10.3. В план основных мероприятий по защите информации включаются:
– мероприятия по категорированию и аттестации объектов информатизации;
– работы по защите объектов информатизации от утечки информации по техническим каналам и НСД (созданию СЗСИ);
– мероприятия по контролю состояния защиты информации;
– мероприятия по обучению и повышению квалификации работников, допущенных к обработке ПДн,
10.4. План основных мероприятий по защите информации на очередной календарный год разрабатывается отделом информатизации и ввода данных.
10.5. Согласованный с заинтересованными лицами план основных мероприятий по защите информации утверждается распоряжением начальника Организации не позднее 25 декабря текущего года.
11. Контроль состояния защиты персональных данных
11.2. Контроль состояния защиты ПДн в Организации осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на ПДн и оценки защиты ПДн от технических средств разведки (далее – контроль).
11.3. Контроль заключается в проверке выполнения требований действующего законодательства по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн и осуществляется отделом информатизации и ввода данных, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.
11.4. Контроль эффективности внедренных мер и средств защиты ПДн должен проводиться в соответствии с требованиями предписаний на эксплуатацию технических средств, требований эксплуатационной документации на сертифицированные средства ПДн, требований других нормативных документов не реже одного раза в год.
11.5. Обязательным является контроль средств защиты ПДн при вводе их в эксплуатацию после проведения ремонта средств защиты ПДн при изменениях условий и расположения или эксплуатации.
11.6. Контроль защиты информации организуется начальником Организации.
11.7. К проведению контрольных мероприятий могут привлекаться ответственные работники за эксплуатацию ИСПДн.
11.8. Для проведения некоторых мероприятий контроля (измерение сопротивления защитного заземления, выявление опасных каналов утечки информации, проверка исправности и работоспособности средств защиты информации, оценка эффективности защищенности информации и т.п.) в случае невозможности или экономической нецелесообразности их выполнения силами работников Организации могут привлекаться лицензированные сторонние организации.
11.9. Контроль состояния и эффективности защиты ПДн может осуществляться в соответствии с планом основных мероприятий по защите
информации