кем ведется журнал учета и проверки съемных носителей информации кварц
Приложение N 3. Инструкция по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
Приложение N 3
к правилам осуществления внутреннего
контроля соответствия обработки персональных
данных требованиям к защите персональных данных
Инструкция по учету, выдаче, хранению, обращению с
машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
1.1. Все машинные носители информации, предназначенные для хранения информации ограниченного использования (для служебного использования, персональных данных) подлежат обязательному учету. Каждый съемный носитель с записанной на нем информацией ограниченного доступа должен иметь этикетку, на которой указывается его уникальный учетный номер.
1.3. Машинные носители информации выдаются и принимаются по журналу учета руководителем структурного подразделения.
1.4. Машинные носители информации в обязательном порядке маркируются следующим образом:
— на компакт-дисках (DVD, CD и др.) учетный номер проставляется на лицевой стороне диска специальным маркером;
— на жестком магнитном диске учетный номер проставляется на корпусе. Жесткий магнитный диск учитывается отдельно (в случае съемной конструкции) или в составе системного блока (СБ) автоматизированного рабочего места. В случае учета в составе СБ, на корпус СБ (в удобное для просмотра место) наклеивается бирка с указанием учетного номера, типа, модели машинного носителя, его объема, серийного номера жесткого магнитного диска;
— на носителях информации типа USB Flash-носители на корпус наклеивается бирка с указанием учетного номера носителя и его серийного номера;
— на персональных идентификаторах на корпус наклеивается бирка с указанием учетного номера носителя;
— бирки не должны закрывать заводские номера машинных носителей информации
1.5. Машинные носители информации хранятся в запертом шкафу.
1.6. Пользователям запрещается:
— использовать неучтенные машинные носители информации;
— использовать неучтенные персональные идентификаторы;
— хранить съемные носители с информацией ограниченного доступа вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
— выносить съемные носители с информацией ограниченного доступа из служебных помещений для работы с ними на дому.
1.7. При отправке или передаче информации ограниченного доступа адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка информации ограниченного доступа адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей информации ограниченного доступа для непосредственной передачи адресату осуществляется только с разрешения руководителя структурного подразделения.
1.8. О фактах утраты съемных носителей, содержащих информацию ограниченного доступа, либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель структурного подразделения. На утраченные носители комиссией по организации обработки и защиты персональных данных составляется акт. Соответствующие отметки вносятся в Журнал учета магнитных, оптических и иных носителей информации.
1.9. Съемные носители информации, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с информацией ограниченного доступа осуществляется комиссией по организации обработки и защиты персональных данных. По результатам уничтожения носителей информации составляется акт.
1.10. Сотрудники и лица, выполняющие работы по договорам и контрактам, имеющие отношение к работе с информацией ограниченного доступа или персональным данным, должны быть в обязательном порядке ознакомлены под роспись с настоящей Инструкцией.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Инструкция по порядку учёта, хранения и уничтожения съёмных носителей персональных данных в Автоматизированной информационной системе АИС ГИТ в Государственной инспекции труда в Камчатском крае
Государственной инспекции труда
________________ Д.А. Колгин
«____» _____________ 20___ г.
по порядку учёта, хранения и уничтожения съёмных носителей персональных данных в Автоматизированной информационной системе АИС ГИТ в Государственной инспекции труда в Камчатском крае
1.1. Настоящая Инструкция устанавливает порядок использования съемных носителей информации при работе в Автоматизированной информационной системе Государственной инспекции труда (далее – АИС ГИТ) в Государственной инспекции труда в Камчатском крае (далее – Гострудинспекция).
1.2. Под АИС ГИТ понимается автоматизированная информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.3. Действие настоящей Инструкции распространяется на сотрудников Гострудинспекции, в рамках выполнения своих должностных обязанностей участвующих в обработке персональных данных.
1.4. Контроль исполнения требований настоящей Инструкции возлагается на ответственного за эксплуатацию АИС ГИТ.
2. Порядок использования носителей информации
2.1. Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
2.2. Под использованием носителей информации в АИС ГИТ понимается их подключение к инфраструктуре АИС ГИТ с целью обработки, приема/передачи информации между АИС ГИТ и носителями информации.
2.3. В АИС ГИТ допускается использование только учтенных носителей информации, которые являются собственностью Гострудинспекции и подвергаются регулярной ревизии и контролю.
3. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации
3.1. Съемный носитель – носитель информации, предназначенный для ее автономного хранения и независимого от места записи использования (съемные винчестеры, флэш-память, оптические лазерные диски (CD, DVD), дискеты).
3.2. Все находящиеся на хранении и в обращении съемные носители с конфиденциальной информацией (персональными данными) подлежат учёту.
3.3. Каждый съемный носитель с записанными на нем персональными данными должен иметь маркировку, на которой указывается его уникальный учетный номер.
3.4. Учет и выдачу съемных носителей персональных данных осуществляет ответственный за эксплуатацию АИС ГИТ. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей персональных данных.
3.5. Сотрудники получают учтенный съемный носитель от ответственного за эксплуатацию АИС ГИТ для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения ответственному за эксплуатацию АИС ГИТ, о чем делается соответствующая запись в журнале учета.
4. Обязанности сотрудников при использовании съемных носителей
4.1. При использовании сотрудниками носителей персональных данных необходимо:
соблюдать требования настоящей Инструкции;
использовать носители информации исключительно для выполнения своих служебных обязанностей;
ставить в известность ответственных за эксплуатацию АИС ГИТ о фактах нарушения требований настоящей Инструкции;
бережно относиться к носителям персональных данных;
обеспечивать физическую сохранность носителей персональных данных;
извещать ответственных за эксплуатацию АИС ГИТ о фактах утраты (кражи) носителей персональных данных;
перед началом использования съемного носителя на автоматизированной рабочем месте (далее – АРМ) проверять носитель на наличие вредоносного программного кода с помощью антивирусного программного обеспечения.
4.2. При использовании носителей персональных данных запрещено:
использовать носители персональных данных в личных целях;
передавать носители персональных данных другим лицам (за исключением администратора безопасности АИС ГИТ, ответственного за эксплуатацию АИС ГИТ, ответственного за обеспечение безопасности АИС ГИТ);
хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
выносить съемные носители персональных данных из служебных помещений для работы с ними на дому.
5. Порядок действий при выявлении фактов несанкционированных действий сотрудников при использовании, а также при утрате и уничтожении съемных носителей персональных данных
5.1. Обработка информации с использованием неучтенных носителей информации рассматривается как несанкционированная обработка. Администратор безопасности АИС ГИТ (должностное лицо, ответственное за защиту информационной системы от несанкционированного доступа к информации), оставляет за собой право блокировать или ограничивать использование носителей информации.
5.2. В случае выявления фактов несанкционированного и/или нецелевого использования носителей персональных данных инициируется служебная проверка, проводимая комиссией, состав которой определяется руководителем Организации.
5.3. По факту выясненных обстоятельств составляется Акт расследования инцидента и передается Руководителю Гострудинспекции для принятия мер согласно локальным нормативным актам Гострудинспекции и действующему законодательству.
5.4. В случае утраты или уничтожения съемных носителей персональных данных либо разглашении содержащихся в них сведений немедленно ставится в известность ответственный за эксплуатацию АИС ГИТ. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей персональных данных.
5.5. Съемные носители персональных данных, пришедшие в негодность, подлежат уничтожению. Уничтожение съемных носителей персональных данных осуществляется комиссией, в состав которой входят ответственный за обеспечение безопасности АИС ГИТ, ответственный за эксплуатацию АИС ГИТ, администратор безопасности АИС ГИТ. По результатам уничтожения носителей составляется акт. Типовая форма акта уничтожения приведена в Приложении к настоящей Инструкции.
6.1. Сотрудники, нарушившие требования настоящей Инструкции, несут ответственность в соответствии с действующим законодательством и нормативными актами Гострудинспекции.
уничтожения съемных носителей персональных данных
Комиссия, назначенная приказом от _______№__________ в составе:
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему использованию:
Учетный номер съемного носителя
Примечание
Всего съемных носителей________________________(цифрами и прописью)
На съемных носителях уничтожены персональные данные путем стирания ее на устройстве гарантированного уничтожения информации (механического разрушения, сжигания и т.п.).
Перечисленные съемные носители уничтожены
путем (разрезания, демонтажа, механического разрушения и т.п.).
Журналы учета электронных подписей: как вести и хранить
Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.
Что такое журналы учета ключей ЭП
Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.
Кому нужно вести журналы учета ключей ЭП
Лицензиаты ФСБ
Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.
К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.
Организации, которые не являются лицензиатами ФСБ
Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».
Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.
Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:
Какие журналы учета вести
Инструкция устанавливает два типа журналов:
Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.
Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:
Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:
Типовая форма технического (аппаратного) журнала:
Чтобы скачать формы для заполнения журналов, перейдите по ссылке.
Что такое порядок использования и хранения ключей ЭП и СКЗИ
Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.
Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:
Что будет, если не соблюдать инструкцию и не вести журналы учета
Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ
Скорее всего, вы знаете, что учет СКЗИ регламентирован «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот документ невиданной силы утвержден приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.
Тогда, 20 лет назад, сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределенной по всей стране ИТ-инфраструктуры. В итоге инструкция, например, до сих пор не предусматривает возможность удаленной передачи ключей шифрования, а журнал учета требуется хранить в отдельном помещении. Вести учет в электронном виде можно, но только с применением квалифицированной ЭП (учет СКЗИ в электронном виде – это тема для отдельной статьи, и об этом мы поговорим следующий раз), либо сопровождать каждое действие соответствующими актами.
Кто и как ведет учет
Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.
Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).
В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:
начальник отдела занимается организацией и совершенствованием системы управления работой своих сотрудников;
администратор безопасности обеспечивает сохранность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники.
Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.
В итоге перечень необходимых документов состоит из:
приказа о создании ОКЗ;
утвержденных форм журналов учета;
шаблонов заявлений, актов;
инструкции для пользователей по работе с СКЗИ.
Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ. Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.
Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.
Вы еще тут? Надеемся, не запутались!
Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.
Операции с СКЗИ: взятие на учет
Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны). Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:
Предмет
Данные
с/н лицензии СКЗИ
т/н № 44313 от 22.02.2020
Формуляр СКЗИ «КриптоПро CSP» версии 4.2
Диск CD-ROM с дистрибутивом СКЗИ
В 1–6 графы журнала поэкземплярного учета должна попасть информация о:
диске с дистрибутивом;
серийном номере лицензии на СКЗИ.
После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.
На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю) передает СКЗИ. При этом обе стороны расписываются, а номер акта вносится в 8 графу («Дата и номер сопроводительного письма»).
В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.
Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.
При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически.
Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.
Заглянуть в журнал учета
Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.
Заглянуть в журнал еще раз
Что в итоге?
Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.
Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.
Надеемся, эта памятка была для вас полезной.
Автор: Никита Никиточкин, администратор реестра СКЗИ Solar JSOC «Ростелеком-Солар»
Журнал учета съемных электронных носителей информации ограниченного распространения (для служебного пользования)
Настройка блока страниц
Ламинировать обложку C двух сторон
Нумерация, скрепление, печать:
Отверстия для прошивки
Тиснение на обложке
Все настройки
Настройка обложки
Проклеить корешок бумвинилом
Цвет обложки:
Цвет обложки:
Бумвинил
Кожзам
Бумага
Логотип на обложку
Образец журнала
Форма журнала соответствует Приложению 48 к Приказу Росреестра от 15.09.2016 N П/464 «Об утверждении Инструкции по делопроизводству в центральном аппарате Федеральной службы государственной регистрации, кадастра и картографии».
Организация работы по учету, прохождению и сохранности документов, оперативному контролю за исполнением документов и поручений, регистрации внутренних документов в приемных возлагается на гражданских служащих, ответственных за ведение делопроизводства в приемных заместителей руководителя Росреестра и структурных подразделениях, и включает учет съемных электронных носителей информации ограниченного распространения в соответствующем журнале.
Журнал учета съемных электронных носителей информации ограниченного распространения (для служебного пользования) содержит графы:
1. № п/п
2. Тип носителя, его учетный номер
3. Кол-во файлов
4. Роспись в получении
5. Роспись о сдаче
6. Отметка об уничтожении, № акта
7. Примечание
Еще сомневаетесь, где купить и заказать качественные журналы и бланки по Вашему образцу? Только у нас!
Мы доставляем заказы не только по Москве и области, но и по всей России.
Воспользовавшись калькулятором журнала, Вы настроите нужное количество страниц, обложку, логотип и т.д.
Добавить отзыв
Журнал регистрации приказов
от 35 руб.
Журнал регистрации исходящих документов
от 35 руб.
Настройка журнала
Настройка журнала
Вы можете за 10 рублей разместить логотип Вашей организации на обложке журнала.
Логотип будет размещен над названием журнала по центру.
Размер файла не должен превышать 2 мб. Формат загружаемого файла с логотипом должен быть jpg, jpeg, gif или png. Имя файла должно состоять только из английских букв и цифр. Цветность Вашего логотипа может быть как черно-белой (градации серого), так и цветной.
Пример расположения логотипа на вертикальной обложке
Пример расположения логотипа на горизонтальной обложке