Приказ от 30.07.2014 г № 26-ПРА
Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике аппарата Губернатора Иркутской области и Правительства Иркутской области в отношении обработки персональных данных, правовым актам аппарата Губернатора Иркутской области и Правительства Иркутской области
В целях обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных аппарата Губернатора Иркутской области и Правительства Иркутской области, в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", руководствуясь статьей 21 Устава Иркутской области:
1.Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике аппарата Губернатора Иркутской области и Правительства Иркутской области в отношении обработки персональных данных, правовым актам аппарата Губернатора Иркутской области и Правительства Иркутской области (прилагаются).
2.Настоящий приказ подлежит размещению в информационно-телекоммуникационной сети "Интернет" на официальном сайте аппарата Губернатора Иркутской области и Правительства Иркутской области в течение десяти дней после его подписания.
3.Настоящий приказ подлежит официальному опубликованию.
Первый заместитель руководителя
аппарата Губернатора Иркутской области
и Правительства Иркутской области
С.Н.ОЛЬБЕРГ
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФЕДЕРАЛЬНОМУ ЗАКОНУ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ" И ПРИНЯТЫМ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМ
ПРАВОВЫМ АКТАМ, ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ПОЛИТИКЕ АППАРАТА ГУБЕРНАТОРА ИРКУТСКОЙ ОБЛАСТИ
И ПРАВИТЕЛЬСТВА ИРКУТСКОЙ ОБЛАСТИ В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРАВОВЫМ АКТАМ АППАРАТА ГУБЕРНАТОРА
ИРКУТСКОЙ ОБЛАСТИ И ПРАВИТЕЛЬСТВА ИРКУТСКОЙ ОБЛАСТИ
Глава 1.Общие положения
1.Настоящие Правила определяют порядок организации и осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике аппарата Губернатора Иркутской области и Правительства Иркутской области (далее - Аппарат) в отношении обработки персональных данных, правовым актам Аппарата (далее - внутренний контроль) с целью своевременного выявления и предотвращения:
хищения технических средств и носителей информации, содержащей персональные данные;
утраты информации, содержащей персональные данные;
преднамеренных программно-технических воздействий на информацию и (или) средства вычислительной техники, вызывающих нарушение целостности персональных данных и нарушение работоспособности информационных систем персональных данных (далее - ИСПДн);
несанкционированного доступа к персональным данным с целью уничтожения, искажения, модификации (подделки), копирования и блокирования;
утечки персональных данных по техническим каналам.
2.Внутренний контроль включает в себя:
контроль организации защиты информации, содержащей персональные данные, при неавтоматизированной обработке персональных данных;
контроль эффективности защиты информации, содержащей персональные данные, обрабатываемой в ИСПДн Аппарата.
Глава 2.Порядок осуществления внутреннего контроля
3.Внутренний контроль осуществляется путем проведения периодических и внеплановых проверок условий обработки персональных данных в Аппарате (далее - периодические проверки, внеплановые проверки).
Периодические проверки осуществляются в соответствии с планом, который ежегодно в срок до 15 декабря года, предшествующего году проведения периодических проверок, утверждается правовым актом Аппарата.
Внеплановые проверки проводятся на основании правового акта Аппарата, изданного в течение 5 рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных в Аппарате.
Проверки, указанные в абзаце первом настоящего пункта, проводятся Комиссией по осуществлению внутреннего контроля за обработкой персональных данных в аппарате Губернатора Иркутской области и Правительства Иркутской области, осуществляющей свою деятельность в соответствии с приказом аппарата Губернатора Иркутской области и Правительства Иркутской области от 7 ноября 2013 года N 28-пра "Об отдельных вопросах осуществления внутреннего контроля за обработкой персональных данных в аппарате Губернатора Иркутской области и Правительства Иркутской области".
4.При осуществлении внутреннего контроля проводится проверка:
соблюдения принципов обработки персональных данных, определенных в статье 5 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
выполнения государственными гражданскими служащими Иркутской области (далее - гражданские служащие) в Аппарате требований и правил обработки персональных данных в ИСПДн Аппарата, а также при неавтоматизированной обработке персональных данных (далее - обработка персональных данных);
соблюдения гражданскими служащими в Аппарате требований по обеспечению безопасности персональных данных при обработке персональных данных;
правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных;
актуальности перечня должностей в Аппарате, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
актуальности перечней должностей в Аппарате, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
соблюдения прав субъектов персональных данных, чьи персональные данные обрабатываются в Аппарате;
соблюдения обязанностей оператора персональных данных Аппаратом;
порядка взаимодействия с субъектами персональных данных, персональные данные которых обрабатываются в Аппарате, в том числе соблюдения сроков, предусмотренных законодательством Российской Федерации, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения (запросы) субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных;
наличия необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в Аппарате;
актуальности сведений, содержащихся в уведомлении об обработке (о намерении осуществлять обработку) персональных данных;
актуальности перечня ИСПДн в Аппарате;
соблюдения гражданскими служащими в Аппарате инструкций, руководств и иных эксплуатационных документов на средства автоматизации, в том числе на программное обеспечение и средства защиты информации, применяемые в ИСПДн Аппарата;
соблюдения гражданскими служащими в Аппарате конфиденциальности при обработке персональных данных;
проверка соблюдения иных требований к защите персональных данных в Аппарате в соответствии с законодательством.
Первый заместитель руководителя
аппарата Губернатора Иркутской области
и Правительства Иркутской области
С.Н.ОЛЬБЕРГ