Учет машинных носителей персональных данных (мера ЗНИ.1) необходим для обеспечения безопасности персональных данных, обрабатываемых в информационных системах. Его обязательность вытекает из нескольких нормативно-правовых актов и продиктована необходимостью контроля и предотвращения утечек информации. Рассмотрим подробнее:
Основные причины учета
- Предотвращение утраты или хищения носителей: Учет позволяет отслеживать местонахождение каждого носителя, содержащего персональные данные. В случае пропажи или кражи, учетная документация значительно облегчит поиск и позволит оперативно принять меры по минимизации ущерба. Это особенно актуально для носителей с высоким уровнем критичности данных.
- Контроль доступа к данным: Ведение учета помогает контролировать, кто и когда использовал тот или иной носитель. Это способствует предотвращению несанкционированного доступа к персональным данным и позволяет установить ответственность в случае нарушения.
- Обеспечение сохранности данных: Учет является одной из мер, гарантирующих сохранность персональных данных, как того требуют законодательные акты Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" (Федеральный закон №152-ФЗ), постановление Правительства Российской Федерации от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (постановление Правительства №1119). Он способствует соблюдению требований к защите информации на всех уровнях защищенности.
- Упрощение инвентаризации: Регулярный учет значительно упрощает проведение инвентаризации носителей, позволяя оперативно выявить недостающие или поврежденные экземпляры.
- Выполнение требований законодательства: Учет машинных носителей является обязательным требованием для обеспечения 1 и 2 уровней защищенности персональных данных в соответствии Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 №21. Приказ ФСБ России от 10.07.2014 №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" расширяет это требование и для 3 и 4 уровней защищенности, при дополнении базового набора мер другими, вытекающими из других НПА. Федеральный закон №152-ФЗ также прямо или косвенно указывает на необходимость мер, обеспечивающих сохранность носителей, к которым относится и учет. Постановление Правительства №1119 также требует обеспечения сохранности носителей персональных данных.
Как осуществляется учет
Обычно учет ведется в специальном журнале учета машинных носителей персональных данных, где фиксируются следующие данные:
- Регистрационный (заводской) номер носителя.
- Тип носителя (жесткий диск, флеш-накопитель и т.д.).
- Дата ввода в эксплуатацию.
- Дата вывода из эксплуатации.
- Ответственное лицо.
- Место хранения.
- Другая релевантная информация.
Заключение
Учет машинных носителей персональных данных – это не просто формальность, а важная организационно-техническая мера, обеспечивающая безопасность персональных данных и выполнение требований законодательства. Он является необходимым элементом системы защиты информации и способствует предотвращению инцидентов, связанных с утечкой или утратой конфиденциальной информации. Выбор этой меры в базовом наборе мер безопасности является обязательным для обеспечения соответствия требованиям законодательства в области защиты персональных данных.