Постановление Администрации города Липецка от 03.08.2015 № 1390

              Уведомление о прекращении обработки и удалении

                            персональных данных

Уважаемый(ая) ____________________________________________________________,

                                 (Ф.И.О.)

в связи с _________________________________________________________________

сообщаем  Вам, что администрацией города Липецка прекращена обработка Ваших

персональных       данных       и       Ваши       персональные      данные

___________________________________________________________________________

___________________________________________________________________________

                      (перечень персональных данных)

___________________________________________________________________________

уничтожены.

____________________   __________________   ________________________

      (должность)           (подпись)        (расшифровка подписи)

"__" ____________ 20__ г.

Приложение N 3

к постановлению

администрации

города Липецка

от 03.08.2015 N 1390

ПРАВИЛА

ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В АДМИНИСТРАЦИИ ГОРОДА ЛИПЕЦКА

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Липецка (далее - Правила) определяют виды и порядок проведения внутренних проверок организации обработки и защиты персональных данных субъектов персональных данных (далее - субъекты) в администрации города Липецка.

1.2. Целью внутренних проверок является определение соответствия порядка обработки и защиты персональных данных субъектов действующему законодательству, правовым актам администрации города Липецка по вопросам обработки персональных данных, а также правовых актов, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

1.3. Основные понятия, используемые в настоящих Правилах, соответствуют основным понятиям, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

2. Виды внутренних проверок

2.1. Проверки соответствия обработки персональных данных установленным требованиям в администрации города Липецка проводятся на основании утвержденного распоряжением администрации города Липецка ежегодного плана проведения внутренних проверок (плановые внутренние проверки) или на основании поступившего обращения (запроса) субъекта персональных данных или его представителя либо по запросу уполномоченного органа по защите прав субъектов персональных данных о нарушениях требований действующего законодательства о персональных данных или иных нарушениях прав и свобод субъекта персональных данных (внеплановые внутренние проверки).

2.2. План проведения внутренних проверок содержит перечень плановых внутренних проверок и определяет для каждой из них:

- название проверки;

- периодичность проведения проверки;

- методику (программу) проверки;

- ответственного исполнителя.

2.3. Плановые и внеплановые внутренние проверки проводятся в структурных подразделениях администрации города Липецка, обрабатывающих персональные данные.

2.4. Общий срок проведения проверки не должен превышать 30 рабочих дней.

2.5. Информация о проведенной проверке, даты ее начала и окончания, а также ее результаты фиксируется в Журнале по учету мероприятий по контролю защищенности информации ограниченного доступа.

3. Порядок проведения внутренних проверок

3.1. Порядок проведения анализа и пересмотра существующих мер по обеспечению безопасности персональных данных в информационных системах

В ходе проведения проверки необходимо:

3.1.1. Определить изменения в базовой конфигурации информационной системы, проверить наличие данных о внесении изменений в документацию на систему защиты информации информационной системы.

3.1.2. Провести анализ произведенных изменений на предмет возникновения дополнительных угроз безопасности информации в информационной системе.

3.1.3. В случае выявления новых источников угроз провести уточнение и дополнение модели угроз безопасности.

3.1.4. Провести соотношение выявленных угроз информационной безопасности с реализованными мерами по защите информации, в случае необходимости применить дополнительные меры по защите.

3.1.5. По результатам анализа измененной модели угроз и выбора необходимых дополнительных мер по обеспечению безопасности - принять решение об обновлении либо модернизации системы защиты информации.

3.1.6. Принять решение о необходимости переаттестации информационной системы или проведении дополнительных аттестационных испытаний.

3.2. Порядок проведения проверки наличия и актуальности внутренней нормативной документации в области обработки и защиты персональных данных

В ходе проведения проверки необходимо:

3.2.1. Проверить наличие в организации и соответствие действующему законодательству РФ необходимой внутренней нормативной базы, регулирующей вопросы обработки и защиты персональных данных.

3.2.2. Проверить наличие доказательств ознакомления работников организации:

- с правилами обработки персональных данных субъектов;

- с другими внутренними нормативными документами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту персональных данных субъектов в администрации города Липецка.

3.2.3. Проверить наличие письменных обязательств о неразглашении персональных данных субъекта и соблюдении правил их обработки работников, допущенных к обработке персональных данных.

3.2.4. Проверить наличие обязательства о неразглашении информации, содержащей персональные данные субъектов, в договорах со сторонними организациями.

3.2.5. Результаты проверки оформляются в виде Акта (составляется в произвольной форме), который содержит:

- описание нарушений и недостатков, выявленных в процессе проверки;

- предложения и рекомендации по снижению рисков, устранению недостатков и повышению эффективности внутреннего контроля.

3.3. Порядок проведения проверки соблюдения режима обработки персональных данных в структурных подразделениях администрации города Липецка

В ходе проведения проверки необходимо:

3.3.1. Установить, какие работники структурного подразделения участвуют в процессе обработки персональных данных.

3.3.2. Определить, все ли работники, фактически участвующие в обработке персональных данных, допущены к обработке согласно распоряжению.

3.3.3. Определить, доведены ли до работников, участвующих в обработке персональных данных, установленные в администрации города Липецка правила работы с ПДн, а также меры по обеспечению безопасности персональных данных при их обработке.

3.3.4. Определить, соблюдают ли указанные выше работники установленные правила обработки персональных данных.

3.3.5. Результаты проверки оформляются в виде Акта (составляется в произвольной форме), в котором дается характеристика проверенного подразделения, указываются выявленные нарушения, их причины, возможные последствия, а также другие сведения, делаются выводы и предложения.

3.4. Порядок проведения проверки соблюдения режима защиты персональных данных при их обработке в информационных системах

В ходе проведения проверки необходимо:

3.4.1. Произвести проверку функционирования и выполнения требований по эксплуатации средств защиты информации.

3.4.2. Проверить ведение журнала регистрации событий безопасности.

3.4.3. Проверить наличие и ведение журналов, используемых для контроля (анализа) защищенности информации ограниченного доступа.

3.4.4. Произвести контроль над выполнением резервного копирования и архивирования информации ограниченного доступа.

3.4.5. Произвести контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена.

3.4.6. Произвести контроль за обновлениями программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы.

3.4.7. Произвести контроль за внесением изменений в программное обеспечение собственной разработки или штатное программное обеспечение, специально дорабатываемое собственными разработчиками или сторонними организациями.

3.4.8. Результаты проверки оформляются в виде Акта (составляется в произвольной форме), который содержит:

- выявленные нарушения и их причины;

- принятые меры по устранению нарушений и предложения по их предотвращению.