Оператор персональных данных должен тщательно регламентировать и контролировать использование мобильных технических средств в своей информационной системе (ИСПДн). Это необходимо для обеспечения безопасности и защиты персональных данных в ИСПДн.
К числу мобильных технических средств относятся различные съемные носители информации, такие как флэш-накопители, внешние жесткие диски и другие устройства, а также портативные вычислительные устройства и средства связи, включая ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры и звукозаписывающие устройства.
Регламентация и контроль использования мобильных технических средств
Процесс регламентации и контроля использования мобильных технических средств включает в себя следующие ключевые моменты:
- Установление видов доступа: Документально определяются разрешенные виды доступа, такие как беспроводной, проводной (коммутируемый), широкополосный и другие, для доступа к объектам доступа ИСПДн с использованием мобильных технических средств, входящих в состав ИСПДн.
- Ограничение на использование: Мобильные технические средства могут применяться только для задач, для решения которых они были разработаны, и доступ к ним предоставляется в соответствии с установленными правилами.
- Мониторинг и контроль: Регулярный мониторинг и контроль использования мобильных технических средств позволяют выявлять несанкционированные попытки доступа к объектам доступа ИСПДн.
- Запрет запуска: Программное обеспечение (программный код), используемое для взаимодействия с мобильным техническим средством, не должно запускаться без команды пользователя.
Правила и процедуры применения мобильных технических средств, включая их выдачу и возврат, а также передачу на техническое обслуживание, подробно описаны в организационно-распорядительных документах оператора персональных данных по защите персональных данных. Эти документы должны обеспечивать удаление или недоступность персональных данных в случае возникновения соответствующих ситуаций.
Требования к усилению УПД.15
Для усиления защиты персональных данных в ИСПДн необходимо выполнить следующие требования:
- Оператор должен запретить использование съемных машинных носителей информации, не входящих в состав ИСПДн (находящихся в личном использовании).
- Оператор должен запретить применение съемных машинных носителей, для которых не определен владелец (пользователь или организация, ответственные за защиту персональных данных).
- После использования мобильных технических средств за пределами контролируемой зоны, оператор должен выполнить очистку машинного носителя персональных данных, переустановку программного обеспечения и другие необходимые меры по защите.
- Доступ с использованием мобильных технических средств к объектам доступа ИСПДН должен предоставляться только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций).
- В ИСПДн следует запретить использование мобильных технических средств, на которые может осуществляться запись персональных данных (перезаписываемых съемных машинных носителей информации).
Источник: 📎Приказ ФСТЭК России от 18 февраля 2013 г. №21 (в ред. Приказа ФСТЭК России от 23.03.2017 №49, от 14.05.2020 №68)