План мероприятий по обеспечению защиты пдн На листах. Журнал учета мероприятий по контролю над соблюдением режима защиты пдн
ОБ ОСУЩЕСТВЛЕНИИ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И О ВНУТРЕННИХ ПРОВЕРКАХ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА ИРКУТСКА, от 02 марта 2015 года №031-10-124/5
ОБ ОСУЩЕСТВЛЕНИИ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И О ВНУТРЕННИХ ПРОВЕРКАХ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА ИРКУТСКА
В целях повышения эффективности защиты персональных данных в администрации города Иркутска, руководствуясь ст. 16 Федерального закона от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными актами, операторами, являющимися государственными или муниципальными органами", ст.ст. 37, 38, 42 Устава города Иркутска,
1. Утвердить:
1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (Приложение N 1).
1.2. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (Приложение N 2).
2. Руководителям структурных подразделений администрации города Иркутска в месячный срок с момента подписания настоящего распоряжения ознакомить под роспись сотрудников подведомственного структурного подразделения администрации города Иркутска. Листы ознакомления представить в отдел информационной безопасности и криптографической защиты информации департамента информатизации комитета по экономике администрации г. Иркутска.
3. Контроль за исполнением настоящего распоряжения возложить на заместителя мэра - председателя комитета по экономике администрации г. Иркутска.
И.о. главы администрации города ИркутскаА.Б.ЛОГАШОВ
Приложение N 1. ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА ИРКУТСКА
Приложение N 1к распоряжению администрациигорода Иркутскаот 2 марта 2015 года N 031-10-124/5
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Иркутска (далее - Правила) определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством, в том числе Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами администрации города Иркутска.
1.2. Правила разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21.03.2011 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", иных нормативных правовых актов.
2. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА
2.1. Цель проведения внутреннего контроля состоит в проверке и оценке соответствия обеспечения безопасности персональных данных (далее - ПДн) требованиям действующего законодательства, в том числе Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", политики администрации города Иркутска в отношении обработки ПДн, правовых актов администрации города Иркутска, регулирующих работу с ПДн в структурных подразделениях администрации города Иркутска.
2.2. При проведении контроля используются процедуры документальной проверки, опрос и интервью с руководителями и муниципальными служащими администрации города Иркутска. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего контроля в качестве дополнительного способа может применяться "проверка на месте", которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования.
2.3. При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение того, что:
- политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;
- организационная структура обеспечения безопасности ПДн создана;
- процессы выполнения требований безопасности ПДн исполняются и удовлетворяют поставленным целям;
- защитные меры (межсетевые экраны, средства защиты информации от несанкционированного доступа и т.п.) настроены и используются правильно;
- остаточные риски безопасности ПДн оценены и остаются приемлемыми;
- рекомендации предшествующих проверок реализованы.
2.4. При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учета нештатных ситуаций информационных систем персональных данных (далее - ИСПДн), ведущийся администратором безопасности.
2.5. Ответственный за организацию обработки ПДн для проведения контроля имеет право привлекать администратора безопасности ИСПДн и других сотрудников администрации города Иркутска.
Заместитель мэра - председатель комитетапо экономике администрации г. ИркутскаА.А.АЛЬМУХАМЕДОВ
Начальник отдела информационной безопасностии криптографической защиты информациидепартамента информатизации комитетапо экономике администрации г. ИркутскаЕ.В.ТОРГАШИН
Приложение N 2. ПЛАН ВНУТРЕННИХ ПРОВЕРОК РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА ИРКУТСКА
Приложение N 2к распоряжению администрациигорода Иркутскаот 2 марта 2015 года N 031-10-124/5
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. План внутренних проверок режима защиты персональных данных в администрации города Иркутска (далее - План) содержит перечень мероприятий (внутренних проверок) по проверке режима защиты персональных данных в администрации города Иркутска.
1.2. План содержит следующую информацию:
- название проводимого мероприятия;
- периодичность проведения;
- исполнитель мероприятия.
1.3. План распространяется на все структурные подразделения администрации города Иркутска, в которых осуществляется обработка персональных данных либо имеется доступ к персональным данным.
Руководители структурных подразделений администрации города Иркутска доводят до сведения работников, назначенных ответственными за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска, настоящий План под роспись.
2. МЕРОПРИЯТИЯ ПО ПРОВЕРКЕ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Мероприятия по проверке режима защиты персональных данных имеют следующую периодичность:
- ежедневные мероприятия - мероприятия, предусматривающие постоянный контроль за выполнением требований действующего законодательства ответственным за организацию обработки персональных данных в соответствующем структурном подразделении администрации города Иркутска (далее - ответственный исполнитель) и незамедлительное реагирование на инциденты информационной безопасности;
- еженедельные и ежемесячные мероприятия - мероприятия, предусматривающие проведение мероприятий ответственными исполнителями в один и тот же день недели или месяца. Факт проведения мероприятия должен быть зафиксирован в журнале, указанном в разделе 3 настоящего Плана;
- ежегодные или проводимые раз в несколько лет - мероприятия, предусматривающие проведение мероприятий в четко определенные ответственными исполнителями периоды времени. В ходе мероприятий должны быть учтены результаты проводимых ранее мероприятий по проверке режима защиты персональных данных в данном периоде.
3. ЖУРНАЛ УЧЕТА МЕРОПРИЯТИЙ ПО КОНТРОЛЮ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты персональных данных (далее - Журнал). Форма Журнала представлена в Приложении N 1 к настоящему Плану.
В Журнале отмечаются мероприятия в соответствии с Планом, носящие периодический характер.
В Журнал заносится следующая информация:
- название проведенного мероприятия;
- дата проведенного мероприятия;
- исполнитель мероприятия;
- результат (отчет, действия) мероприятия (при необходимости).
4. ПЛАН ВНУТРЕННИХ ПРОВЕРОК РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
N п/п | Мероприятие | Периодичность | Исполнитель |
1. | Контроль за соблюдением режима защиты персональных данных, политики в отношении обработки персональных данных, за выполнением работниками обязанностей по защите персональных данных, определенных в организационно-распорядительной документации | Ежедневно | Руководитель структурного подразделения администрации города Иркутска, производящего обработку персональных данных (далее - руководитель подразделения).Администратор безопасности информационных систем персональных данных |
2. | Контроль выполнения требований по режиму доступа в защищаемые помещения и на автоматизированные рабочие места, на которых производится обработка персональных данных | Ежедневно | Руководитель подразделения |
3. | Контроль соблюдения правил работы с носителями персональных данных | Ежедневно | Руководитель подразделения |
4. | Контроль целостности средств вычислительной техники, используемых для обработки персональных данных. Контроль корректной работы системного и прикладного программного обеспечения, средств защиты информации.Контроль состава технических средств. | Ежедневно | Пользователь информационной системы персональных данных |
5. | Контроль за соблюдением режима обработки персональных данных | Еженедельно | Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
6. | Пересмотр и, при необходимости, корректировка учетных записей пользователей | Еженедельно | Администратор безопасности информационных систем персональных данных |
7. | Проверка журналов средств защиты информации для своевременного обнаружения фактов несанкционированного доступа к персональным данным | Еженедельно | Администратор безопасности информационных систем персональных данных |
8. | Контроль за выполнением антивирусной защиты, неизменностью настроек средств антивирусной защиты и своевременным обновлением антивирусных баз | Еженедельно | Администратор безопасности информационных систем персональных данных |
9. | Контроль за соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена | Еженедельно | Администратор безопасности информационных систем персональных данных |
10. | Контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации | Еженедельно | Администратор безопасности информационных систем персональных данных |
11. | Контроль за обеспечением резервного копирования, проверка работоспособности резервных копий | Ежемесячно | Администратор безопасности информационных систем персональных данных |
12. | Контроль за соблюдением правил эксплуатации криптосредств, хранения криптосредств, эксплуатационной документации к ним | Ежемесячно | Ответственный пользователь криптосредств |
13. | Поддержание в актуальном состоянии организационно-распорядительных документов | Ежемесячно | Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
14. | Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное программное обеспечение, специально дорабатываемое собственными разработчиками или сторонними организациями | Ежемесячно | Администратор безопасности информационных систем персональных данных |
15. | Контроль установленного (инсталлированного) в информационных системах персональных данных программного обеспечения на предмет соответствия его перечню программного обеспечения, разрешенному к установке в информационной системе персональных данных | Ежемесячно | Администратор информационных систем персональных данных |
16. | Контроль состава технических средств и средств защиты информации, применяемых в информационных системах персональных данных | Ежемесячно | Администратор безопасности информационных систем персональных данных |
17. | Контроль работоспособности, параметров настройки и правильности функционирования средств защиты информации | Ежемесячно | Администратор безопасности информационных систем персональных данных |
18. | Контроль правил генерации и смены паролей пользователей | Раз в три месяца | Администратор безопасности информационных систем персональных данных |
19. | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения | Раз в три месяца | Администратор информационных систем персональных данных |
20. | Проверка наличия машинных носителей информации, содержащей персональные данные | Раз в полгода | Администратор безопасности информационных систем персональных данных |
21. | Проверка знаний и осведомленности работников в области защиты персональных данных | Раз в полгода | Лицо, ответственное за организацию обработки информационных систем персональных данных |
22. | Контроль реализации правил разграничения доступа, полномочий пользователей в информационных системах персональных данных согласно матрице доступа и исполненным заявкам | Раз в полгода | Администратор безопасности информационных систем персональных данных |
23. | Пересмотр модели угроз | ЕжегодноПо факту изменения целей, технологии или иного значимого аспекта информационной безопасностиПо факту обнаружения недостатков в ходе мероприятий по контролю уровня защищенности персональных данных | Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска.Администратор безопасности информационных систем персональных данных |
24. | Пересмотр организационно-распорядительной документации, регламентирующей порядок обработки персональных данных и требования по защите персональных данных, с учетом проводимых мероприятий по контролю | ЕжегодноПо факту изменения целей, технологии или иного значимого аспекта информационной безопасности | Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска. Администратор безопасности информационных систем персональных данных |
25. | Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных | Ежегодно | Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
26. | Поиск и анализ уязвимостей информационных систем персональных данных, и оценка достаточности принятых мер защиты | Ежегодно | Администратор безопасности информационных систем персональных данных |
27. | Обучение и повышение осведомленности работников в области защиты ПДн | ЕжегодноВ случае изменения законодательной базы, внутренних нормативных актов в области защиты персональных данных не позднее одного месяца с момента изменений | Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска |
28. | Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных | Раз в три года | Лицо, ответственное за организацию обработки персональных данных в структурном подразделении администрации города Иркутска. Администратор безопасности информационных систем персональных данныхилиЮридическое лицо или индивидуальный предприниматель, имеющий лицензию на осуществление деятельности по технической защите конфиденциальной информации, привлеченные на договорной основе |
29. | Контроль заведения и удаления учетных записей пользователей | Прием/увольнение работника | Администратор безопасности информационных систем персональных данных |
Заместитель мэра - председатель комитетапо экономике администрации г. ИркутскаА.А.АЛЬМУХАМЕДОВ
Начальник отдела информационной безопасностии криптографической защиты информациидепартамента информатизации комитетапо экономике администрации г. ИркутскаЕ.В.ТОРГАШИН
Приложение N 1. Журнал учета мероприятий по контролю за соблюдением режима защиты персональных данных
Приложение N 1к Плану внутренних проверок режима защиты персональныхданных в администрации города Иркутска
ТИТУЛЬНЫЙ ЛИСТ
Журнал начат "___" _______ 20__ г.
Журнал завершен "___" _______ 20__ г.
Ответственный за заполнение: ______________________________________
(Ф.И.О., должность)
Лист 2
Общие положения
В настоящем журнале отмечаются мероприятия в соответствии с Планом внутренних проверок режима защиты персональных данных, носящих периодический характер.
В настоящий журнал заносится следующая информация:
- название проведенного мероприятия;
- дата проведенного мероприятия;
- исполнитель мероприятия;
- результат (отчет, действия) мероприятия (при необходимости).
Лист 3
N п/п | Мероприятие | Дата | Исполнитель | Результат |
1 | 2 | 3 | 4 | 5 |
Заместитель мэра - председатель комитетапо экономике администрации г. ИркутскаА.А.АЛЬМУХАМЕДОВ
Начальник отдела информационной безопасностии криптографической защиты информациидепартамента информатизации комитетапо экономике администрации г. ИркутскаЕ.В.ТОРГАШИН
docs.cntd.ru
Журнал по учету мероприятий контролю состояния защиты пдн
Editor layout
Classic Columns Bottom results Right results Tabs
General
Dark theme
Line numbers
Wrap lines
Indent with tabs
Code hinting (autocomplete) (beta)
Indent size:2 spaces3 spaces4 spaces
Key map:DefaultSublime TextVIMEMACS
Font size:DefaultBigBiggerJabba
Behavior
Auto-run code
Only auto-run code that validates
Auto-save code (bumps the version)
Auto-close HTML tags
Clear console on run
Live code validation
Highlight matching tags
Boilerplates
Show boilerplates bar less often
jsfiddle.net
Мероприятие | Периодичность | Исполнитель/ Ответственный |
ИСПДн 1 | ||
Организационные мероприятия | ||
Первичная внутренняя проверка | Разовое срок до 01.01.2011 г. | |
Определение перечня ИСПДн | Разовое срок до | |
Определение обрабатываемых ПДн и объектов защиты | Разовое срок до | |
Определение круга лиц участвующих в обработке ПДн | Разовое срок до | |
Определение ответственности лиц участвующих в обработке | Разовое срок до | |
Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей | Разовое срок до | |
Назначение ответственного за безопасность ПДн | Разовое срок до | |
Введение режима защиты ПДн | Разовое срок до | |
Утверждение Концепции информационной безопасности | Разовое срок до | |
Утверждение Политики информационной безопасности | Разовое срок до | |
Собрание коллегиального органа по классификации ИСПДн | Разовое срок до | |
Классификация всех выявленных ИСПДн | Разовое срок до | |
Первичный анализ актуальности УБПДн | Разовое срок до | |
Установление контролируемой зоны вокруг ИСПДн | Разовое срок до | |
Выбор помещений для установки аппаратных средств ИСПДн в помещениях, с целью исключения НСД лиц не допущенных к обработке ПДн | Разовое срок до | |
Организация режима и контроля доступа (охраны) в помещения, в которых установлены аппаратные средства ИСПДн. | Разовое срок до | |
Организация порядка резервного копирования защищаемой информации на твердые носители | Разовое срок до | |
Организация порядка восстановления работоспособности технических средств, ПО, баз данных с подсистем СЗПДн | Разовое срок до | |
Введение в действие инструкции по порядку формирования, распределения и применения паролей | Разовое срок до | |
Организация информирования и обучения сотрудников о порядке обработки ПДн | Разовое срок до | |
Организация информирования и обучения сотрудников о введенном режиме защиты ПДн | Разовое срок до | |
Разработка должностных инструкций о порядке обработки ПДн и обеспечении введенного режима защиты | Разовое срок до | |
Разработка инструкций о порядке работы при подключении к сетям общего пользования и (или) международного обмена | Разовое срок до | |
Разработка инструкций о действии в случае возникновения внештатных ситуаций | Разовое срок до | |
Разработка положения о внесении изменения в штатное программное обеспечение элементов ИСПДн | Разовое срок до | |
Разработка положения о порядке внесения изменений в программное обеспечение собственной разработки или штатное ПО специально дорабатываемое собственными разработчиками или сторонними организациями. Положение должно включать в себя техническое задание на изменения, технический проект, приемо-сдаточные испытания, акт о введении в эксплуатацию. | Разовое срок до | |
Организация журнала учета обращений субъектов ПДн | Разовое срок до | |
Организация перечня по учету технических средств и средств защиты, а так же документации к ним | Разовое срок до | |
Физические мероприятия | ||
Организация постов охраны для пропуска в контролируемую зону | Разовое срок до | |
Внедрение технической системы контроля доступа в контролируемую зону и помещения (по электронным пропускам, токену, биометрическим данным и т.п.) | Разовое срок до | |
Внедрение технической системы контроля доступа к элементам ИСПДн (по электронным пропускам, токену, биометрическим данным и т.п.) | Разовое срок до | |
Внедрение видеонаблюдения | Разовое срок до | |
Установка дверей на входе в помещения с аппаратными средствами ИСПДн | Разовое срок до | |
Установка замков на дверях в помещениях с аппаратными средствами ИСПДн | Разовое срок до | |
Установка жалюзи на окнах | Разовое срок до | |
Установка решеток на окнах первого и последнего этажа здания | Разовое срок до | |
Установка системы пожаротушения в помещениях, где расположены элементы ИСПДн | Разовое срок до | |
Установка систем кондиционирования в помещениях, где расположены аппаратные средства ИСПДн | Разовое срок до | |
Установка систем бесперебойного питания на ключевые элементы ИСПДн | Разовое срок до | |
Внедрение резервных (дублирующих) технических средств ключевых элементов ИСПДн | Разовое срок до | |
Технические (аппаратные и программные) мероприятия | ||
Внедрение единого хранилища зарегистрированных действий пользователей с ПДн | Разовое срок до | |
Внедрение специальной подсистемы управления доступом, регистрации и учета (НАЗВАНИЕ) | Разовое срок до | |
Внедрение антивирусной защиты (НАЗВАНИЕ) | Разовое срок до | |
Внедрение межсетевого экранирования (НАЗВАНИЕ) | Разовое срок до | |
Внедрение подсистемы анализа защищенности (НАЗВАНИЕ) | Разовое срок до | |
Внедрение подсистемы обнаружения вторжений (НАЗВАНИЕ) | Разовое срок до | |
Внедрение криптографической защиты (НАЗВАНИЕ) | Разовое срок до | |
Контролирующие мероприятия | ||
Создание журнал а внутренних проверок и поддержание его в актуальном состоянии | Ежемесячно | |
Контроль над соблюдением режима обработки ПДн | Еженедельно | |
Контроль над соблюдением режима защиты | Ежедневно | |
Контроль над выполнением антивирусной защиты | Еженедельно | |
Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена | Еженедельно | |
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн | Ежегодно | |
Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн | Еженедельно | |
Контроль за обеспечением резервного копирования | Ежемесячно | |
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз | Ежегодно | |
Поддержание в актуальном состоянии нормативно-организационных документов | Ежемесячно | |
Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями. | Ежемесячно |
refdb.ru