Использование USB-накопителей и других переносных носителей с персональными данными является зоной повышенного риска, поэтому организация обязана документально закрепить правила их применения и учёт.
Основные документы, которые фиксируют работу с USB-накопителями:
- Приказ (или распоряжение) о порядке использования съёмных носителей. Устанавливает, кто имеет право применять USB-устройства и для каких целей.
- Регламент (или положение) о работе с носителями информации. Включает порядок подключения, копирования, хранения и уничтожения данных с USB-накопителей.
- Журнал учёта использования съёмных носителей. В нём фиксируется выдача USB-накопителей сотрудникам, даты передачи, возврата и цель использования.
- Журнал регистрации операций копирования. Может вестись в бумажной или электронной форме для отражения факта записи или переноса ПДн.
- Акты уничтожения носителей или данных на них. При списании USB-накопителей или очистке данных составляется акт с подписью комиссии.
- Обязательства сотрудников о неразглашении ПДн. Дополняют общий порядок и фиксируют ответственность при использовании USB-носителей.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать организационные меры защиты, включая порядок доступа к носителям.
- Приказ ФСТЭК № 21 от 18.02.2013 — прямо требует наличия правил учёта, хранения, использования и уничтожения машинных носителей информации, содержащих ПДн.
- ГОСТ Р 57580.1-2017 — предусматривает контроль за перемещением данных и регистрацию операций.
Практика проверок Роскомнадзора и ФСТЭК
На проверках часто запрашиваются журналы учёта съёмных носителей. Если в компании USB-накопители применяются без формализованного порядка, фиксируется нарушение ст. 19 ФЗ-152. Там, где есть приказы и журналы, но сотрудники не заполняют их регулярно, указывают на формальный характер мер. В организациях, где использование USB-накопителей полностью запрещено внутренними документами, такие нарушения не выявляются.
Что важно учитывать компаниям
- Если USB-накопители разрешены, нужно вести полный цикл документооборота: приказ → регламент → журналы → акты.
- Если они запрещены, это должно быть прямо закреплено в положении, а контроль — технически обеспечен (например, блокировка портов).
- Любые действия с ПДн на USB должны оставлять след в учётных документах.
Рекомендации и выводы
Да, использование USB-накопителей с ПДн должно фиксироваться. Минимум — приказ, регламент и журнал учёта. Для надёжности добавляют журналы операций и акты уничтожения.
Компания ICTech поможет вашей организации выстроить систему учёта и контроля за использованием USB-носителей с ПДн и подготовить весь комплект документов по требованиям ФЗ-152 и ФСТЭК.
