Приложение N 3. Инструкция по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
Приложение N 3
к правилам осуществления внутреннего
контроля соответствия обработки персональных
данных требованиям к защите персональных данных
Инструкция по учету, выдаче, хранению, обращению с
машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
1.1. Все машинные носители информации, предназначенные для хранения информации ограниченного использования (для служебного использования, персональных данных) подлежат обязательному учету. Каждый съемный носитель с записанной на нем информацией ограниченного доступа должен иметь этикетку, на которой указывается его уникальный учетный номер.
1.3. Машинные носители информации выдаются и принимаются по журналу учета руководителем структурного подразделения.
1.4. Машинные носители информации в обязательном порядке маркируются следующим образом:
— на компакт-дисках (DVD, CD и др.) учетный номер проставляется на лицевой стороне диска специальным маркером;
— на жестком магнитном диске учетный номер проставляется на корпусе. Жесткий магнитный диск учитывается отдельно (в случае съемной конструкции) или в составе системного блока (СБ) автоматизированного рабочего места. В случае учета в составе СБ, на корпус СБ (в удобное для просмотра место) наклеивается бирка с указанием учетного номера, типа, модели машинного носителя, его объема, серийного номера жесткого магнитного диска;
— на носителях информации типа USB Flash-носители на корпус наклеивается бирка с указанием учетного номера носителя и его серийного номера;
— на персональных идентификаторах на корпус наклеивается бирка с указанием учетного номера носителя;
— бирки не должны закрывать заводские номера машинных носителей информации
1.5. Машинные носители информации хранятся в запертом шкафу.
1.6. Пользователям запрещается:
— использовать неучтенные машинные носители информации;
— использовать неучтенные персональные идентификаторы;
— хранить съемные носители с информацией ограниченного доступа вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
— выносить съемные носители с информацией ограниченного доступа из служебных помещений для работы с ними на дому.
1.7. При отправке или передаче информации ограниченного доступа адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка информации ограниченного доступа адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей информации ограниченного доступа для непосредственной передачи адресату осуществляется только с разрешения руководителя структурного подразделения.
1.8. О фактах утраты съемных носителей, содержащих информацию ограниченного доступа, либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель структурного подразделения. На утраченные носители комиссией по организации обработки и защиты персональных данных составляется акт. Соответствующие отметки вносятся в Журнал учета магнитных, оптических и иных носителей информации.
1.9. Съемные носители информации, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с информацией ограниченного доступа осуществляется комиссией по организации обработки и защиты персональных данных. По результатам уничтожения носителей информации составляется акт.
1.10. Сотрудники и лица, выполняющие работы по договорам и контрактам, имеющие отношение к работе с информацией ограниченного доступа или персональным данным, должны быть в обязательном порядке ознакомлены под роспись с настоящей Инструкцией.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 11. Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных
к приказу N 111 от 28 мая 2012 г.
Утверждаю
Начальник
Главного управления по труду и занятости
населения Тверской области
________ Исаев С.А.
«___» _______________ 20___ г.
Инструкция
об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных
1. Настоящая Инструкция устанавливает организацию учета, хранения и выдачи машинных носителей, содержащих персональные данные информационных систем персональных данных Главного управления по труду и занятости населения Тверской области (ИСПДн).
2. Учет, хранение и выдачу машинных носителей персональных данных осуществляют ответственные за эксплуатацию ИСПДн. Данные сотрудники несут личную ответственность за сохранность персональных данных. При увольнении сотрудника, ответственного за учет, хранение и выдачу машинных носителей персональных данных, составляется акт приема-сдачи этих документов, который утверждается Начальником Главного управления по труду и занятости населения Тверской области.
3. Организация учета машинных носителей персональных данных.
Каждый носитель должен иметь этикетку, на которой указывается его уникальный учетный номер. На несъемной части упаковки носителя ПДн указывается:
— отметка «Персональные данные»;
— дата регистрации (день, месяц, год);
— ФИО, должность, подпись сотрудника выполнившего учет.
4. Организация выдачи машинных носителей персональных данных.
Пользователи ИСПДн получают учтенный съемный носитель от уполномоченного сотрудника, для выполнения работ на конкретный срок. При получении делаются соответствующие записи в Журнале учета машинных носителей, содержащих персональные данные. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в Журнале учета машинных носителей, содержащих персональные данные.
5. Организация хранения машинных носителей персональных данных.
6. В случае утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений, немедленно ставится в известность администратор безопасности информации. Соответствующие отметки вносятся в Журнале учета машинных носителей, содержащих персональные данные.
7. Носители, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. По результатам уничтожения носителей составляется Акт уничтожения машинных носителей персональных данных.
8. При передаче средств вычислительной техники ИСПДн сторонним организациям для проведения ремонтно-восстановительных или иных работ, несъемные машинные носители изымаются из состава средств вычислительной техники.
9. Ответственность за выполнение правил эксплуатации машинных носителей персональных данных при выполнении непосредственных работ с носителями несет пользователь ИСПДн.
10. Контроль выполнения пользователями установленных правил эксплуатации машинных носителей персональных данных, осуществляет ответственный за эксплуатацию ИСПДн и администратор безопасности информации в рамках своих должностных обязанностей.
Приложение 4. Правила работы с носителями персональных данных
Приложение 4
к постановлению Администрации г. Сургута
от 5 июня 2015 г. N 3833
Правила
работы с носителями персональных данных
1.2. В настоящих правилах используются следующие термины и определения:
1.3. Настоящие правила являются обязательными для всех пользователей, ведущих обработку персональных данных в информационных системах персональных данных.
2. Учет носителей персональных данных
2.1. Все находящиеся на хранении и в обращении у оператора носители персональных данных подлежат учету. Каждый носитель персональных данных, с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный регистрационный номер.
2.3. Пользователи, участвующие в обработке персональных данных, в случае необходимости получают учтенный носитель персональных данных от уполномоченной организации для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета носителей персональных данных.
2.4. По окончании работ пользователь сдает носитель персональных данных для хранения уполномоченной организации, о чем делается соответствующая запись в журнале учета.
3. Хранение носителей персональных данных
3.1. По окончании рабочего дня все носители персональных данных, содержащие персональные данные, помещаются в хранилище носителей персональных данных. Исключение составляют носители, персональные данные с которых или на которых формируются или обрабатываются в данный момент на рабочем месте.
3.2. Хранилище носителей персональных данных запирается на ключ и опечатывается, при этом доступ посторонних лиц к ключу и печати должен быть исключен.
3.3. Перед вскрытием хранилища носителей персональных данных необходимо проверить целостность печати на хранилище.
3.4. В случае обнаружения повреждений оттиска печати на хранилище, утраты печати или ключа от хранилища необходимо незамедлительно сообщить ответственному за организацию обработки персональных данных.
3.5. За сохранность конкретного носителя персональных данных отвечает пользователь, получивший этот носитель в пользование под расписку в журнале учета.
— хранение носителей персональных данных вместе с носителями открытой информации, на рабочих столах либо оставление их без присмотра или передача на хранение другим лицам;
— вынос носителей персональных данных из служебных помещений для работы с ними на дому, в гостиницах и так далее.
3.7. Командируемым работникам под их личную ответственность с письменного разрешения руководителя оператора разрешается иметь при себе в пути следования носители персональных данных.
4. Передача носителей персональных данных
4.1. Передача носителей персональных данных от одного пользователя другому производится с обязательной отметкой в журнале учета.
4.2. При отправке или передаче носителей персональных данных адресатам на носители записываются только предназначенные адресатам данные.
4.3. Вынос носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя оператора.
4.4. Передача носителей персональных данных в другие организации производится курьерской службой, а также заказными почтовыми отправлениями. При пересылке носителей персональных данных почтовыми отправлениями они должны быть помещены в дополнительный конверт.
4.5. Персональные данные запрещается передавать по каналам факсимильной связи, с использованием глобальных сетей без использования мер защиты.
5. Утрата носителей персональных данных
5.1. О фактах утраты носителей персональных данных либо разглашения содержащихся на них сведений немедленно ставится в известность ответственный за организацию обработки персональных данных.
5.2. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета носителей персональных данных.
5.3. По факту утраты носителей персональных данных проводится служебное расследование и составляется акт, который представляется ответственному за организацию обработки персональных данных, для принятия решения.
6. Уничтожение носителей персональных данных
6.1. Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
6.2. Уничтожение носителей персональных данных производится соответствующей комиссией, осуществляющей уничтожение носителей персональных данных и иной конфиденциальной информации, находящейся на программно-технических средствах ИСПДн.
6.3. Состав комиссии утверждается приказом руководителя оператора.
6.4. В состав комиссии должен входить сотрудник уполномоченной организации.
6.5. По окончании сроков хранения носители персональных данных, подлежащие уничтожению, физически уничтожаются с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя персональных данных или его сжигания. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске, удаляются путем многократной перезаписи файлов случайными символами.
6.6. Перед утилизацией оборудования все его компоненты, включая носители информации, например, жесткие диски, необходимо проверять, чтобы гарантировать, что персональные данные и лицензированное программное обеспечение были удалены.
6.7. Поврежденные носители могут потребовать оценки рисков, для того чтобы определить, следует ли их уничтожить или ремонтировать.
6.8. В случае допустимости повторного использования носителя формата FDD, CD-RW, DVD-RW, flash-носителей применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
6.9. По результатам уничтожения носителей персональных данных комиссией составляется и подписывается соответствующий акт об уничтожении носителей.
6.10. В течение трех дней после составления акты об уничтожении направляются комиссией на утверждение руководителю оператора.
6.11. Факт уничтожения носителей персональных данных фиксируется в журнале учета с указанием даты и номера акта уничтожения. Данный журнал является документом конфиденциального характера.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 3. Положение о порядке учета, хранения и обращения со съемными носителями персональных данных
к приказу начальника Госадмтехнадзора
от 29 апреля 2016 г. N 35-Пр-о
Положение
о порядке учета, хранения и обращения со съемными носителями персональных данных
Действие настоящего Положения об учете съемных носителей ПДн распространяется на всех должностных лиц Госадмтехнадзора Московской области.
2. Основные термины, сокращения и определения
3. Порядок использования машинных носителей информации
3.1. Под использованием машинных носителей информации в ИС понимается их подключение к инфраструктуре ИС с целью обработки ПДн и обмена информацией между ИС и носителями информации.
3.2. В ИС допускается использование только учтенных машинных носителей информации, которые являются собственностью Госадмтехнадзора Московской области и подвергаются регулярной ревизии и контролю.
3.3. К машинным носителям ПДн предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).
3.4. Машинные носители конфиденциальной информации для должностных лиц Госадмтехнадзора Московской области предоставляются по инициативе руководителей их структурных подразделений в случаях:
необходимости выполнения новым Пользователем своих должностных обязанностей;
возникновения у Пользователя производственной необходимости.
4. Порядок учета, хранения и обращения со съемными машинными носителями персональных данных
4.1. Все находящиеся на хранении и в обращении съемные машинные носители с ПДн подлежат учёту.
4.2. Каждый съемный машинный носитель ПДн должен иметь этикетку, на которой указывается его уникальный учетный номер.
4.3. Учет и выдача съемных машинных носителей ПДн осуществляются уполномоченными должностными лицами структурных подразделений Госадмтехнадзора Московской области. Факт выдачи съемного машинного носителя исполнителю фиксируется в Журнале учета машинных носителей конфиденциальной информации (приложение N 15 к Приказу) (Журнал).
4.4. Пользователи получают учтенные съемные машинные носители ПДн от уполномоченных должностных лиц структурных подразделений Госадмтехнадзора Московской области на время выполнения соответствующих работ, по окончании которых данные носители подлежат возврату. Факты выдачи и возврата съемных носителей ПДн фиксируются в Журнале.
4.5. При использовании Пользователями машинных носителей ПДн необходимо:
соблюдать требования настоящего Положения;
использовать машинные носители информации ПДн исключительно для выполнения своих служебных обязанностей;
ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения;
бережно относится к машинным носителям ПДн;
обеспечивать безопасность машинных носителей ПДн информации всеми возможными способами;
извещать администраторов ИС о фактах утраты (кражи) машинных носителей ПДн.
4.6. При использовании машинных носителей ПДн запрещается: использовать их в личных целях;
передавать их другим лицам (за исключением администраторов ИС); хранить их вместе с общедоступными данными на рабочих столах либо оставлять без присмотра или передавать на хранение другим лицам; выносить их из служебных помещений для работы на дому.
4.7. Любое взаимодействие (обработка, прием и передача информации), инициированное должностным лицом между ИС и неучтенными носителями информации, рассматривается как несанкционированное. Администратор ИС оставляет за собой право блокировать или ограничивать использование машинных носителей ПДн.
4.8. В случае выявления фактов несанкционированного и (или) нецелевого использования машинных носителей ПДн инициируется служебная проверка, проводимая комиссией, состав и полномочия которой определяется приказом Госадмтехнадзора Московской области. По результатам служебной проверки составляется акт расследования инцидента (приложение N 23) и передается руководителю структурного подразделения для принятия мер в соответствии с действующим законодательством Российской Федерации.
ГАРАНТ:
По-видимому, в предыдущем абзаце допущена опечатка. В настоящем Приказе не содержится приложение N 23
4.9. Информация, хранящаяся на машинных носителях ПДн, подлежит обязательной проверке на предмет отсутствия вредоносного программного обеспечения.
4.10. При отправке или передаче ПДн адресатам на съемные машинные носители записываются только предназначенные им данные. Отправка ПДн адресатам на съемных машинных носителях осуществляется в порядке, установленном для документов для служебного пользования.
4.11. Вынос съемных машинных носителей ПДн для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.
4.12. В случае утраты или несанкционированного уничтожения съемных машинных носителей ПДн, а также разглашения содержащихся на них сведений, необходимо немедленно поставить в известность руководителя соответствующего структурного подразделения. По факту утраты составляется акт расследования инцидента и в журналы учета съемных носителей ПДн вносятся соответствующие отметки.
4.13. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению.
4.14. В случае увольнения или перевода должностного лица в другое структурное подразделение предоставленные ему машинные носители ПДн необходимо сдать уполномоченному лицу своего структурного подразделения. Уполномоченное лицо должно предпринять одно из следующих мер, направленных на невозможность несанкционированного доступа хранящейся на нем защищаемой информации:
уничтожить машинные носители ПДн с составлением соответствующего акта об уничтожении;
удалить информацию, содержащуюся на машинных носителях ПДн, с помощью специального программного обеспечения сертифицированного ФСТЭК России с составлением соответствующего акта об уничтожении (очистке);
сдать в архив или перерегистрировать машинные носители ПДн на структурное подразделение и сделать соответствующую отметку в Журнале.
Пользователи и администраторы информационной системы, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством Российской Федерации.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Документы по персональным данным необходимые в 2021 году
Как еще может называться данный документ:
Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.
Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.
Как еще может называться данный документ:
Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.
Как еще может называться данный документ:
Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.
Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.
Как еще может называться данный документ:
Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.
Зачем нужен документ:
Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.
Зачем нужен документ:
Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.
Зачем нужен документ:
Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.
Как еще может называться данный документ:
Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
Зачем нужен документ:
Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.
Как еще может называться данный документ:
Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:
— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)
Как еще может называться данный документ:
От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.
С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.
Зачем нужен документ:
Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.
Зачем нужен документ:
Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.
Зачем нужен документ:
Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.
Зачем нужен документ:
Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.
Как еще может называться данный документ:
В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.
Как еще может называться данный документ:
Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.