ДЕПАРТАМЕНТ ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
ПРИКАЗ
от 2 июля 2013 года N 909
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
Во исполнение Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Коллегии Администрации Кемеровской области от 14.03.2007 N 68 "Об утверждении Положения о департаменте охраны здоровья населения Кемеровской области", иных нормативных правовых актов, в целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных федеральным законодательством, а также локальными актами департамента охраны здоровья населения Кемеровской области, приказываю:
1. Утвердить прилагаемые правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области.
2. Ознакомить лиц, осуществляющих операции с использованием персональных данных в департаменте охраны здоровья населения Кемеровской области с утвержденными настоящим приказом правилами.
3. Назначить ответственного за организацию обработки персональных данных Гайворонского Д.В.
4. Контроль за исполнением приказа оставляю за собой.
И.о. начальника департамента
О.В.СЕЛЕДЦОВА
ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области (далее - Правила), разработаны с учетом Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных в департаменте охраны здоровья населения Кемеровской области (далее - ДОЗНКО) требованиям к защите персональных данных и действуют постоянно.
1.3. Тематика проверок обработки персональных данных с использованием средств автоматизации.
1.3.1. Соблюдение пользователями информационных систем персональных данных ДОЗНКО парольной политики:
1.3.1.1. Правил формирования пароля;
1.3.1.2. Правил ввода пароля;
1.3.1.3. Правил хранение пароля.
1.3.2. Соблюдение пользователями информационных систем персональных данных ДОЗНКО антивирусной политики:
2.1.2.1. поддержка рабочего состояния антивирусного программного обеспечения;
2.1.2.2. своевременное обновление антивирусного программного обеспечения.
2.1.3. Соблюдение пользователями информационных систем персональных данных ДОЗНКО Правил работы со съемными носителями персональных данных:
2.1.3.1. хранение съемных носителей в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;
2.1.3.2. проверка съемного носителя на наличие вредоносных программ, перед каждым началом работы с ним;
2.1.3.3. исключение копирования с данного носителя файлов сомнительного содержания и установки нелицензионного программного обеспечения;
2.1.3.4. исключение передачи съемного носителя третьим лицам;
2.1.3.5. запрет на оставление съемного носителя включенным/выключенным без присмотра;
2.1.3.6. запрет на обработку информации, содержащейся на съемном носителе в присутствии третьих лиц;
2.1.3.7. запрет на вынос съемного носителя за пределы служебного помещения.
2.1.4. Соблюдение ответственными за криптографические средства защиты информации Правил работы с ними:
2.1.4.1. хранение криптографических средств в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;
2.1.4.2. исключение передачи криптографического средства третьим лицам;
2.1.4.3. запрет на оставление криптографического средства включенным/выключенным без присмотра;
2.1.4.4. запрет на вынос криптографического средства за пределы служебного помещения;
2.1.4.5. запрет на использование для электронной цифровой подписи открытых и закрытых ключей электронной цифровой подписи, если пользователю известно, что эти ключи используются или использовались ранее;
2.1.4.6. запрет на разглашение конфиденциальной информации, к которой пользователи допущены, средства ее защиты, в том числе сведения о криптографических средствах;
2.1.4.7. обязанность сообщать в орган криптографической защиты о ставших пользователям известными попытках третьих лиц получить сведения об используемых криптографических средствах;
2.1.4.8. обязанность немедленно уведомлять орган криптографической защиты о фактах утраты криптографического средства.
2.1.5. Соблюдение порядка доступа в ДОЗНКО, где расположены элементы информационных систем персональных данных:
2.1.5.1. все элементы информационных систем хранятся в индивидуальных ящиках каждого пользователя, запирающихся на ключ, расположенных в кабинетах;
2.1.5.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где используются элементы информационных систем.
2.1.6. Соблюдение порядка резервирования баз данных и хранения резервных копий:
2.1.6.1. наличие актуальных резервных копий;
2.1.6.2. поддержка рабочего состояния систем хранения резервных копий.
2.1.7. Знание пользователей информационных систем персональных данных алгоритма действий во внештатных ситуациях:
2.1.7.1. проведение анкетирования/опроса пользователя о порядке действий во внештатных ситуациях.
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации.
2.2.1. Хранение бумажных носителей с персональными данными:
2.2.1.1. соблюдение хранения бумажных носителей, содержащих персональные данные, в закрываемых шкафах;
2.2.1.2. запрет передачи бумажных носителей, содержащих персональные данные, третьим лицам;
2.2.1.3. запрет выноса бумажных носителей, содержащих персональные данные, за пределы служебного помещения;
2.2.2. Доступ к бумажным носителям с персональными данными:
2.2.2.1. исключение возможности доступа к бумажным носителям, содержащим персональные данные, третьих лиц.
2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными:
2.2.3.1. все бумажные носители хранятся в индивидуальных ящиках каждого пользователя, расположенных в кабинетах;
2.2.3.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где хранятся бумажные носители персональных данных.
3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ДОЗНКО организует раза в три месяца. План проверки утверждается начальником ДОЗНКО (приложение N 1).
3.2. Проверки проводятся по необходимости в соответствии с поручением начальника ДОЗНКО.
3.3. Проверки осуществляются комиссией, образуемой приказом департамента.
3.4. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.
3.5. Результаты каждой проверки заносятся в протокол (приложение N 2). Протокол подписывается всеми членами комиссии.
3.6. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
3.7. Протоколы хранятся у ответственного за организацию обработки персональных данных в ДОЗНКО.
3.8. Ответственный за организацию обработки персональных данных докладывает начальнику ДОЗНКО о результатах проверки и мерах, необходимых для устранения нарушений.
4.1. При проведении проверки председатель комиссии:
4.1.1. осуществляет руководство членами комиссии, а также распределяет между ними обязанности;
4.1.2. устанавливает порядок работы комиссии при проведении проверки;
дает членам комиссии указания, обязательные для исполнения;
4.1.3. взаимодействует с должностными лицами ДОЗНКО;
4.1.4. обеспечивает сохранность и возврат полученных оригиналов документов;
4.1.5. обеспечивает соблюдение членами комиссии установленного режима работы и условий функционирования;
4.1.6. докладывает руководству ДОЗНКО о выявленных фактах грубого нарушения законодательства и иных нормативных правовых актов в сфере защиты персональных данных, а также иных обстоятельствах, требующих немедленного реагирования;
4.1.7. отстраняет от участия в работе комиссии ее членов, недобросовестно относящихся к исполнению возложенных на них обязанностей либо допускающих в процессе проверки нарушения служебной дисциплины, о чем немедленно информирует руководство ДОЗНКО;
4.1.8. отчитывается перед начальником ДОЗНКО о ходе и результатах проведения проверки, о работе членов комиссии, об итогах работы по устранению выявленных комиссией нарушений и недостатков;
4.1.9. несет персональную ответственность за качество организации, подготовки и проведения проверки, объективность и обоснованность ее результатов, выводов и предложений, за осуществление контроля по устранению выявленных комиссией нарушений и недостатков в ходе проверки.
4.2. В случае отсутствия председателя его функции и полномочия в полном объеме выполняет заместитель председателя комиссии.
4.3. В рамках проверки председатель (проверяющий), члены комиссии имеют право:
4.3.1. доступа в кабинеты, при предъявлении соответствующего приказа ДОЗНКО;
4.3.2. требовать и получать все необходимые для достижения целей проверки документы (письменные объяснения и иные материалы);
4.3.3. требовать и получать устные разъяснения по существу проверяемых вопросов;
4.3.4. наблюдать за осуществлением деятельности сотрудников ДОЗНКО, с использованием персональных данных;