12.06.2019     0
 

Акт внутренней проверки по персональным данным


Акт о результатах проведения проверки обеспечения защиты персональных данных

  • Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  • Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  • Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.
  • Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен.

УТВЕРЖДАЮ (фамилия и инициалы) « » 201_ г. ПРАВИЛА осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в

  1. Общие положения

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – Правила) в (далее – ), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – ПДн);

1.2. Настоящие Правила разработаны на основании Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона РФ от 27 июля 2010 г.

Здравоохранение

Важно

Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности (создается на период проведения мероприятий). Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности может быть принято в следующих случаях: 2.4.1 по результатам расследования инцидента информационной безопасности; 2.4.2 по результатам внешних контрольных мероприятий, проводимых регулирующими органами; 2.4.3 по решению руководителя .

  1. Планирование контрольных мероприятий

3.1. Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает План внутренних контрольных мероприятий на текущий год.

3.2.

Технологическая информация, подлежащая защите, включает: — управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.) : — информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты; — информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах; 3.2.

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению. Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт. Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас.

Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п.

Акт внутренней проверки по персональным данным

В целях повышения эффективности защиты персональных данных в администрации города Иркутска, руководствуясь ст. 16 Федерального закона от 06.10.2003 N 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.

2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными актами, операторами, являющимися государственными или муниципальными органами», ст.ст. 37, 38, 42 Устава города Иркутска,

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (Приложение N 1).

1.2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (Приложение N 2).

2. Руководителям структурных подразделений администрации города Иркутска в месячный срок с момента подписания настоящего распоряжения ознакомить под роспись сотрудников подведомственного структурного подразделения администрации города Иркутска. Листы ознакомления представить в отдел информационной безопасности и криптографической защиты информации департамента информатизации комитета по экономике администрации г. Иркутска.

3. Контроль за исполнением настоящего распоряжения возложить на заместителя мэра — председателя комитета по экономике администрации г. Иркутска.

И.о. главы администрации города ИркутскаА.Б.ЛОГАШОВ

Приложение N 1к распоряжению администрациигорода Иркутскаот 2 марта 2015 года N 031-10-124/5

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (далее — Правила) определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством, в том числе Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами администрации города Иркутска.

1.2. Правила разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2011 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», иных нормативных правовых актов.

2.1. Цель проведения внутреннего контроля состоит в проверке и оценке соответствия обеспечения безопасности персональных данных (далее — ПДн) требованиям действующего законодательства, в том числе Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», политики администрации города Иркутска в отношении обработки ПДн, правовых актов администрации города Иркутска, регулирующих работу с ПДн в структурных подразделениях администрации города Иркутска.

Предлагаем ознакомиться:  Проверки ИП в 2019 году: основания, виды, сроки проверок

2.2. При проведении контроля используются процедуры документальной проверки, опрос и интервью с руководителями и муниципальными служащими администрации города Иркутска. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего контроля в качестве дополнительного способа может применяться «проверка на месте», которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования.

— политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;

— организационная структура обеспечения безопасности ПДн создана;

— процессы выполнения требований безопасности ПДн исполняются и удовлетворяют поставленным целям;

— защитные меры (межсетевые экраны, средства защиты информации от несанкционированного доступа и т.п.) настроены и используются правильно;

— остаточные риски безопасности ПДн оценены и остаются приемлемыми;

— рекомендации предшествующих проверок реализованы.

2.4. При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учета нештатных ситуаций информационных систем персональных данных (далее — ИСПДн), ведущийся администратором безопасности.

2.5. Ответственный за организацию обработки ПДн для проведения контроля имеет право привлекать администратора безопасности ИСПДн и других сотрудников администрации города Иркутска.

Заместитель мэра — председатель комитетапо экономике администрации г. ИркутскаА.А.АЛЬМУХАМЕДОВ

Начальник отдела информационной безопасностии криптографической защиты информациидепартамента информатизации комитетапо экономике администрации г. ИркутскаЕ.В.ТОРГАШИН

Приложение N 2к распоряжению администрациигорода Иркутскаот 2 марта 2015 года N 031-10-124/5

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (далее — План) содержит перечень мероприятий (внутренних проверок) по проверке режима защиты персональных данных в администрации города Иркутска.

— название проводимого мероприятия;

— периодичность проведения;

— исполнитель мероприятия.

1.3. План распространяется на все структурные подразделения администрации города Иркутска, в которых осуществляется обработка персональных данных либо имеется доступ к персональным данным.

Руководители структурных подразделений администрации города Иркутска доводят до сведения работников, назначенных ответственными за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска, настоящий План под роспись.

— ежедневные мероприятия — мероприятия, предусматривающие постоянный контроль за выполнением требований действующего законодательства ответственным за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска (далее — ответственный исполнитель) и незамедлительное реагирование на инциденты информационной безопасности;

— еженедельные и ежемесячные мероприятия — мероприятия, предусматривающие проведение мероприятий ответственными исполнителями в один и тот же день недели или месяца. Факт проведения мероприятия должен быть зафиксирован в журнале, указанном в разделе 3 настоящего Плана;

— ежегодные или проводимые раз в несколько лет — мероприятия, предусматривающие проведение мероприятий в четко определенные ответственными исполнителями периоды времени. В ходе мероприятий должны быть учтены результаты проводимых ранее мероприятий по проверке режима защиты персональных данных в данном периоде.

3.1. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты персональных данных (далее — Журнал). Форма Журнала представлена в Приложении N 1 к настоящему Плану.

В Журнале отмечаются мероприятия в соответствии с Планом, носящие периодический характер.

— название проведенного мероприятия;

— дата проведенного мероприятия;

— исполнитель мероприятия;

— результат (отчет, действия) мероприятия (при необходимости).

N п/п

Мероприятие

Периодичность

Исполнитель

1.

Контроль за соблюдением режима защиты персональных данных, политики в отношении обработки персональных данных, за выполнением работниками обязанностей по защите персональных данных, определенных в организационно-распорядительной документации

Ежедневно

Руководитель структурного подразделения администрации города Иркутска, производящего обработку персональных данных (далее — руководитель подразделения).
Администратор безопасности информационных систем персональных данных

2.

Контроль выполнения требований по режиму доступа в защищаемые помещения и на автоматизированные рабочие места, на которых производится обработка персональных данных

Ежедневно

Руководитель подразделения

3.

Контроль соблюдения правил работы с носителями персональных данных

Ежедневно

Руководитель подразделения

4.

Контроль целостности средств вычислительной техники, используемых для обработки персональных данных. Контроль корректной работы системного и прикладного программного обеспечения, средств защиты информации.
Контроль состава технических средств.

Ежедневно

Пользователь информационной системы персональных данных

5.

Контроль за соблюдением режима обработки персональных данных

Еженедельно

Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска

6.

Пересмотр и, при необходимости, корректировка учетных записей пользователей

Еженедельно

Администратор безопасности информационных систем персональных данных

7.

Проверка журналов средств защиты информации для своевременного обнаружения фактов несанкционированного доступа к персональным данным

Еженедельно

Администратор безопасности информационных систем персональных данных

8.

Контроль за выполнением антивирусной защиты, неизменностью настроек средств антивирусной защиты и своевременным обновлением антивирусных баз

Еженедельно

Администратор безопасности информационных систем персональных данных

9.

Контроль за соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена

Еженедельно

Администратор безопасности информационных систем персональных данных

10.

Контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации

Еженедельно

Администратор безопасности информационных систем персональных данных

11.

Контроль за обеспечением резервного копирования, проверка работоспособности резервных копий

Ежемесячно

Администратор безопасности информационных систем персональных данных

12.

Контроль за соблюдением правил эксплуатации криптосредств, хранения криптосредств, эксплуатационной документации к ним

Ежемесячно

Ответственный пользователь криптосредств

13.

Поддержание в актуальном состоянии организационно-распорядительных документов

Ежемесячно

Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска

14.

Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное программное обеспечение, специально дорабатываемое собственными разработчиками или сторонними организациями

Ежемесячно

Администратор безопасности информационных систем персональных данных

15.

Контроль установленного (инсталлированного) в информационных системах персональных данных программного обеспечения на предмет соответствия его перечню программного обеспечения, разрешенному к установке в информационной системе персональных данных

Ежемесячно

Администратор информационных систем персональных данных

16.

Контроль состава технических средств и средств защиты информации, применяемых в информационных системах персональных данных

Ежемесячно

Администратор безопасности информационных систем персональных данных

17.

Контроль работоспособности, параметров настройки и правильности функционирования средств защиты информации

Ежемесячно

Администратор безопасности информационных систем персональных данных

18.

Контроль правил генерации и смены паролей пользователей

Раз в три месяца

Администратор безопасности информационных систем персональных данных

19.

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения

Раз в три месяца

Администратор информационных систем персональных данных

20.

Проверка наличия машинных носителей информации, содержащей персональные данные

Раз в полгода

Администратор безопасности информационных систем персональных данных

21.

Проверка знаний и осведомленности работников в области защиты персональных данных

Раз в полгода

Лицо, ответственное за организацию обработки информационных систем персональных данных

22.

Контроль реализации правил разграничения доступа, полномочий пользователей в информационных системах персональных данных согласно матрице доступа и исполненным заявкам

Раз в полгода

Администратор безопасности информационных систем персональных данных

23.

Пересмотр модели угроз

Ежегодно
По факту изменения целей, технологии или иного значимого аспекта информационной безопасности
По факту обнаружения недостатков в ходе мероприятий по контролю уровня защищенности персональных данных

Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска.
Администратор безопасности информационных систем персональных данных

24.

Пересмотр организационно-распорядительной документации, регламентирующей порядок обработки персональных данных и требования по защите персональных данных, с учетом проводимых мероприятий по контролю

Ежегодно
По факту изменения целей, технологии или иного значимого аспекта информационной безопасности

Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска. Администратор безопасности информационных систем персональных данных

25.

Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных

Ежегодно

Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска

26.

Поиск и анализ уязвимостей информационных систем персональных данных, и оценка достаточности принятых мер защиты

Ежегодно

Администратор безопасности информационных систем персональных данных

27.

Обучение и повышение осведомленности работников в области защиты ПДн

Ежегодно
В случае изменения законодательной базы, внутренних нормативных актов в области защиты персональных данных не позднее одного месяца с момента изменений

Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска

28.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных

Раз в три года

Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска. Администратор безопасности информационных систем персональных данных
или
Юридическое лицо или индивидуальный предприниматель, имеющий лицензию на осуществление деятельности по технической защите конфиденциальной информации, привлеченные на договорной основе

29.

Контроль заведения и удаления учетных записей пользователей

Прием/увольнение работника

Администратор безопасности информационных систем персональных данных

Предлагаем ознакомиться:  Увольнение как мера дисциплинарного взыскания

Приложение N 1. ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА ИРКУТСКА

2. Ознакомить лиц, осуществляющих операции с использованием персональных данных в департаменте охраны здоровья населения Кемеровской области с утвержденными настоящим приказом правилами.

3. Назначить ответственного за организацию обработки персональных данных Гайворонского Д.В.

4. Контроль за исполнением приказа оставляю за собой.

И.о. начальника департаментаО.В.СЕЛЕДЦОВА

1. Общие положения

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области (далее — Правила), разработаны с учетом Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 года N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

1.2. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных в департаменте охраны здоровья населения Кемеровской области (далее — ДОЗНКО) требованиям к защите персональных данных и действуют постоянно.

1.3. Тематика проверок обработки персональных данных с использованием средств автоматизации.

1.3.1.1. Правил формирования пароля;

1.3.1.2. Правил ввода пароля;

1.3.1.3. Правил хранение пароля.

2.1.2.1. поддержка рабочего состояния антивирусного программного обеспечения;

2.1.2.2. своевременное обновление антивирусного программного обеспечения.

2.1.3.1. хранение съемных носителей в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;

2.1.3.2. проверка съемного носителя на наличие вредоносных программ, перед каждым началом работы с ним;

2.1.3.3. исключение копирования с данного носителя файлов сомнительного содержания и установки нелицензионного программного обеспечения;

2.1.3.4. исключение передачи съемного носителя третьим лицам;

2.1.3.5. запрет на оставление съемного носителя включенным/выключенным без присмотра;

2.1.3.6. запрет на обработку информации, содержащейся на съемном носителе в присутствии третьих лиц;

2.1.3.7. запрет на вынос съемного носителя за пределы служебного помещения.

2.1.4.1. хранение криптографических средств в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;

2.1.4.2. исключение передачи криптографического средства третьим лицам;

2.1.4.3. запрет на оставление криптографического средства включенным/выключенным без присмотра;

2.1.4.4. запрет на вынос криптографического средства за пределы служебного помещения;

2.1.4.5. запрет на использование для электронной цифровой подписи открытых и закрытых ключей электронной цифровой подписи, если пользователю известно, что эти ключи используются или использовались ранее;

2.1.4.6. запрет на разглашение конфиденциальной информации, к которой пользователи допущены, средства ее защиты, в том числе сведения о криптографических средствах;

2.1.4.7. обязанность сообщать в орган криптографической защиты о ставших пользователям известными попытках третьих лиц получить сведения об используемых криптографических средствах;

2.1.4.8. обязанность немедленно уведомлять орган криптографической защиты о фактах утраты криптографического средства.

Предлагаем ознакомиться:  Полномочия налогового органа при встречной проверке

2.1.5.1. все элементы информационных систем хранятся в индивидуальных ящиках каждого пользователя, запирающихся на ключ, расположенных в кабинетах;

2.1.5.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где используются элементы информационных систем.

2.1.6.1. наличие актуальных резервных копий;

2.1.6.2. поддержка рабочего состояния систем хранения резервных копий.

2.1.7.1. проведение анкетирования/опроса пользователя о порядке действий во внештатных ситуациях.

2.2. Тематика проверок обработки персональных данных без использования средств автоматизации.

2.2.1.1. соблюдение хранения бумажных носителей, содержащих персональные данные, в закрываемых шкафах;

2.2.1.2. запрет передачи бумажных носителей, содержащих персональные данные, третьим лицам;

2.2.1.3. запрет выноса бумажных носителей, содержащих персональные данные, за пределы служебного помещения;

2.2.2.1. исключение возможности доступа к бумажным носителям, содержащим персональные данные, третьих лиц.

2.2.3.1. все бумажные носители хранятся в индивидуальных ящиках каждого пользователя, расположенных в кабинетах;

2.2.3.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где хранятся бумажные носители персональных данных.

3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ДОЗНКО организует раза в три месяца. План проверки утверждается начальником ДОЗНКО (приложение N 1).

3.2. Проверки проводятся по необходимости в соответствии с поручением начальника ДОЗНКО.

3.3. Проверки осуществляются комиссией, образуемой приказом департамента.

3.4. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.

3.5. Результаты каждой проверки заносятся в протокол (приложение N 2). Протокол подписывается всеми членами комиссии.

3.6. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

3.7. Протоколы хранятся у ответственного за организацию обработки персональных данных в ДОЗНКО.

3.8. Ответственный за организацию обработки персональных данных докладывает начальнику ДОЗНКО о результатах проверки и мерах, необходимых для устранения нарушений.

4.1.1. осуществляет руководство членами комиссии, а также распределяет между ними обязанности;

4.1.2. устанавливает порядок работы комиссии при проведении проверки;

дает членам комиссии указания, обязательные для исполнения;

4.1.3. взаимодействует с должностными лицами ДОЗНКО;

4.1.4. обеспечивает сохранность и возврат полученных оригиналов документов;

4.1.5. обеспечивает соблюдение членами комиссии установленного режима работы и условий функционирования;

4.1.6. докладывает руководству ДОЗНКО о выявленных фактах грубого нарушения законодательства и иных нормативных правовых актов в сфере защиты персональных данных, а также иных обстоятельствах, требующих немедленного реагирования;

4.1.7. отстраняет от участия в работе комиссии ее членов, недобросовестно относящихся к исполнению возложенных на них обязанностей либо допускающих в процессе проверки нарушения служебной дисциплины, о чем немедленно информирует руководство ДОЗНКО;

4.1.8. отчитывается перед начальником ДОЗНКО о ходе и результатах проведения проверки, о работе членов комиссии, об итогах работы по устранению выявленных комиссией нарушений и недостатков;

4.1.9. несет персональную ответственность за качество организации, подготовки и проведения проверки, объективность и обоснованность ее результатов, выводов и предложений, за осуществление контроля по устранению выявленных комиссией нарушений и недостатков в ходе проверки.

4.2. В случае отсутствия председателя его функции и полномочия в полном объеме выполняет заместитель председателя комиссии.

4.3.1. доступа в кабинеты, при предъявлении соответствующего приказа ДОЗНКО;

4.3.2. требовать и получать все необходимые для достижения целей проверки документы (письменные объяснения и иные материалы);

4.3.3. требовать и получать устные разъяснения по существу проверяемых вопросов;

4.3.4. наблюдать за осуществлением деятельности сотрудников ДОЗНКО, с использованием персональных данных;

4.3.5. осуществлять при необходимости анкетирование сотрудников ДОЗНКО, осуществляющих операции с использованием персональных данных;

4.3.6. выполнять иные функции, предусмотренные приказом о проведении проверки.

4.4. Члены комиссии обязаны выполнять распоряжения председателя комиссии.

4.4.1.1. за объективность, полноту и обоснованность сделанных ими в ходе проверки выводов и предложений;

4.4.1.2. за сокрытие выявленных в ходе проверки нарушений законодательства Российской Федерации, а также иных нормативных правовых актов в сфере защиты персональных данных;

4.4.1.3. за превышение в ходе проверки полномочий, предусмотренных настоящими Правилами, а также соответствующим приказом ДОЗНКО о проведении проверки.

Приложение N 1к Правилам осуществлениявнутреннего контролясоответствия обработкиперсональных данныхтребованиям к защитеперсональных данных,установленным Федеральнымзаконом от 27 июля 2006 г.N 152-ФЗ «О персональныхданных» и принятымив соответствии с нимнормативными правовымиактами и локальнымиактами департамента охраныздоровья населенияКемеровской области

N

Тема проверки

Нормативный документ,
предъявляющий
требования

Срок
проведения

Исполнитель

1

2

3

4

5

1

Соблюдение
пользователями ИСПДн
парольной политики

Инструкция пользователя
ИСПДн, разработанная во
исполнение приказа
ДОЗНКО «О проведении
работ по защите
персональных данных»
от 17.07.2012 N 976

2

Соблюдение
пользователями ИСПДн
антивирусной политики

3

Соблюдение
пользователями ИСПДн
Правил работы со
съемными носителями,
на которых содержится
информация о
персональных данных

4

Соблюдение
пользователем Правил
работы с
криптографическими
средствами защиты
информации

Инструкция пользователя
ИСПДн, разработанная во
исполнение приказа
ДОЗНКО «О проведении
работ по защите
персональных данных»
от 17.07.2012 N 976

5

Соблюдение порядка
доступа в помещения,
в которых расположены
элементы ИСПДн

Приказ ДОЗНКО «Об
ограничении доступа к
персональным данным»
от 23.03.2012 N 328
(в ред. приказа от
02.07.2013)

6

Соблюдение порядка
резервирования баз
данных и хранения
резервных копий

Инструкция
администратора ИСПДн,
разработанная во
исполнение приказа
ДОЗНКО «О проведении
работ по защите
персональных данных»
от 17.07.2012 N 976

7

Знание пользователями
ИСПДн об алгоритмах
своих действий во
внештатных ситуациях

Инструкция пользователя
ИСПДн, разработанная во
исполнение приказа
ДОЗНКО «О проведении
работ по защите
персональных данных»
от 17.07.2012 N 976

8

Соблюдение условий
хранения бумажных
носителей, содержащих
информацию о
персональных данных

Приказ ДОЗНКО «Об
организации работы по
защите конфиденциальной
информации» от 23.03.12
N 328, приказ ДОЗНКО
«Об ограничении доступа
к персональным данным»

9

Соблюдение условий
доступа к бумажным
носителям, содержащих
информацию о
персональных данных

10

Соблюдение условий
доступа в помещения,
где обрабатываются и
хранятся бумажные
носители, содержащие
информацию о
персональных данных

От 23.03.2012 N 328
(в ред. приказа от
02.07.2013)


Об авторе: admin4ik

Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Adblock detector