Приказ комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию от 10.12.2014 N 159/01-07 о/д "О постоянно действующей комиссии комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации"



КОМИТЕТ СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ

ПРИКАЗ
от 10 декабря 2014 г. № 159/01-07 о/д

О ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ КОМИТЕТА
СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ
ПО ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ

В соответствии с федеральными законами от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказами Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" приказываю:

1. Образовать постоянно действующую комиссию комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации.
2. Утвердить прилагаемые:
2.1. Состав постоянно действующей комиссии комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации.
2.2. Положение о постоянно действующей комиссии комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации.
2.3. Положение о работе с инцидентами информационной безопасности комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
2.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
3. Утвердить прилагаемые формы документов:
3.1. Акта установления уровня защищенности персональных данных информационной системы персональных данных комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
3.2. Акта установления класса защищенности государственной информационной системы комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
4. По результатам работы постоянно действующей комиссии комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации в срок до 01 декабря 2014 года предоставить на утверждение председателю комитета акты установления уровня защищенности персональных данных информационной системы персональных данных, акты установления класса защищенности государственной информационной системы, заключение об оценке вреда субъектам персональных данных комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
5. Контроль за выполнением настоящего приказа оставляю за собой.
6. Настоящий приказ вступает в силу со дня его подписания.

Председатель комитета
Г.П.МИРОНЫЧЕВА





Утвержден
приказом
комитета Ставропольского края по пищевой
и перерабатывающей промышленности,
торговле и лицензированию
от 10 декабря 2014 г. № 159/01-07 о/д

СОСТАВ
ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ КОМИТЕТА СТАВРОПОЛЬСКОГО КРАЯ
ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ
И ЛИЦЕНЗИРОВАНИЮ ПО ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ

ВИДИНЕВА
Ирина Ивановна
заместитель председателя комитета, председатель комиссии
Члены комиссии:
РУДЕНКО
Владимир Валентинович
заместитель председателя комитета - начальник лицензионного отдела
КРАСНОВА
Елена Владимировна
начальник отдела правового и кадрового обеспечения комитета
ЛЮБЧЕНКО
Алевтина Викторовна
начальник отдела финансово-аналитической работы - главный бухгалтер
ТКАЧЕВ
Сергей Владимирович
заведующий сектором мобилизационной работы
СИНЮГИН
Ярослав Сергеевич
ведущий специалист общего отдела комитета, секретарь комиссии





Утверждено
приказом
комитета Ставропольского края по пищевой
и перерабатывающей промышленности,
торговле и лицензированию
от 10 декабря 2014 г. № 159/01-07 о/д

ПОЛОЖЕНИЕ
ПО РАБОТЕ С ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМИТЕТА
СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ

I. Общие положения

1. Настоящее положение по работе с инцидентами информационной безопасности комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию (далее соответственно - Положение, инцидент, комитет) разработано в целях организации работы с инцидентами в комитете.
2. Инцидент - одно событие или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы (далее - ИС) и (или) к возникновению угроз безопасности информации, в том числе персональных данных.
3. Работа с инцидентами помогает определить наиболее актуальные угрозы информационной безопасности и создает обратную связь в системе обеспечения информационной безопасности, что способствует повышению общего уровня защиты информационных ресурсов и информационных систем.
4. Работа с инцидентами включает в себя следующие направления:
1) определение лиц, ответственных за выявление инцидентов и реагирование на них;
2) обнаружение, идентификация и регистрация инцидентов;
3) своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями;
4) анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
5) принятие мер по устранению последствий инцидентов;
6) планирование и принятие мер по предотвращению повторного возникновения инцидентов.
5. Для анализа инцидентов, в том числе определения источников и причин возникновения инцидентов, а также оценки их последствий, планирования и принятия мер по предотвращению повторного возникновения инцидентов приказом комитета назначается постоянно действующая комиссия комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации (далее - комиссия).
6. Ответственными лицами в комитете за выявление инцидентов в НС являются:
1) лица, имеющие право доступа к ИС;
2) ответственный за техническое обслуживание ИС;
3) администратор ИС;
4) администратор информационной безопасности ИС;
5) ответственный за организацию обработки и защиты персональных данных комитета, в случае, если ИС является информационной системой персональных данных (далее - ИСПДн).
7. Ответственными лицами в комитете за реагирование на инциденты в ИС являются:
1) лица, имеющие право доступа к ИС;
2) руководители структурных подразделений комитета, в котором выявлен инцидент;
3) ответственный за техническое обслуживание ИС;
4) администратор ИС;
5) администратор информационной безопасности ИС;
6) ответственный за организацию обработки и защиты персональных данных комитета, в случае, если ИС является информационной системой персональных данных.
8. Ответственными лицами за выявление инцидентов вне ИС являются все работники комитета.
9. Ответственными лицами в комитете за реагирование на инциденты вне ИС являются:
1) работник комитета, обнаруживший инцидент;
2) руководитель структурного подразделения комитета, в котором выявлен инцидент;
3) ответственный за организацию обработки и защиту персональных данных комитета, в случае, если существует угроза безопасности персональных данных.
10. Работа по обнаружению инцидентов в области информационной безопасности включает в себя мероприятия, направленные на:
1) выявление инцидентов в области информационной безопасности с помощью технических средств;
2) выявление инцидентов в области информационной безопасности в ходе контрольных мероприятий;
3) выявление инцидентов с помощью работников комитета.
11. Работа по идентификации инцидентов в области информационной безопасности включает в себя мероприятия, направленные на доведение до работников комитета информации, позволяющей идентифицировать инциденты.
12. Регистрацию инцидентов осуществляет секретарь комиссии в журнале регистрации инцидентов информационной безопасности. Типовая форма журнала утверждается приказом комитета.
13. Хранение журнала осуществляется в местах, исключающих доступ к журналу посторонних лиц. Журнал хранится в течение 5 лет после завершения ведения. Ответственный за ведение и хранение журнала - секретарь комиссии.
14. Работник комитета, обнаруживший инцидент в ИС, должен незамедлительно, любым доступным способом сообщить об инциденте непосредственному руководителю, администратору ИС, администратору информационной безопасности ИС и председателю комиссии.
15. Администратор ИС, в случае необходимости, информирует пользователей ИС о возникновении инцидента и дает указания по дальнейшим действиям.
16. Источниками и причинами возникновения инцидентов в области информационной безопасности являются:
1) действия сторонних организаций и отдельных лиц;
2) отсутствие персональной ответственности работников комитета и их руководителей структурных подразделений за обеспечение информационной безопасности, в том числе персональных данных;
3) недостаточная работа с персоналом по обеспечению необходимого режима соблюдения конфиденциальности, в том числе персональных данных;
4) отсутствие моральной и материальной стимуляции за соблюдение правил и требований информационной безопасности;
5) недостаточная техническая оснащенность подразделений, ответственных за обеспечение информационной безопасности;
6) совмещение функций по разработке и сопровождению или сопровождению и контролю за ИС;
7) наличие привилегированных бесконтрольных пользователей в ИС;
8) пренебрежение правилами и требованиями информационной безопасности работниками комитета.
17. Меры по устранению последствий инцидентов включают в себя мероприятия, направленные на:
1) определение границ инцидента и ущерба от реализации угроз информационной безопасности;
2) ликвидацию последствий инцидента и полное либо частичное возмещение ущерба.
18. Планирование и принятие мер по предотвращению повторного возникновения инцидентов основывается на:
1) планомерной деятельности по повышению уровня осознания информационной безопасности руководством и работниками комитета;
2) проведении мероприятий по обучению работников комитета правилам и способам работы со средствами защиты информационных систем;
3) доведении до сведения работников комитета норм законодательства Российской Федерации в области защиты информации, приказов комитета, устанавливающих ответственность за нарушение требований информационной безопасности;
4) своевременной модернизации системы обеспечения информационной безопасности, с учетом возможности возникновения новых угроз информационной безопасности;
5) своевременном обновлении программного обеспечения, в том числе баз сигнатур антивирусных средств.





Утверждена
приказом
комитета Ставропольского края по пищевой
и перерабатывающей промышленности,
торговле и лицензированию
от 10 декабря 2014 г. № 159/01-07 о/д

Форма

АКТ
установления класса защищенности государственной информационной системы
___________________________________________________________________________
___________________________________________________________________________
(наименование информационной системы)
комитета Ставропольского края по пищевой и перерабатывающей промышленности,
торговле и лицензированию

Постоянно действующая комиссия комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации (далее соответственно - комиссия, комитет) рассмотрела следующие исходные данные:
1) степень возможного ущерба: ____________________;
2) масштаб информационной системы: ____________________;
3) наличие персональных данных: ____________________;
4) информационная система является: ИСПДн-__, обрабатывающей ____________________ персональные данные;
5) информационная система является информационной системой: обрабатывающей персональные данные субъектов персональных данных ____________________;
6) информационная система обрабатывает персональные данные: ____________________ субъектов персональных данных;
7) для информационной системы актуальны угрозы: __________ типа;
8) необходимый уровень защищенности персональных данных - ____________________;
9) структура информационной системы: ____________________;
10) подключения информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: ____________________.
Комиссия определила, что информация, обрабатываемая в государственной информационной системе ____________________, имеет __________ уровень значимости, и, принимая во внимание уровень защищенности обрабатываемых персональных данных, решила установить информационной системе класс защищенности __________ (К_).
Настоящий акт составлен в единственном экземпляре и хранится в общем отделе комитета.





Утверждена
приказом
комитета Ставропольского края по пищевой
и перерабатывающей промышленности,
торговле и лицензированию
от 10 декабря 2014 г. № 159/01-07 о/д

Форма

АКТ
установления уровня защищенности персональных данных информационной системы
персональных данных _______________________________________________________
___________________________________________________________________________
(наименование информационной системы)
комитета Ставропольского края по пищевой и перерабатывающей промышленности,
торговле и лицензированию

Постоянно действующая комиссия комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации (далее соответственно - комиссия, комитет) рассмотрела следующие исходные данные:
1) в информационной системе обрабатываются: ____________________;
2) для информационной системы актуальны угрозы: ____________________.
Комиссия решила установить информационной системе ____________________ комитета необходимость обеспечения __________ уровня защищенности (УЗ_) персональных данных.
Настоящий акт составлен в единственном экземпляре и хранится в общем отделе комитета.





Утверждены
приказом
комитета Ставропольского края по пищевой
и перерабатывающей промышленности,
торговле и лицензированию
от 10 декабря 2014 г. № 159/01-07 о/д

ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ СТАВРОПОЛЬСКОГО КРАЯ
ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ ПРОМЫШЛЕННОСТИ,
ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ

I. Общие положения

1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защите персональных данных в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию (далее - правила) разработаны в соответствии с положениями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и требованием Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 г. "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок организации и осуществления контроля выполнения соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделениях комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию (далее - комитет).
2. Правила обязательны для исполнения всеми должностными лицами комитета, осуществляющими контроль состояния защиты персональных данных.
3. Контроль выполнения соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделениях комитета осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, правильности обработки персональных данных ответственными лицами в структурных подразделениях, а также выработки мер по их устранению и недопущению в дальнейшем.
4. Контроль осуществляет ответственный за организацию обработки и защиты персональных данных комитета (далее - ответственный). Для участия в проведении контроля решением ответственного могут также привлекаться другие специалисты структурных подразделений комитета. В таких случаях контроль носит комплексный характер.
5. Контроль проводится в форме плановых и внеплановых проверок.
6. Внеплановые проверки могут быть контрольными и по частным вопросам.
7. Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.
8. Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов комитета или нарушения требований по обработке и защите персональных данных.
9. Сроки проведения контрольных проверок доводятся руководителям проверяемых подразделений (отделов) не позднее чем за 24 часа до начала проверки.
10. Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых подразделений (отделов).
11. Периодичность и сроки проведения плановых проверок структурных подразделений комитета устанавливаются планом, утвержденным приказом комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию. Сроки проведения плановых проверок доводятся руководителям проверяемых структурных подразделений (отделов) не позднее чем за 10 суток до начала проверки.

II. Порядок подготовки к проверке

12. Для участия в проведении внутреннего контроля (проверки) ответственным за организацию обработки и защиты персональных данных заблаговременно назначаются соответствующие компетентные специалисты (далее - проверяющие лица). В случае проведения проверки комиссией также назначается ее председатель.
13. Председатель комиссии подготавливает в адрес руководителя проверяемого структурного подразделения уведомление о проверке за подписью ответственного за организацию обработки и защиты персональных данных комитета и перечень вопросов проверки (при необходимости). Председатель комиссии распределяет обязанности по проверке конкретных участков работы между проверяющими лицами.
14. Проверяющие лица инструктируются непосредственным руководителем об особенностях работы в конкретном структурном подразделении комитета. За 3 - 4 дня до начала проверки они должны изучить материалы предыдущих проверок данного структурного подразделения, уточнить наличие в нем защищаемых ресурсов, сил и средств защиты персональных данных и их функционирование, а также особенности обработки и перечень обрабатываемых персональных данных в соответствующих структурных подразделениях.

III. Порядок проведения проверки

15. По прибытии в структурное подразделение для проведения проверки председатель комиссии прибывает к руководителю проверяемого структурного подразделения комитета, представляется ему и представляет других прибывших на проверку лиц. При этом согласовываются конкретные вопросы по объему, содержанию, срокам проверки, а также каких должностных лиц структурного подразделения необходимо привлечь к проверке и какие объекты следует посетить. Допуск лиц, прибывших на проверку, к конкретным информационным ресурсам, охраняемым сведениям и техническим средствам производится руководителем структурного подразделения на основании распоряжения о проверке. Подобный допуск должен исключать ознакомление проверяющих лиц с конкретными персональными данными.
16. На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекращать.
17. Руководителем структурного подразделения принимаются необходимые меры для обеспечения работы комиссии по проверке и определяется должностное лицо структурного подразделения, ответственное за обеспечение работы комиссии.
18. В ходе осуществления контроля выполнения требований по обработке и защите персональных данных в структурном подразделении комитета проверке подлежат следующие показатели:
1) В части общей организации работ по обработке персональных данных:
а) соответствие информации, указанной в уведомлении об обработке персональных данных и в положении о порядке обработки персональных данных комитета, реальному положению дел;
б) соответствие обрабатываемой и собираемой информации (персональных данных), их полнота, в соответствии с нормативными правовыми актами и локальными актами, принятыми в комитете;
в) наличие нормативных документов по защите персональных данных;
г) знание нормативных документов работниками, имеющими доступ к персональным данным;
д) полнота и правильность выполнения требований нормативных документов комитета работниками, имеющими доступ к персональным данным;
е) наличие лиц, назначенных ответственным за организацию обработки и защиты персональных данных в структурном подразделении, уровень их профессиональной подготовки и способность выполнить возложенные обязанности;
ж) наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объема персональных данных и сроков обработки целям обработки персональных данных;
з) соответствие схемы контролируемой зоны, перечня мест хранения материальных носителей, перечня лиц, допущенных к обработке персональных данных, фактическому состоянию.
2) В части защиты персональных данных в информационных системах персональных данных (далее - ИСПДн):
а) соответствие средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн: структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных;
б) соблюдение установленного порядка использования средств вычислительной техники ИСПДн;
в) наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах вычислительной техники;
г) соблюдение требований, предъявляемых к паролям ресурсов информационной инфраструктуры;
д) соблюдение требований и правил антивирусной защиты вычислительной техники и программ;
е) контроль журналов учета носителей персональных данных. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);
ж) тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.
3) В части защиты информационных ресурсов и помещений:
а) правильность отнесения обрабатываемой информации к персональным данным;
б) правильность классификации информационной системы;
в) закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности персональных данных в правилах внутреннего трудового распорядка, положениях о структурных подразделениях комитета, должностных регламентах работников и трудовых договорах;
г) порядок передачи персональных данных органам государственной власти, местного самоуправления и сторонним организациям;
д) действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;
е) состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих персональные данные;
ж) выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;
з) соответствие защищаемых помещений их техническим паспортам.
19. Более подробно вопросы, подлежащие проверке, могут раскрываться в отдельных документах (методических рекомендациях, технологических картах, памятках и т.п.).
20. В ходе работы проверяющие лица должны принимать меры по устранению на месте отмечаемых нарушений и недостатков. Для этого с должностными лицами структурного подразделения, ответственными за конкретные участки работы, где отмечались недостатки, одновременно должны проводиться разъяснения требований руководящих документов и оказываться практическая помощь в правильной постановке работы.
21. Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

IV. Оформление результатов проверки

22. Результаты проверки оформляются:
а) актом - при проведении проверки комиссией;
б) служебной запиской - при проведении проверки назначенными специалистами.
23. Акт и/или служебная записка составляется в двух экземплярах, как правило, на месте в структурном подразделении, подписывается председателем и членами комиссии, докладывается под роспись руководителю структурного подразделения (отдела) и представляется на утверждение ответственному за организацию обработки и защиты персональных данных комитета. Один экземпляр документа направляется в структурное подразделение, которое прошло проверку.
24. В случае несогласия с выводами комиссии руководитель структурного подразделения может выразить в письменном виде свое особое мнение (прилагается к акту и/или служебной записке).
25. Результаты проверок структурных подразделений периодически обобщаются ответственным за организацию обработки и защиты персональных данных комитета и доводятся до руководителей структурных подразделений.
26. При необходимости принятия решений по результатам проверок структурных подразделений на имя председателя комитета готовятся соответствующие служебные записки.





Утверждено
приказом
комитета Ставропольского края по пищевой
и перерабатывающей промышленности,
торговле и лицензированию
от 10 декабря 2014 г. № 159/01-07 о/д

ПОЛОЖЕНИЕ
О ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ КОМИТЕТА
СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ ПО ИНФОРМАТИЗАЦИИ
И ЗАЩИТЕ ИНФОРМАЦИИ

I. Общие положения

1. Настоящее Положение о постоянно действующей комиссии комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию по информатизации и защите информации (далее соответственно - положение, комиссия, комитет) устанавливает порядок формирования, обязанности и права комиссии.
2. Комиссия создается в целях исполнения требований федеральных законов от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 года № 152-ФЗ "О персональных данных".
3. Состав комиссии утверждается приказом комитета.
4. Комиссия является постоянно действующим совещательным органом в комитете.

II. Обязанности членов комиссии

5. Обязанности членов комиссии:
1) проведение классификации информационных систем комитета;
2) разработка и внедрение в деятельность комитета нормативных правовых актов, регламентирующих обработку и защиту информации;
3) определение процедур, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в сфере защиты информации;
4) организация, проведение и контроль работ по защите информации;
5) проведение работ по обучению работников комитета в области защиты информации;
6) уничтожение документов, материальных носителей информации, баз данных комитета, содержащих персональные данные;
7) проведение работ по оценке и устранению последствий инцидентов информационной безопасности, определению источников и причин возникновения инцидентов, планированию и принятию мер по предотвращению повторного возникновения инцидентов в соответствии с требованиями Положения по работе с инцидентами информационной безопасности комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию;
8) контроль выполнения соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделениях комитета в соответствии с требованиями Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.

III. Права членов комиссии

6. Члены комиссии имеют право:
1) вносить предложения по улучшению деятельности комитета в сфере обработки и защиты информации;
2) осуществлять взаимодействие с руководителями структурных подразделений комитета по вопросу обработки персональных данных;
3) получать информацию и документы, необходимые для выполнения своих должностных обязанностей;
4) проводить внеочередные проверки соответствия обработки персональных данных в структурных подразделениях комитета в соответствии с требованиями Правил осуществления внутреннего контроля соответствия обработки персональных данных комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию;
5) внесение предложений председателю комитета о приостановке работ в случае обнаружения несанкционированного доступа, утечки информации, а также в случае предпосылок нарушения безопасности информации;
6) привлечение к проведению работ по защите информации в комитете на договорной основе сторонних организаций.


------------------------------------------------------------------