Постановление Администрации города Липецка от 03.08.2015 № 1390

- методику (программу) проверки;

- ответственного исполнителя.

2.3. Плановые и внеплановые внутренние проверки проводятся в структурных подразделениях администрации города Липецка, обрабатывающих персональные данные.

2.4. Общий срок проведения проверки не должен превышать 30 рабочих дней.

2.5. Информация о проведенной проверке, даты ее начала и окончания, а также ее результаты фиксируется в Журнале по учету мероприятий по контролю защищенности информации ограниченного доступа.

3. Порядок проведения внутренних проверок

3.1. Порядок проведения анализа и пересмотра существующих мер по обеспечению безопасности персональных данных в информационных системах

В ходе проведения проверки необходимо:

3.1.1. Определить изменения в базовой конфигурации информационной системы, проверить наличие данных о внесении изменений в документацию на систему защиты информации информационной системы.

3.1.2. Провести анализ произведенных изменений на предмет возникновения дополнительных угроз безопасности информации в информационной системе.

3.1.3. В случае выявления новых источников угроз провести уточнение и дополнение модели угроз безопасности.

3.1.4. Провести соотношение выявленных угроз информационной безопасности с реализованными мерами по защите информации, в случае необходимости применить дополнительные меры по защите.

3.1.5. По результатам анализа измененной модели угроз и выбора необходимых дополнительных мер по обеспечению безопасности - принять решение об обновлении либо модернизации системы защиты информации.

3.1.6. Принять решение о необходимости переаттестации информационной системы или проведении дополнительных аттестационных испытаний.

3.2. Порядок проведения проверки наличия и актуальности внутренней нормативной документации в области обработки и защиты персональных данных

В ходе проведения проверки необходимо:

3.2.1. Проверить наличие в организации и соответствие действующему законодательству РФ необходимой внутренней нормативной базы, регулирующей вопросы обработки и защиты персональных данных.

3.2.2. Проверить наличие доказательств ознакомления работников организации:

- с правилами обработки персональных данных субъектов;

- с другими внутренними нормативными документами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту персональных данных субъектов в администрации города Липецка.

3.2.3. Проверить наличие письменных обязательств о неразглашении персональных данных субъекта и соблюдении правил их обработки работников, допущенных к обработке персональных данных.

3.2.4. Проверить наличие обязательства о неразглашении информации, содержащей персональные данные субъектов, в договорах со сторонними организациями.

3.2.5. Результаты проверки оформляются в виде Акта (составляется в произвольной форме), который содержит:

- описание нарушений и недостатков, выявленных в процессе проверки;

- предложения и рекомендации по снижению рисков, устранению недостатков и повышению эффективности внутреннего контроля.

3.3. Порядок проведения проверки соблюдения режима обработки персональных данных в структурных подразделениях администрации города Липецка

В ходе проведения проверки необходимо:

3.3.1. Установить, какие работники структурного подразделения участвуют в процессе обработки персональных данных.

3.3.2. Определить, все ли работники, фактически участвующие в обработке персональных данных, допущены к обработке согласно распоряжению.

3.3.3. Определить, доведены ли до работников, участвующих в обработке персональных данных, установленные в администрации города Липецка правила работы с ПДн, а также меры по обеспечению безопасности персональных данных при их обработке.

3.3.4. Определить, соблюдают ли указанные выше работники установленные правила обработки персональных данных.

3.3.5. Результаты проверки оформляются в виде Акта (составляется в произвольной форме), в котором дается характеристика проверенного подразделения, указываются выявленные нарушения, их причины, возможные последствия, а также другие сведения, делаются выводы и предложения.

3.4. Порядок проведения проверки соблюдения режима защиты персональных данных при их обработке в информационных системах

В ходе проведения проверки необходимо:

3.4.1. Произвести проверку функционирования и выполнения требований по эксплуатации средств защиты информации.

3.4.2. Проверить ведение журнала регистрации событий безопасности.

3.4.3. Проверить наличие и ведение журналов, используемых для контроля (анализа) защищенности информации ограниченного доступа.

3.4.4. Произвести контроль над выполнением резервного копирования и архивирования информации ограниченного доступа.

3.4.5. Произвести контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена.

3.4.6. Произвести контроль за обновлениями программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы.

3.4.7. Произвести контроль за внесением изменений в программное обеспечение собственной разработки или штатное программное обеспечение, специально дорабатываемое собственными разработчиками или сторонними организациями.

3.4.8. Результаты проверки оформляются в виде Акта (составляется в произвольной форме), который содержит:

- выявленные нарушения и их причины;

- принятые меры по устранению нарушений и предложения по их предотвращению.