Действующий

Об утверждении документов, необходимых для исполнения требований по обеспечению безопасности персональных данных (с изменениями на 29 октября 2024 года)



3. Порядок проведения внутреннего контроля


3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Депфине Югры организуется проведение периодических проверок условий обработки персональных данных в соответствии с Планом внутренних проверок информационных систем персональных данных в Департаменте финансов Ханты-Мансийского автономного округа - Югры (далее - План), который утвержден приказом Депфина Югры.


3.2. Внутренний контроль осуществляется администратором информационной безопасности с периодичностью, указанной в Плане.


3.3. Внеплановый контроль может проводиться при поступлении к администратору информационной безопасности сведений об имеющихся нарушениях, при осуществлении обработки персональных данных и/или предпосылках к утечке персональных данных.


3.4. Внутренний контроль осуществляется непосредственно на автоматизированных рабочих местах ИСПДн (далее - АРМ ИСПДн).


3.5. Результаты внутреннего контроля заносятся в Журнал учета внутренних проверок обеспечения безопасности информационных систем персональных данных (далее - Журнал).


3.6. При выявлении в ходе внутреннего контроля нарушений в Журнале делается запись о необходимых мероприятиях по устранению выявленных нарушений и сроках их устранения.


3.7. На итоговом заседании Постоянно действующей технической комиссии администратор информационной безопасности отчитывается о проведенных внутренних проверках, выявленных нарушениях и мерах, принятых для их устранения


3.8. При проведении внутреннего контроля соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:


актуальность организационно-распорядительных документов, регламентирующих деятельность по защите информации;


порядок и условия применения средств защиты информации;


состояние учета машинных носителей персональных данных;


соблюдение правил доступа к персональным данным;


наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;


своевременное обновление баз антивирусного программного обеспечения;