В файлах электронных ключей и подписей присутствуют персональные данные (ФИО владельца). Поэтому флэшки с электронными ключами и подписями являются материальными носителями персональных данных.
Согласно п. 8 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. приказом ФСТЭК России от 18.02.2013 № 21, в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входит защита машинных носителей информации, на которых хранятся и(или) обрабатываются персональные данные.
В соответствии с п. 8.4 данного документа меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
Для реализации этих требований заводится журнал учета съемных носителей персональных данных. Примерная форма во вложении (приложение № 14).
Электронные ключи и подписи используются для доступа к региональным и федеральным информационным системам (например, ФИАС, ЕИС в сфере закупок, ГИС ЖКХ и т. д.). Для федеральных ИС, которые используют органы местного самоуправления, больше подходит третий уровень защищенности персональных данных, для региональных ИС – четвертый уровень.
На основании п. 13 и 14 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 1119, для обеспечения 4-го и 3-го уровня защищенности персональных данных при их обработке в информационных системах необходимо обеспечение сохранности носителей персональных данных.
Требования к обеспечению сохранности носителей персональных данных раскрываются в п. 7 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утв. приказом ФСБ России от 10.07.2014 № 378. Необходимо:
а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
