Учет и использование носителей персональных данных
Все носители информации на бумажной, магнитной, оптической (магнито-оптической) основе, используемые в технологическом процессе обработки информации в ИСПДн, подлежат учету в том функциональном подразделении, которое является владельцем ИСПДн, обрабатывающей эту информацию.
Носители информации на магнитной (магнитно-оптической) и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях в порядке, установленном для служебной информации ограниченного распространения, с пометкой “Для служебного пользования”.
Учет съемных носителей информации на магнитной или оптической основе (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнито-оптические диски, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется в Журнале учета носителей персональных данных по установленной форме.
Перед выполнением работ сотрудником, ответственным за учет носителей информации, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка “Для служебного пользования”, номер экземпляра, подпись этого сотрудника, а также другие возможные реквизиты, идентифицирующие этот носитель.
Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам.
Для обмена персональными данными не допускается использовать не учтенные в установленном порядке носители информации.
На рабочих местах исполнителей, во время работы с персональными данными, не должно быть неучтенных носителей информации.
Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.
Уничтожение бумажных носителей персональных данных производится после поступления от руководителей структурных подразделений Банка, обрабатывающих персональные данные, в Отдел информационной безопасности СЭБ перечня (в том числе в электронном виде) подлежащих уничтожению носителей персональных данных с указанием основания для их уничтожения.
Носители уничтожаются исполнителем в присутствии членов экспертной комиссии с оформлением Акта об уничтожении персональных данных (Приложение №5) по следующей процедуре:
включение каждого отобранного к уничтожению носителя/документа (дела) отдельной позицией в акт;
оформление в акте итоговой записи с указанием количества уничтожаемых носителей/документов (дел), подписание итоговой записи членами экспертной комиссии, составившими акт;
письменное согласование акта с руководителями структурных подразделений Банка, направившими запрос на уничтожение носителей;
подписание акта членами экспертной комиссии;
утверждение акта руководством Банка.
Перед непосредственным уничтожением носителей персональных данных членами экспертной комиссии должна быть осуществлена сверка носителей с описью, приведенной в акте уничтожения.
Носители персональных данных уничтожаются в присутствии членов экспертной комиссии в составе не менее 2 человек, принимавших участие в сверке (проверке) документов и дел, подлежащих уничтожению. После уничтожения документов члены экспертной комиссии производят запись в акте об уничтожении, заверяют ее своими подписями.
Уничтожение персональных данных, записанных на электронных и магнитных носителях, должно осуществляться с использованием специальных программных средств гарантированного уничтожения информации (программных шредеров), осуществляющих многократную перезапись удаляемых данных определенными числовыми последовательностями.
Уничтожение бумажных документов, оптических и прочих носителей, не предназначенных для перезаписи, должно осуществляться путем их физического измельчения/уничтожения, либо сжигания.
|
