Приложение 23. Порядок организации работы с электронными носителями конфиденциальной информации в Министерстве сельского хозяйства Алтайского края. Приказ Министерства сельского хозяйства Алтайского края от 12.10.2023 N 119 "Об осуществлении мероприятий по защите персональных данных"

Приложение 23

УТВЕРЖДЕНО
приказом Министерства
сельского хозяйства
Алтайского края
от 12.10.2023 N 119

Порядок
организации работы с электронными носителями конфиденциальной информации в Министерстве сельского хозяйства Алтайского края

1. Перечень используемых определений, обозначений и сокращений

В настоящем Порядке используются следующие определения, обозначения и сокращения:

АИБ - администратор информационной безопасности;

ИС - информационная система;

КИ - конфиденциальная информация;

НЖМД - накопитель на жёстких магнитных дисках;

СВТ - средства вычислительной техники;

администратор информационной безопасности - сотрудник Министерства сельского хозяйства Алтайского края, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющий работы по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

2. Общие положения

2.1. Настоящий Порядок устанавливает основные требования к организации учета, использования, передачи и уничтожения электронных носителей информации (далее - "носители"), предназначенных для обработки КИ в Министерстве сельского хозяйства Алтайского края (далее - "Министерство").

2.2. Под электронными носителями информации в данном документе понимаются:

гибкие магнитные диски;

CD- и DVD-диски;

USB флеш-диски";

НЖМД и другие.

2.3. Ответственность за организацию учета, использования, передачи и уничтожения носителей, предназначенных для обработки и хранения КИ, затирание (удаление) информации возлагается на администратора информационной безопасности (АИБ).

2.4. Положения данного Порядка обязательны для сотрудников Министерства, которые в ходе выполнения своих должностных обязанностей используют носители КИ, а также имеющими допуск к обработке КИ.

3. Учёт и хранение электронных носителей информации

3.1. Учёту подлежат все носители информации, находящиеся в распоряжении Министерства и предназначенные для хранения КИ.

3.2. Носители учитываются в специальном регистрации и учета электронных носителей конфиденциальной информации, в котором непосредственно производится регистрация и учёт носителей.

3.3. Регистрацию и учет носителей информации осуществляет АИБ.

3.4. Учётный номер носителя состоит из сокращенного наименования подразделения (отдела) и порядкового номера по журналу регистрации через дефис (пример: уч. N ОБ-1/К, где ОБ - отдел бухгалтерии, 1 - порядковый номер в журнале, К - "конфиденциально").

3.5. В случае отсутствия утвержденных сокращений названий подразделений учетный номер носителя состоит из порядкового номера по журналу регистрации (пример: уч. N 01/К, где 01 - порядковый номер в журнале, К - "конфиденциально").

3.6. Каждый носитель информации, применяемый при обработке информации на СВТ, должен иметь гриф конфиденциальности, соответствующий записанной на нём информации. Гриф конфиденциальной информации - "К". Исключается хранение на одном носителе информации разных грифов конфиденциальности, а также хранение информации, имеющей разные цели обработки.

3.7. Для съемных носителей информации реквизиты наносятся непосредственно на носитель (корпус). Если невозможно маркировать непосредственно носитель (корпус), то применяется маркировка упаковки, в которой хранится носитель, или другие доступные способы маркировки (бирки, брелоки и т.п.). Надпись реквизитов делается разборчиво и аккуратно. На дискеты и футляры носителей допускается наклеивать заранее заготовленную этикетку.

3.8. Каждому носителю в журнале должна соответствовать отдельная строка.

3.9. НЖМД в серверах и системных блоках компьютеров учитываются в паспорте (формуляре) на поставляемое оборудование, с указанием марки носителя информации и его серийного номера.

3.10. Хранение носителей информации осуществляется в условиях, исключающих возможность хищения, приведения в негодность или уничтожения содержащейся на них информации (закрываемые шкафы, сейфы и т.п.).

3.11. О фактах утраты носителей необходимо незамедлительно докладывать руководителю своего структурного подразделения.

3.12. АИБ не реже одного раза в год осуществляет проверку условий хранения носителей КИ.

4. Хранение носителей

4.1. Не допускается:

хранение съемных носителей с КИ вместе с носителями открытой информации, на рабочих столах либо оставление их без присмотра или передача на хранение другим лицам;

вынос съемных носителей с КИ из служебных помещений для работы с ними на дому, в гостиницах и т.д.

5. Выдача/сдача и передача носителей

5.1. Носители как правило выдаются только непосредственно на время работы с ними и сдаются сотрудниками АИБ сразу по завершении таких работ.

5.2. Носители, которые выдаются сотрудникам, должны пройти проверку на отсутствие записанной на них информации. В случае наличия какой-либо информации на выдаваемом носителе АИБ обязан удалить (затереть) информацию согласно п. 6. настоящей инструкции.

5.3. В случае повреждения носителей, содержащих КИ, сотрудник, в пользовании которого они находятся, обязан сообщить о случившемся руководителю своего структурного подразделения (отдела) и АИБ.

5.4. При передаче в другие организации носители информации должны по возможности быть упакованы в пакет (конверт), обеспечивающий сохранность (работоспособность) передаваемого носителя. При этом носители информации передаются с сопроводительным письмом, в котором указывается, какая информация содержится на данном носителе, а для подтверждения достоверности информации прилагается таблица с реквизитами файлов (допускается прикладывать скриншот окна архиватора). Данное передвижение (передача) носителей КИ регистрируется в Журнале передачи носителей конфиденциальной информации, где делается отметка об отправке (куда отправлен (реквизиты адресата), исходящий номер сопроводительного письма, дата отправки, способ отправки (курьер, заказная почта и т.п.) и отметка о получении (номер уведомления о вручении или накладной). В случае если передача носителей осуществляется лично сотрудником Министерства, то у адресата необходимо взять расписку о получении носителя.

5.5. Для исключения утечки информации, находящейся на жестких дисках компьютеров, при необходимости ремонта компьютера в сервисном центре жесткий диск компьютера демонтируется и компьютер отправляется в ремонт без него. При необходимости диагностирования самого жесткого диска информация должна быть предварительно скопирована на резервный носитель и затем стёрта с направляемого в ремонт винчестера с использованием специальных средств (сертифицированные программные или программно-аппаратные средства защиты информации, обеспечивающие невозможность восстановления информации) либо путём полного трехкратного его форматирования. Если невозможно произвести данные действия (поломка жесткого диска или ПЭВМ), то отправка такой ПЭВМ в ремонт возможна только по письменному разрешению министра сельского хозяйства Алтайского края.

6. Порядок уничтожения носителей, затирания информации на носителях

6.1. Уничтожение носителей информации, пришедших в негодность или утративших практическую ценность, производится путем их физического разрушения без возможности дальнейшего восстановления.

6.2. Перед уничтожением носителя вся информация с него должна быть стерта (уничтожена) путем использования специальных средств (сертифицированные программные или программно-аппаратные средства защиты информации, обеспечивающие невозможность восстановления информации) либо путём полного трехкратного его форматирования, если это позволяют физические принципы работы носителя.

6.3. Уничтожение носителей, затирание (уничтожение) информации с носителей производится комиссией из 3 человек, назначенной приказом министра сельского хозяйства Алтайского края. В состав комиссии должен входить АИБ.

6.4. По факту уничтожения носителей, а также затирания (уничтожения) информации на носителях, комиссией составляется акт. В акте указываются учётные номера носителей, характер уничтожаемой (затираемой) информации, причина уничтожения носителя (затирания информации на нем). Реквизиты акта заносятся председателем данной комиссии в графу "Сведения об уничтожении" Журнала регистрации и учета электронных носителей конфиденциальной информации. Подписанный акт должен храниться у АИБ.