Порядок использования портативных средств вычислительной техники

В целях обеспечения контроля использования портативных средств вычислительной техники на Объекте проведена проверка выполнения требований «Положения о порядке использования портативных средств вычислительной техники».

В соответствии с Положением эксплуатация портативных средств вычислительной техники (ноутбуков) должна осуществляться с санкции Генерального директора на основании Разрешения на эксплуатацию, выдаваемого Подразделением корпоративной безопасности после проверки соответствия программно-аппаратного состава и условий эксплуатации СВТ требованиям по защите информации, установленными на Объекте.

В Разрешении обязательным являются указание следующих условий использования ноутбука: запрет на использование беспроводных соединений, право подключения к локальной вычислительной сети, разрешение обработки и хранения конфиденциальной информации. Кроме этого, должны быть определены проходные, через которые разрешен внос (вынос) портативного СВТ. Разрешение на работу с конфиденциальной информацией должно выдаваться после проведения специального исследования на предмет выявления внедренных устройств несанкционированного съема информации и при наличии средств криптографической защиты информации (далее – СКЗИ).

Целесообразно получить данные о портативных СВТ, зарегистрированных в базе данных средств вычислительной техники Объекта, а также провести анализ собственной базы данных выданных Разрешений на эксплуатацию ноутбуков.

Установлено, что работниками Объекта эксплуатируется 22 ноутбука. Из них 15 используются для работы в локальной вычислительной сети, имеют учетные записи в корпоративном домене, т.е. на них распространяются установленные в соответствии с требованиями информационной безопасности Объекта доменные политики безопасности (например, антивирусная защита, запрет на создание общих папок). 5 ноутбуков прошли проверку и имеют оформленные Разрешения на эксплуатацию.

Среди пользователей ноутбуков есть лица, имеющие доступ к сведениям, составляющим коммерческую тайну. СКЗИ для защиты информации на ноутбуках предприятием не приобреталось. В соответствии с «Программой развития информационной безопасности планируется приобретение средств защиты конфиденциальности и целостности информации на 10 портативных СВТ.

Согласно Положению подключение портативных СВТ к сети предприятия извне и удаленное использование информационных ресурсов должно осуществляться только с использованием защищенных соединений. На Объекте указанное подключение портативных СВТ не используется.

Эксплуатации портативных СВТ в административных зданиях и на промышленных объектах работниками сервисных структур в случае производственной необходимости осуществляется в соответствии «Положением о порядке использования портативных средств вычислительной техники». В настоящее время выдано 6 Разрешений на эксплуатацию ноутбуков специалистам сервисной организации сроком на 6 месяцев.

По результатам проведенной проверки состоялась рабочая встреча со специалистами отдела информационной безопасности, на которой рассмотрен вопрос об увеличении суммы, выделенной на приобретение средств защиты информации портативных СВТ в соответствии с Программой развития информационной безопасности.

Об итогах проверки выполнения требований «Положения о порядке использования портативных средств вычислительной техники» подготовлено письмо на имя Генерального директора, в котором также даны предложения по ликвидации выявленных нарушений и минимизации рисков информационной безопасности, связанных с использованием портативных средств вычислительной техники.

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *