ПОРЯДОК учета и использования машинных носителей информации, содержащих персональные данные и иную конфиденциальную информацию

ПОРЯДОК

учета и использования машинных носителей информации,содержащих персональные данные и иную конфиденциальную информацию 

 

1. Общие положения

Настоящий Порядокразработан в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 г. «Обинформации, информационных технологиях и о защите информации», Федеральнымзаконом от 27 июля 2006 г.N 152-ФЗ «О персональных данных», ГОСТ Р ИСО/МЭК 17799-2005 «Практическиеправила управления информационной безопасностью» и другими нормативнымиправовыми актами, и устанавливает порядок учета и использования машинных носителейинформации для обработки персональных данных.

 

2. Основные термины, сокращения иопределения

 

Администратор информационной системы – техническийспециалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод изэксплуатации программного обеспечения (ПО) и оборудования вычислительнойтехники.

АРМ – автоматизированноерабочее место пользователя (персональный компьютер (ПК) с прикладным ПО) длявыполнения определенной производственной задачи.

ИБ – информационнаябезопасность – комплекс организационно-технических мероприятий, обеспечивающихконфиденциальность, целостность и доступность информации.

ИС – информационнаясистема – система, обеспечивающая хранение, обработку, преобразование ипередачу информации с использованием компьютерной и другой техники.

Машинный носитель информации  – материальный носитель,используемый для хранения и передачи электронной информации.

ПК – персональный компьютер.

ПО – программное обеспечениевычислительной техники.

ПО вредоносное – ПО или изменения в ПО,приводящие к нарушению конфиденциальности, целостности и доступности критичнойинформации.

Пользователь – работник Оператора,использующий ПК и носители информации для выполнения своих служебныхобязанностей.

 

3. Порядок использования машинных носителейинформации

 

3.1. Под использованием машинных носителейинформации в ИС понимается их подключение к инфраструктуре ИС с цельюобработки, приема/передачи информации между ИС и носителями информации.

3.2. В ИС допускается использование толькоучтенных машинных носителей информации, которые являются собственностьюОператора и подвергаются регулярной ревизии и контролю.

3.3. К машинным носителям конфиденциальнойинформации предъявляются те же требования ИБ, что и для стационарных АРМ(целесообразность дополнительных мер обеспечения ИБ определяетсяадминистраторами ИС).

3.4. Машинные носители конфиденциальнойинформации предоставляются по инициативе Руководителей структурныхподразделений в случаях:

·    необходимости выполнения вновь принятым Пользователем своих должностныхобязанностей;

·    возникновения у Пользователя производственной необходимости.

4. Порядок учета, хранения и обращения сосъемными машинными носителями конфиденциальной информации (персональных данных)

 

4.1. Все находящиеся на хранении и в обращении съемныемашинные носители с конфиденциальной информацией (персональными данными)подлежат учёту.

4.2. Каждый съемный машинный носитель с записанной нанем конфиденциальной информацией (персональными данными) должен иметь этикетку,на которой указывается его уникальный учетный номер.

4.3. Учет и выдачу съемных машинных носителейконфиденциальной информации (персональных данных) осуществляют уполномоченныесотрудники структурных подразделений, на которых возложены функции хранениямашинных носителей персональных данных. Факт выдачи съемного машинного носителяисполнителю фиксируется в журнале учета съемных машинных носителейконфиденциальной информации.

4.4. Пользователи получают учтенный съемный носительот уполномоченного сотрудника для выполнения работ на конкретный срок. Приполучении делаются соответствующие записи в журнале учета. По окончании работПользователь сдает съемный носитель для хранения уполномоченному сотруднику, очем делается соответствующая запись в журнале учета.

4.5. При использовании Пользователямимашинных носителей с конфиденциальной информацией (персональными данными)необходимо:

·    соблюдать требования настоящего Порядка;

·    использовать машинные носители информации исключительно для выполнениясвоих служебных обязанностей;

·    ставить в известность администраторов ИС о любых фактах нарушениятребований настоящего Порядка;

·    бережно относится к машинным носителям конфиденциальной информации(персональных данных);

·    обеспечивать физическую безопасность машинных носителей информации всемиразумными способами;

·    извещать администраторов ИС о фактах утраты (кражи) машинных носителейконфиденциальной информации (персональных данных).

4.6. При использовании машинных носителейконфиденциальной информации (персональных данных) запрещается:

·    использовать носители конфиденциальной информации (персональных данных)в личных целях;

·    передавать носители конфиденциальной информации (персональных данных)другим лицам (за исключением администраторов ИС);

·    хранить съемные носители с конфиденциальной информацией (персональнымиданными) вместе с общедоступными данными, на рабочих столах, либо оставлять ихбез присмотра или передавать на хранение другим лицам;

·    выносить съёмные носители с конфиденциальной информацией (персональнымиданными) из служебных помещений для работы с ними на дому и т. д.

4.7. Любое взаимодействие (обработка,прием/передача информации), инициированное сотрудником между ИС и неучтенными(личными) носителями информации, рассматривается как несанкционированное (заисключением случаев согласованных с администраторами ИС заранее). АдминистраторИС оставляет за собой право блокировать или ограничивать использование машинныхносителей информации.

4.8. В случае выявления фактовнесанкционированного и/или нецелевого использования машинных носителейконфиденциальной информации (персональных данных) инициализируется служебнаяпроверка, проводимая комиссией, состав и полномочия которой определяетсяприказом Оператора. По факту выясненных обстоятельств составляется актрасследования инцидента и передается руководителю структурного подразделениядля принятия мер согласно локальным нормативным актам Оператора и действующемузаконодательству.

4.9. Информация, хранящаяся на машинныхносителях конфиденциальной информации (персональных данных), подлежит обязательнойпроверке на отсутствие вредоносного ПО.

4.10. При отправке или передаче конфиденциальнойинформации (персональных данных) адресатам на съемные машинные носителизаписываются только предназначенные адресатам данные. Отправка конфиденциальнойинформации (персональных данных) адресатам на съемных машинных носителяхосуществляется в порядке, установленном для документов для служебногопользования.

4.11. Вынос съемных машинных носителейконфиденциальной информации (персональных данных) для непосредственной передачиадресату осуществляется только с письменного разрешения руководителяструктурного подразделения.

4.12. В случае утраты или уничтожения съемных машинныхносителей конфиденциальной информации (персональных данных) либо разглашениисодержащихся в них сведений немедленно ставится в известность руководительсоответствующего структурного подразделения. На утраченные носителисоставляется акт. Соответствующие отметки вносятся в журналы учета съемныхносителей конфиденциальной информации (персональных данных).

4.13. Съемные носители конфиденциальной информации(персональных данных), пришедшие в негодность, или отслужившие установленныйсрок, подлежат уничтожению в соответствии с «Порядком уничтожения документов имашинных носителей информации, содержащих персональные данные».

4.14. В случае увольнения или переводаработника в другое структурное подразделение, предоставленные ему машинныеносители конфиденциальной информации (персональных данных) изымаются уполномоченным сотрудникомструктурных подразделений, на которого возложены функции хранения машинныхносителей персональных данных.

5. Ответственность

 

Пользователи и администраторы информационной системы,нарушившие требования настоящего Положения, несут ответственность всоответствии с действующим законодательством и локальными нормативными актамиОператора.