Об использовании портативных средств вычислительной техники (ноутбуков)

В соответствии с Приказом по Заводу в части обеспечения контроля использования портативных средств вычислительной техники (далее — СВТ) в ООО «НЕФТЬ-Завод» проведена проверка выполнения требований «Положения о порядке использования портативных средств вычислительной техники (далее — Положение).

В соответствии с Положением эксплуатация портативных средств вычислительной техники должна осуществляться с санкции Генерального директора на основании Разрешения на эксплуатацию, выдаваемого Отделом корпоративной безопасности после проверки соответствия программно-аппаратного состава и условий эксплуатации средств вычислительной техники требованиям по защите информации, установленными на Заводе. В Разрешении обязательным являются указание следующих условий использования портативного СВТ (ноутбука): запрет на использование беспроводных соединений, право подключения к локальной вычислительной сети, разрешение обработки и хранения конфиденциальной информации. Кроме этого, должны быть определены проходные, через которые разрешен внос (вынос) портативного СВТ (ноутбука). Разрешение на работу с конфиденциальной информацией должно выдаваться после проведения специсследования на предмет выявления внедренных устройств несанкционированного съема информации и при наличии средств криптографической защиты информации (далее – СКЗИ).

В ходе проверки был направлен запрос в ООО «НЕФТЬ-ИНФОРМАЦИЯ» (занимается информационным обеспечением деятельности Завода) о предоставлении данных на портативные средства вычислительной техники, зарегистрированные в базе данных средств вычислительной техники Завода, а также проведен анализ собственной базы данных выданных Разрешений на эксплуатацию портативных  средств вычислительной техники.

По информации ООО «НЕФТЬ-ИНФОРМАЦИЯ» работниками Завода эксплуатируется 22 ноутбука. Из них, 15 используются для работы в локальной вычислительной сети, имеют учетные записи в домене Компании, т.е. на них распространяются установленные в соответствии с требованиями информационной безопасности Завода доменные политики безопасности (например, антивирусная защита, запрет на создание общих папок). 5 ноутбуков прошли проверку и имеют оформленные Разрешения на эксплуатацию.

Среди пользователей ноутбуков есть лица, имеющие доступ к сведениям, составляющим коммерческую тайну Завода. СКЗИ для защиты информации на ноутбуках предприятием не приобреталось. В соответствии с «Программой развития информационной безопасности Завода планируется приобретение в средств защиты конфиденциальности и целостности информации на 10 портативных СВТ (ноутбуках).

Согласно Положению подключение портативных средств вычислительной техники к сети предприятия извне и удаленное использование информационных ресурсов должно осуществляться только с использованием защищенных соединений. По данным ООО «НЕФТЬ-ИНФОРМАЦИЯ» на Заводе указанное подключение портативных средств вычислительной техники не используется.

Эксплуатация ноутбуков в административных зданиях и на промышленных объектах Завода работниками сервисных структур в случае производственной необходимости осуществляется в соответствии «Положением о порядке использования портативных средств вычислительной техники на Заводе. В настоящее время выдано 6 Разрешений на эксплуатацию ноутбуков специалистам ООО «НЕФТЬ-ИНФОРМАЦИЯ» сроком на 6 месяцев.

По результатам проведенной проверки состоялась рабочая встреча со специалистами отдела информационной безопасности ООО «НЕФТЬ-ИНФОРМАЦИЯ», на которой рассмотрен вопрос об увеличении суммы, выделенной на приобретение средств защиты информации портативных средств вычислительной техники в соответствии с Программой развития информационной безопасности Завода.

Об итогах проверки выполнения требований «Положения о порядке использования портативных средств вычислительной техники на Заводе подготовлено письмо на имя Генерального директора, в котором также даны предложения по ликвидации выявленных нарушений и минимизации рисков информационной безопасности, связанных с использованием портативных средств вычислительной техники.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *