УПРАВЛЕНИЕ ЖИЛИЩНО-КОММУНАЛЬНОГО ХОЗЯЙСТВА КИСЕЛЕВСКОГО ГОРОДСКОГО ОКРУГА
РАСПОРЯЖЕНИЕ
от «16» ноября 2020 №140-р
Киселевский городской округ
Об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и о внутренних проверках режима защиты персональных данных в управлении жилищно-коммунального хозяйства Киселевского городского округа
В целях повышения эффективности защиты персональных данных в в управлении жилищно-коммунального хозяйства Киселевского городского округа, руководствуясь ст. 16 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»» и принятыми в соответствии с ним нормативными актами:
1.Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в в управлении жилищно-коммунального хозяйства Киселевского городского округа (Приложение 1).
2. Утвердить План внутренних проверок режима защиты персональных данных в управлении жилищно-коммунального хозяйства Киселевского городского округа (Приложение 2).
3. Главному специалисту сектора бухгалтерского учета Снесарь Оксане Васильевне ознакомить под роспись сотрудников в управления жилищно-коммунального хозяйства Киселевского городского округа с настоящим распоряжением.
4. Настоящее распоряжение вступает в силу с момента его подписания.
5.Контроль за исполнением настоящего распоряжения оставляю за собой.
Начальник УЖКХ КГО М.В. Лобанов
Приложение 1
к распоряжению
управления жилищно-коммунального хозяйства Киселевского городского округа
от 16 ноября 2020 № 140-р
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в управлении жилищно- коммунального хозяйства Киселевского городского округа
1. Общие положения
1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – Правила) в управлении жилищно- коммунального хозяйства Киселевского городского округа (далее – УЖКХ КГО), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – ПДн); основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн, необходимой для предоставления государственных и муниципальных услуг, требованиям к защите ПДн.
1.2. Настоящие Правила разработаны на основании Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона РФ от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.
1.3. Контрольные мероприятия за обеспечением уровня защищенности персональных данных и соблюдений условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных в ИСПДн в УЖКХ КГО проводятся в следующих целях:
1.3.1. Проверка выполнения требований организационно-распорядительной документации по защите информации в УЖКХ КГОи действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
1.3.2. Оценка уровня осведомленности и знаний работников УЖКХ КГО в области обработки и защиты персональных данных;
1.3.3. Оценка обоснованности и эффективности применяемых мер и средств защиты.
2. Тематика внутреннего контроля
Тематика внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн:
2.1. Проверки соответствия обработки ПДн установленным требованиям в ИСПДн разделяются на следующие виды:
- регулярные;
- плановые;
- внеплановые.
2.2. Регулярные контрольные мероприятия проводятся периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее–План, приложение 1) и предназначены для осуществления контроля выполнения требований в области защиты информации в ИСПДн.
2.3. Плановые контрольные мероприятия проводятся постоянной комиссией периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее – План, приложение 1) и направлены на постоянное совершенствование системы защиты персональных данных ИСПДн ИСПДн.
2.4. Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности (создается на период проведения мероприятий). Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности может быть принято в следующих случаях:
2.4.1. по результатам расследования инцидента информационной безопасности;
2.4.2. по результатам внешних контрольных мероприятий, проводимых регулирующими органами.
3. Планирование контрольных мероприятий
3.1. Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает План внутренних контрольных мероприятий на текущий год.
3.2. План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:
3.2.1. цели проведения контрольных мероприятий;
3.2.2. задачи проведения контрольных мероприятий,
3.2.3. объекты контроля (процессы, подразделения, информационные системы и т.п.);
3.2.4. состав участников, привлекаемых для проведения контрольных мероприятий;
3.2.5. сроки и этапы проведения контрольных мероприятий.
3.3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней, соответствующие изменения отображаются в Отчете, выполняемом по результатам проведенных контрольных мероприятий.
4. Оформление результатов контрольных мероприятий
4.1. По итогам проведения регулярных контрольных мероприятий результаты проверок фиксируется в Журнале учета событий информационной безопасности.
4.2. По итогам проведения плановых и внеплановых контрольных мероприятий лицо, комиссия, разрабатывает отчет, в котором указывается:
4.2.1. описание проведенных мероприятий по каждому из этапов;
4.2.2. перечень и описание выявленных нарушений;
4.2.3. рекомендации по устранению выявленных нарушений;
4.2.4. заключение по итогам проведения внутреннего контрольного мероприятия.
4.3. Общая информации о проведенном контрольном мероприятии фиксируется в Журнале учета событий информационной безопасности.
4.4. Результаты проведения мероприятий по внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в УЖКХ КГО (приложение 2).
5. Порядок проведения плановых и внеплановых контрольных мероприятий
5.1. Плановые и внеплановые контрольные мероприятия проводятся при обязательном участии лица, ответственному за обеспечение безопасности ПДн.
5.2. Лицо, ответственное за обеспечение безопасности ПДн, не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий, и направляет им для ознакомления План проведения контрольных мероприятий. При проведении внеплановых контрольных мероприятий уведомление не требуется.
5.3. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий, могут выполнятся следующие проверки:
5.3.1. Ссоответствие полномочий Пользователя правилам доступа.
5.3.2. Соблюдение Пользователями требований инструкций по организации антивирусной и парольной политики, инструкции по обеспечению безопасности ПДн.
5.3.3. Соблюдение инструкций и регламентов по обеспечению безопасности информации в УЖКХ КГО.
5.3.4. Соблюдение Порядка доступа в помещениях УЖКХ КГО, где ведется обработка персональных данных.
5.3.5. Знание Пользователей положений Инструкции пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций.
5.3.6. Знание инструкций и регламентов по обеспечению безопасности информации в УЖКХ КГО.
5.3.7. Порядок и условия применения средств защиты информации.
5.3.8. Состояние учета машинных носителей персональных данных.
5.3.9. Наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер.
5.3.10. Проведенные мероприятия по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.3.11. Технические мероприятия, связанные со штатным и нештатным функционированием средств защиты.
5.3.12. Технические мероприятия, связанные со штатным и нештатным функционированием подсистем системы защиты информации.
| Приложение 1 к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в управлении жилищно-коммунального хозяйства Киселевского городского округа |
ПЛАН
внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных
| Мероприятие | Периодичность регулярных мероприятий | Периодичность плановых мероприятий |
| Контроль соблюдения правил доступа к ПДн | Раз в полгода | Раз в полгода |
| Контроль соблюдения режима защиты | Раз в полгода | Раз в полгода |
| Контроль выполнения антивирусной политики | Раз в полгода | Раз в полгода |
| Контроль выполнения парольной политики | Раз в полгода | Раз в полгода |
| Контроль соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена | Раз в полгода | Раз в полгода |
| Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн | Раз в полгода | Раз в полгода |
| Контроль обеспечения резервного копирования | Раз в полгода | Раз в полгода |
| Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз | Раз в полгода | Раз в полгода |
| Поддержание в актуальном состоянии нормативно-организационных документов | Раз в полгода | Раз в полгода |
| Контроль запрета на использование беспроводных соединений | Раз в полгода | Раз в полгода |
ПРОТОКОЛ № ____
проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в управлении жилищно- коммунального хозяйства Киселевского городского округа
«__»_______202_ г.
Настоящий Протокол составлен
______________________________________________________________________________________________________________________________________________________________________________________________________________________________ (должность, Ф.И.О. сотрудника)
проведена проверка ______________________________________________________________________________________________________________________________________________________________________________________________________________________________
(тема проверки)
Проверка осуществлялась в соответствии с требованиями:
______________________________________________________________________________________________________________________________________________________________________________________________________________________________
(название документа)
В ходе проверки проверено:
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Выявленные нарушения:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Меры по устранению нарушений:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Срок устранения нарушений: ____________________________________
Председатель комиссии:
_________________________ ______________________ ____________
ФИО должность подпись
Члены комиссии:
_________________________ ______________________ ____________
ФИО должность подпись
_________________________ ______________________ ____________
ФИО должность подпись
_________________________ ______________________ ____________
ФИО должность
подпись