Распоряжение Администрации Ступинского муниципального района от 16.03.2015 № 98-р

Об утверждении Порядка доступа работников администрации Ступинского муниципального района в помещения, в которых ведется обработка персональных данных

АДМИНИСТРАЦИЯ

СТУПИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА

МОСКОВСКОЙОБЛАСТИ

РАСПОРЯЖЕНИЕ

от 16марта 2015 г. N 98-р

Об утверждении Порядкадоступа работников администрации Ступинского муниципального района в помещения,в которых ведется обработка персональных данных

В соответствии с Постановлением ПравительстваРоссийской Федерации от 21.03.2012г. №211 «Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом «О персональных данных» и принятыми в соответствии с нимнормативным правовыми актами, операторами, являющимися государственными илимуниципальными органами»:

1. Утвердить«Порядок доступа работников администрации Ступинского муниципального района впомещения, в которых ведется обработка персональных данных» (прилагаются).

2. Разместить настоящее распоряжение наофициальном сайте администрации, Совета депутатов и контрольно-счетной палатыСтупинского муниципального района

3. Контрольза исполнением настоящего распоряжения возложить на первого заместителяруководителя администрации Ступинского муниципального района Назарову В.Н.

Руководительадминистрации

Ступинского муниципального района А.П. Костров

Приложение

к распоряжению администрации

Ступинского муниципального района

от 16 марта 2015 г. N 98-р

Правила

осуществлениявнутреннего контроля соответствия обработки персональных данных требованиям кзащите персональных данных в администрации Ступинского муниципального района

1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональныхданных требованиям к защите персональных данных (далее – Правила) вадминистрации Ступинского муниципального района (далее – Администрация)определяются процедуры, направленные на выявление и предотвращение нарушенийзаконодательства Российской Федерации в сфере персональных данных; основания,порядок, формы и методы проведения внутреннего контроля соответствия обработкиперсональных данных требованиям к защите персональных данных.

2. НастоящиеПравила разработаны в соответствии Федеральным законом от 27.07.2006 №152-ФЗ «Оперсональных данных», Постановлением Правительства Российской Федерации от 15сентября 2008 г. №687 «Об утвержденииПоложения об особенностях обработки персональных данных, осуществляемых безиспользования средств автоматизации», Постановлением Правительства РоссийскойФедерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных наобеспечение выполнения обязанностей, предусмотренных Федеральным законом «Оперсональных данных» и принятыми в соответствии с ним нормативными правовымиактами, операторами, являющимися государственными или муниципальными органами».

3. Внастоящих Правилах используются основные понятия, определенные в статье 3Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

4. Вцелях осуществления внутреннего контроля соответствия обработки персональныхданных установленным требованиям в Администрации организовывается проведениепериодических проверок условий обработки персональных данных.

5. Проверкиинициируются ответственным лицом за организацию обработки персональных данных вАдминистрации либо комиссией, образуемой распоряжением руководителяАдминистрации.

6. Контрольтехнической защиты информации (далее ТЗИ) может осуществляться сотрудникамиотдела защиты информации Управления информационных технологий Администрации.

7. Проверки проводятся, как правило, наосновании годовых планов контроля, или на основании поступившего письменногозаявления о нарушениях правил обработки персональных данных (внеплановыепроверки). В проверяемые отраслевые (функциональные) органы Администрацииинформация о предстоящей плановой проверке направляется заблаговременно, но непозднее, чем за один месяц до начала проверки. Проведение внеплановой проверкиорганизуется в течение трех рабочих дней с момента поступления соответствующегозаявления.

8. Припроведении проверки соответствия обработки персональных данных установленнымтребованиям должны быть полностью, объективно и всесторонне установлены:

- порядок иусловия применения организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке, необходимых для выполнениятребований к защите персональных данных, исполнение которых обеспечиваетустановленные уровни защищенности персональных данных;

- порядок иусловия применения средств защиты информации;

- эффективностьпринимаемых мер по обеспечению безопасности персональных данных до ввода вэксплуатацию информационной системы персональных данных;

- состояниеучета машинных носителей персональных данных;

- соблюдениеправил доступа к персональным данным;

- наличие(отсутствие) фактов несанкционированного доступа к персональным данным ипринятие необходимых мер;

- мероприятияпо восстановлению персональных данных, модифицированных или уничтоженныхвследствие несанкционированного доступа к ним;

- осуществлениемероприятий по обеспечению целостности персональных данных.

9. Контроль состояния технической защитыинформации осуществляется в целях оценки организации технической защитыинформации, своевременного выявления и предотвращения утечки информации потехническим каналам, несанкционированного доступа к ней, оценки защиты ее оттехнических разведок.

Основными задачами контроля являются:

- проверка выполнения требованийзаконодательства Российской Федерации по вопросам технической защиты информации,нормативно-методических и руководящих документов Государственной техническойкомиссии при Президенте Российской Федерации (ФСТЭК России);

- оценка эффективности проводимых мер потехнической защите информации;

- выявление и анализ нарушенийустановленных норм и требований по технической защите информации и принятиеоперативных мер по пресечению выявленных нарушений;

- разработка рекомендаций по устранениювыявленных недостатков в организации и состоянии работ по технической защитеинформации;

- проверка устранения недостатков,выявленных в результате контроля.

10. Ответственный за организацию обработкиперсональных данных в Администрации имеет право:

- запрашивать у сотрудниковАдминистрации информацию, необходимую для реализации полномочий;

- требовать от уполномоченных наобработку персональных данных должностных лиц уточнения, блокирования илиуничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению илипрекращению обработки персональных данных, осуществляемой с нарушениемтребований законодательства Российской Федерации;

- вносить предложения о совершенствованииправового, технического и организационного регулирования обеспечениябезопасности персональных данных при их обработке;

- вносить предложения о привлечении кдисциплинарной ответственности лиц, виновных в нарушении законодательстваРоссийской Федерации в отношении обработки персональных данных.

11. Вотношении персональных данных, ставших известными ответственному за организациюобработки персональных данных в Администрации (комиссии) в ходе проведениямероприятий внутреннего контроля, должна обеспечиваться конфиденциальностьперсональных данных.По результатам проведенной проверки и мерах, необходимых для устранениявыявленных нарушений составляется акт.

12. Невыполнение требований руководящих инормативно-методических документов по технической защите конфиденциальнойинформации, персональных данных, является нарушением норм и требований по ТЗИ.

13. Защита информации считаетсяэффективной, если принятые меры соответствуют требованиям руководящих инормативных документов по технической защите информации.