Положение об использовании мобильных устройств и носителей информации

1.1. Настоящее Положение устанавливает порядок использования мобильных устройств и носителей информации, предоставляемых «ВАША ОРГАНИЗАЦИЯ» (далее Организация) для использования в ИС.

1.2. Действие настоящего Положения распространяется на работников Организации, подрядчиков и третью сторону.

• Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники.
• АРМ – автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.
• ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
• ИС – информационная система Организации – система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
• Мобильное устройство – переносное электронно-вычислительное устройство, способное принимать, отображать, хранить, обрабатывать и передавать информацию.
• Носитель информации – любой материальный объект, используемый для хранения и передачи электронной информации.
• Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
• ПК – персональный компьютер.
• ПО – Программное обеспечение вычислительной техники.
• ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
• ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
• Пользователь – работник Организации, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей.
• Организация – «ВАША ОРГАНИЗАЦИЯ».
• Реестр – документ «Реестр разрешенного к использованию ПО». Содержит перечень коммерческого ПО, разрешенного к использованию в Организации.

3.1. Под использованием мобильных устройств и носителей информации в ИС Организации понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и мобильными устройствами, а также носителями информации.

3.2. В ИС допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю.

3.3. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.

3.4. К предоставленным Организацией мобильным устройствам и носителям информации предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).

3.5. Мобильные устройства и носители информации предоставляются работникам Организации по инициативе Руководителей структурных подразделений в случаях:

• необходимости выполнения вновь принятым работником своих должностных обязанностей;
• возникновения у работника Организации производственной необходимости.

3.6. Процесс предоставления работнику Организации мобильных устройств и носителей информации состоит из следующих этапов:

3.6.1. Подготовка заявки (Приложение 1) в утвержденной форме, осуществляется Руководителем структурного подразделения на имя Руководителя Организации.

3.6.2. Согласование подготовленной заявки (для получения заключения о возможности предоставления работнику Организации заявленного мобильного устройства и/или носителя информации) с начальником отдела ИТ.

3.6.3. Передача оригинала заявки в отдел ИТ для учета предоставленного мобильного устройства и/или носителя информации и внесения изменений в «Список работников Организации, имеющих право работы с мобильными устройствами вне территории «ВАША ОРГАНИЗАЦИЯ», а также выполнения технических настроек по регистрации мобильного устройства в ИС и/или предоставлению права использования носителей информации на АРМах Организации (в случае согласования заявки Руководителем Организации).

3.7. Внос на территорию Организации предоставленных мобильных устройств работниками Организации, а также вынос их за его пределы производится только на основании «Списка работников Организации, имеющих право работы с мобильными устройствами вне территории «ВАША ОРГАНИЗАЦИЯ» (Приложение 2), который ведется отделом ИТ на основании утвержденных заявок и передается в службу безопасности.

3.8. Внос на территорию Организации предоставленных мобильных устройств работниками подрядных и сторонних организаций, а также вынос их за его пределы производится на основании заполненной по форме заявки (Приложение 3) на внос/вынос мобильного устройства, подписанной Руководителем структурного подразделения.

3.9. При использовании предоставленных работникам Организации мобильных устройств и носителей информации необходимо:

3.9.1. Соблюдать требования настоящего Положения.

3.9.2. Использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей.

3.9.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.

3.9.4. Бережно относится к мобильным устройствам и носителям информации.

3.9.5. Эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей.

3.9.6. Обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами.

3.9.7. Извещать администраторов ИС о фактах утраты (кражи) мобильных устройств и носителей информации.

3.10. При использовании предоставленных работникам Организации мобильных устройств и носителей информации запрещено:

3.10.1. Использовать мобильные устройства и носители информации в личных целях.

3.10.2. Передавать мобильные устройства и носители информации другим лицам (за исключением администраторов ИС).

3.10.3. Оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.

3.11. Любое взаимодействие (обработка, прием/передача информации) инициированное работником Организации между ИС и неучтенными (личными) мобильными устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИС заранее). Организация оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации.

3.12. Информация об использовании работниками Организации мобильных устройств и носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также Руководству Организации.

3.13. При подозрении работника Организации в несанкционированном и/или нецелевом использовании мобильных устройств и носителей информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.

3.14. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.

3.15. Информация, хранящаяся на предоставляемых Организацией мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.

3.16. В случае увольнения или перевода работника в другое структурное подразделение Организации, предоставленные ему мобильные устройства и носители информации изымаются.

4.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.

5.1. Изменения и дополнения в настоящее Положение вносятся работниками отдела ИТ по указанию начальника отдела, и после согласования с Руководителями служб Организации утверждаются приказом Руководителя Организации.

5.2. Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.