Правила
осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите персональных данных
в государственном казенном учреждении Самарской области  «Главное управление социальной защиты населения Восточного округа»

1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в государственном казенном учреждении Самарской области «Главное управление социальной защиты населения Восточного округа»(далее – Правила) разработаны в соответствии с требованиями Федерального закона «О персональных данных», во исполнение постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

2. Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных, требованиям к защите персональных данных в государственном казенном учреждении Самарской области «Главное управление социальной защиты населения Восточного округа» требованиям Федерального закона «О персональных данных» (далее – Федеральный закон) и принятыми в соответствии с ним нормативными правовыми актами.

3. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в государственном казенном учреждении Самарской области «Главное управление социальной защиты населения Восточного округа»(далее – ГКУ СО «ГУСЗН Восточного округа») осуществляется в целях изучения и оценки фактического состояния защищенности персональных данных, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.

4. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона.

5. В целях исполнения мер, направленных на обеспечение выполнения обязанностей, предусмотренных пунктом 4 части 1 статьи 18.1 Федерального закона, ГКУ СО «ГУСЗН Восточного округа» осуществляет внутренний контроль соответствия обработки персональных данных установленным требованиям к защите персональных данных путем проведения периодических проверок.

6. Проверки проводятся на основании утверждаемого руководителем (лицом, его замещающим) плана или на основании поступившего в ГКУ СО «ГУСЗН Восточного округа» письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления. Плановая проверка проводится не реже 1 раза в 3 года и должна быть завершена не позднее чем через тридцать дней со дня принятия решения о её проведении.

7. Проверки осуществляются ответственным за организацию обработки персональных данных в ГКУ СО «ГУСЗН Восточного округа» либо комиссией, образуемой по решению руководителя (лица, его замещающего).

8. Проверки проводятся непосредственно на месте обработки персональных данных путем опроса сотрудников, участвующих в процессе обработки персональных данных либо, при необходимости, путем осмотра их рабочих мест.

9. Субъекты, осуществляющие проверки, указанные в п.7 настоящих Правил, имеют право:
- запрашивать у сотрудников информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

10. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных включает проведение следующих работ:
- оценка актуальности нормативных правовых и иных актов ГКУ СО «ГУСЗН Восточного округа» по вопросам обработки персональных данных;
- оценка применения правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- проверка ознакомления сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, нормативными правовыми и иными актами ГКУ СО «ГУСЗН Восточного округа» по вопросам обработки персональных данных;
- определение порядка и условий применения средств защиты информации;
- оценка состояния учета машинных носителей персональных данных;
- обеспечение соблюдения правил доступа к персональным данным;
- проверка наличия (отсутствия) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- осуществление мероприятий по обеспечению целостности персональных данных;
- проверка соблюдения пользователями информационных систем персональных данных (далее – ИСПДн) инструкции по организации парольной защиты;
- проверка соблюдения пользователями ИСПДн инструкции по организации антивирусной защиты;
- соблюдение пользователями ИСПДн Правил работы с криптографическими средствами защиты информации;
- соблюдение пользователями ИСПДн обращения со съемными носителями персональных данных;
- соблюдение порядка доступа в помещения, где расположены элементы ИСПДн;
- соблюдение порядка резервирования баз данных и хранения резервных копий;
- соблюдение порядка работы со средствами защиты информации;
- соблюдение порядка хранения бумажных носителей с персональными данными;
- осуществление доступа к бумажным носителям с персональными данными;
- выявление нарушений установленного порядка обработки персональных данных и своевременное предотвращение негативных последствий таких нарушений;
- принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки персональных данных, так и в работе технических средств ИСПДн;
- разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности персональных данных по результатам контроля.

11. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю докладывает ответственный за организацию обработки персональных данных в ГКУ СО «ГУСЗН Восточного округа» либо председатель комиссии.

12. Результаты проверок оформляются актами и являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности персональных данных в ГКУ СО «ГУСЗН Восточного округа» по модернизации технических средств ИСПДн и средств защиты персональных данных, по обучению и повышению компетентности сотрудников, задействованных в обработке персональных данных.