Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации сельсовета


102 Кб
скачать

45-р от 27.12.2013


АДМИНИСТРАЦИЯ ПАРЕВСКОГО СЕЛЬСОВЕТА
ИНЖАВИНСКОГО РАЙОНА
ТАМБОВСКОЙ ОБЛАСТИ

РАСПОРЯЖЕНИЕ
27.12.2013 с.Паревка № 45 -р

Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации сельсовета.


В соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами":

1. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации сельсовета согласно приложению.
2. Разместить настоящее Распоряжение на официальном сайте Администрации сельсовета в сети Интернет .
3. Контроль за исполнением настоящего распоряжения возложить на
заместителя главы администрации сельсовета В.Н.Кожаринову


Глава сельсовета Н.И.Трегубов

 

 

Кожаринова В.Н.
46-4-46


ПРИЛОЖЕНИЕ
УТВЕРЖДЕНЫ
распоряжением администрации сельсовета
от 27.12. 2013 № 51 -р


Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации сельсовета


1. Общие положения

Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации сельсовета (далее - Правила) относятся к основным организационно-распорядительным документам системы документов информационной безопасности администрации сельсовета и разработаны в соответствии с требованиями постановления Правительств Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
В Правилах определен порядок организации и осуществления внутреннего контроля обработки персональных данных (ПДн) в администрации сельсовета с целью своевременного выявления и предотвращения:
хищения технических средств и носителей информации;
утраты информации;
преднамеренных программно-технических воздействий на информацию и (или) средства вычислительной техники, вызывающих нарушение целостности информации и нарушение работоспособности автоматизированной системы;
несанкционированного доступа к ПДн с целью уничтожения, искажения, модификации (подделки), копирования и блокирования;
утечки информации по техническим каналам.
Внутренний контроль состояния защиты информации включает в себя: контроль организации защиты информации;
контроль эффективности защиты информации.

2. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных

В целях осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям организуется проведение периодических проверок условий обработки ПДн. Проверки осуществляются муниципальным служащим администрации сельсовета, ответственным за организацию обработки ПДн в администрации сельсовета либо комиссией, образуемой главой сельсовета, не реже одного раза в год в соответствии с утвержденным графиком.
При осуществлении внутреннего контроля соответствия обработки ПДн установленным требованиям производится проверка:
соблюдения принципов обработки ПДн;
соответствия локальных актов в области ПДн администрации сельсовета действующему законодательству Российской Федерации;
выполнения служащими администрации сельсовета требований и правил обработки ПДн в информационных системах персональных данных (ИСПДн) администрации сельсовета;
перечней ПДн, используемых для решения задач и функций структурными подразделениями администрации сельсовета и необходимости обработки ПДн в ИСПДн администрации сельсовета;
актуальности содержащихся в Правилах обработки ПДн в администрации сельсовета в каждой ИСПДн администрации сельсовета информации о законности целей обработки ПДн и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн;
правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн в каждой ИСПДн администрации сельсовета;
актуальности перечня должностей муниципальных служащих сельсовета, замещающих должности муниципальной службы в администрации сельсовета, уполномоченных на обработку ПДн, имеющих доступ к ПДн;
актуальности перечня должностей муниципальных служащих сельсовета, замещающих должности муниципальной службы в администрации сельсовета, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
соблюдения прав субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн администрации сельсовета;
соблюдения обязанностей администрации сельсовета как оператора ПДн, предусмотренных действующим законодательством в области ПДн;
порядка взаимодействия с субъектами персональных данных, ПДн которых обрабатываются в ИСПДн сельсовета, в том числе соблюдения сроков, предусмотренных действующим законодательством в области ПДн, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения (запросы) субъектов персональных данных, порядка действий при достижении целей обработки ПДн и отзыве согласий субъектами персональных данных;
наличия необходимых согласий субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн администрации сельсовета;
актуальности сведений, содержащихся в уведомлении об обработке (о намерении осуществлять обработку) персональных данных;
актуальности перечня ИСПДн в администрации сельсовета;
наличия и актуальности сведений, содержащихся в Правилах обработки ПДн администрации сельсовета для каждой ИСПДн администрации сельсовета;
знания и соблюдения государственными гражданскими служащими сельсовета, замещающими должности муниципальной службы в администрации сельсовета (далее - служащие администрации сельсовета) положений действующего законодательства Российской Федерации в области ПДн;
знания и соблюдения служащими администрации сельсовета положений локальных актов администрации сельсовета в области обработки и обеспечения безопасности ПДн;
знания и соблюдения служащими администрации сельсовета инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;
соблюдения служащими администрации сельсовета конфиденциальности ПДн;
актуальности локальных актов администрации сельсовета в области обеспечения безопасности ПДн, в том числе в Технических паспортах ИСПДн;
соблюдения служащими администрации сельсовета требований по обеспечению безопасности ПДн;
наличия локальных актов администрации сельсовета, технической и эксплуатационной документации технических и программных средств ИСПДн администрации сельсовета;
по иным вопросам.
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, лицо, ответственное за проведение проверки, докладывает главе сельсовета.
При проведении внутреннего контроля на ИСПДн (отдельное автоматизированное рабочее место) администрации сельсовета составляется протокол контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте по форме, приведенной в приложении к настоящим Правилам.

3. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных

Во время осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям в администрации сельсовета производится оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер по обработке и обеспечению безопасности ПДн в администрации сельсовета.
При оценке соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн, для каждой ИСПДн администрации сельсовета производится экспертное сравнение заявленной администрацией сельсовета в своих локальных актах оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и применяемых администрацией сельсовета мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн и изложенных в настоящих Правилах осуществления внутреннего контроля соответствия обработки ПДн в администрации сельсовета.
По итогам сравнений принимается решение о достаточности применяемых администрацией сельсовета мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн и возможности или необходимости принятия дополнительных мер или изменения установленного в администрации сельсовета порядка обработки и обеспечения безопасности ПДн.
Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер по обработке и обеспечению безопасности ПДн, в администрации сельсовета оформляется в виде отдельного документа, подписывается председателем комиссии и утверждается главой сельсовета.
По результатам принятых решений муниципальным служащим администрации сельсовета, ответственным за организацию обработки ПДн в администрации сельсовета, организуется работа по их реализации.

 

 

 

ПРИЛОЖЕНИЕ
к Правилам осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите
персональных данных в администрации сельсовета

 

Форма

Протокол №
контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте

_________________________________________________________________
(наименование структурного подразделения администрации сельсовета)

1. Объект контроля
Указать:
наименование автоматизированного рабочего места (АРМ);
заводской (инвентарный) номер системного блока ПЭВМ АРМ;
принадлежность к подразделению;
адрес размещения АРМ.
2. Назначение объекта
Указать:
тип информации, обрабатываемой (хранимой) на АРМ;
уровень защищенности персональных данных при их обработке в информационной системе.
3. Контролируемые вопросы
Состояние организации технической защиты информации при обработке (хранении) информации ограниченного доступа.
Контроль наличия руководящих документов, инструкций, документации, регламентирующей обработку (хранение) информации ограниченного доступа:
перечня защищаемых ресурсов и уровня их конфиденциальности;
перечня лиц, обслуживающих АРМ;
перечня лиц, имеющих право самостоятельного доступа в помещение с АРМ;
перечня лиц, имеющих право самостоятельного доступа к штатным средствам АРМ и уровень их полномочий;
распоряжения о назначения комиссии для определения уровня защищенности персональных данных;
распоряжения о назначении администратора информационной безопасности;
данных по уровню подготовки персонала;
инструкции по обеспечению защиты информации, обрабатываемой на АРМ; перечня программного обеспечения;
описания технологического процесса обработки информации;
схемы информационных потоков;
технического паспорта;
матрицы доступа субъектов к защищаемым информационным ресурсам; акта установки системы активного зашумления (при наличии);
акта установки системы защиты информации от несанкционированного доступа (СЗИ НСД) (при наличии);
описания системы разграничения доступа и настроек СЗИ НСД;
инструкции администратору безопасности;
инструкции пользователю;
инструкции по антивирусному контролю;
распоряжения о допуске служащих;
распоряжения о вводе в эксплуатацию.
Контроль соответствия настройки подсистемы управления доступом, подсистемы регистрации и учета, подсистемы обеспечения целостности требованиям присвоенного класса защищенности от НСД.
В соответствии с требованиями руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденного решением Председателя Гостехкомиссии от 30.03.1992, в настройках подсистемы управления доступом проверяется:
наличие требований к длине и сложности пароля;
ограничение максимального срока действия пароля;
настройки блокировки учетных записей при попытках несанкционированного доступа;
наличие административных прав у пользователей;
выполнение требований мандатного разграничения прав доступа к каталогам, программам, файлам.
В настройках подсистемы регистрации и учета контролируется:
отсутствие критических ошибок и несанкционированных запусков процессов, зарегистрированных в журнале приложений;
отсутствие зарегистрированных критических системных ошибок в системном журнале;
отсутствие зарегистрированных изменений действующих политик безопасности, прав доступа, настроек системы защиты информации в журнале системы защиты информации;
возможности несанкционированного доступа к информации, аудиты отказа, зарегистрированные в журнале безопасности.
В настройках подсистемы обеспечения целостности контролируется:
соответствие программного обеспечения, установленного на АРМ, аттестационным материалам;
отсутствие программных средств разработки и отладки приложений;
наличие средств антивирусного контроля, включая срок действия лицензии и периодичность обновления антивирусных баз.
Контроль наличия лицензионного программного обеспечения, установленного в процессе проведенной аттестации по требованиям безопасности информации.
Контроль срока действия лицензии, порядка и периодичности обновления баз антивирусной программы.
Контроль наличия сетевых плат (в том числе интегрированных) и физической возможности их использования.
Контроль возможности и фактов подключения незарегистрированных магнитных и иных носителей информации.
4. Метод проведения контроля:
Экспертно-документальный
5. Средства контроля:
Программные возможности операционной системы, установленной на контролируемом АРМ.
6. Перечень документов, регламентирующих выполнение требований по
обеспечению безопасности информации
Контроль проводится в соответствии с требованиями:
- Указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008 № 351;
- специальных требований и рекомендаций по технической защите конфиденциальной информации (приказ Гостехкомиссии России от 30.08.2002 № 282);
- руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (решение Председателя Гостехкомиссии от 30.03.1992);
- руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (приказ Председателя Гостехкомиссии России от 4.06.1999 № 114);
- нормативных и руководящих документов ФСТЭК России по защите информации.

Контроль выполнили:
_______________ ______________ ____________________
должность подпись фамилия, инициалы
______________ ______________ ______________________
должность подпись фамилия, инициалы


При проведении контроля присутствовали:
_______________ ______________ ____________________
должность подпись фамилия, инициалы
______________ ______________ ______________________
должность подпись фамилия, инициалы


Дата проведения контроля: __________________________ .
(число, месяц, год)

 

Закрыть
Сообщение об ошибке
Отправьте нам сообщение. Мы исправим ошибку в кратчайшие сроки.
Расположение ошибки: .

Текст ошибки:
Комментарий или отзыв о сайте:
Отправить captcha
Введите код: *

Закрыть

Выдержка из Закона N 124-ФЗ

Классификация информационной продукции

Глава 2. Классификация информационной продукции

Статья 6. Осуществление классификации информационной продукции

Информация об изменениях:

Федеральным законом от 28 июля 2012 г. N 139-ФЗ в часть 1 статьи 6 настоящего Федерального закона внесены изменения

См. текст части в предыдущей редакции

1. Классификация информационной продукции осуществляется ее производителями и (или) распространителями самостоятельно (в том числе с участием эксперта, экспертов и (или) экспертных организаций, отвечающих требованиям статьи 17 настоящего Федерального закона) до начала ее оборота на территории Российской Федерации.

2. При проведении исследований в целях классификации информационной продукции оценке подлежат:

1) ее тематика, жанр, содержание и художественное оформление;

2) особенности восприятия содержащейся в ней информации детьми определенной возрастной категории;

3) вероятность причинения содержащейся в ней информацией вреда здоровью и (или) развитию детей.

Информация об изменениях:

Федеральным законом от 28 июля 2012 г. N 139-ФЗ в часть 3 статьи 6 настоящего Федерального закона внесены изменения

См. текст части в предыдущей редакции

3. Классификация информационной продукции осуществляется в соответствии с требованиями настоящего Федерального закона по следующим категориям информационной продукции:

1) информационная продукция для детей, не достигших возраста шести лет;

2) информационная продукция для детей, достигших возраста шести лет;

3) информационная продукция для детей, достигших возраста двенадцати лет;

4) информационная продукция для детей, достигших возраста шестнадцати лет;

5) информационная продукция, запрещенная для детей (информационная продукция, содержащая информацию, предусмотренную частью 2 статьи 5 настоящего Федерального закона).

ГАРАНТ:

Об определениии возрастного ценза основной телевизионной передачи с учетом содержания сообщений "бегущей строки" см.информацию Роскомнадзора от 22 января 2013 г.

Информация об изменениях:

Федеральным законом от 2 июля 2013 г. N 185-ФЗ часть 4 статьи 6 настоящего Федерального закона изложена в новой редакции, вступающей в силу c 1 сентября 2013 г.

См. текст части в предыдущей редакции

4. Классификация информационной продукции, предназначенной и (или) используемой для обучения и воспитания детей в организациях, осуществляющих образовательную деятельность по реализации основных общеобразовательных программ, образовательных программ среднего профессионального образования, дополнительных общеобразовательных программ, осуществляется в соответствии с настоящим Федеральным законом и законодательством об образовании.

Информация об изменениях:

Федеральным законом от 28 июля 2012 г. N 139-ФЗ в часть 5 статьи 6 настоящего Федерального закона внесены изменения

См. текст части в предыдущей редакции

5. Классификация фильмов осуществляется в соответствии с требованиями настоящего Федерального закона и законодательства Российской Федерации о государственной поддержке кинематографии.

Информация об изменениях:

Федеральным законом от 28 июля 2012 г. N 139-ФЗ в часть 6 статьи 6 настоящего Федерального закона внесены изменения

См. текст части в предыдущей редакции

6. Сведения, полученные в результате классификации информационной продукции, указываются ее производителем или распространителем в сопроводительных документах на информационную продукцию и являются основанием для размещения на ней знака информационной продукции и для ее оборота на территории Российской Федерации.

Статья 7. Информационная продукция для детей, не достигших возраста шести лет

К информационной продукции для детей, не достигших возраста шести лет, может быть отнесена информационная продукция, содержащая информацию, не причиняющую вреда здоровью и (или) развитию детей (в том числе информационная продукция, содержащая оправданные ее жанром и (или) сюжетом эпизодические ненатуралистические изображение или описание физического и (или) психического насилия (за исключением сексуального насилия) при условии торжества добра над злом и выражения сострадания к жертве насилия и (или) осуждения насилия).

Статья 8. Информационная продукция для детей, достигших возраста шести лет

К допускаемой к обороту информационной продукции для детей, достигших возраста шести лет, может быть отнесена информационная продукция, предусмотренная статьей 7 настоящего Федерального закона, а также информационная продукция, содержащая оправданные ее жанром и (или) сюжетом:

1) кратковременные и ненатуралистические изображение или описание заболеваний человека (за исключением тяжелых заболеваний) и (или) их последствий в форме, не унижающей человеческого достоинства;

2) ненатуралистические изображение или описание несчастного случая, аварии, катастрофы либо ненасильственной смерти без демонстрации их последствий, которые могут вызывать у детей страх, ужас или панику;

3) не побуждающие к совершению антиобщественных действий и (или) преступлений эпизодические изображение или описание этих действий и (или) преступлений при условии, что не обосновывается и не оправдывается их допустимость и выражается отрицательное, осуждающее отношение к лицам, их совершающим.

Статья 9. Информационная продукция для детей, достигших возраста двенадцати лет

К допускаемой к обороту информационной продукции для детей, достигших возраста двенадцати лет, может быть отнесена информационная продукция, предусмотренная статьей 8 настоящего Федерального закона, а также информационная продукция, содержащая оправданные ее жанром и (или) сюжетом:

1) эпизодические изображение или описание жестокости и (или) насилия (за исключением сексуального насилия) без натуралистического показа процесса лишения жизни или нанесения увечий при условии, что выражается сострадание к жертве и (или) отрицательное, осуждающее отношение к жестокости, насилию (за исключением насилия, применяемого в случаях защиты прав граждан и охраняемых законом интересов общества или государства);

2) изображение или описание, не побуждающие к совершению антиобщественных действий (в том числе к потреблению алкогольной и спиртосодержащей продукции, пива и напитков, изготавливаемых на его основе, участию в азартных играх, занятию бродяжничеством или попрошайничеством), эпизодическое упоминание (без демонстрации) наркотических средств, психотропных и (или) одурманивающих веществ, табачных изделий при условии, что не обосновывается и не оправдывается допустимость антиобщественных действий, выражается отрицательное, осуждающее отношение к ним и содержится указание на опасность потребления указанных продукции, средств, веществ, изделий;

3) не эксплуатирующие интереса к сексу и не носящие возбуждающего или оскорбительного характера эпизодические ненатуралистические изображение или описание половых отношений между мужчиной и женщиной, за исключением изображения или описания действий сексуального характера.

Статья 10. Информационная продукция для детей, достигших возраста шестнадцати лет

К допускаемой к обороту информационной продукции для детей, достигших возраста шестнадцати лет, может быть отнесена информационная продукция, предусмотренная статьей 9 настоящего Федерального закона, а также информационная продукция, содержащая оправданные ее жанром и (или) сюжетом:

1) изображение или описание несчастного случая, аварии, катастрофы, заболевания, смерти без натуралистического показа их последствий, которые могут вызывать у детей страх, ужас или панику;

2) изображение или описание жестокости и (или) насилия (за исключением сексуального насилия) без натуралистического показа процесса лишения жизни или нанесения увечий при условии, что выражается сострадание к жертве и (или) отрицательное, осуждающее отношение к жестокости, насилию (за исключением насилия, применяемого в случаях защиты прав граждан и охраняемых законом интересов общества или государства);

3) информация о наркотических средствах или о психотропных и (или) об одурманивающих веществах (без их демонстрации), об опасных последствиях их потребления с демонстрацией таких случаев при условии, что выражается отрицательное или осуждающее отношение к потреблению таких средств или веществ и содержится указание на опасность их потребления;

4) отдельные бранные слова и (или) выражения, не относящиеся к нецензурной брани;

5) не эксплуатирующие интереса к сексу и не носящие оскорбительного характера изображение или описание половых отношений между мужчиной и женщиной, за исключением изображения или описания действий сексуального характера.