VII. Организация хранения персональных данных

36. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков) <1>.

--------------------------------

<1> Пункт 4 постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

37. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.

38. Контроль за хранением и использованием материальных носителей, содержащих персональные данные, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют непосредственные руководители гражданских служащих, работников, осуществляющих обработку персональных данных.

Персональные данные хранятся в структурных подразделениях, к функциональным обязанностям которых относится обработка соответствующих персональных данных.

39. Обработку и хранение персональных данных на средствах вычислительной техники, в информационных системах и на машинных носителях информации (далее - МНИ) разрешается осуществлять только на автоматизированных рабочих местах (далее - АРМ), на которых выполнены требования по информационной безопасности, установленные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Хранение персональных данных разрешается на учтенных МНИ. Использование данных МНИ для хранения других файлов и подключения к АРМ и другим техническим устройствам, имеющим доступ в информационно-телекоммуникационную сеть "Интернет" и другие общедоступные сети, запрещается.

40. Размещение экранов мониторов АРМ и использование штор (жалюзей) на окнах должны исключать несанкционированный просмотр данных посторонними лицами, не имеющими непосредственное отношение к обработке персональных данных.

41. Управление и разграничение доступа к информационным ресурсам персональных данных должны осуществляться по индивидуальным именам, а проверка подлинности - по персональным паролям. Индивидуальные имена и персональные пароли должны устанавливаться администратором информационной системы персональных данных и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным.

42. Для защиты информации от воздействия вредоносных программ (вирусов), в соответствии с требованиями пункта 8.6 приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован Минюстом России 14 мая 2013 г., регистрационный N 28375) с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487), от 14 мая 2020 г. N 68 (зарегистрирован Минюстом России 8 июля 2020 г., регистрационный N 58877), на АРМ пользователей должно быть установлено сертифицированное антивирусное программное обеспечение. Администратором информационной системы персональных данных должно осуществляться систематическое обновление антивирусных баз.