Положение об использовании мобильных устройств и носителей информации
Алгоритм использования мобильных устройств и носителей информации
Под использованием мобильных и внешних устройств подразумевается подключение их к информационной системе предприятия для приема/передачи или обработки данных. Для такого подключения разрешаются только те мобильные устройства и носители, которые находятся под контролем предприятия, и по ним ведется учет и контроль. На таких устройствах разрешается использовать коммерческое ПО которое входит в реестр разрешенного ПО н предприятии.
К мобильным устройствам и внешним носителям предъявляют такие же требования по информационной безопасности, как и к стационарным компьютерам предприятия. Процесс предоставления сотруднику предприятия этих девайсов состоит из следующих шагов:
- Черновик заявки (рис.1) заполняется руководителем структурного отдела на имя руководителя предприятия
- Заявка согласовывается с начальником ИТ отдела
- При одобрении заявки руководителем предприятия, отдел ИТ проводит учет предоставленного устройства и настройку его согласно положений безопасности
Вынос и внос устройства за пределы предприятия возможен только на основе документа «Список работников предприятия имеющих право работы с мобильными устройствами вне территории предприятия (имя)» (Рис.2), которые ведется отделом ИТ и передается в службу ИБ.
Также должен быть подписан отдельно документ (Рис.3) на внос и вынос работниками сторонних организаций мобильных устройств подписанный руководителем подразделения. При использовании мобильного устройства и носителя данных сотрудникам нужно:
- соблюдать правила текущего положения
- использовать устройства только для реализации своих функциональных обязанностей
- ставить администратора ИС в известность о нарушениях положений об соблюдение правил безопасности
- бережно относится у устройствам
- реализовывать физическую безопасность мобильных устройств и носителей данных всеми адекватными методами
Сотрудникам имеющих устройсва запрещено:
- реализовывать устройства в личных целях
- передавать устройства другим лицами(кроме админов ИС)
- оставлять устройства без присмотра, если не реализованы меры по физической безопасности
Любое взаимодействие созданное сотрудником предприятия между ИС и неучтенным мобильным устройством и носителем информации рассматривается как несанкционированное подключение. Предприятие имеет право незамедлительно блокировать доступ таких устройств к ИС.
Все действия производимые на устройствах заносятся в протокол и при необходимости, могут быть предоставлены руководителю отдела или службе ИБ.
Рисунок — 1, Заявка на предоставление работнику мобильного устройства/носителя информации
Рисунок — 2, Список работников, имеющих право работы с мобильными устройствами вне территории предприятия
Рисунок — 3, Заявка на внос/вынос мобильного устройства за пределы предприятия