Приложение к Постановлению от 09.09.2016 г № 823 Правила
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Раздел 1.Общие положения
1.1.Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора в администрации Нижнетуринского городского округа (далее - администрация), определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации и органах администрации с правами юридического лица (далее - оператор).
1.2.Настоящие Правила разработаны с учетом Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и Постановления Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.3.Настоящие Правила вступают в силу с момента их утверждения распоряжением администрации.
1.4.Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Раздел 2.Обеспечение безопасности персональных данных
2.1.Организация обработки и обеспечение безопасности персональных данных в администрации возлагается на заместителя главы администрации Нижнетуринского городского округа по организационной работе и на муниципальное казенное учреждение "Административно-хозяйственное управление", в органах администрации с правами юридического лица - на руководителей данных органов.
2.2.Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учет машинных носителей персональных данных;
6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановление персональных данных, модифицированных или уничтоженных в результате несанкционированного доступа к ним;
8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершенных с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
2.3.Внедрение и использование технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных производится администратором безопасности.
Раздел 3.Внутренний контроль соответствия обработки персональных данных
3.3.Для целей осуществления внутреннего контроля под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3.4.Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" проводится: членами постоянно действующей технической комиссии по защите информации в администрации и ответственными за организацию работ по защите информации.
3.5.Внутренний контроль предусматривает проведение мероприятий по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в том числе:
1) мероприятия по размещению, охране, организации режима допуска в помещение, где ведется обработка персональных данных;
2) мероприятия по закрытию технических каналов утечки персональных данных при их обработке;
3) мероприятия по защите от несанкционированного доступа к персональным данным;
4) мероприятия по выбору средств защиты персональных данных при их обработке.