Положение об использовании мобильных устройств и носителей информации
1. Общие положения
1.1. Настоящее Положение устанавливает порядок использования мобильных устройств и носителей информации, предоставляемых «ВАША ОРГАНИЗАЦИЯ» (далее Организация) для использования в ИС.
1.2. Действие настоящего Положения распространяется на работников Организации, подрядчиков и третью сторону.
2. Основные термины, сокращения и определения
- Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники.
- АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.
- ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
- ИС – информационная система Организации – система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
- Мобильное устройство – переносное электронно-вычислительное устройство, способное принимать, отображать, хранить, обрабатывать и передавать информацию.
- Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации.
- Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
- ПК – персональный компьютер.
- ПО – Программное обеспечение вычислительной техники.
- ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
- ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
- Пользователь – работник Организации, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей.
- Организация – «ВАША ОРГАНИЗАЦИЯ».
- Реестр – документ «Реестр разрешенного к использованию ПО». Содержит перечень коммерческого ПО, разрешенного к использованию в Организации.
3. Порядок использования мобильных устройств и носителей информации
3.1. Под использованием мобильных устройств и носителей информации в ИС Организации понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и мобильными устройствами, а также носителями информации.
3.2. В ИС допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю.
3.3. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.
3.4. К предоставленным Организацией мобильным устройствам и носителям информации предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).
3.5. Мобильные устройства и носители информации предоставляются работникам Организации по инициативе Руководителей структурных подразделений в случаях:
- необходимости выполнения вновь принятым работником своих должностных обязанностей;
- возникновения у работника Организации производственной необходимости.
3.6. Процесс предоставления работнику Организации мобильных устройств и носителей информации состоит из следующих этапов:
3.6.1. Подготовка заявки (Приложение 1) в утвержденной форме, осуществляется Руководителем структурного подразделения на имя Руководителя Организации.
3.6.2. Согласование подготовленной заявки (для получения заключения о возможности предоставления работнику Организации заявленного мобильного устройства и/или носителя информации) с начальником отдела ИТ.
3.6.3. Передача оригинала заявки в отдел ИТ для учета предоставленного мобильного устройства и/или носителя информации и внесения изменений в «Список работников Организации, имеющих право работы с мобильными устройствами вне территории «ВАША ОРГАНИЗАЦИЯ», а также выполнения технических настроек по регистрации мобильного устройства в ИС и/или предоставлению права использования носителей информации на АРМах Организации (в случае согласования заявки Руководителем Организации).
3.7. Внос на территорию Организации предоставленных мобильных устройств работниками Организации, а также вынос их за его пределы производится только на основании «Списка работников Организации, имеющих право работы с мобильными устройствами вне территории «ВАША ОРГАНИЗАЦИЯ» (Приложение 2), который ведется отделом ИТ на основании утвержденных заявок и передается в службу безопасности.
3.8. Внос на территорию Организации предоставленных мобильных устройств работниками подрядных и сторонних организаций, а также вынос их за его пределы производится на основании заполненной по форме заявки (Приложение 3) на внос/вынос мобильного устройства, подписанной Руководителем структурного подразделения.
3.9. При использовании предоставленных работникам Организации мобильных устройств и носителей информации необходимо:
3.9.1. Соблюдать требования настоящего Положения.
3.9.2. Использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей.
3.9.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.
3.9.4. Бережно относится к мобильным устройствам и носителям информации.
3.9.5. Эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей.
3.9.6. Обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами.
3.9.7. Извещать администраторов ИС о фактах утраты (кражи) мобильных устройств и носителей информации.
3.10. При использовании предоставленных работникам Организации мобильных устройств и носителей информации запрещено:
3.10.1. Использовать мобильные устройства и носители информации в личных целях.
3.10.2. Передавать мобильные устройства и носители информации другим лицам (за исключением администраторов ИС).
3.10.3. Оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
3.11. Любое взаимодействие (обработка, прием/передача информации) инициированное работником Организации между ИС и неучтенными (личными) мобильными устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИС заранее). Организация оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации.
3.12. Информация об использовании работниками Организации мобильных устройств и носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также Руководству Организации.
3.13. При подозрении работника Организации в несанкционированном и/или нецелевом использовании мобильных устройств и носителей информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.
3.14. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.
3.15. Информация, хранящаяся на предоставляемых Организацией мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
3.16. В случае увольнения или перевода работника в другое структурное подразделение Организации, предоставленные ему мобильные устройства и носители информации изымаются.
4. Ответственность
4.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.
5. Внесение изменений и дополнений
5.1. Изменения и дополнения в настоящее Положение вносятся работниками отдела ИТ по указанию начальника отдела, и после согласования с Руководителями служб Организации утверждаются приказом Руководителя Организации.
5.2. Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.
Приложение 1 – Заявки на предоставление работнику "ВАША ОРГАНИЗАЦИЯ" мобильного устройства/носителя информации
Заявка на предоставление работнику "ВАША ОРГАНИЗАЦИЯ" мобильного устройства
Заявка на предоставление работнику "ВАША ОРГАНИЗАЦИЯ" носителя информации
Приложение 2 – Список работников, имеющих право работы с мобильными устройствами вне территории "ВАША ОРГАНИЗАЦИЯ"
Приложение 3 – Заявка на внос/вынос мобильного устройства за пределы "ВАША ОРГАНИЗАЦИЯ"