план внутренних проверок условий обработки персональных данных образец
Как подготовиться к проверке РКН по персональным данным: полное руководство
О нас
Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Чего там нового в законодательстве?
По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.
242-ФЗ
Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.
Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.
В 242-ФЗ были очень важные в контексте проводимых РКН проверок по персональным данным изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.
Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.
13.11 КоАП РФ
Другое важное законодательное изменение это изменение статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья 13.11 не разбивалась на части, и максимальный штраф был предусмотрен в размере 10 тысяч рублей для юридических лиц. Сейчас же здесь имеется 7 частей (да еще и планируется расширение), по одной из которых (нарушение правил обработки специальных категорий персональных данных) предусмотрен максимальный штраф для юридических лиц – 75 000 рублей. К тому же, при выявлении проверяющими разных нарушений – наказания по разным частям статьи КоАП теоретически могут складываться. Почему «теоретически»? Раньше на сайтах региональных управлений РКН в разделе «Новости» постоянно публиковались новости о том, что регулятор проверил условно 3 организации на выполнение законодательства о персональных данных, у организации №1 все хорошо, организацию №2 оштрафовали на 3 тысячи рублей, организацию №3 оштрафовали на 5 тысяч рублей. Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение 152-ФЗ после изменений в 13.11 КоАП РФ, то можете поделиться такой информацией в комментариях.
Здесь стоит сразу отметить, что в первоначальном тексте законопроекта по изменению статьи 13.11 КоАП РФ изначально фигурировали более значительные суммы штрафов, например, там где в итоге максимальный штраф был установлен в 75 000 рублей, изначально планировалось наказывать аж на 300 000 рублей. Солидно, но до сумм за нарушение GDPR все равно далеко. Но, несмотря на то, что суммы штрафов в итоге сильно уменьшились, к сожалению, некоторые продавцы услуг по защите персональных данных до сих пор пытаются запугать цифрой «300 000». Будьте бдительны.
Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.
Виды проверок
Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.
В целом, проверки можно разделить на 2 вида: документарные и выездные.
Документарные проверки
Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД.
Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.
Итак, вы получили такое письмо от Роскомнадзора, что делать?
На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.
Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2016 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».
Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.
Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.
Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.
Выездные проверки
Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:
Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки («терять» ключ от кабинета с документами и тому подобные уловки). Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в 2015-2016 годах. Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование.
Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из 152-ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные неправомерные замечания проверяющих.
В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
Как проверить наличие уведомления в реестре и что делать дальше
Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.
Дальше ваши действия должны выглядеть примерно следующим образом.
Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.
Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.
Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.
Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:
После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.
Документация к проверке
Хотелось оставить этот торжественный момент на конец статьи. Но что уж там, раз уже перешли к разговору о комплекте необходимой документации, то вот ссылка на наш комплект шаблонов. В архиве 4 папки и шаблон «Модели угроз». Здесь мы будем говорить только о документах из папок «Общее» и «ПДн». «Общее» — это документы, которые могут применяться плюс-минус для любых информационных систем, а «ПДн» это чисто роскомнадзоровская часть. Полное описание состава документов в архиве можно посмотреть у нас на сайте.
Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.
Состав документов
Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.
В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».
О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.
Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
…
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.
Если есть ответственный, то ему полагается инструкция – за что он отвечает, и какие у него есть права и полномочия. Часто такую инструкцию называют «должностной», что на наш взгляд в большинстве случаев не совсем правильно. Ведь «ответственный за организацию обработки персональных данных» это, как правило, не отдельная должность, а лишь дополнительная обязанность, которая возлагается на того или иного сотрудника.
В общем и целом нам необходимо досконально изучить законодательство по защите персональных данных, выискивая намеки на необходимость наличия различных документов. При этом можно написать одно «Положение об обработке и защите персональных данных», а можно сделать отдельно «Положение об обработке. » и «Положение о защите. ». Здесь уже как кому больше нравится.
Содержание документов
Хорошо, с составом документов понятно, а что там с содержанием? А с этим еще хуже. Есть редкие рекомендации регуляторов, как например здесь, но это скорее исключения. В целом здесь можно дать такие общие рекомендации:
Заключение
Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.
А еще у нас есть учебный центр! Ближайшие курсы состоятся 20 мая и 22 мая по продуктам FortiGate. С полным списком учебных курсов можно ознакомиться здесь. Да, мы находимся во Владивостоке, но у нас есть большой опыт организации выездных курсов.
Приложение N 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
Утверждены
приказом Министерства строительства
и жилищно-коммунального хозяйства
Российской Федерации
от 30.01.2019 г. N 61/пр
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных Требованиям к защите персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
3. Проверки проводятся в Минстрое России на основании ежегодного плана (плановые проверки) или на основании поступившего в Минстрой России письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
4. В плане по каждой проверке устанавливаются объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
5. Проверки проводятся Комиссией, создаваемой в соответствии с приказом Минстроя России. В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в ее результатах.
6. Основанием для проведения внеплановой проверки является поступившее в Минстрой России письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
7. Проведение внеплановой проверки организуется в течение пяти рабочих дней с момента поступления обращения.
8. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
10. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.
11. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
План внутренних проверок условий обработки персональных данных образец
ДЕПАРТАМЕНТ ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
от 2 июля 2013 года N 909
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
Во исполнение Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Коллегии Администрации Кемеровской области от 14.03.2007 N 68 «Об утверждении Положения о департаменте охраны здоровья населения Кемеровской области», иных нормативных правовых актов, в целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных федеральным законодательством, а также локальными актами департамента охраны здоровья населения Кемеровской области, приказываю:
1. Утвердить прилагаемые правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области.
2. Ознакомить лиц, осуществляющих операции с использованием персональных данных в департаменте охраны здоровья населения Кемеровской области с утвержденными настоящим приказом правилами.
3. Назначить ответственного за организацию обработки персональных данных Гайворонского Д.В.
4. Контроль за исполнением приказа оставляю за собой.
И.о. начальника департамента
О.В.СЕЛЕДЦОВА
Приложение
к приказу
департамента охраны
здоровья населения
Кемеровской области
от 2 июля 2013 года N 909
ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
1. Общие положения
2. Тематика внутреннего контроля
1.3. Тематика проверок обработки персональных данных с использованием средств автоматизации.
1.3.1. Соблюдение пользователями информационных систем персональных данных ДОЗНКО парольной политики:
1.3.1.1. Правил формирования пароля;
1.3.1.2. Правил ввода пароля;
1.3.1.3. Правил хранение пароля.
1.3.2. Соблюдение пользователями информационных систем персональных данных ДОЗНКО антивирусной политики:
2.1.2.1. поддержка рабочего состояния антивирусного программного обеспечения;
2.1.2.2. своевременное обновление антивирусного программного обеспечения.
2.1.3. Соблюдение пользователями информационных систем персональных данных ДОЗНКО Правил работы со съемными носителями персональных данных:
2.1.3.1. хранение съемных носителей в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;
2.1.3.2. проверка съемного носителя на наличие вредоносных программ, перед каждым началом работы с ним;
2.1.3.3. исключение копирования с данного носителя файлов сомнительного содержания и установки нелицензионного программного обеспечения;
2.1.3.4. исключение передачи съемного носителя третьим лицам;
2.1.3.5. запрет на оставление съемного носителя включенным/выключенным без присмотра;
2.1.3.6. запрет на обработку информации, содержащейся на съемном носителе в присутствии третьих лиц;
2.1.3.7. запрет на вынос съемного носителя за пределы служебного помещения.
2.1.4. Соблюдение ответственными за криптографические средства защиты информации Правил работы с ними:
2.1.4.1. хранение криптографических средств в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;
2.1.4.2. исключение передачи криптографического средства третьим лицам;
2.1.4.3. запрет на оставление криптографического средства включенным/выключенным без присмотра;
2.1.4.4. запрет на вынос криптографического средства за пределы служебного помещения;
2.1.4.5. запрет на использование для электронной цифровой подписи открытых и закрытых ключей электронной цифровой подписи, если пользователю известно, что эти ключи используются или использовались ранее;
2.1.4.6. запрет на разглашение конфиденциальной информации, к которой пользователи допущены, средства ее защиты, в том числе сведения о криптографических средствах;
2.1.4.7. обязанность сообщать в орган криптографической защиты о ставших пользователям известными попытках третьих лиц получить сведения об используемых криптографических средствах;
2.1.4.8. обязанность немедленно уведомлять орган криптографической защиты о фактах утраты криптографического средства.
2.1.5. Соблюдение порядка доступа в ДОЗНКО, где расположены элементы информационных систем персональных данных:
2.1.5.1. все элементы информационных систем хранятся в индивидуальных ящиках каждого пользователя, запирающихся на ключ, расположенных в кабинетах;
2.1.5.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где используются элементы информационных систем.
2.1.6. Соблюдение порядка резервирования баз данных и хранения резервных копий:
2.1.6.1. наличие актуальных резервных копий;
2.1.6.2. поддержка рабочего состояния систем хранения резервных копий.
2.1.7. Знание пользователей информационных систем персональных данных алгоритма действий во внештатных ситуациях:
2.1.7.1. проведение анкетирования/опроса пользователя о порядке действий во внештатных ситуациях.
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации.
2.2.1. Хранение бумажных носителей с персональными данными:
2.2.1.1. соблюдение хранения бумажных носителей, содержащих персональные данные, в закрываемых шкафах;
2.2.1.2. запрет передачи бумажных носителей, содержащих персональные данные, третьим лицам;
2.2.1.3. запрет выноса бумажных носителей, содержащих персональные данные, за пределы служебного помещения;
2.2.2. Доступ к бумажным носителям с персональными данными:
2.2.2.1. исключение возможности доступа к бумажным носителям, содержащим персональные данные, третьих лиц.
2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными:
2.2.3.1. все бумажные носители хранятся в индивидуальных ящиках каждого пользователя, расположенных в кабинетах;
2.2.3.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где хранятся бумажные носители персональных данных.
3. Порядок проведения проверок условий обработки персональных данных
3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ДОЗНКО организует раза в три месяца. План проверки утверждается начальником ДОЗНКО (приложение N 1).
3.2. Проверки проводятся по необходимости в соответствии с поручением начальника ДОЗНКО.
3.3. Проверки осуществляются комиссией, образуемой приказом департамента.
3.4. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.
3.5. Результаты каждой проверки заносятся в протокол (приложение N 2). Протокол подписывается всеми членами комиссии.
3.6. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
3.7. Протоколы хранятся у ответственного за организацию обработки персональных данных в ДОЗНКО.
3.8. Ответственный за организацию обработки персональных данных докладывает начальнику ДОЗНКО о результатах проверки и мерах, необходимых для устранения нарушений.
4. Права и обязанности комиссии при проведении проверки
4.1. При проведении проверки председатель комиссии:
4.1.1. осуществляет руководство членами комиссии, а также распределяет между ними обязанности;
4.1.2. устанавливает порядок работы комиссии при проведении проверки;
дает членам комиссии указания, обязательные для исполнения;
4.1.3. взаимодействует с должностными лицами ДОЗНКО;
4.1.4. обеспечивает сохранность и возврат полученных оригиналов документов;
4.1.5. обеспечивает соблюдение членами комиссии установленного режима работы и условий функционирования;
4.1.6. докладывает руководству ДОЗНКО о выявленных фактах грубого нарушения законодательства и иных нормативных правовых актов в сфере защиты персональных данных, а также иных обстоятельствах, требующих немедленного реагирования;
4.1.7. отстраняет от участия в работе комиссии ее членов, недобросовестно относящихся к исполнению возложенных на них обязанностей либо допускающих в процессе проверки нарушения служебной дисциплины, о чем немедленно информирует руководство ДОЗНКО;
4.1.8. отчитывается перед начальником ДОЗНКО о ходе и результатах проведения проверки, о работе членов комиссии, об итогах работы по устранению выявленных комиссией нарушений и недостатков;
4.1.9. несет персональную ответственность за качество организации, подготовки и проведения проверки, объективность и обоснованность ее результатов, выводов и предложений, за осуществление контроля по устранению выявленных комиссией нарушений и недостатков в ходе проверки.
4.2. В случае отсутствия председателя его функции и полномочия в полном объеме выполняет заместитель председателя комиссии.
4.3. В рамках проверки председатель (проверяющий), члены комиссии имеют право:
4.3.1. доступа в кабинеты, при предъявлении соответствующего приказа ДОЗНКО;
4.3.2. требовать и получать все необходимые для достижения целей проверки документы (письменные объяснения и иные материалы);
4.3.3. требовать и получать устные разъяснения по существу проверяемых вопросов;
4.3.4. наблюдать за осуществлением деятельности сотрудников ДОЗНКО, с использованием персональных данных;