УТВЕРЖДАЮ
Генеральный директор
ЗАО «ХХХ»
___________ Иванов И.И.
«____» ___________ 20__г
Положение
об использовании мобильных устройств и носителей конфиденциальной информации (персональных данных) ЗАО «ХХХ»
-
Общие положения
-
Настоящее Положение разработано во исполнение Концепции информационной безопасности ЗАО «ХХХ» в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» и другими нормативными правовыми актами и устанавливает порядок использования мобильных устройств и носителей информации, предоставляемых ЗАО «ХХХ» (далее Организация) для использования в автоматизированной системе Организации.
-
Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Организации.
-
Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники и должны применяться для всех средств вычислительной техники, эксплуатируемой в Организации.
-
Основные термины, сокращения и определения
-
АС – автоматизированная система Организации – система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
-
АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.
-
Администратор ИБ – должностное лицо Организации, осуществляющее комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
-
Мобильное устройство – переносное электронно-вычислительное устройство, способное принимать, отображать, хранить, обрабатывать и передавать информацию.
-
Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации.
-
Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
-
ПК – персональный компьютер.
-
ПО – Программное обеспечение вычислительной техники.
-
ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
-
ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
-
Пользователь – работник Организации, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей.
-
Перечень – документ «Перечень разрешенного к использованию ПО». Содержит перечень коммерческого свободно распространяемого ПО, разрешенного к использованию в Организации.
3. Порядок использования мобильных устройств и носителей информации
3.1. Под использованием мобильных устройств и носителей информации в АС Организации понимается их подключение к инфраструктуре АС с целью обработки, приема/передачи информации между АС и мобильными устройствами, а также носителями информации.
3.2. В АС допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю.
3.3. На предоставленных Организацией мобильных устройствах допускается использование коммерческого и свободно распространяемого ПО, входящего в Перечень разрешенного к использованию ПО и указанного в Паспорте ПК.
3.4. К предоставленным Организацией мобильным устройствам и носителям информации предъявляются те же требования по защите информации, что и для стационарных АРМ
3.5. Мобильные устройства и носители информации предоставляются работникам Организации по инициативе Руководителей структурных подразделений в случаях:
-
необходимости выполнения вновь принятым работником своих должностных обязанностей;
-
возникновения у работника Организации производственной необходимости.
3.6. Процесс предоставления работнику Организации мобильных устройств и носителей информации состоит из следующих этапов:
3.6.1. Подготовка заявки (Приложение 1) в утвержденной форме, осуществляется Руководителем структурного подразделения на имя Руководителя Организации.
3.6.2. Согласование подготовленной заявки (для получения заключения о возможности предоставления работнику Организации заявленного мобильного устройства или носителя информации) с начальником отдела по защите информации.
3.6.3. Передача заявки в отдел по защите информации для учета предоставленного мобильного устройства или носителя информации и внесения изменений в «Список работников Организации, имеющих право работы с мобильными устройствами вне территории ЗАО "ХХХ", а также выполнения технических настроек по регистрации мобильного устройства в АС или предоставлению права использования носителей информации на АРМах Организации (в случае согласования заявки Руководителем Организации).
3.7. Внос на территорию Организации предоставленных мобильных устройств работниками Организации, а также вынос их за его пределы производится только на основании «Списка работников Организации, имеющих право работы с мобильными устройствами вне территории ЗАО "ХХХ" (Приложение 2), который ведется отделом по защите информации на основании утвержденных заявок и передается в службу охраны Организации.
3.8. При использовании предоставленных работникам Организации мобильных устройств и носителей информации необходимо:
3.8.1. Соблюдать требования настоящего Положения.
3.8.2. Использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей.
3.8.3. Ставить в известность администратора ИБ о любых фактах нарушения требований настоящего Положения.
3.8.4. Эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей.
3.8.5. Обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами.
3.8.7. Извещать администраторов ИБ о фактах утраты (кражи) мобильных устройств и носителей информации.
3.9. При использовании предоставленных работникам Организации мобильных устройств и носителей информации запрещено:
3.9.1. Использовать мобильные устройства и носители информации в личных целях.
3.9.2. Передавать мобильные устройства и носители информации другим лицам (за исключением работников отдела информационных технологий и администратора ИБ).
3.9.3. Оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
3.10. Любое взаимодействие (обработка, прием/передача информации) инициированное работником Организации между АС и неучтенными (личными) мобильными устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИБ заранее). Организация оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации.
3.11. Информация об использовании работниками Организации мобильных устройств и носителей информации в АС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также руководителю Организации.
3.12. При подозрении работника Организации в несанкционированном или нецелевом использовании мобильных устройств и носителей информации инициализируется расследование допущенных нарушений, производимое отделом по защите информации на основании Регламента реагирования на инциденты информационной безопасности, утвержденного в Организации.
3.13. Информация, хранящаяся на предоставляемых Организацией мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
3.14. Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется «уполномоченной комиссией». По результатам уничтожения носителей составляется акт по прилагаемой форме
3.15. В случае увольнения или перевода работника в другое структурное подразделение Организации, предоставленные ему мобильные устройства и носители информации изымаются.
4. Ответственность
4.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.
Приложение 1
к Положению об использовании мобильных устройств и носителей информации в ЗАО «ХХХ»
ЗАЯВКА
на предоставление работнику ЗАО "ХХХ"
мобильного устройства/носителя информации
Генеральному директору
ЗАО "ХХХ"
Иванову И.И.
"___"______________ 20___ года
В связи с возникшей производственной необходимостью, прошу предоставить следующему работнику:
(ФИО)
(должность)
(структурное подразделение)
(номер служебного телефона)
(наименование мобильного устройства/носителя информации)
(перечень задач, решаемых с использованием мобильного устройства/носителя информации)
Руководитель:
|
|
|
(наименование структурного подразделения)
|
"___" _____________ 20___ г.
|
|
|
|
|
(подпись)
|
|
(фамилия и инициалы)
|
Согласовано:
Начальник отдела по защите информации
|
Приложение 2
к Положению об использовании мобильных устройств и носителей информации в ЗАО «ХХХ»
Список работников, имеющих право работы с мобильными устройствами вне территории ЗАО "ХХХ"
№ п/п
|
ФИО
|
Должность
|
Структурное
подразделение
|
Наименование
мобильного
устройства
|
Инвентарный номер
мобильного устройства
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Начальник отдела по защите информации:
"___" _____________ 20___ г.
|
|
|
|
|
(подпись)
|
|
(фамилия и инициалы)
|
|
|