постановление Администрации города Курска Курской области от 13.02.2018 № 292
Об организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации города Курска
АДМИНИСТРАЦИЯГОРОДА КУРСКА
КУРСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 13 февраля2018 г. N 292
Об организации ипроведении работ по обеспечению
безопасностиперсональных данных при их обработке в
информационных системах персональных данных
Администрациигорода Курска
В целяхисполнения Федерального закона от 27 июля 2006 года N 149-ФЗ "Обинформации, информационных технологиях и о защите информации" иФедерального закона от 27 июля 2006 года N 152-ФЗ "О персональныхданных" постановляю:
1. УтвердитьПоложение об организации и проведении работ по обеспечению безопасностиперсональных данных при их обработке в информационных системах персональныхданных Администрации города Курска согласно приложению 1.
2. Утвердитьплан мероприятий по защите персональных данных в Администрации города Курскасогласно приложению 2.
3. Утвердитьплан внутренних проверок режима обработки и защиты персональных данных согласноприложению 3.
4. Утвердитьформу отчета о результатах проведения внутренней проверки режима обработки изащиты персональных данных в Администрации города Курска согласно приложению 4.
5. Управлениюинформации и печати Администрации города Курска (КомковаТ.В.) обеспечить опубликование настоящего постановления в газете"Городские известия" и размещение наофициальном сайте Администрации города Курска винформационно-телекоммуникационной сети "Интернет".
6. Постановлениевступает в силу со дня его официального опубликования.
Глава городаКурска
Н.И.ОВЧАРОВ
Приложение1
Утверждено
постановлением
Администрациигорода Курска
от 13 февраля2018 г. N 292
ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ИПРОВЕДЕНИИ РАБОТ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
АДМИНИСТРАЦИИГОРОДА КУРСКА
1.Общие положения
1.1. Настоящее Положение об организации и проведении работ пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных Администрации города Курска (далее - Положение)разработано в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ"Об информации, информационных технологиях и о защите информации",Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональныхданных", Постановлением Правительства РоссийскойФедерации от 15 сентября 2008 года N 687 "Об утверждении Положения обособенностях обработки персональных данных, осуществляемой без использованиясредств автоматизации", Постановлением Правительства Российской Федерацииот 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональныхданных при их обработке в информационных системах персональных данных",Постановления Правительства Российской Федерации от 21 марта 2012 года N 211"Об утверждении перечня мер, направленных наобеспечение выполнения обязанностей, предусмотренных Федеральным законом"О персональных данных" и принятыми в соответствии с ним нормативнымиправовыми актами, операторами, являющимися государственными или муниципальнымиорганами", Постановлением Правительства Российской Федерации от 16 апреля2012 года N 313 "Об утверждении Положения о лицензировании деятельности поразработке, производству, распространению шифровальных (криптографических)средств, информационных систем и телекоммуникационных систем, защищенных сиспользованием шифровальных (криптографических) средств,выполнению работ, оказанию услуг в области шифрования информации, техническомуобслуживанию шифровальных (криптографических) средств, информационных систем ителекоммуникационных систем, защищенных с использованием шифровальных(криптографических) средств (за исключением случая, если техническоеобслуживание шифровальных (криптографических) средств, информационных систем ителекоммуникационных систем, защищенных с использованием шифровальных(криптографических) средств, осуществляется для обеспечения собственных нуждюридического лица или индивидуального предпринимателя)", приказомФедеральной службы по техническому и экспортномуконтролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержанияорганизационных и технических мер по обеспечению безопасности персональныхданных при их обработке в информационных системах персональных данных",приказом ФСБ России от 30 августа 2012 года N 440 "Об утвержденииАдминистративного регламента Федеральной службы безопасности РоссийскойФедерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству,распространению шифровальных (криптографических) средств, информационных системи телекоммуникационных систем, защищенных с использованием шифровальных (криптографических)средств, выполнению работ, оказанию услуг в области шифрования информации,техническому обслуживанию шифровальных (криптографических) средств,информационных систем и телекоммуникационных систем, защищенных сиспользованием шифровальных (криптографических) средств (за исключением случая,если техническое обслуживание шифровальных (криптографических) средств,информационных систем и телекоммуникационных систем, защищенных сиспользованием шифровальных (криптографических) средств, осуществляется дляобеспечения собственных нужд юридического лица или индивидуальногопредпринимателя)".
1.2. Цельразработки настоящего Положения - установление порядка организации и проведенияработ по обеспечению безопасности персональных данных (далее - ПДн) при их обработке в информационных системахперсональных данных (далее - ИСПДн) Администрациигорода Курска (далее - Оператор) на протяжении всего жизненного цикла ИСПДн.
2.Термины и определения
2.1. В настоящемПоложении используются следующие термины и их определения:
Информационнаясистема персональных данных - совокупность содержащихся в базах данныхперсональных данных и обеспечивающих их обработку информационных технологий итехнических средств.
Конфиденциальностьперсональных данных - обязательное для соблюдения оператором или инымполучившим доступ к персональным данным лицом требование не допускать ихраспространения без согласия субъекта персональных данных, если иное непредусмотрено федеральным законом.
Межсетевойэкран - локальное (однокомпонентное) или функционально распределенноепрограммное (программно-аппаратное) средство (комплекс), реализующее контрольза информацией, поступающей в информационную систему персональных данных и(или) выходящей из информационной системы.
Несанкционированныйдоступ (несанкционированные действия) - доступ к информации или действия синформацией, нарушающие правила разграничения доступа с использованием штатныхсредств, предоставляемых информационными системами персональных данных.
Обработкаперсональных данных - действия (операции) с персональными данными, включаясбор, запись, систематизацию, накопление, хранение, уточнение (обновление,изменение), извлечение, использование, передачу (распространение,предоставление, доступ), обезличивание, блокирование, удаление, уничтожениеперсональных данных.
Оператор -государственный орган, муниципальный орган, юридическое или физическое лицо,самостоятельно или совместно с другими лицами организующие и (или)осуществляющие обработку персональных данных, а также определяющие целиобработки персональных данных, состав персональных данных, подлежащихобработке, действия (операции), совершаемые с персональными данными.
Техническиесредства информационной системы персональных данных - средства вычислительнойтехники, информационно-вычислительные комплексы и сети, средства и системыпередачи, приема и обработки ПДн (средства и системызвукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионныеустройства, средства изготовления, тиражирования документов и другие техническиесредства обработки речевой, графической, видео- ибуквенно-цифровой информации), программные средства (операционные системы,системы управления базами данных и т.п.), средства защиты информации).
Персональныеданные - любая информация, относящаяся к прямо или косвенно определенному илиопределяемому физическому лицу (субъекту персональных данных).
Пользовательинформационной системы персональных данных - лицо, участвующее вфункционировании информационной системы персональных данных или использующеерезультаты ее функционирования.
Ресурсинформационной системы - именованный элемент системного, прикладного илиаппаратного обеспечения функционирования информационной системы.
Средствавычислительной техники - совокупность программных и технических элементовсистем обработки данных, способных функционировать самостоятельно или в составедругих систем.
Угрозыбезопасности персональных данных - совокупность условий и факторов, создающихопасность несанкционированного, в том числе случайного, доступа к персональнымданным, результатом которого может стать уничтожение, изменение, блокирование,копирование, распространение персональных данных, а также иныхнесанкционированных действий при их обработке в информационной системеперсональных данных.
Уничтожение персональныхданных - действия, в результате которых становится невозможным восстановитьсодержание персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональныхданных.
Уровеньзащищенности персональных данных - комплексный показатель, характеризующийтребования, исполнение которых обеспечивает нейтрализацию определенных угрозбезопасности персональных данных при их обработке в информационных системахперсональных данных.
Утечка(защищаемой) информации по техническим каналам - неконтролируемоераспространение информации от носителя защищаемой информации через физическуюсреду до технического средства, осуществляющего перехват информации.
Целостностьинформации - способность средства вычислительной техники или информационнойсистемы обеспечивать неизменность информации в условиях случайного и/илипреднамеренного искажения (разрушения).
3.Порядок организации и проведения работ по обеспечению
безопасностиперсональных данных при их обработке в
информационных системах персональных данных
Администрациигорода Курска
3.1. Подорганизацией обеспечения безопасности ПДн при ихобработке в ИСПДн Администрации города Курскапонимаются формирование и реализация совокупности согласованных по целям,задачам, месту и времени организационных и технических мероприятий,направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн, реализуемых в рамках создаваемой системы защитыперсональных данных (далее - СЗПДн).
3.2. СЗПДн включает в себя организационные и (или) техническиемероприятия, определенные с учетом актуальных угроз безопасности ПДн, уровня защищенности ПДн,который необходимо обеспечить, и информационных технологий, используемых винформационных системах.
3.3. БезопасностьПДн при их обработке в ИСПДнобеспечивает оператор или лицо, осуществляющее обработку ПДнпо поручению оператора на основании заключаемого с этим лицом договора (далее -уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматриватьобязанность уполномоченного лица обеспечить безопасность ПДнпри их обработке в информационной системе.
3.4. Выбор средств защиты информации для СЗПДносуществляется оператором в соответствии с нормативными правовыми актами,принятыми Федеральной службой безопасности Российской Федерации (далее - ФСБРоссии) и Федеральной службой по техническому и экспортному контролю (далее -ФСТЭК России) во исполнение Федерального закона от 27 июля 2006 года N 152-ФЗ"О персональных данных".
3.5. Структура,состав и основные функции СЗПДн определяются исходяиз уровня защищенности ПДн при их обработке в ИСПДн.
3.6. Проводятся предпроектное обследование и разработка техническогозадания на создание СЗПДн.
3.6.1.Назначается ответственный за организацию обработки ПДн Администрацией города Курска.
3.6.2.Определяются цели обработки ПДн.
3.6.3.Определяется перечень ИСПДн Администрации городаКурска и состава ПДн, обрабатываемыхв ИСПДн.
3.6.4.Определяется перечень обрабатываемых Администрациейгорода Курска ПДн.
3.6.5.Определяются сроки обработки и хранения ПДн исходя изтребования, что ПДн не должны храниться дольше, чемэтого требуют цели обработки этих ПДн, по достижениикоторых ПДн подлежат уничтожению.
3.6.6.Определяется перечень используемых в ИСПДн (предлагаемыхк использованию в ИСПДн) общесистемных и прикладныхпрограммных средств.
3.6.7.Определяется режим обработки ПДн в ИСПДн в целом и в отдельных компонентах.
3.6.8.Назначается ответственный за обеспечение безопасности ПДн в ИСПДн (далее - Ответственный)для разработки и осуществления технических мероприятий по организации иобеспечению безопасности ПДн при их обработке в ИСПДн.
3.6.9.Назначается ответственный пользователь криптосредств,обеспечивающий функционирование и безопасность криптосредств,предназначенных для обеспечения безопасности ПДн. Утверждается перечень лиц, допущенных к работе с криптосредствами, предназначеннымидля обеспечения безопасности ПДн в ИСПДн (пользователей криптосредств).
3.6.10.Определяется перечень помещений, в которых размещены ИСПДни материальные носители ПДн.
3.6.11.Определяется конфигурация и топология ИСПДн в целом иих отдельных компонентов, физических, функциональных и технологических связейкак внутри этих систем, так и с другими системами различного уровня иназначения.
3.6.12.Определяются технические средства и системы, используемые в ИСПДн,включая условия их расположения.
3.6.13.Формируются технические паспорта ИСПДн.
3.6.14.Разрабатываются организационно-распорядительные документы (далее - ОРД), регламентирующиепроцесс обработки и защиты ПДн.
3.6.15.Получается при необходимости согласие на обработку ПДнсубъектом ПДн, подписываются обязательства особлюдении конфиденциальности ПДн сотрудникомАдминистрации города Курска.
3.6.16.Определяется уровень защищенности ПДн при ихобработке в ИСПДн в соответствии с "Требованиямик защите ПДн при их обработке в информационныхсистемах персональных данных", утвержденными Постановлением ПравительстваРоссийской Федерации от 1 ноября 2012 года N 1119 (подготовка и утверждениеакта определения уровня защищенности ПДн при ихобработке в ИСПДн).
3.6.17.Определяются типы угроз безопасности ПДн, актуальныхдля информационной системы, с учетом оценки возможного вреда в соответствии снормативными правовыми актами, принятыми во исполнение Федерального закона"О персональных данных". Определяются угрозы безопасности ПДн в конкретных условиях функционирования ИСПДн (разработка моделей угроз безопасности ПДн при их обработке в ИСПДн).
3.6.18.Формируется техническое задание на разработку СЗПДнпо результатам предпроектного обследования на основенормативно-методических документов ФСТЭК России и ФСБ России с учетомустановленного уровня защищенности ПДн при ихобработке в ИСПДн.
3.7.Организуются проектирование СЗПДн, закупка,установка, настройка и опытная эксплуатация необходимых средств защитыинформации.
3.7.1. Создание СЗПДн является необходимым условием обеспечениябезопасности ПДн в том случае, если существующиеорганизационные и технические меры обеспечения безопасности не соответствуюттребованиям к обеспечению безопасности ПДн длясоответствующего уровня защищенности ПДн при ихобработке в ИСПДн и/или не нейтрализуют всех угрозбезопасности ПДн для данной ИСПДн.
3.7.2.Технические меры защиты ПДн предполагают использованиепрограммно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применениетехнических мер защиты является обязательным условием, а их количество истепень защиты определяются в процессе предпроектногообследования информационных ресурсов Администрации города Курска.
3.7.3. Средствазащиты информации, применяемые в ИСПДн, вустановленном порядке проходят процедуру оценки соответствия, включаясертификацию на соответствие требованиям по безопасности информации.
3.7.4. На стадиипроектирования и создания СЗПДн для ИСПДн Администрации города Курска проводятся следующиемероприятия:
разработкатехнического проекта СЗПДн;
приобретение(при необходимости), установка и настройка серийно выпускаемых техническихсредств обработки, передачи и хранения информации;
разработка мероприятийпо защите информации в соответствии с предъявляемыми требованиями;
приобретение,установка и настройка сертифицированных технических, программных ипрограммно-технических средств защиты информации, в том числе (принеобходимости) средств криптографической защитыинформации;
реализацияразрешительной системы доступа пользователей ИСПДн кобрабатываемой в ИСПДн информации;
подготовкаэксплуатационной документации на используемые средства защиты информации;
корректировка(дополнение) организационно-распорядительной документации в части защитыинформации.
3.8. ИСПДн с СЗПДн вводится вэксплуатацию.
3.8.1. На стадииввода в ИСПДн (СЗПДн)осуществляются:
опытнаяэксплуатация средств защиты информации в комплексе с другими техническими ипрограммными средствами в целях проверки их работоспособности в составе ИСПДн (при необходимости);
приемо-сдаточныеиспытания средств защиты информации по результатам опытной эксплуатации (принеобходимости);
контрольвыполнения требований (возможно проведение данного контроля в виде аттестациипо требованиям безопасности ПДн).
3.8.2. Контроль за выполнением настоящих требований организуется ипроводится оператором (уполномоченным лицом) самостоятельно и (или) спривлечением на договорной основе юридических лиц и индивидуальныхпредпринимателей, имеющих лицензию на осуществление деятельности по техническойзащите конфиденциальной информации. Указанный контроль проводится не реже 1раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
4.Проведение работ по обеспечению безопасности персональных
данных при ихобработке в информационных системах
персональныхданных Администрации города Курска
4.1. Работы пообеспечению безопасности ПДн проводятся всоответствии с Планом мероприятий по защите персональных данных в Администрациигорода Курска (приложение 2). Внутренние проверки режима обработки и защиты ПДн Администрацией города Курска проводятся в соответствиис Планом внутренних проверок режима обработки и защиты персональных данных(приложение 3). По результатам проведения внутренней проверки составляетсяОтчет о результатах проведения внутренней проверки режима обработки и защитыперсональных данных в Администрации города Курска.
4.2. Контроль за проведением работ по обеспечению безопасности ПДн осуществляет ответственный за организацию обработки ПДн в виде методического руководства, участия в разработкетребований по защите ПДн, организации работ повыявлению возможных каналов утечки информации, согласования выбора средстввычислительной техники и связи, технических и программных средств защиты,участия в оценке соответствия ИСПДн Администрациигорода Курска требованиям безопасности ПДн.
4.3. Принеобходимости к проведению работ по обеспечению безопасности ПДн могут привлекаться специализированные организации, имеющиелицензию ФСТЭК России на осуществление деятельности по технической защитеконфиденциальной информации.
4.4. В соответствии с Постановлением Правительства Российской Федерацииот 16 апреля 2012 года N 313 "Об утверждении Положения о лицензированиидеятельности по разработке, производству, распространению шифровальных(криптографических) средств, информационных систем и телекоммуникационныхсистем, защищенных с использованием шифровальных (криптографических) средств,выполнению работ, оказанию услуг в области шифрования информации, техническомуобслуживанию шифровальных (криптографических) средств, информационных систем ителекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническоеобслуживание шифровальных (криптографических) средств, информационных систем ителекоммуникационных систем, защищенных с использованием шифровальных(криптографических) средств, осуществляется для обеспечения собственных нуждюридического лица или индивидуального предпринимателя)", приказом ФСБРоссии от 30 августа 2012 года N 440 "Об утверждении Административногорегламента Федеральной службы безопасности Российской Федерации попредоставлению государственной услуги по осуществлению лицензирования деятельностипо разработке, производству, распространениюшифровальных (криптографических) средств, информационных систем ителекоммуникационных систем, защищенных с использованием шифровальных(криптографических) средств, выполнению работ, оказанию услуг в областишифрования информации, техническому обслуживанию шифровальных(криптографических) средств, информационных систем и телекоммуникационныхсистем, защищенных с использованием шифровальных (криптографических) средств(за исключением случая, если техническое обслуживание шифровальных(криптографических) средств, информационных систем и телекоммуникационныхсистем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нуждюридического лица или индивидуального предпринимателя)", при необходимостииспользования при создании СЗПДн средствкриптографической защиты информации к проведению работ по обеспечениюбезопасности ПДн Администрации города Курсканеобходимо привлекать специализированные организации, имеющие лицензии ФСБРоссии на осуществление работ по распространению шифровальных(криптографических) средств, предназначенных для защиты информации, несодержащей сведения, составляющие государственную тайну, на осуществлениетехнического обслуживания шифровальных (криптографических) средств, наосуществление работ по оказанию услуг в области шифрования информации, несодержащих сведений, составляющих государственную тайну.
5.Решение вопросов обеспечения безопасности персональных
данных вдинамике изменения обстановки и контроля
эффективностизащиты
5.1.Модернизация СЗПДн для функционирующихИСПДн Администрации города Курска должнаосуществляться в случае:
изменениясостава или структуры ИСПДн или техническихособенностей ее построения (изменения состава или структуры программногообеспечения, технических средств обработки ПДн,топологии ИСПДн);
изменениясостава угроз безопасности ПДн в ИСПДн;
изменения уровнязащищенности ПДн при их обработке в ИСПДн;
прочих случаях,по решению оператора.
5.2. В целяхопределения необходимости доработки (модернизации) СЗПДнответственным за организацию обработки ПДн должна проводиться проверка состава и структуры ИСПДн, состава угроз безопасности ПДнв ИСПДн и уровня защищенности ПДнпри их обработке в ИСПДн, соблюдения условийиспользования средств защиты информации, предусмотренных эксплуатационной итехнической документацией. По результатам проведения внутренней проверкисоставляется отчет проверки, который утверждается ответственным за организациюобработки ПДн в Администрации города Курска.
5.3. Анализинцидентов безопасности ПДн и составление заключенийв обязательном порядке должно проводиться в случае выявления следующих фактов:
несоблюдениеусловий хранения носителей ПДн;
использованиесредств защиты информации, которые могут привести к нарушению заданного уровнябезопасности (конфиденциальность/целостность/доступность) ПДнили другим нарушениям, приводящим к снижению уровня защищенности ПДн;
нарушениезаданного уровня безопасности ПДн(конфиденциальность/целостность/доступность).
Приложение2
Утвержден
постановлением
Администрациигорода Курска
от 13 февраля2018 г. N 292
ПЛАН
МЕРОПРИЯТИЙ ПОЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИГОРОДА КУРСКА
| N п/п | Наименование мероприятия | Срок выполнения | Примечание |
| 1. | Документальное регламентирование работы с ПДн | При необходимости | Разработка организационно-распорядительных документов по защите ПДн либо внесение изменений в существующие |
| 2. | Получение согласий субъектов ПДн (физических лиц) на обработку ПДн в случаях, когда этого требует законодательство | Постоянно | В случаях, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" |
| 3. | Ограничение доступа сотрудников к ПДн | При необходимости (при создании ИСПДн) | В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствие с требованиями закона необходимо разграничить доступ сотрудников Оператора к ПДн |
| 4. | Взаимодействие с субъектами ПДн | Постоянно | Работа с обращениями субъектов ПДн, ведение журналов учета передачи персональных данных, обращений субъектов ПДн, уведомление субъектов ПДн об уничтожении, изменении, прекращении обработки, устранении нарушений, допущенных при обработке ПДн, получении ПДн от третьих лиц |
| 5. | Ведение журналов учета отчуждаемых электронных носителей персональных данных, средств защиты информации | Постоянно | |
| 6. | Повышение квалификации сотрудников в области защиты ПДн | Постоянно | Повышение квалификации сотрудников, ответственных за выполнение работ, - не менее раза в три года, повышение осведомленности сотрудников - постоянно (данное обучение проводит ответственный за обеспечение безопасности ПДн в ИСПДн) |
| 7. | Инвентаризация информационных ресурсов | Раз в год | Проводится с целью выявления в информационных ресурсах присутствия ПДн |
| 8. | Установка сроков обработки ПДн и процедуры их уничтожения по окончании срока обработки | При необходимости | Для ПДн Оператором устанавливаются сроки обработки ПДн |
| 9. | Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн | При необходимости | Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн |
| 10. | Определение уровня защищенности ПДн при их обработке в ИСПДн | При необходимости | Определение уровня защищенности ПДн при их обработке в ИСПДн осуществляется при создании ИСПДн, при изменении состава ПДн, объема обрабатываемых ПДн, субъектов ПДн |
| 11. | Выявление угроз безопасности и разработка моделей угроз и нарушителя | При необходимости | Разрабатывается при создании системы защиты ИСПДн |
| 12. | Аттестация ИСПДн на соответствие требованиям по обеспечению безопасности ПДн | При необходимости | Проводится совместно с лицензиатами ФСТЭК |
| 13. | Понижение требований по защите ПДн путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ и прочих доступных мер | При необходимости | В случае создания ИСПДн, а также приведения имеющихся ИСПДн в соответствие с требованиями закона |
Приложение3
Утвержден
постановлением
Администрациигорода Курска
от 13 февраля2018 г. N 292
ПЛАН
ВНУТРЕННИХПРОВЕРОК РЕЖИМА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ ВАДМИНИСТРАЦИИ ГОРОДА КУРСКА
| N | Мероприятие | Периодичность | Дата, подпись исполнителя |
| 1. | Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам | Ежегодно | |
| 2. | Проверка получения согласий субъектов ПДн на обработку ПДн в случаях, когда этого требует законодательство | Раз в полгода | |
| 3. | Проверка уничтожения материальных носителей ПДн с составлением соответствующего акта | Ежегодно | |
| 4. | Проверка ведения журналов по учету обращений субъектов ПДн и учету передачи ПДн субъектов третьим лицам | Ежегодно | |
| 5. | Проведение внутренних проверок на предмет выявления изменений в правилах обработки и защиты ПДн | Ежегодно | |
| 6. | Проверка соблюдения условий хранения материальных носителей ПДн | Раз в полгода | |
| 7. | Поддержание в актуальном состоянии организационно-распорядительных документов по вопросам обработки ПДн, в том числе документов, определяющих политику Администрации города Курска в отношении обработки ПДн | Ежегодно | |
| 8. | Проверка применения для обеспечения безопасности ПДн средств защиты информации, прошедших в установленном порядке процедуру соответствия | Ежегодно | |
| 9. | Контроль учета машинных носителей ПДн | Ежегодно | |
| 10. | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом полномочий пользователей в ИСПДн | Ежегодно | |
| 11. | Контроль внесения изменений в структурно-функциональные характеристики ИСПДн | Раз в полгода | |
| 12. | Контроль корректности настроек средств защиты информации | Раз в полгода | |
| 13. | Контроль за обеспечением резервного копирования | Ежегодно | |
| 14. | Поддержание в актуальном состоянии организационно-распорядительных документов по вопросам защиты ПДн | Ежегодно | |
Приложение4
Утвержден
постановлением
Администрациигорода Курска
от 13 февраля2018 г. N 292
ОТЧЕТ
о результатах проведения внутреннейпроверки режима обработки и
защиты персональных данных вАдминистрации города Курска
1.1. Внутренняя проверка произведена на основании постановления
Администрации города Курска "Об организации и проведении работ по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных Администрации города
Курска" N _____ от"____" _________________ 20__ г.
1.2. Проверка проводилась "___"______________ 20__ г. по адресу:
_______________________________________________________________________
_______________________________________________________________________
1.3. В ходе проверки были проведеныследующие мероприятия:
1)____________________________________________________________________
2)____________________________________________________________________
3)____________________________________________________________________
4)____________________________________________________________________
5)____________________________________________________________________
1.4. Результаты проведения проверки:
1)____________________________________________________________________
2)____________________________________________________________________
3)____________________________________________________________________
4)____________________________________________________________________
5)____________________________________________________________________
1.5. Необходимые мероприятия.
На основании проведения внутренней проверкирежима обработки и защиты
ПДн рекомендуетсяосуществить следующие мероприятия:
1)____________________________________________________________________
2)____________________________________________________________________
3) ____________________________________________________________________
4)____________________________________________________________________
5)____________________________________________________________________
Подписи ответственных лиц,проводивших внутреннюю проверку режима обработки
и защиты ПДн:
_____________________ ______________________ _________________________
(дата) (подпись) (расшифровка подписи)
_____________________ ______________________ _________________________
(дата) (подпись) (расшифровка подписи)
_____________________ ______________________ _________________________
(дата) (подпись) (расшифровка подписи)