УПД.15

УПД.15 - Регламентация и контроль использования в информационной системе мобильных технических средств

Описание

Оператором персональных данных должны обеспечиваться регламентация и контроль использования в информационной системе персональных данных (ИСПДн) мобильных технических средств, направленные на защиту персональных данных в ИСПДн. В качестве мобильных технических средств рассматриваются съемные машинные носители персональных данных (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки персональных данных (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства).

Регламентация и контроль использования мобильных технических средств должны включать:

• установление (в том числе документальное) видов доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа), разрешенных для доступа к объектам доступа ИСПДн с использованием мобильных технических средств, входящих в состав ИСПДн;
• ограничение на использование мобильных технических средств в соответствии с задачами (функциями) ИСПДн, для решения которых использование таких средств необходимо, и предоставление доступа с использованием мобильных технических средств в соответствии с УПД.2;
• мониторинг и контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных технических средств для доступа к объектам доступа ИСПДн;
• запрет возможности запуска без команды пользователя в ИСПДн программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством.

Правила и процедуры применения мобильных технических средств, включая процедуры выдачи и возврата мобильных технических средств, а также их передачи на техническое обслуживание (процедура должна обеспечивать удаление или недоступность персональных данных), регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.

Требования к усилению УПД.15:

1. оператором персональных данных обеспечивается запрет использования в ИСПДн, не входящих в ее состав (находящихся в личном использовании) съемных машинных носителей информации;
2. оператором персональных данных обеспечивается запрет использования в ИСПДн съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты персональных данных);
3. оператором персональных данных обеспечивается (в соответствии с процедурами, зафиксированными в организационно-распорядительных документах) очистка машинного носителя персональных данных мобильного технического средства, переустановка программного обеспечения и выполнение иных мер по защите персональных данных мобильных технических средств, после их использования за пределами контролируемой зоны;
4. оператором персональных данных обеспечивается предоставление доступа с использованием мобильных технических средств к объектам доступа ИСПДН только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
5. в ИСПДн обеспечивается запрет использования мобильных технических средств, на которые в ИСПДн может быть осуществлена запись персональных данных (перезаписываемых съемных машинных носителей информации).