Об утверждении регламента проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

Приложение

к приказу МБУ СШ № 3 г. Ставрополя

от «___» __________ 2021 г. № ______

РЕГЛАМЕНТ

проведения внутреннего контроля соответствия обработки персональных данных

в МБУ СШ № 3 г. Ставрополя требованиям к защите персональных данных

  1. Термины и определения
  2. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  3. Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:
  4. утрата услуг, оборудования или устройств;
  5. системные сбои или перегрузки;
  6. ошибки пользователей;
  7. несоблюдение политики или рекомендаций по информационной безопасности;
  8. нарушение физических мер защиты;
  9. неконтролируемые изменения систем;
  10. сбои программного обеспечения и отказы технических средств;
  11. нарушение правил доступа.
  12. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  13. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  14. Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
  15. Общие положения
  16. Настоящий Регламент проведения внутреннего контроля соответствия обработки персональных данных в МБУ СШ № 3 г. Ставрополя требованиям к защите персональных данных (далее – Регламент), разработан в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми актами (методическими документами)федеральных органов исполнительной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
  17. Настоящий Регламент определяет порядок проведения внутреннего контроля соответствия обработки ПДн (далее – Внутренний контроль), требованиям к защите ПДн.
  18. Регламент обязателен для исполнения ответственным за организацию обработки ПДн, ответственным за обеспечение безопасности ПДн и администратором информационных систем персональных данных.
  19. Порядок проведения внутреннего контроля
  20. Для проведения внутреннего контроля в ИСПДн приказом Директора Учреждения создаётся комиссия, состоящая не менее чем из трех человек с обязательным включением в её состав:
  21. ответственного за обеспечение безопасности ПДн в ИСПДн;
  22. ответственного за организацию обработки ПДн.
  23. В случае временного отсутствия (болезнь, отпуск, пр.) ответственных, в состав комиссии включаются лица их замещающие.
  24. Допускается привлечение к проверкам сторонних экспертных организаций.
  25. Председатель комиссии организует работу комиссии, решает вопросы взаимодействия комиссии с руководителями и работниками Учреждения, готовит и ведёт заседания комиссии, подписывает протоколы заседаний. По окончании работы комиссии готовится заключение по результатам внутреннего контроля, которое передается на рассмотрение Директору Учреждения.
  26. Внутренний контроль проводится в соответствии с «Планом проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных», утвержденным приказом Директора Учреждения, форма которого приведена в Приложении 1 к настоящему Регламенту.
  27. В «Плане проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных» указывается перечень проводимых мероприятий внутреннего контроля и периодичность их проведения.
  28. Комиссия проводит внутренний контроль непосредственно на месте обработки ПДн, опрашивает работников Учреждения, осуществляющих обработку ПДн, осматривает рабочие места.
  29. При проведении внутреннего контроля должен присутствовать руководитель проверяемого подразделения.
  30. В ходе проведения внутреннего контроля осуществляется:
  31. контроль выполнения организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
  32. анализ изменения угроз безопасности ПДн в ИСПДн, возникающих в ходе ее эксплуатации;
  33. проверка параметров настройки и правильности функционирования программного обеспечения и средств защиты информации (далее – СЗИ);
  34. контроль состава технических средств, программного обеспечения и СЗИ;
  35. состояние учета СЗИ;
  36. состояние учета средств шифровальной (криптографической) защиты информации;
  37. состояние учета съемных машинных носителей ПДн;
  38. соблюдение правил доступа к ПДн;
  39. контроль наличия (отсутствия) фактов несанкционированного доступа к ПДн;
  40. соблюдение пользователями ИСПДн парольной политики;
  41. соблюдение пользователями ИСПДн антивирусной политики;
  42. соблюдение пользователями ИСПДн правил работы со съемными машинными носителями ПДн;
  43. контроль соблюдения работниками требований локальных нормативных актов, в т.ч. требований законодательства по вопросам обработки и защиты ПДн;
  44. выявление уязвимостей в ИСПДн с использованием специализированных средств инструментального анализа защищенности.
  45. Все работники обязаны по первому требованию членов комиссии предъявить для проверки все числящиеся за ними материалы и документы, дать устные или письменные объяснения по существу заданных им вопросов.
  46. По завершении внутреннего контроля комиссией составляется «Акт о проведении контроля соответствия обработки персональных данных», форма которого приведена в Приложении 2 к настоящему Регламенту.
  47. В «Актео проведении контроля соответствия обработки персональных данных» указываются:
  48. перечень проведенных мероприятий;
  49. выявленные нарушения;
  50. мероприятия по устранению нарушений;
  51. решения по результатам внутреннего контроля;
  52. сроки устранения нарушений.
  53. Периодичность проведения внутреннего контроля составляет не реже 1 раза в год.
  54. Предложения о создании комиссии и о плановом/внеплановом проведении внутреннего контроля представляются Директору Учреждения ответственным за организацию обработки ПДн и ответственным за обеспечение безопасности ПДн в ИСПДн.
  55. Внеплановый контроль проводится в следующих случаях:
  56. наличие подозрений на нарушение требований по защите ПДн;
  57. наличие подозрений на осуществление попыток несанкционированного доступа к ПДн;
  58. наличие подозрений на сбой в работе технических средств ИСПДн, в т.ч. средств защиты информации;
  59. предстоящая проверка надзорными органами.
  60. Порядок проведения внепланового контроля совпадает с порядком проведения планового контроля.
  61. При выявлении в ходе планового/внепланового контроля нарушений требований по обработке и защите ПДн осуществляется оперативное устранение выявленных нарушений.
  62. Выявленные нарушения должны быть устранены в срок не превышающий 30 дней с момента утверждения «Акта о проведении контроля соответствия обработки персональных данных».
  63. По истечению срока, данного на устранение замечаний, комиссия проводит повторный контроль.
  64. Ответственность
    1. Ответственный за организацию обработки ПДн в Учреждении несет ответственность за организацию проведения внутреннего контроля соответствия обработки ПДн в Учреждении требованиям к защите ПДн.
  65. срок действия и порядок внесения изменений
    1. Настоящий Регламент вступает в силу с момента его утверждения и действует бессрочно, до замены новым Регламентом.
    1. Настоящий Регламент подлежит пересмотру не реже одного раза в три года.
    1. Изменения и дополнения в настоящий Регламент вносятся приказом Директора Учреждения.

Приложение № 1

к Регламенту проведения внутреннего контроля

соответствия обработки персональных данных в МБУ СШ № 3 

г. Ставрополя требованиям к защите персональных данных

План проведения внутреннего контроля соответствия обработки персональных данных в МБУ СШ № 3 г. Ставрополя

№ п/пМероприятиеРегулярность проведения
 Анализ актуальности локальных нормативных актов (внутренних документов) по вопросам обеспечения безопасности персональных данных: Проверка соответствия локальных нормативных актов (внутренних документов) по вопросам обеспечения безопасности персональных данных действующему законодательству РФ по защите персональных данных;Учет в локальных нормативных актах (внутренних документах) по вопросам обеспечения безопасности персональных данных изменений в деятельности МБУ СШ № 3 г. Ставрополя по обработке и защите персональных данных.1 раз в три года или по мере обновления законодательства РФ
 Проверка ознакомления работников с положениями законодательства РФ по защите персональных данных, документами, определяющими политику МБУ СШ № 3 г. Ставрополя в отношении обработки персональных данных и организационно-распорядительными документами по вопросам персональных данных.1 раз в год
 Проверка выполнения работниками – пользователями информационных систем персональных данных инструкций по эксплуатации информационных систем персональных данных, положения о разрешительной системе доступа.1 раз в год
 Проверка актуальности прав разграничения доступа пользователей информационных систем персональных данных, необходимых для выполнения должностных обязанностей.1 раз в год
 Проверка актуальности определенных угроз безопасности персональных данных для информационных систем персональных данных.1 раз в год
 Проверка полноты реализованных технических мер по обеспечению безопасности персональных данных в информационных системах персональных данных с учетом структурно-функциональных характеристик информационных системах персональных данных, информационных технологий, особенностей функционирования информационных системах персональных данных.1 раз в год
 Проверка наличия сертифицированных средств защиты информации, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.1 раз в год
 Проверка правил обращения со съемными машинными носителями персональных данных.1 раз в год
 Проверка актуальности информации, содержащейся в Уведомлении об обработке персональных данных, предоставленной в Роскомнадзор.1 раз в год
 Проверка соответствия условий использования средств криптографической защиты условиям, предусмотренным эксплуатационной и технической документацией к ним.1 раз в год
 Выявление уязвимостей в информационных системах персональных данных в т.ч. в системе защиты с использованием средства инструментального анализа защищенности.1 раз в год

Приложение № 2

к Регламенту проведения внутреннего контроля соответствия

обработки персональных данных в МБУ СШ № 3

г. Ставрополя требованиям к защите персональных данных

ФОРМА

АКТ

 «___» __________ 202__ г. № ____________
Ставрополь

О проведении контроля соответствия обработки

персональных данных

Комиссия в составе:

Председатель:

 ___________________________________________________________

Члены комиссии:

 1. _________________________________________________________
 2. _________________________________________________________
 3. _________________________________________________________

составила настоящий акт о том, что комиссией были проведены мероприятия по контролю соответствия обработки персональных данных в МБУ СШ № 3 г. Ставрополя требованиям к защите персональных данных. Результат проведенного внутреннего контроля отражен в Таблице 1.

№ п/пМероприятиеВыявленные недостаткиМероприятия по устранению недостатковСрок проведения мероприятийОтветственное лицо
      
      

Внутренний контроль проводился в соответствии с «Регламентом проведения внутреннего контроля соответствия обработки персональных данных в МБУ СШ № 3 г. Ставрополя требованиям к защите персональных данных».

Председатель:  
__________________________________________________________________________
Члены комиссии:    
__________________________________________________________________________
   
__________________________________________________________________________
   
__________________________________________________________________________

ЛИСТ ОЗНАКОМЛЕНИЯ

с приказом МБУ СШ № 3 г. Ставрополя от «___» ____________ 2021 г. № ______

«Об утверждении регламента проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»

№ п/пФамилия имя отчествоДолжностьДата ознакомленияПодпись
1  «___» ___ 20__ г. 
2  «___» ___ 20__ г. 
3  «___» ___ 20__ г. 
4  «___» ___ 20__ г. 
5  «___» ___ 20__ г. 
6  «___» ___ 20__ г. 
7  «___» ___ 20__ г. 
8  «___» ___ 20__ г. 
9  «___» ___ 20__ г. 
10  «___» ___ 20__ г. 
11  «___» ___ 20__ г. 
12  «___» ___ 20__ г. 
13  «___» ___ 20__ г. 
14  «___» ___ 20__ г. 
15  «___» ___ 20__ г. 
16  «___» ___ 20__ г. 
17  «___» ___ 20__ г. 
18  «___» ___ 20__ г. 
19  «___» ___ 20__ г. 
20  «___» ___ 20__ г.