учет машинных носителей информации
Приложение N 3. Инструкция по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
Приложение N 3
к правилам осуществления внутреннего
контроля соответствия обработки персональных
данных требованиям к защите персональных данных
Инструкция по учету, выдаче, хранению, обращению с
машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
1.1. Все машинные носители информации, предназначенные для хранения информации ограниченного использования (для служебного использования, персональных данных) подлежат обязательному учету. Каждый съемный носитель с записанной на нем информацией ограниченного доступа должен иметь этикетку, на которой указывается его уникальный учетный номер.
1.3. Машинные носители информации выдаются и принимаются по журналу учета руководителем структурного подразделения.
1.4. Машинные носители информации в обязательном порядке маркируются следующим образом:
— на компакт-дисках (DVD, CD и др.) учетный номер проставляется на лицевой стороне диска специальным маркером;
— на жестком магнитном диске учетный номер проставляется на корпусе. Жесткий магнитный диск учитывается отдельно (в случае съемной конструкции) или в составе системного блока (СБ) автоматизированного рабочего места. В случае учета в составе СБ, на корпус СБ (в удобное для просмотра место) наклеивается бирка с указанием учетного номера, типа, модели машинного носителя, его объема, серийного номера жесткого магнитного диска;
— на носителях информации типа USB Flash-носители на корпус наклеивается бирка с указанием учетного номера носителя и его серийного номера;
— на персональных идентификаторах на корпус наклеивается бирка с указанием учетного номера носителя;
— бирки не должны закрывать заводские номера машинных носителей информации
1.5. Машинные носители информации хранятся в запертом шкафу.
1.6. Пользователям запрещается:
— использовать неучтенные машинные носители информации;
— использовать неучтенные персональные идентификаторы;
— хранить съемные носители с информацией ограниченного доступа вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
— выносить съемные носители с информацией ограниченного доступа из служебных помещений для работы с ними на дому.
1.7. При отправке или передаче информации ограниченного доступа адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка информации ограниченного доступа адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей информации ограниченного доступа для непосредственной передачи адресату осуществляется только с разрешения руководителя структурного подразделения.
1.8. О фактах утраты съемных носителей, содержащих информацию ограниченного доступа, либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель структурного подразделения. На утраченные носители комиссией по организации обработки и защиты персональных данных составляется акт. Соответствующие отметки вносятся в Журнал учета магнитных, оптических и иных носителей информации.
1.9. Съемные носители информации, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с информацией ограниченного доступа осуществляется комиссией по организации обработки и защиты персональных данных. По результатам уничтожения носителей информации составляется акт.
1.10. Сотрудники и лица, выполняющие работы по договорам и контрактам, имеющие отношение к работе с информацией ограниченного доступа или персональным данным, должны быть в обязательном порядке ознакомлены под роспись с настоящей Инструкцией.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 1. Инструкция по учету, обращению и хранению конфиденциальной информации на машинных носителях
Инструкция
по учету, обращению и хранению конфиденциальной информацией# на машинных носителях
2. Для каждого диска содержащего сведения конфиденциального характера (персональные данные) заводится:
a. конверт на котором в нижнем правом углу вписываются следующие сведения: гриф ДСП, инв. N, задачи, количество экземпляров, номер экземпляра, фамилия исполнителя, дата исполнения.
b. карточка учета массивов (участков, зон), программ, записанных на машинном носителе информации.
c. на самом диске ставится учетный номер под которым он был зарегистрирован в журнале учета машинных носителей информации.
3. При переносе конфиденциальной информации с дисков на бумажные носители и регистрации бумажных копий, оформленных в соответствии с установленными требованиями, на последнем листе экземпляра документа подшиваемого в дело, проставляются следующие сведения: название Департамента, учетный номер диска, дата переноса на бумажный носитель, фамилия исполнителя. Там же должна быть его подпись за уничтоженные черновики и бракованные листы.
4. Хранение дисков, имеющих конфиденциальную информацию (персональные данные), осуществляется в условиях, исключающих несанкционированное копирование с них данной информации, ее хищение или уничтожение.
5. Диски с конфиденциальной информацией (персональными данными) учтенные в соответствии с инструкцией, выдаются пользователям под роспись.
6. Конфиденциальная информация находящаяся на диске, не используемая в течении года подлежит уничтожению установленным для них порядком. Разрешение на стирание информации принимает начальник отдела.
7. Акт составляется комиссионно (не менее двух сотрудников отдела), и ответственным за учет несекретной документации, утверждается руководителем Департамента здравоохранения.
Акты о стирании (уничтожении) информации с магнитных дисков хранятся в Департаменте 3 года, после чего уничтожаются согласно установленному порядку.
8. Испорченные диски и диски на которых хранилась конфиденциальная информация (персональные данные) уничтожаются согласно установленному порядку.
Дата, регистрационный номер, откуда поступил
Тип машинописного накопителя информации
Расписка в получении (Ф.И.О., подпись, дата), отметка об отправке
Расписка в обратном приеме (Ф.И.О., подпись, дата)
Место хранения машинного носителя информации, машинного документа
Отметка об уничтожении машинных носителей информации, стирании информации (подпись, дата)
3.4. «Методический документ. Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014)
3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ)
3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ) 
ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
Требования к реализации ЗНИ.1: Оператором должен быть обеспечен учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации.
съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);
портативные вычислительные устройства, имеющие встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);
машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).
Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера.
Учет съемных машинных носителей информации ведется в журналах учета машинных носителей информации.
Учет встроенных в портативные или стационарные технические средства машинных носителей информации может вестись в журналах материально-технического учета в составе соответствующих технических средств. При использовании в составе одного технического средства информационной системы нескольких встроенных машинных носителей информации, конструктивно объединенных в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом.
Регистрационные или иные номера подлежат занесению в журналы учета машинных носителей информации или журналы материально-технического учета с указанием пользователя или группы пользователей, которым разрешен доступ к машинным носителям информации.
Раздельному учету в журналах учета подлежат съемные (в том числе портативные) перезаписываемые машинные носители информации (флэш-накопители, съемные жесткие диски).
Требования к усилению ЗНИ.1:
1) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая:
а) информацию о возможности использования машинного носителя информации вне информационной системы;
б) информацию о возможности использования машинного носителя информации за пределами контролируемой зоны (конкретных помещений);
в) атрибуты безопасности, указывающие на возможность использования этих машинных носителей информации для обработки (хранения) соответствующих видов информации;
2) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая неотторгаемую цифровую метку носителя информации для обеспечения возможности распознавания (идентификации) носителя в системах управления доступом;
3) оператором обеспечиваться маркировка машинных носителей информации (технических средств), дополнительно включающая использование механизмов распознавания (идентификации) носителя информации по его уникальным физическим характеристикам.
Содержание базовой меры ЗНИ.1:
ЗНИ.2 УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ ИНФОРМАЦИИ
Требования к реализации ЗНИ.2: Оператором должны быть реализованы следующие функции по управлению доступом к машинным носителям информации, используемым в информационной системе:
определение должностных лиц, имеющих физический доступ к машинным носителям информации, а именно к следующим:
съемным машинным носителям информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);
портативным вычислительным устройствам, имеющим встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);
машинным носителям информации, стационарно устанавливаемым в корпус средств вычислительной техники (например, накопители на жестких дисках);
предоставление физического доступа к машинным носителям информации только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций);
Правила и процедуры доступа к машинным носителям информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.2:
1) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение машинных носителей информации;
2) опечатывание корпуса средства вычислительной техники, в котором стационарно установлен машинный носитель информации;
3) в информационной системе должно обеспечиваться применение программных (программно-технических) автоматизированных средств управления физическим доступом к машинным носителям информации;
4) контроль физического доступа лиц к машинным носителям информации в соответствии с атрибутами безопасности, установленными для этих носителей.
Содержание базовой меры ЗНИ.2:
ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
Требования к реализации ЗНИ.3: Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться:
определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны;
предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функций);
учет перемещаемых машинных носителей информации в соответствии с ЗНИ.1;
периодическая проверка наличия машинных носителей информации.
Правила и процедуры контроля перемещения машинных носителей информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.3:
1) оператором информационной системы определяются задачи (виды деятельности, функции), для решения которых необходимо перемещение машинных носителей информации за пределы контролируемой зоны;
2) применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации, хранимой на носителе, при перемещении машинных носителей информации за пределы контролируемой зоны;
3) оператором определяется должностное лицо, ответственное за перемещение машинных носителей информации;
4) оператором информационной системы осуществляется периодическая проверка машинных носителей информации после их возврата в пределы контролируемой зоны.
Содержание базовой меры ЗНИ.3:
ЗНИ.4 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ) ИСПОЛЬЗОВАНИЯ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ИНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Требования к реализации ЗНИ.4: Оператором должно обеспечиваться исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах.
Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах должно предусматривать:
определение типов машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации);
физический контроль и хранение машинных носителей информации в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации);
защита машинных носителей информации до уничтожения (стирания) с них данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов) с использованием средств стирания данных и остаточной информации.
Правила и процедуры управления, направленные на исключение несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах, регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.4:
1) оператором должны применяться средства контроля съемных машинных носителей информации;
2) оператором должны применяться в соответствии с законодательством Российской Федерации криптографические методы защиты информации, хранящейся на машинных носителях;
3) оператором должен быть определен перечень машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации).
Содержание базовой меры ЗНИ.4:
ЗНИ.5 КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА (ВЫВОДА)
Требования к реализации ЗНИ.5: В информационной системе должен осуществляться контроль использования интерфейсов ввода (вывода).
Контроль использования (разрешение или запрет) интерфейсов ввода (вывода) должен предусматривать:
определение оператором интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных и (или) запрещенных к использованию в информационной системе;
определение оператором категорий пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода);
принятие мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода);
контроль доступа пользователей к разрешенным к использованию интерфейсов ввода (вывода).
В качестве мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода), могут применяться:
опечатывание интерфейсов ввода (вывода);
использование механических запирающих устройств;
удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода);
применение средств защиты информации, обеспечивающих контроль использования интерфейсов ввода (вывода).
Правила и процедуры контроля использования интерфейсов ввода (вывода) регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.5:
1) в информационной системе должна быть обеспечена регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3;
2) оператором обеспечивается конструктивное (физическое) исключение из средства вычислительной техники запрещенных к использованию интерфейсов ввода (вывода);
3) оператором информационной системы обеспечивается программное отключение запрещенных к использованию интерфейсов ввода (вывода).
Содержание базовой меры ЗНИ.5:
ЗНИ.6 КОНТРОЛЬ ВВОДА (ВЫВОДА) ИНФОРМАЦИИ НА МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ
Требования к реализации ЗНИ.6: В информационной системе должен осуществляться контроль ввода (вывода) информации на машинные носители информации.
Контроль ввода (вывода) информации на машинные носители информации должен предусматривать:
определение оператором типов носителей информации, ввод (вывод) информации на которые подлежит контролю;
определение оператором категорий пользователей, которым предоставлены полномочия по вводу (выводу) информации на машинные носители в соответствии с УПД.2;
запрет действий по вводу (выводу) информации для пользователей, не имеющих полномочий на ввод (вывод) информации на машинные носители информации, и на носители информации, на которые запрещен ввод (вывод) информации;
регистрация действий пользователей и событий по вводу (выводу) информации на машинные носители информации в соответствии с РСБ.3.
Правила и процедуры контроля ввода (вывода) информации на машинные носители информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.6:
1) в информационной системе должна создаваться копия информации, записываемой пользователями на съемные машинные носители информации (теневое копирование);
2) оператором должны применяться средства контроля подключения съемных машинных носителей информации.
Содержание базовой меры ЗНИ.6:
ЗНИ.7 КОНТРОЛЬ ПОДКЛЮЧЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
Требования к реализации ЗНИ.7: В информационной системе должен обеспечиваться контроль подключения машинных носителей информации.
Контроль подключения машинных носителей информации должен предусматривать:
определение оператором типов носителей информации, подключение которых к информационной системе разрешено в соответствии с УПД.2;
определение оператором категорий пользователей, которым предоставлены полномочия по подключению носителей к информационной системе в соответствии с УПД.2;
запрет подключения носителей информации, подключение которых к информационной системе не разрешено;
регистрация действий пользователей и событий по подключению к информационной системе носителей в соответствии с РСБ.3.
Правила и процедуры контроля подключения машинных носителей информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.7:
1) оператором должен обеспечиваться контроль подключения машинных носителей информации с использованием средств контроля подключения съемных машинных носителей информации, позволяющих устанавливать разрешенные и (или) запрещенные типы и (или) конкретные съемные машинные носители информации для различных категорий пользователей;
2) запрет подключения к информационной системе носителей пользователями, не имеющими полномочий на подключение носителей.
Содержание базовой меры ЗНИ.7:
ЗНИ.8 УНИЧТОЖЕНИЕ (СТИРАНИЕ) ИНФОРМАЦИИ НА МАШИННЫХ НОСИТЕЛЯХ ПРИ ИХ ПЕРЕДАЧЕ МЕЖДУ ПОЛЬЗОВАТЕЛЯМИ, В СТОРОННИЕ ОРГАНИЗАЦИИ ДЛЯ РЕМОНТА ИЛИ УТИЛИЗАЦИИ, А ТАКЖЕ КОНТРОЛЬ УНИЧТОЖЕНИЯ (СТИРАНИЯ)
Требования к реализации ЗНИ.8: Оператором должно обеспечиваться уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) информации.
Уничтожение (стирание) информации на машинных носителях должно исключать возможность восстановления защищаемой информации при передаче машинных носителей между пользователями, в сторонние организации для ремонта или утилизации.
Уничтожению (стиранию) подлежит информация, хранящаяся на цифровых и нецифровых, съемных и несъемных машинных носителях информации.
Процедуры уничтожения (стирания) информации на машинных носителях, а также контроля уничтожения (стирания) информации должны быть разработаны оператором и включены в организационно-распорядительные документы по защите информации.
Требования к усилению ЗНИ.8:
1) оператором должны быть обеспечены регистрация и контроль действий по удалению защищаемой информации и уничтожению машинных носителей информации;
2) оператором должны проводиться периодическая проверка процедур и тестирование средств стирания информации и контроля удаления информации;
3) оператором перед подключением к информационной системе должно быть обеспечено уничтожение (стирание) информации с носителей информации после их приобретения и при первичном подключении к информационной системе, при использовании в иных информационных системах, при передаче для постоянного использования от одного пользователя другому пользователю, после возвращения из ремонта, а также в иных случаях, определяемых оператором;
4) оператором должно быть обеспечено уничтожение машинных носителей информации, которые не подлежат очистке (неперезаписываемые машинные носители информации, такие как оптические диски типа CD-R);
5) оператором должны применяться следующие меры по уничтожению (стиранию) информации на машинных носителях, исключающие возможность восстановления защищаемой информации:
а) удаление файлов штатными средствами операционной системы и (или) форматирование машинного носителя информации штатными средствами операционной системы;
6) перезапись уничтожаемых (стираемых) файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полная перезапись всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием;
в) очистка всего физического пространства машинного носителя информации, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
г) полная многократная перезапись машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации, затем очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
д) размагничивание машинного носителя информации;
е) физическое уничтожение машинного носителя информации (в том числе сжигание, измельчение, плавление, расщепление, распыление и другое).
Журнал учета машинных носителей информации и машинных документов (Форма 25)
Настройка блока страниц
Ламинировать обложку C двух сторон
Нумерация, скрепление, печать:
Отверстия для прошивки
Тиснение на обложке
Все настройки
Настройка обложки
Проклеить корешок бумвинилом
Цвет обложки:
Цвет обложки:
Бумвинил
Кожзам
Бумага
Логотип на обложку
Образец журнала
Журнал учета машинных носителей информации и машинных документов форма 25 имеет графы (столбцы):
1. Дата, регистрационный номер, гриф секретности
2. Шифр заказа, задачи, учетный номер, откуда поступил
3. Тип машинного носителя информации, машинного документа
4. Количество экземпляров
5. Номер экземпляра
6. Количество в экземпляре (штук, лент, листов, объем файла)
7. Расписка в получении (Ф.И.О., подпись, дата), отметка об отправке
8. Расписка в обратном приеме (Ф.И.О., подпись, дата)
9. Место хранения машинного носителя информации, машинного документа
10. Отметка об уничтожении (складировании в урну) бракованных машинных носителей информации, машинных документов (подпись, дата)
11. Отметка об уничтожении машинных носителей информации, машинных документов, стирании информации (номер и дата акта)
Еще сомневаетесь, где купить и заказать качественные журналы и бланки по Вашему образцу? Только у нас!
Мы доставляем заказы не только по Москве и области, но и по всей России.
Воспользовавшись калькулятором журнала, Вы настроите нужное количество страниц, обложку, логотип и т.д.
Добавить отзыв
Журнал учета подготовленных секретных документов (Форма 33)
от 35 руб.
Журнал учета документов для служебного пользования
от 35 руб.
Настройка журнала
Настройка журнала
Вы можете за 10 рублей разместить логотип Вашей организации на обложке журнала.
Логотип будет размещен над названием журнала по центру.
Размер файла не должен превышать 2 мб. Формат загружаемого файла с логотипом должен быть jpg, jpeg, gif или png. Имя файла должно состоять только из английских букв и цифр. Цветность Вашего логотипа может быть как черно-белой (градации серого), так и цветной.
Пример расположения логотипа на вертикальной обложке
Пример расположения логотипа на горизонтальной обложке