ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО
МЕЖРЕГИОНАЛЬНОЕ ОПЕРАЦИОННОЕ УПРАВЛЕНИЕ
ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА
ПРИКАЗ
от 30 сентября 2020 г. N 351
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В МЕЖРЕГИОНАЛЬНОМ ОПЕРАЦИОННОМ УПРАВЛЕНИИ
ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА
В целях выполнения требований Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211, приказываю:
1. Утвердить прилагаемые документы:
1.1. Перечень информационных систем персональных данных, используемых в Межрегиональном операционном управлении Федерального казначейства, согласно приложению N 1 к настоящему приказу;
1.2. Порядок доступа работников Межрегионального операционного управления Федерального казначейства в помещения, в которых ведется обработка персональных данных, согласно приложению N 2 к настоящему приказу;
1.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федерального казначейства и Межрегионального операционного управления Федерального казначейства, согласно приложению N 3 к настоящему приказу.
2. Работникам отделов Межрегионального операционного управления Федерального казначейства, допущенных установленным порядком к обработке персональных данных, обеспечить соблюдение порядка доступа в помещения, утвержденного подпунктом 1.2 настоящего приказа.
3. Признать утратившими силу следующие приказы Межрегионального операционного УФК:
- от 10 июня 2014 г. N 139 "Об утверждении документов по обработке и защите персональных данных в Межрегиональном операционном управлении Федерального казначейства";
- от 6 декабря 2016 г. N 408 "О внесении изменений в приказ Межрегионального операционного управления Федерального казначейства от 10.06.2014 N 139 "Об утверждении документов по обработке и защите персональных данных в Межрегиональном операционном управлении Федерального казначейства".
4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Межрегионального операционного управления Федерального казначейства Трофимова Д.А.
Руководитель
Н.М.ГОРИНА
Приложение N 1
Утвержден
приказом Межрегионального
операционного УФК
от 30 сентября 2020 г. N 351
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСПОЛЬЗУЕМЫХ
В МЕЖРЕГИОНАЛЬНОМ ОПЕРАЦИОННОМ УПРАВЛЕНИИ
ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА
1. "Система контроля и управления доступом".
2. "Информационная система "Центр-КС".
3. "Подсистема обеспечения информационной безопасности Системы обеспечения безопасности информации Федерального казначейства".
Приложение N 2
Утвержден
приказом Межрегионального
операционного УФК
от 30 сентября 2020 г. N 351
ПОРЯДОК
ДОСТУПА РАБОТНИКОВ МЕЖРЕГИОНАЛЬНОГО ОПЕРАЦИОННОГО УПРАВЛЕНИЯ
ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа работников Межрегионального операционного управления Федерального казначейства в помещения, в которых ведется обработка персональных данных (далее - Порядок), разработан в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
2. Размещение информационных систем, в которых обрабатываются персональные данные, а также обработка персональных данных без использования средств автоматизации, в Межрегиональном операционном УФК осуществляется в охраняемых помещениях.
В случае наличия в здании, помимо Межрегионального операционного УФК, сторонних организаций помещения, в которых ведется обработка персональных данных, оборудуются приспособлением для опечатывания.
Сдачу (вскрытие) помещения под охрану осуществляют работники Межрегионального операционного УФК, работающие в данном помещении.
При сдаче помещения под охрану работники Межрегионального операционного УФК обязаны выполнить следующие мероприятия:
- убрать документы с персональными данными в сейфы (запирающиеся шкафы);
- выключить в установленном порядке компьютерную технику и оргтехнику;
- закрыть окна;
- выключить электроприборы;
- выключить свет;
- закрыть входную дверь на замок и опечатать дверь помещения (при наличии приспособления для опечатывания) личной печатью;
- вложить ключ от входной двери помещения в пенал, опечатать пенал личной печатью и сдать пенал дежурному сотруднику комендатуры по защите Межрегионального операционного УФК < 1 > ;
- сделать запись в журнале приема-сдачи служебных помещений под охрану < 1 > .
При вскрытии помещения, в котором ведется обработка персональных данных, работники, вскрывающие помещение, обязаны выполнить следующие мероприятия:
- получить у дежурного сотрудника комендатуры по защите Межрегионального операционного УФК пенал с ключами от помещения и проверить целостность печати на нем;
- сделать запись в журнале приема сдачи помещений под охрану < 1 > ;
- проверить целостность печати на входной двери помещения (в случае наличия приспособления для опечатывания) < 1 > ;
< 1 > В случае размещения помещения в здании, в котором отсутствует дежурный сотрудник комендатуры по защите Межрегионального операционного УФК, ключи от помещения хранятся у работников отдела, работающих в данном помещении.
- вскрыть помещение;
- проверить отсутствие признаков вскрытия сейфов (шкафов), наличие и целостность компьютерной техники;
- при обнаружении признаков вскрытия сейфов (шкафов), отсутствии или нарушении целостности компьютерной техники работник, вскрывающий помещение, в котором ведется обработка персональных данных, обязан доложить о выявленных нарушениях своему начальнику отдела (лицу его замещающему) и начальнику Отдела режима секретности и безопасности информации (лицу его замещающему).
3. При хранении материальных носителей персональных данных работниками Межрегионального операционного УФК должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
4. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются работники Межрегионального операционного УФК, уполномоченные на обработку персональных данных с учетом Перечня должностей федеральной государственной гражданской службы в Федеральном казначействе, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным, утвержденного приказом Федерального казначейства от 18 декабря 2019 г. N 38н, и Перечня должностей, не являющихся должностями федеральной государственной гражданской службы в Межрегиональном операционном управлении Федерального казначейства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденного приказом Межрегионального операционного УФК от 28 сентября 2020 г. N 346.
5. Ответственными за организацию доступа в помещения Межрегионального операционного УФК, в которых ведется обработка персональных данных, являются начальники отделов Межрегионального операционного УФК, в ведении которых находятся указанные помещения.
6. Работники сторонних организаций, прибывшие в помещение, в котором ведется обработка персональных данных, для выполнения работ в соответствии с заключенным договором (контрактом), допускаются в помещение в присутствии работников данного помещения.
При проведении таких работ работники Межрегионального операционного УФК обязаны принять меры по исключению ознакомления работников сторонних организаций с персональными данными.
7. Работники контролирующих органов допускаются в помещение, в котором ведется обработка персональных данных, при наличии соответствующего документа на проведение контрольных мероприятий, с разрешения руководителя Межрегионального операционного УФК (лица его замещающего) либо ответственного за организацию обработки персональных данных в Межрегиональном операционном УФК, назначенного приказом Межрегионального операционного УФК, в присутствии начальника отдела (лица его замещающего), работники которого работают в данном помещении. Ознакомление с персональными данными лиц, прибывших для проведения контрольных мероприятий, осуществляется в объеме, предусмотренном планом проверки.
Приложение N 3
Утверждены
приказом Межрегионального
операционного УФК
от 30 сентября 2020 г. N 351
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ
ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ",
ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ
АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА
И МЕЖРЕГИОНАЛЬНОГО ОПЕРАЦИОННОГО УПРАВЛЕНИЯ
ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА
I. Общие положения
1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федерального казначейства и Межрегионального операционного управления Федерального казначейства (далее - Правила), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, методы проведения внутреннего контроля соответствия обработки персональных данных субъектов персональных данных требованиям к защите персональных < ... > Межрегиональном операционном УФК.
1.2. Правила распространяются на деятельность работников Межрегионального операционного УФК, включенных в состав комиссии по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", утвержденный приказом Межрегионального операционного УФК (далее - Комиссия по осуществлению внутреннего контроля).
1.3. Требования к защите персональных данных при их обработке установлены:
- Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
- постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
II. Методы и способы осуществления внутреннего контроля
Межрегионального операционного УФК соответствия обработки
персональных данных установленным требованиям
2.1. Внутренний контроль Межрегионального операционного УФК соответствия обработки персональных данных установленным требованиям осуществляется путем проведения плановых и внеплановых проверок деятельности структурных подразделений Межрегионального операционного УФК, осуществляющих обработку персональных данных либо имеющих доступ к персональным данным, а также деятельности структурного подразделения, ответственного за обеспечение защиты персональных данных, организационными мерами и специальными техническими средствами защиты информации, в том числе криптографическими.
2.2. Методом проведения внутреннего контроля Межрегионального операционного УФК соответствия обработки персональных данных установленным требованиям является тематическая проверка деятельности структурных подразделений Межрегионального операционного УФК.
2.3. Способами проведения внутреннего контроля Межрегионального операционного УФК соответствия обработки персональных данных установленным требованиям являются сплошная или выборочная проверка деятельности структурных подразделений Межрегионального операционного УФК.
2.4. При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям предметами внутреннего контроля являются документы, регламентирующие организацию деятельности по обработке персональных данных, процессы и операции, осуществляемые структурными подразделениями Межрегионального операционного УФК, и другие документы.
III. Организация и проведение внутреннего контроля
соответствия обработки персональных данных
установленным требованиям
3.1. Организацию осуществления тематических проверок, установленных настоящими Правилами, обеспечивает Комиссия по осуществлению внутреннего контроля.
Тематические проверки соответствия обработки персональных данных установленным требованиям осуществляются работниками Межрегионального операционного УФК, включенными в состав Комиссии по осуществлению внутреннего контроля.
Председатель Комиссии по осуществлению внутреннего контроля данных инициирует тематические проверки Межрегионального операционного УФК путем издания приказа о проведении тематической проверки на основании годового Плана проведения проверок соответствия обработки персональных данных, утвержденного Комиссией по осуществлению внутреннего контроля, или на основании поступившего письменного обращения субъекта персональных данных или его представителя о нарушении правил обработки персональных данных данного субъекта персональных данных (внеплановые проверки).
В проверке не могут принимать участие работники Межрегионального операционного УФК, включенные в состав Комиссии по осуществлению внутреннего контроля, имеющие заинтересованность в ее результатах.
3.2. Проверка осуществляется в соответствии с программой тематической проверки, утвержденной председателем Комиссии по осуществлению внутреннего контроля до начала проведения проверки.
В ходе осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям могут быть проверены следующие вопросы:
1) Обеспечение разграничения доступа лиц, допущенных к обработке персональных данных, к различным персональным данным.
2) Обеспечение доступа субъектов персональных данных к ознакомлению с документами и информацией, содержащими их персональные данные.
3) Закрепление ответственности должностных лиц за обеспечение защиты персональных данных.
4) Соблюдение мер по исключению несанкционированного, в том числе случайного, доступа к персональным данным посторонних лиц, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
5) Осуществление учета лиц, допущенных к работе с персональными данными в информационной системе.
6) Соблюдение требований по осуществлению обработки персональных данных работниками Межрегионального операционного УФК только в служебных помещениях Межрегионального операционного УФК и на оборудовании, включенном в состав информационной системы персональных данных.
7) Иные вопросы.
При необходимости, а также исходя из конкретных обстоятельств проведения проверки, программа проверки может быть изменена в ходе проверки.
IV. Оформление и реализация результатов тематических
проверок соответствия обработки персональных данных
установленным требованиям
4.1. По результатам каждой тематической проверки Комиссией по осуществлению внутреннего контроля проводится заседание.
По решению председателя Комиссии по осуществлению внутреннего контроля результаты тематических проверок могут быть оформлены с составлением актов проверок. Акт готовится ответственным исполнителем из состава Комиссии по осуществлению внутреннего контроля и рассматривается на заседании Комиссии по осуществлению внутреннего контроля.
Решения, принятые на заседаниях Комиссии по осуществлению внутреннего контроля, оформляются протоколом.