Инструкция по учету и хранению съемных носителей в доу

Обновлено: 05.07.2024

от 12 декабря 2018 года N 3224
г. Новосибирск

Об утверждении инструкций, правил, регламентов и форм актов при проведении мероприятий по защите персональных данных в министерстве образования Новосибирской области

(с изменениями на 14 декабря 2021 года)

Документ с изменениями, внесенными:

приказом Минобразования от 14.12.2021 N 2816

В связи с проведением работ по защите информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее - Информация), в информационных системах министерства образования Новосибирской области,

приказываю:

1. Утвердить прилагаемые:

1) Правила обращения с машинными носителями информации в информационных системах министерства образования Новосибирской области;

2) Правила по ограничению программной среды в информационных системах министерства образования Новосибирской области;

3) Правила защиты периметра информационных систем министерства образования Новосибирской области при их взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями;

4) Правила обработки персональных данных в информационных системах министерства образования Новосибирской области; (абзац в редакции, введенной приказом Минобразования от 14.12.2021 N 2816, - см.предыдущую редакцию)

5) Положение об обеспечении целостности информационных систем министерства образования Новосибирской области;

6) Инструкцию по порядку обращения со средствами защиты информации в информационных системах министерства образования Новосибирской области;

7) Регламент подключения информационных систем министерства образования Новосибирской области к информационно-телекоммуникационной сети Интернет вне государственной инфокоммуникационной сети передачи данных Новосибирской области;

8) Типовую форма отчета о результатах проведения внутренней проверки обеспечения защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, в информационных системах министерства образования Новосибирской области;

9) Типовую форму акта определения уровня защищенности персональных данных при их обработке в информационных системах министерства образования Новосибирской области;

10) Форму акта классификации защищенности информационной системы министерства образования Новосибирской области;

11) форма акта утери машинных носителей информации;

12) форма акта уничтожения информации на машинных носителей информации.

2. Контроль за исполнением настоящего приказа оставляю за собой.

Министр
С.В. Федорчук

УТВЕРЖДЕНЫ
приказом Минобразования
Новосибирской области
от 12.12.2018 N 3224

ПРАВИЛА
обращения с машинными носителями информации в информационных системах министерства образования Новосибирской области

I. Общие положения

1. Настоящие правила рассматривают вопросы защиты машинных носителей информации в информационных системах министерства образования Новосибирской области (далее - ИС Минобразования Новосибирской области) от несанкционированного доступа к ним, уничтожения, а также неразрешенного раскрытия, модификации, удаления информации на них.

2. В качестве машинных носителей информации в настоящей инструкции рассматриваются машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).

3. Под использованием машинных носителей информации в ИС Минобразования Новосибирской области понимается их подключение к инфраструктуре ИС Минобразования Новосибирской области с целью обработки, приема/передачи информации между информационной системой и носителями информации.

4. Данные правила обязательны для применения во всех подразделениях Минобразования Новосибирской области, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну.

II. Использование машинных носителей информации

5. В ИС Минобразования Новосибирской области допускается использование только учтенных машинных носителей информации, которые являются собственностью Минобразования Новосибирской области и подвергаются регулярной ревизии и контролю.

6. Машинные носители информации предоставляются работниками министерства образования Новосибирской области (далее - министерство) по инициативе начальника структурного подразделения в случаях:

1) необходимости выполнения вновь принятым сотрудниками своих должностных обязанностей;

2) возникновения у сотрудников министерства производственной необходимости.

7. При использовании сотрудниками машинных носителей информации необходимо:

1) использовать машинные носители информации исключительно для выполнения своих служебных обязанностей;

2) ставить в известность ответственного за организацию обработки персональных данных в министерство и администратора информационной безопасности в ИС Минобразования Новосибирской области о любых фактах нарушения требований настоящих правил;

3) бережно относиться к машинным носителям информации;

4) обеспечивать физическую безопасность машинных носителей информации;

5) извещать ответственного за организацию обработки персональных данных обработку в министерстве и администратора информационной безопасности и о фактах утраты (кражи) машинных носителей информации;

6) перед началом работы с машинными носителями информации пользователь обязан проверять их на наличие вредоносных программ (вирусов) с помощью штатных антивирусных программ. В случае обнаружения вирусов, пользователь обязан действовать в соответствии с Инструкцией по антивирусной защите в информационных системах министерства образования Новосибирской области.

8. При использовании машинных носителей информации запрещено:

1) использовать машинные носители информации в личных целях;

2) передавать носители информации другим лицам (за исключением администратора информационной безопасности);

3) оставлять машинные носители информации без присмотра или передавать на хранение другим лицам;

4) выносить машинные носители информации из служебных помещений для работы с ними на дому и т.д.;

5) ответственность за подключение машинных носителей информации, не учтенных соответствующим образом, не прошедших проверку, несет пользователь, подключивший данное устройство.

III. Управление доступом к машинным носителям информации

9. В ИС Минобразования Новосибирской области управление доступом к машинным носителям информации осуществляет администратор информационной безопасности.

10. В ИС Минобразования Новосибирской области реализованы следующие функции по управлению доступом к машинным носителям информации, используемым в информационной системе:

1) утвержден перечень лиц, имеющих физический доступ к машинным носителям информации, стационарно устанавливаемым в корпус средств вычислительной техники (например, накопители на жестких дисках);

2) физический доступ к машинным носителям информации предоставлен только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций).

IV. Контроль перемещения машинных носителей информации за пределы контролируемой зоны

11. В ИС Минобразования Новосибирской области обеспечивается контроль перемещения используемых машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться:

1) определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны;

2) предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функции);

3) учет перемещаемых машинных носителей информации;

4) периодическая проверка наличия машинных носителей информации.

V. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)

12. В министерстве обеспечивается уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) информации.

13. Уничтожение (стирание) информации на машинных носителях исключает возможность восстановления защищаемой информации при передаче машинных носителей между пользователями, в сторонние организации для ремонта или утилизации.

14. Уничтожению (стиранию) подлежит информация, хранящаяся на цифровых и нецифровых, съемных и несъемных машинных носителях информации.

15. По факту уничтожения машинных носителей информации администратором информационной безопасности составляется акт с указанием типа и инвентарного номера машинного носителя информации, даты, времени и способа уничтожения.

VI. Ликвидация машинных носителей информации и уничтожение (стирание) информации на машинных носителях

16. В случае утраты или уничтожения машинных носителей информации немедленно ставятся в известность начальник соответствующего структурного подразделения и Ответственный за организацию обработки персональных данных обработку в министерстве и администратор информационной безопасности. На утраченные носители составляется акт (приложение к настоящим правилам). Соответствующие отметки вносятся в Журнал регистрации.

17. Машинные носители информации, пришедшие в негодность или отслужившие установленный срок, должны быть уничтожены без возможности восстановления с составлением Акта уничтожения машинных носителей информации (по прилагаемой форме) и последующей регистрацией в Журнале регистрации. Уничтожение машинных носителей осуществляется уполномоченной комиссией.

18. В ИС Минобразования Новосибирской области используются следующие меры по уничтожению (стиранию) информации на машинных носителях, исключающие возможность восстановления защищаемой информации:

перезапись уничтожаемых (стираемых) файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полная перезапись всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием.

19. В министерстве обеспечивается уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) информации.

20. Администратор информационной безопасности обеспечивает регистрацию и контроль действий по удалению защищаемой информации и уничтожению машинных носителей информации путем составления соответствующих актов, и занесением в Журнал регистрации.

VII. Ответственность

21. Ответственность за выполнение правил эксплуатации машинных носителей информации при выполнении непосредственных работ со средствами несут пользователи ИС Минобразования Новосибирской области.

22. Контроль выполнения установленных правил эксплуатации, регистрацию и учёт машинных носителей информации осуществляет администратор информационной безопасности.

УТВЕРЖДЕНА
приказом Минобразования
Новосибирской области
от 12.12.18 N 3224

АКТ
утери машинных носителей информации

Комиссия, наделенная полномочиями приказом ______________________ от N___ в составе:

(должности, ФИО (отчество при наличии))

постановила считать следующие машинные носители информации утерянными:

1.1. Настоящая Инструкция устанавливает порядок использования съемных носителей информации при работе в Автоматизированной информационной системе Государственной инспекции труда (далее – АИС ГИТ) в Государственной инспекции труда в Камчатском крае (далее – Гострудинспекция).

1.2. Под АИС ГИТ понимается автоматизированная информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.3. Действие настоящей Инструкции распространяется на сотрудников Гострудинспекции, в рамках выполнения своих должностных обязанностей участвующих в обработке персональных данных.

1.4. Контроль исполнения требований настоящей Инструкции возлагается на ответственного за эксплуатацию АИС ГИТ.

2. Порядок использования носителей информации

2.1. Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

2.2. Под использованием носителей информации в АИС ГИТ понимается их подключение к инфраструктуре АИС ГИТ с целью обработки, приема/передачи информации между АИС ГИТ и носителями информации.

2.3. В АИС ГИТ допускается использование только учтенных носителей информации, которые являются собственностью Гострудинспекции и подвергаются регулярной ревизии и контролю.

3. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации

3.1. Съемный носитель – носитель информации, предназначенный для ее автономного хранения и независимого от места записи использования (съемные винчестеры, флэш-память, оптические лазерные диски (CD, DVD), дискеты).

3.2. Все находящиеся на хранении и в обращении съемные носители с конфиденциальной информацией (персональными данными) подлежат учёту.

3.3. Каждый съемный носитель с записанными на нем персональными данными должен иметь маркировку, на которой указывается его уникальный учетный номер.

3.4. Учет и выдачу съемных носителей персональных данных осуществляет ответственный за эксплуатацию АИС ГИТ. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей персональных данных.

3.5. Сотрудники получают учтенный съемный носитель от ответственного за эксплуатацию АИС ГИТ для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения ответственному за эксплуатацию АИС ГИТ, о чем делается соответствующая запись в журнале учета.

4. Обязанности сотрудников при использовании съемных носителей

4.1. При использовании сотрудниками носителей персональных данных необходимо:

­ соблюдать требования настоящей Инструкции;

­ использовать носители информации исключительно для выполнения своих служебных обязанностей;

­ ставить в известность ответственных за эксплуатацию АИС ГИТ о фактах нарушения требований настоящей Инструкции;

­ бережно относиться к носителям персональных данных;

­ обеспечивать физическую сохранность носителей персональных данных;

­ извещать ответственных за эксплуатацию АИС ГИТ о фактах утраты (кражи) носителей персональных данных;

­ перед началом использования съемного носителя на автоматизированной рабочем месте (далее – АРМ) проверять носитель на наличие вредоносного программного кода с помощью антивирусного программного обеспечения.

4.2. При использовании носителей персональных данных запрещено:

­ использовать носители персональных данных в личных целях;

­ передавать носители персональных данных другим лицам (за исключением администратора безопасности АИС ГИТ, ответственного за эксплуатацию АИС ГИТ, ответственного за обеспечение безопасности АИС ГИТ);

­ хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

­ выносить съемные носители персональных данных из служебных помещений для работы с ними на дому.

5. Порядок действий при выявлении фактов несанкционированных действий сотрудников при использовании, а также при утрате и уничтожении съемных носителей персональных данных

5.1. Обработка информации с использованием неучтенных носителей информации рассматривается как несанкционированная обработка. Администратор безопасности АИС ГИТ (должностное лицо, ответственное за защиту информационной системы от несанкционированного доступа к информации), оставляет за собой право блокировать или ограничивать использование носителей информации.

5.2. В случае выявления фактов несанкционированного и/или нецелевого использования носителей персональных данных инициируется служебная проверка, проводимая комиссией, состав которой определяется руководителем Организации.

5.3. По факту выясненных обстоятельств составляется Акт расследования инцидента и передается Руководителю Гострудинспекции для принятия мер согласно локальным нормативным актам Гострудинспекции и действующему законодательству.

5.4. В случае утраты или уничтожения съемных носителей персональных данных либо разглашении содержащихся в них сведений немедленно ставится в известность ответственный за эксплуатацию АИС ГИТ. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей персональных данных.

5.5. Съемные носители персональных данных, пришедшие в негодность, подлежат уничтожению. Уничтожение съемных носителей персональных данных осуществляется комиссией, в состав которой входят ответственный за обеспечение безопасности АИС ГИТ, ответственный за эксплуатацию АИС ГИТ, администратор безопасности АИС ГИТ. По результатам уничтожения носителей составляется акт. Типовая форма акта уничтожения приведена в Приложении к настоящей Инструкции.

6.1. Сотрудники, нарушившие требования настоящей Инструкции, несут ответственность в соответствии с действующим законодательством и нормативными актами Гострудинспекции.

АКТ

уничтожения съемных носителей персональных данных

Комиссия, назначенная приказом от _______№__________ в составе:

провела отбор съемных носителей персональных данных, не подлежащих дальнейшему использованию:

п/п

Учетный номер съемного носителя

Примечание

1.

2.

Всего съемных носителей________________________(цифрами и прописью)

На съемных носителях уничтожены персональные данные путем стирания ее на устройстве гарантированного уничтожения информации (механического разрушения, сжигания и т.п.).

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

4. Согласие на обработку персональных данных, разрешенных субъектом для распространения (новое требование)

Как еще может называться данный документ:

• Согласие на распространение персональных данных

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список - какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

• Согласие на обработку персональных данных
• Согласие пользователя

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

• Правила рассмотрения запросов субъектов персональных данных или их представителей

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

• Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

- Постановление Правительства РФ от 01.10.2012 г. №1119
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

• Поручение обработки персональных данных
• Договор на обработку персональных данных
• Договор обработки персональных данных
• Дополнительное соглашение на поручение обработки персональных данных

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

• Перечень информационных систем персональных данных

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

• Приказ об определении границ контролируемой зоны и требований к ее безопасности

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Настоящая Инструкция разработана с целью обеспечения безопасности персональных данных при их хранении на съемных носителях.

Действие настоящей Инструкции распространяется на сотрудников управления городского развития Киселевского городского округа (далее – УГР КГО), допущенных к обработке персональных данных.

Администратор информационной системы персональных данных – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники.

АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.

ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.

ИС – информационная система – система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.

Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации.

ПК – персональный компьютер.

ПО – программное обеспечение вычислительной техники.

ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.

Пользователь – работник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработке персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.

Под использованием носителей информации в ИС понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и носителями информации.

В ИС допускается использование только учтенных носителей информации, которые являются собственностью УГР КГО и подвергаются регулярной ревизии и контролю.

Носители конфиденциальной информации предоставляются сотрудникам УГР КГО на основании разрешения начальника УГР КГО при:

• необходимости выполнения вновь принятым работником своих должностных обязанностей;
• возникновения у сотрудника УГР КГО производственной необходимости.

1. Порядок учета, хранения и обращения со съемными носителями конфиденциальной информации (персональных данных), твердыми копиями и их утилизации

Все находящиеся на хранении и в обращении съемные носители с конфиденциальной информацией (персональными данными) в УГР КГО подлежат учёту.

Каждый съемный носитель с записанными на нем конфиденциальной информацией (персональными данными) должен иметь этикетку, на которой указывается его уникальный учетный номер.

Учет и выдачу съемных носителей конфиденциальной информации (персональных данных) осуществляет ответственный за организацию обработки персональных данных. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей конфиденциальной информации.

Работники, нарушившие требования данной Инструкции, несут ответственность в соответствии с действующим законодательством.

Читайте также:

  
• Проанализируйте процесс становления образа античного космоса кратко
  
• Материально техническое и финансовое обеспечение советской системы физического воспитания кратко
  
• Загадки на военную тему в доу
  
• Ника инструкция по применению в детском саду
  
• Преступления против информационной безопасности рб кратко