятий
3.1. Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает План внутренних контрольных мероприятий на текущий год.
3.2. План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:
3.2.1 цели проведения контрольных мероприятий;
3.2.2 задачи проведения контрольных мероприятий,
3.2.3 объекты контроля (процессы, подразделения, информационные системы и т.п.);
3.2.4 состав участников, привлекаемых для проведения контрольных мероприятий;
3.2.5 сроки и этапы проведения контрольных мероприятий.
3.3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней, соответствующие изменения отображаются в Отчете, выполняемом по результатам проведенных контрольных мероприятий.
- Оформление результатов контрольных мероприятий
4.1. По итогам проведения регулярных контрольных мероприятий результаты проверок фиксируется в Журнале учета событий информационной безопасности.
4.2. По итогам проведения плановых и внеплановых контрольных мероприятий лицо, комиссия, разрабатывает отчет, в котором указывается:
4.2.1 описание проведенных мероприятий по каждому из этапов;
4.2.2 перечень и описание выявленных нарушений;
4.2.3 рекомендации по устранению выявленных нарушений;
4.2.4 заключение по итогам проведения внутреннего контрольного мероприятия.
4.3. отчет передается на рассмотрение руководству _________________________.
4.4. Общая информации о проведенном контрольном мероприятий фиксируется в Журнале учета событий информационной безопасности.
4.5. Результаты проведения мероприятий по внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в _________________________ (приложение 2).
- Порядок проведения плановых и внеплановых контрольных мероприятий
5.1. Плановые и внеплановые контрольные мероприятия проводятся при обязательном участии лица, ответственному за обеспечение безопасности ПДн, также по его ходатайству к проведению контрольных мероприятий могут привлекаться администраторы АИС, и ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________.
5.2. Лицо, ответственное за обеспечение безопасности ПДн, не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий, и направляет им для ознакомления План проведения контрольных мероприятий. При проведении внеплановых контрольных мероприятий уведомление не требуется.
5.3. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий, могут выполнятся следующие проверки:
- Соответствие полномочий Пользователя правилам доступа.
- Соблюдение Пользователями требований инструкций по организации антивирусной и парольной политики, инструкции по обеспечению безопасности ПДн.
- Соблюдение Администраторами инструкций и регламентов по обеспечению безопасности информации в _________________________.
- Соблюдение Порядка доступа в помещения _________________________, где ведется обработка персональных данных.
- Знание Пользователей положений Инструкции пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций.
- Знание Администраторами инструкций и регламентов по обеспечению безопасности информации в _________________________.
- Порядок и условия применения средств защиты информации.
- Состояние учета машинных носителей персональных данных.
- Наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер.
- Проведенные мероприятия по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Технические мероприятия, связанные с штатным и нештатным функционированием средств защиты.
- Технические мероприятия, связанные с штатным и нештатным функционированием подсистем системы защиты информации.
|
Приложение 1 к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных |
ПЛАН
внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных
Мероприятие |
Периодичность регулярных мероприятий |
Периодичность плановых мероприятий |
Исполнитель |
Контроль соблюдения правил доступа к ПДн |
Еженедельно |
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Контроль соблюдения режима защиты |
Еженедельно |
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Контроль выполнения антивирусной политики |
Еженедельно |
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Контроль выполнения парольной политики |
Еженедельно |
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Контроль соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена |
Еженедельно |
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн |
|
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Контроль обновления ПО и единообразия применяемого ПО на всех элементах АИС _________________________ СПО |
Еженедельно |
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Контроль обеспечения резервного копирования |
|
Ежемесячно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз |
|
Ежегодно |
Ответственный за обеспечение безопасности персональных данных информационных систем персональных данных _________________________ |
Поддержание в актуальном состоянии нормативно-организационных документов |
|
Ежемесячно |
Ответственный за организацию обработки ПДн в _________________________ |
Контроль запрета на использование беспроводных соединений |
Еженедельно |
Ежемесячно |
|
|
Приложение 2 к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных |
ПРОТОКОЛ № ____
проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в _________________________
Настоящий Протокол составлен в том, что «__»_______201_ г.
_______________________________________________________ (комиссией)
(должность, Ф.И.О. сотрудника)
проведена проверка _________________________________________________
(тема проверки)
Проверка осуществлялась в соответствии с требованиями:
__________________________________________________________________
(название документа)
__________________________________________________________________
В ходе проверки проверено:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Выявленные нарушения:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Меры по устранению нарушений:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Срок устранения нарушений: ____________________________________
Председатель комиссии:
фамилия и инициалы / подпись / должность
Члены комиссии:
фамилия и инициалы / подпись / должность
фамилия и инициалы / подпись / должность