Оператором персональных данных должны обеспечиваться регламентация и контроль использования в информационной системе персональных данных (ИСПДн) мобильных технических средств, направленные на защиту персональных данных в ИСПДн.
В качестве мобильных технических средств рассматриваются съемные машинные носители персональных данных (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки персональных данных (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства).
Регламентация и контроль использования мобильных технических средств должны включать:
- установление (в том числе документальное) видов доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа), разрешенных для доступа к объектам доступа ИСПДн с использованием мобильных технических средств, входящих в состав ИСПДн;
- ограничение на использование мобильных технических средств в соответствии с задачами (функциями) ИСПДн, для решения которых использование таких средств необходимо, и предоставление доступа с использованием мобильных технических средств в соответствии с УПД.2;
- мониторинг и контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных технических средств для доступа к объектам доступа ИСПДн;
- запрет возможности запуска без команды пользователя в ИСПДн программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством.
Правила и процедуры применения мобильных технических средств, включая процедуры выдачи и возврата мобильных технических средств, а также их передачи на техническое обслуживание (процедура должна обеспечивать удаление или недоступность персональных данных), регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.15:
1) оператором персональных данных обеспечивается запрет использования в ИСПДн, не входящих в ее состав (находящихся в личном использовании) съемных машинных носителей информации;
2) оператором персональных данных обеспечивается запрет использования в ИСПДн съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты персональных данных);
3) оператором персональных данных обеспечивается (в соответствии с процедурами, зафиксированными в организационно-распорядительных документах) очистка машинного носителя персональных данных мобильного технического средства, переустановка программного обеспечения и выполнение иных мер по защите персональных данных мобильных технических средств, после их использования за пределами контролируемой зоны;
4) оператором персональных данных обеспечивается предоставление доступа с использованием мобильных технических средств к объектам доступа ИСПДН только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
5) в ИСПДн обеспечивается запрет использования мобильных технических средств, на которые в ИСПДн может быть осуществлена запись персональных данных (перезаписываемых съемных машинных носителей информации).
Содержание базовой меры УПД.15:
Мера защиты персональных данных | Уровень защищенности персональных данных | |||
4 | 3 | 2 | 1 | |
УПД.15 | + | + | + | + |
Усиление УПД.15 | 1, 2 | 1, 2 |