Приложение 9. Положение о порядке учета, хранения и обращения со съемными носителями персональных данных. Приказ начальника Главного управления государственного административно-технического надзора Московской области от 27.03.2020 N 47-Пр-о "Об обработке персональных данных в Главном управлении государственного административно-технического надзора Московской области"

Приложение 9
к приказу начальника
Госадмтехнадзора Московской области
от 27 марта 2020 г. N 47-Пр-о

Положение
о порядке учета, хранения и обращения со съемными носителями персональных данных

1. Общие положения

Настоящее Положение о порядке учета, хранения и обращения со съемными носителями персональных данных (далее - Положение об учете съемных носителей ПДн) разработано в соответствии с Федеральным законом N 149-ФЗ от 27 июля 2006 г. "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", ГОСТ Р ИСО/МЭК 27002-2012 и устанавливает порядок учета и использования машинных носителей информации для обработки персональных данных.

Действие настоящего Положения об учете съемных носителей ПДн распространяется на всех должностных лиц Госадмтехнадзора Московской области.

2. Основные термины, сокращения и определения

Администратор ИС - технический специалист, обеспечивающий ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации программного обеспечения (ПО) и оборудования вычислительной техники.

АРМ - автоматизированное рабочее место пользователя (персональный компьютер (ПК) с ПО) для выполнения определенной производственной задачи.

ИБ - информационная безопасность - состояние защищенности информации (данных) при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

ИС - информационная система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.

Машинный носитель информации - материальный носитель, используемый для хранения и передачи электронной информации.

ПК - персональный компьютер.

ПО - программное обеспечение.

ПО вредоносное - ПО, вносящее изменения, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.

Пользователь - должностное лицо Госадмтехнадзора Московской области, использующий ПК и носители информации для выполнения своих служебных обязанностей.

3. Порядок использования машинных носителей информации

3.1. Под использованием машинных носителей информации в ИС понимается их подключение к инфраструктуре ИС с целью обработки ПДн и обмена информацией между ИС и носителями информации.

3.2. В ИС допускается использование только учтенных машинных носителей информации, которые являются собственностью Госадмтехнадзора Московской области и подвергаются регулярной ревизии и контролю.

3.3. К машинным носителям ПДн предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).

3.4. Машинные носители конфиденциальной информации для должностных лиц Госадмтехнадзора Московской области предоставляются по инициативе их руководителей структурных подразделений в случаях:

необходимости выполнения новым пользователем своих должностных обязанностей;

возникновения у пользователя служебной необходимости.

4. Порядок учета, хранения и обращения со съемными машинными носителями персональных данных

4.1. Все находящиеся на хранении и в обращении съемные машинные носители с ПДн подлежат учету.

4.2. Каждый съемный машинный носитель ПДн должен иметь этикетку, на которой указывается его уникальный учетный номер.

4.3. Для учета и выдачи съемных машинных носителей ПДн в каждом структурном подразделений Госадмтехнадзора Московской области заводится журнал учета машинных носителей конфиденциальной информации (далее - Журнал).

4.4. Учет и выдача съемных машинных носителей ПДн осуществляются руководителями структурных подразделений Госадмтехнадзора Московской области. Факт выдачи съемного машинного носителя исполнителю фиксируется в Журнале.

4.5. Пользователи получают учтенные съемные машинные носители ПДн от руководителей структурных подразделений Госадмтехнадзора Московской области на время выполнения соответствующих работ, по окончании которых данные носители подлежат возврату. Факты выдачи и возврата съемных носителей ПДн фиксируются в Журнале.

4.6. При использовании Пользователями машинных носителей ПДн необходимо:

соблюдать требования настоящего Положения;

использовать машинные носители информации ПДн исключительно для выполнения своих служебных обязанностей;

ставить в известность администратора ИС о любых фактах нарушения требований настоящего Положения;

бережно относится к машинным носителям ПДн;

обеспечивать безопасность машинных носителей ПДн всеми возможными способами;

извещать администратора ИС о фактах утраты (кражи) машинных носителей ПДн.

4.7. При использовании машинных носителей ПДн запрещается:

использовать их в личных целях;

передавать их другим лицам (за исключением администраторов ИС);

хранить их вместе с общедоступными данными на рабочих столах либо оставлять без присмотра или передавать на хранение другим лицам;

выносить их из служебных помещений для работы на дому.

4.8. Любое взаимодействие (обработка, прием и передача информации), инициированное должностным лицом между ИС и неучтенными носителями информации, рассматривается как несанкционированное. Администратор ИС оставляет за собой право блокировать или ограничивать использование машинных носителей ПДн.

4.9. В случае выявления фактов несанкционированного и (или) нецелевого использования машинных носителей ПДн инициируется служебная проверка, проводимая Комиссией Главного управления государственного административно-технического надзора Московской области по внутреннему контролю соответствия обработки персональных данных установленным требованиям (далее - комиссия). По результатам служебной проверки составляется акт расследования инцидента и передается руководителю структурного подразделения для принятия мер в соответствии с действующим законодательством Российской Федерации.

4.10. Информация, хранящаяся на машинных носителях ПДн, подлежит обязательной проверке на предмет отсутствия вредоносного программного обеспечения.

4.11. При отправке или передаче ПДн адресатам на съемные машинные носители записываются только предназначенные им данные. Отправка ПДн адресатам на съемных машинных носителях осуществляется в порядке, установленном для документов для служебного пользования.

4.12. Вынос съемных машинных носителей ПДн для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.

4.13. В случае утраты или несанкционированного уничтожения съемных машинных носителей ПДн, а также разглашения содержащихся на них сведений, необходимо немедленно поставить в известность руководителя соответствующего структурного подразделения. По факту утраты составляется акт расследования инцидента и в Журнал вносятся соответствующие отметки.

4.14. Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.

4.15. В случае увольнения или перевода должностного лица в другое структурное подразделение предоставленные ему машинные носители ПДн необходимо сдать руководителю своего структурного подразделения.

4.16. При сдаче должностным лицом машинных носителей ПДн, руководитель структурного подразделения Госадмтехнадзора Московской области должен предпринять одно из следующих действий, направленных на невозможность несанкционированного доступа хранящейся на нем защищаемой информации:

уничтожить машинные носители ПДн с составлением соответствующего акта об уничтожении;

удалить информацию, содержащуюся на машинных носителях ПДн, с помощью специального программного обеспечения сертифицированного ФСТЭК России, с составлением соответствующего акта об уничтожении (очистке);

сдать в архив или перерегистрировать машинные носители ПДн на другое структурное подразделение и сделать соответствующую отметку в Журнале.

5. Ответственность

Руководители структурных подразделений, Пользователи и администраторы ИС, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством Российской Федерации.