Основная информация
| Дата опубликования: | 24 августа 2020г. |
| Номер документа: | RU93000202001121 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Крым |
| Принявший орган: | Министерство топлива и энергетики Республики Крым |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
24.08.2020г. № 68-А
О УТВЕРЖДЕНИИ ПРАВИЛ ВНУТРЕННЕГО
КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В
В МИНИСТЕРСТВЕ ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
В соответствии с Федеральным законом от 27.07.2006 № 152 «О персональных данных», Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства Российской Федерации от 21.03.2012 № 211 , приказываю:
Утвердить:
правила осуществления внутреннего контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных в согласно приложению № 1;
форму плана внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных согласно приложению № 2;
форму протокола проведения внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик и Республики Крым требованиям к защите персональных данных согласно приложению № 3;
форму журнала учета событий информационной безопасности Министерства топлива и энергетики Республики Крым согласно приложению № 4;
форму журнала учета мероприятий по контролю обеспечения защиты информации в информационных системах Министерства топлива и энергетики Республики Крым согласно приложению № 5;
состав постоянной комиссии внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик и Республики Крым требованиям к защите персональных данных согласно приложению №6.
Контроль за исполнением настоящего приказа возложить на заместителя министра топлива и энергетики Республики Крым О.А. Петрова.
Министр
Е.А. Рукавишников
Заместитель министра
_______________
О.А. Петров
Начальник управления правовой, кадровой, организационной работы и государственной гражданской службы
_______________
Е.О. Астанькович
Заведующий отделом организационной работы и делопроизводства
_______________
С.В. Романенко
Главный консультант
_______________
Е.В. Бокарева
исп. Третьяк А.С.
Приложение №1
к приказу Министерства топлива и энергетики Республики Крым №______
от _______________.
Правила осуществления внутреннего контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных
Общие положения
1.1 Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – Правила) в Министерстве топлива и энергетики Республики Крым (далее – Министерство), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – ПДн); основания, порядок, и методы проведения внутреннего контроля соответствия обработки ПДн, необходимой для предоставления государственных и муниципальных услуг, требованиям к защите ПДн.
1.2 Настоящие Правила разработаны на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.
1.3 Для обработки ПДн сотрудников, необходимых для обеспечения кадровой и бухгалтерской деятельности в Министерстве в соответствии с Федеральным законом от 27.07.2004 «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, используется информационной системе (далее –ИСПДн) «Парус», ИСПДн «Контур», ИСПДн «Интернет-банк РНКБ», ИСПДн «СУФД» и ИСПДн «Электронный бюджет».
1.4 Для обработки ПДн физических лиц, необходимых для обеспечения своевременного рассмотрения обращения граждан в Министерстве, в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации" от 02.05.2006 № 59-ФЗ, используются ИСПДн «АСОГ», ИСПДн «ССТУ», ИСПДн «СЭД «Диалог» и ИСПДн «Обращения граждан».
1.5 Для обработки ПДн сотрудников и физических лиц, необходимых для определения перечня уполномоченных должностных лиц и перечня уполномоченных сотрудников, представления в уполномоченный орган в установленном порядке актуальной информации об уполномоченных должностных лицах и уполномоченных сотрудниках, размещения в информационном ресурсе портала и поддержание в актуальном состоянии сведений о лицах, рекомендованных для включения и включенных в федеральный резерв управленческих кадров, и сведений о вакантных должностях в Министерстве, в соответствии с Постановление Правительства Российской Федерации от 04.03.2011 № 149 «О федеральной государственной информационной системе «Федеральный портал управленческих кадров», используется ИСПДн «ЕИСУ КС».
1.6 Пользователем ИСПДн (далее – Пользователь) является сотрудник Министерства, участвующий в рамках выполнения своих функциональных и/ или должностных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, ПО, данным и средствам криптографической защиты информации ИСПДн.
1.7 Контрольные мероприятия за обеспечением уровня защищенности персональных данных и соблюдений условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных в ИСПДн Министерства проводятся в следующих целях:
1.7.1 проверка выполнения требований организационно-распорядительной документации по защите информации в Министерстве и действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
1.7.2 оценка уровня осведомленности и знаний сотрудников Министерства в области обработки и защиты персональных данных;
1.7.3 оценка обоснованности и эффективности применяемых мер и средств защиты.
Тематика внутреннего контроля
Тематика внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн:
2.1 Проверки соответствия обработки ПДн установленным требованиям в Министерстве разделяются на следующие виды:
регулярные;
плановые;
внеплановые.
2.2 Регулярные контрольные мероприятия проводятся администратором безопасности информации периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее – План) и предназначены для осуществления контроля выполнения требований в области защиты информации в Министерстве.
2.3 Плановые контрольные мероприятия проводятся постоянной комиссией внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик Республики Крым требованиям к защите персональных данных (далее- комиссия) периодически в соответствии с утвержденным Планом и направленным на постоянное совершенствование системы защиты персональных данных ИСПДн Министерства.
2.3.1 Комиссия действует на постоянной основе, формируется в количестве трех членов комиссии, утверждается приказом министра топлива и энергетики Республики Крым.
2.4 Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности (создается на период проведения мероприятий). Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности принимается в следующих случаях:
по результатам расследования инцидента информационной безопасности;
по результатам внешних контрольных мероприятий, проводимых контролирующими органами;
по решению министра топлива и энергетики Республики Крым.
2.4.1 Комиссия формируется в количестве трех членов комиссии, утверждается приказом министром топлива и энергетики Республики Крым, не позднее недели с момента наступления случаев, указанных в пункте 2.4 данной Инструкции.
Планирование контрольных мероприятий
3.1 Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает План внутренних контрольных мероприятий на текущий год не позднее первого квартала отчетного года.
3.2 План внутренних контрольных мероприятий утверждается министром топлива и энергетики Республики Крым.
3.3 План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:
3.3.1 цели проведения контрольных мероприятий;
3.3.2 задачи проведения контрольных мероприятий,
3.3.3 объекты контроля (процессы, подразделения, информационные системы и т.п.);
3.3.4 состав участников, привлекаемых для проведения контрольных мероприятий;
3.3.5 сроки и этапы проведения контрольных мероприятий.
3.4 Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен по решению членов комиссии, но не более чем на десять рабочих дней, соответствующие изменения отображаются в отчете, выполняемом по результатам проведенных контрольных мероприятий.
Оформление результатов контрольных мероприятий
4.1 По итогам проведения регулярных контрольных мероприятий результаты проверок фиксируются в Журнале учета событий информационной безопасности и в Журнале учета мероприятий по контролю обеспечения защиты информации в информационных системах министерства топлива и энергетики Республики Крым.
4.1.1 По итогам проведения плановых и внеплановых контрольных мероприятий комиссия не более чем в семидневный срок разрабатывает отчет, в котором указывается:
описание проведенных мероприятий по каждому из этапов;
перечень и описание выявленных нарушений;
рекомендации по устранению выявленных нарушений;
заключение по итогам проведения внутреннего контрольного мероприятия.
4.2 Отчет передается на рассмотрение руководству Министерства.
4.3 Общая информация о проведенном контрольном мероприятии фиксируется в Журнале учета событий информационной безопасности и в Журнале учета мероприятий по контролю обеспечения защиты информации в информационных системах Министерства топлива и энергетики Республики Крым.
4.4 Результаты проведения мероприятий по внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве, а также фиксируются в Журнале учета мероприятий по контролю обеспечения защиты информации в информационных системах министерства топлива и энергетики Республики Крым.
Порядок проведения плановых и внеплановых контрольных мероприятий
2.1 Плановые и внеплановые контрольные мероприятия проводятся при обязательном участии лица, ответственного за обеспечение безопасности персональных данных информационных систем персональных данных Министерства, также по его ходатайству к проведению контрольных мероприятий могут привлекаться ответственный за организацию обработки персональных данных в Министерстве.
2.2 Лицо, ответственное за обеспечение безопасности ПДн, не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий, и направляет им для ознакомления План проведения контрольных мероприятий. При проведении внеплановых контрольных мероприятий уведомление не требуется.
5.3. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий,выборочно выполнятся следующие проверки:
соответствие полномочий Пользователей правилам доступа;
соблюдение Пользователями требований инструкций по организации антивирусной и парольной политики, инструкции пользователя информационной системой персональных данных;
соблюдение Порядка доступа в помещения Министерства, где ведется обработка персональных данных;
знание Пользователей положений инструкции пользователя информационной системой персональных данных при возникновении внештатных ситуаций;
состояние учета машинных носителей персональных данных.
наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер;
проведенные мероприятия по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
технические мероприятия, связанные с штатным и нештатным функционированием средств защиты;
технические мероприятия, связанные с штатным и нештатным функционированием подсистем системы защиты информации.
Приложение №2
к приказу Министерства топлива и энергетики Республики Крым №__________от _______________.
УТВЕРЖДЕНО:
приказом Министерства топлива
и энергетики Республики Крым
от «__» _______ 2020 года №___
Министр топлива и энергетики
Республики Крым
____________Е.А. Рукавишников
«____» ____________ 2020 года
План
внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных
Мероприятие
Периодичность регулярных мероприятий
Периодичность плановых мероприятий
Исполнитель
Контроль соблюдения правил доступа к ПДн
Контроль соблюдения режима защиты
Контроль выполнения антивирусной политики
Контроль выполнения парольной политики
Контроль соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн
Контроль обновления ПО и единообразия применяемого ПО на всех элементах ИС Министерства
Контроль обеспечения резервного копирования
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз
Поддержание в актуальном состоянии нормативно-организационных документов
Контроль запрета на использование беспроводных соединений
Приложение №3
к приказу Министерства топлива и энергетики Республики Крым
№__________
от _______________.
ПРОТОКОЛ № ____
проведения внутренних проверок контроля соответствия обработки персональных данных требованиям в информационных системах Министерства топлива и энергетики Республики Крым к защите персональных данных
Настоящий Протокол составлен в том, что «____»__________20__ г.
_______________________________________________________ (комиссией)
(должность, Ф.И.О. сотрудника)
проведена проверка_________________________________________________________
(тема проверки)
Проверка осуществлялась в соответствии с требованиями:
__________________________________________________________________________
(название документа)
__________________________________________________________________________
В ходе проверки проверено:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Выявленные нарушения:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Меры по устранению нарушений:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Срок устранения нарушений: ____________________
Председатель комиссии:
________________ _______ ________________
фамилия и инициалы / подпись / должность
Члены комиссии:
_________________ _______ ________________
фамилия и инициалы / подпись / должность
________________ _______ _________________
фамилия и инициалы / подпись / должность
Приложение №4
к приказу Министерства топлива и энергетики Республики Крым
№__________
от _______________.
УТВЕРЖДЕНО:
приказом Министерства топлива
и энергетики Республики Крым
от «__» _______ 2020 года №___
Министр топлива и энергетики
Республики Крым
____________Е.А. Рукавишников
«____» ____________ 2020 года
ЖУРНАЛ №____
учета событий информационной безопасности Министерства топлива и энергетики Республики Крым
Начато _______________г.
Окончено_____________г.
Кол-во листов_________
Срок хранения_________
2020 г.
№ п/п
Дата события
Основания возникновения события
Описание события (мероприятия)
Характеристика события
Ф.И.О. субъекта
Должность Ф.И.О. и подпись администратора безопасности
Примечания
Приложение №5
к приказу Министерства топлива и энергетики Республики Крым
№__________
от _______________.
УТВЕРЖДЕНО:
приказом Министерства топлива
и энергетики Республики Крым
от «__» _______ 2020 года №___
Министр топлива и энергетики
Республики Крым
____________Е.А. Рукавишников
«____» ____________ 2020 года
ЖУРНАЛ №____
учета мероприятий по контролю обеспечения защиты информационной безопасности Министерства топлива и энергетики Республики Крым
Начато _______________г.
Окончено_____________г.
Кол-во листов_________
Срок хранения_________
2020 г.
№ п/п
Дата события
Мероприятие
Ф.И.О. и подпись ответственного за обеспечение безопасности ИСПДн
Результат
Приложение №6
к приказу Министерства топлива и энергетики Республики Крым №______
от _______________.
Состав
состав постоянной комиссии внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик и Республики Крым требованиям к защите персональных данных
Петров
Олег Алексеевич
- Заместитель министра топлива и энергетики Республики Крым,
Председатель комиссии
Дементиенко Сергей Евгеньевич
- Помощник министра аппарата при руководстве
Третьяк Алина Сергеевна
- Главный специалист отдела организационной работы и делопроизводства управления правовой, кадровой, организационной работы и государственной гражданской службы
МИНИСТЕРСТВО ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
24.08.2020г. № 68-А
О УТВЕРЖДЕНИИ ПРАВИЛ ВНУТРЕННЕГО
КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В
В МИНИСТЕРСТВЕ ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
В соответствии с Федеральным законом от 27.07.2006 № 152 «О персональных данных», Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства Российской Федерации от 21.03.2012 № 211 , приказываю:
Утвердить:
правила осуществления внутреннего контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных в согласно приложению № 1;
форму плана внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных согласно приложению № 2;
форму протокола проведения внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик и Республики Крым требованиям к защите персональных данных согласно приложению № 3;
форму журнала учета событий информационной безопасности Министерства топлива и энергетики Республики Крым согласно приложению № 4;
форму журнала учета мероприятий по контролю обеспечения защиты информации в информационных системах Министерства топлива и энергетики Республики Крым согласно приложению № 5;
состав постоянной комиссии внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик и Республики Крым требованиям к защите персональных данных согласно приложению №6.
Контроль за исполнением настоящего приказа возложить на заместителя министра топлива и энергетики Республики Крым О.А. Петрова.
Министр
Е.А. Рукавишников
Заместитель министра
_______________
О.А. Петров
Начальник управления правовой, кадровой, организационной работы и государственной гражданской службы
_______________
Е.О. Астанькович
Заведующий отделом организационной работы и делопроизводства
_______________
С.В. Романенко
Главный консультант
_______________
Е.В. Бокарева
исп. Третьяк А.С.
Приложение №1
к приказу Министерства топлива и энергетики Республики Крым №______
от _______________.
Правила осуществления внутреннего контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных
Общие положения
1.1 Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – Правила) в Министерстве топлива и энергетики Республики Крым (далее – Министерство), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – ПДн); основания, порядок, и методы проведения внутреннего контроля соответствия обработки ПДн, необходимой для предоставления государственных и муниципальных услуг, требованиям к защите ПДн.
1.2 Настоящие Правила разработаны на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.
1.3 Для обработки ПДн сотрудников, необходимых для обеспечения кадровой и бухгалтерской деятельности в Министерстве в соответствии с Федеральным законом от 27.07.2004 «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, используется информационной системе (далее –ИСПДн) «Парус», ИСПДн «Контур», ИСПДн «Интернет-банк РНКБ», ИСПДн «СУФД» и ИСПДн «Электронный бюджет».
1.4 Для обработки ПДн физических лиц, необходимых для обеспечения своевременного рассмотрения обращения граждан в Министерстве, в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации" от 02.05.2006 № 59-ФЗ, используются ИСПДн «АСОГ», ИСПДн «ССТУ», ИСПДн «СЭД «Диалог» и ИСПДн «Обращения граждан».
1.5 Для обработки ПДн сотрудников и физических лиц, необходимых для определения перечня уполномоченных должностных лиц и перечня уполномоченных сотрудников, представления в уполномоченный орган в установленном порядке актуальной информации об уполномоченных должностных лицах и уполномоченных сотрудниках, размещения в информационном ресурсе портала и поддержание в актуальном состоянии сведений о лицах, рекомендованных для включения и включенных в федеральный резерв управленческих кадров, и сведений о вакантных должностях в Министерстве, в соответствии с Постановление Правительства Российской Федерации от 04.03.2011 № 149 «О федеральной государственной информационной системе «Федеральный портал управленческих кадров», используется ИСПДн «ЕИСУ КС».
1.6 Пользователем ИСПДн (далее – Пользователь) является сотрудник Министерства, участвующий в рамках выполнения своих функциональных и/ или должностных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, ПО, данным и средствам криптографической защиты информации ИСПДн.
1.7 Контрольные мероприятия за обеспечением уровня защищенности персональных данных и соблюдений условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных в ИСПДн Министерства проводятся в следующих целях:
1.7.1 проверка выполнения требований организационно-распорядительной документации по защите информации в Министерстве и действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
1.7.2 оценка уровня осведомленности и знаний сотрудников Министерства в области обработки и защиты персональных данных;
1.7.3 оценка обоснованности и эффективности применяемых мер и средств защиты.
Тематика внутреннего контроля
Тематика внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн:
2.1 Проверки соответствия обработки ПДн установленным требованиям в Министерстве разделяются на следующие виды:
регулярные;
плановые;
внеплановые.
2.2 Регулярные контрольные мероприятия проводятся администратором безопасности информации периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее – План) и предназначены для осуществления контроля выполнения требований в области защиты информации в Министерстве.
2.3 Плановые контрольные мероприятия проводятся постоянной комиссией внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик Республики Крым требованиям к защите персональных данных (далее- комиссия) периодически в соответствии с утвержденным Планом и направленным на постоянное совершенствование системы защиты персональных данных ИСПДн Министерства.
2.3.1 Комиссия действует на постоянной основе, формируется в количестве трех членов комиссии, утверждается приказом министра топлива и энергетики Республики Крым.
2.4 Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности (создается на период проведения мероприятий). Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности принимается в следующих случаях:
по результатам расследования инцидента информационной безопасности;
по результатам внешних контрольных мероприятий, проводимых контролирующими органами;
по решению министра топлива и энергетики Республики Крым.
2.4.1 Комиссия формируется в количестве трех членов комиссии, утверждается приказом министром топлива и энергетики Республики Крым, не позднее недели с момента наступления случаев, указанных в пункте 2.4 данной Инструкции.
Планирование контрольных мероприятий
3.1 Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает План внутренних контрольных мероприятий на текущий год не позднее первого квартала отчетного года.
3.2 План внутренних контрольных мероприятий утверждается министром топлива и энергетики Республики Крым.
3.3 План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:
3.3.1 цели проведения контрольных мероприятий;
3.3.2 задачи проведения контрольных мероприятий,
3.3.3 объекты контроля (процессы, подразделения, информационные системы и т.п.);
3.3.4 состав участников, привлекаемых для проведения контрольных мероприятий;
3.3.5 сроки и этапы проведения контрольных мероприятий.
3.4 Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен по решению членов комиссии, но не более чем на десять рабочих дней, соответствующие изменения отображаются в отчете, выполняемом по результатам проведенных контрольных мероприятий.
Оформление результатов контрольных мероприятий
4.1 По итогам проведения регулярных контрольных мероприятий результаты проверок фиксируются в Журнале учета событий информационной безопасности и в Журнале учета мероприятий по контролю обеспечения защиты информации в информационных системах министерства топлива и энергетики Республики Крым.
4.1.1 По итогам проведения плановых и внеплановых контрольных мероприятий комиссия не более чем в семидневный срок разрабатывает отчет, в котором указывается:
описание проведенных мероприятий по каждому из этапов;
перечень и описание выявленных нарушений;
рекомендации по устранению выявленных нарушений;
заключение по итогам проведения внутреннего контрольного мероприятия.
4.2 Отчет передается на рассмотрение руководству Министерства.
4.3 Общая информация о проведенном контрольном мероприятии фиксируется в Журнале учета событий информационной безопасности и в Журнале учета мероприятий по контролю обеспечения защиты информации в информационных системах Министерства топлива и энергетики Республики Крым.
4.4 Результаты проведения мероприятий по внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве, а также фиксируются в Журнале учета мероприятий по контролю обеспечения защиты информации в информационных системах министерства топлива и энергетики Республики Крым.
Порядок проведения плановых и внеплановых контрольных мероприятий
2.1 Плановые и внеплановые контрольные мероприятия проводятся при обязательном участии лица, ответственного за обеспечение безопасности персональных данных информационных систем персональных данных Министерства, также по его ходатайству к проведению контрольных мероприятий могут привлекаться ответственный за организацию обработки персональных данных в Министерстве.
2.2 Лицо, ответственное за обеспечение безопасности ПДн, не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий, и направляет им для ознакомления План проведения контрольных мероприятий. При проведении внеплановых контрольных мероприятий уведомление не требуется.
5.3. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий,выборочно выполнятся следующие проверки:
соответствие полномочий Пользователей правилам доступа;
соблюдение Пользователями требований инструкций по организации антивирусной и парольной политики, инструкции пользователя информационной системой персональных данных;
соблюдение Порядка доступа в помещения Министерства, где ведется обработка персональных данных;
знание Пользователей положений инструкции пользователя информационной системой персональных данных при возникновении внештатных ситуаций;
состояние учета машинных носителей персональных данных.
наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер;
проведенные мероприятия по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
технические мероприятия, связанные с штатным и нештатным функционированием средств защиты;
технические мероприятия, связанные с штатным и нештатным функционированием подсистем системы защиты информации.
Приложение №2
к приказу Министерства топлива и энергетики Республики Крым №__________от _______________.
УТВЕРЖДЕНО:
приказом Министерства топлива
и энергетики Республики Крым
от «__» _______ 2020 года №___
Министр топлива и энергетики
Республики Крым
____________Е.А. Рукавишников
«____» ____________ 2020 года
План
внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетики Республики Крым требованиям к защите персональных данных
Мероприятие
Периодичность регулярных мероприятий
Периодичность плановых мероприятий
Исполнитель
Контроль соблюдения правил доступа к ПДн
Контроль соблюдения режима защиты
Контроль выполнения антивирусной политики
Контроль выполнения парольной политики
Контроль соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн
Контроль обновления ПО и единообразия применяемого ПО на всех элементах ИС Министерства
Контроль обеспечения резервного копирования
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз
Поддержание в актуальном состоянии нормативно-организационных документов
Контроль запрета на использование беспроводных соединений
Приложение №3
к приказу Министерства топлива и энергетики Республики Крым
№__________
от _______________.
ПРОТОКОЛ № ____
проведения внутренних проверок контроля соответствия обработки персональных данных требованиям в информационных системах Министерства топлива и энергетики Республики Крым к защите персональных данных
Настоящий Протокол составлен в том, что «____»__________20__ г.
_______________________________________________________ (комиссией)
(должность, Ф.И.О. сотрудника)
проведена проверка_________________________________________________________
(тема проверки)
Проверка осуществлялась в соответствии с требованиями:
__________________________________________________________________________
(название документа)
__________________________________________________________________________
В ходе проверки проверено:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Выявленные нарушения:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Меры по устранению нарушений:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Срок устранения нарушений: ____________________
Председатель комиссии:
________________ _______ ________________
фамилия и инициалы / подпись / должность
Члены комиссии:
_________________ _______ ________________
фамилия и инициалы / подпись / должность
________________ _______ _________________
фамилия и инициалы / подпись / должность
Приложение №4
к приказу Министерства топлива и энергетики Республики Крым
№__________
от _______________.
УТВЕРЖДЕНО:
приказом Министерства топлива
и энергетики Республики Крым
от «__» _______ 2020 года №___
Министр топлива и энергетики
Республики Крым
____________Е.А. Рукавишников
«____» ____________ 2020 года
ЖУРНАЛ №____
учета событий информационной безопасности Министерства топлива и энергетики Республики Крым
Начато _______________г.
Окончено_____________г.
Кол-во листов_________
Срок хранения_________
2020 г.
№ п/п
Дата события
Основания возникновения события
Описание события (мероприятия)
Характеристика события
Ф.И.О. субъекта
Должность Ф.И.О. и подпись администратора безопасности
Примечания
Приложение №5
к приказу Министерства топлива и энергетики Республики Крым
№__________
от _______________.
УТВЕРЖДЕНО:
приказом Министерства топлива
и энергетики Республики Крым
от «__» _______ 2020 года №___
Министр топлива и энергетики
Республики Крым
____________Е.А. Рукавишников
«____» ____________ 2020 года
ЖУРНАЛ №____
учета мероприятий по контролю обеспечения защиты информационной безопасности Министерства топлива и энергетики Республики Крым
Начато _______________г.
Окончено_____________г.
Кол-во листов_________
Срок хранения_________
2020 г.
№ п/п
Дата события
Мероприятие
Ф.И.О. и подпись ответственного за обеспечение безопасности ИСПДн
Результат
Приложение №6
к приказу Министерства топлива и энергетики Республики Крым №______
от _______________.
Состав
состав постоянной комиссии внутренних проверок контроля соответствия обработки персональных данных в информационных системах Министерства топлива и энергетик и Республики Крым требованиям к защите персональных данных
Петров
Олег Алексеевич
- Заместитель министра топлива и энергетики Республики Крым,
Председатель комиссии
Дементиенко Сергей Евгеньевич
- Помощник министра аппарата при руководстве
Третьяк Алина Сергеевна
- Главный специалист отдела организационной работы и делопроизводства управления правовой, кадровой, организационной работы и государственной гражданской службы
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 11.09.2020 |
| Рубрики правового классификатора: | 120.000.000 Информация и информатизация |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
