3.7. Обеспечение защиты информации при применении мобильных устройств (МУ)

Цель: Исключение возможности несанкционированного доступа к информационным системам и содержащейся в них информации, а также к взаимодействующим с ними мобильным устройствам и содержащейся в них информации через каналы передачи мобильных данных, мобильные сервисы, интерфейсы и порты мобильных устройств.

Требования к реализации: Обеспечение защиты информации при применении в составе информационной системы мобильных устройств должно предусматривать:

предоставление доступа к информационным системам с использованием мобильных устройств только работникам, которым такой доступ необходим для выполнения своих обязанностей (функций);

реализацию в информационных системах мер по защите информации при доступе с использованием мобильных устройств;

реализацию в мобильных устройствах мер по защите информации от несанкционированного доступа;

защиту каналов передачи данных при доступе к информационным системам с использованием мобильных устройств с использованием шифровальных (криптографических) средств защиты информации.

Предоставление доступа к информационным системам с использованием мобильных устройств должно осуществляться в соответствии с заявками подразделений, эксплуатирующих информационные системы, согласованными со структурным подразделением, специалистами по защите информации.

В информационных системах при доступе к ним с использованием мобильных устройств должны быть приняты меры по идентификации и аутентификации подключаемых с использованием мобильных устройств пользователей, разграничению и контролю доступа пользователей к объектам доступа информационных систем, регистрации событий безопасности, связанных с доступом с использованием мобильных устройств, защите данных, передаваемых по сети "Интернет", с использованием шифровальных (криптографических) средств защиты информации, а также контролю сетевых доступов к сегментам информационной системы удаленных пользователей и обнаружению и предотвращению вторжений.

Мобильным устройствам, используемым для доступа к информационным системам, должны быть присвоены идентификаторы, обеспечивающие контроль подключения и доступа к информационным системам.

На мобильных устройствах должны применяться конфигурации и настройки программных, программно-аппаратных средств, обеспечивающие их защиту от актуальных угроз, определенные во внутренних стандартах.

Пользователем при использовании мобильных устройств для доступа к информационным системам с целью выполнения своих обязанностей (функций) должны приниматься все возможные меры по исключению несанкционированного физического доступа к мобильному устройству посторонних лиц.

В случае утраты мобильного устройства пользователь незамедлительно информирует о факте такой утраты структурное подразделение, специалистов по защите информации и подразделение (работников), обеспечивающее эксплуатацию информационных систем. Указанными подразделениями (работниками) должны быть приняты меры по блокированию возможности доступа в информационные системы оператора (обладателя информации) с использованием утраченного мобильного устройства.

При применении пользователями мобильных устройств для доступа к информационным системам и содержащейся в них информации, не связанного с выполнением пользователем своих обязанностей (функций), в том числе для доступа к общедоступной информации, оператором (обладателем информации) должны приниматься меры по защите информационных систем и содержащейся в них информации и, при необходимости, защита каналов передачи данных, используемых для осуществления доступа.

В случае использования для доступа к информационным системам более 10 мобильных устройств должно обеспечиваться автоматизированное управление и контроль использования мобильных устройств.

Изменение конфигурации и настроек мобильных устройств их пользователями не допускается. Изменение конфигурации и настроек мобильных устройств относительно конфигураций и настроек, определенных во внутренних стандартах, должно осуществляться только подразделением (работниками), обеспечивающим функционирование информационной системы, по согласованию со структурным подразделением, специалистами по защите информации.

По всем фактам несанкционированного изменения конфигураций и настроек мобильных устройств относительно конфигураций и настроек, определенных во внутренних стандартах, должен проводиться анализ и выявляться причины таких изменений.

Применение пользователями личных мобильных устройств для доступа к информационным системам и содержащейся в них информации с целью выполнения своих обязанностей (функций) допускается только в случае реализации в мобильных устройствах мер по защите информации, установленных настоящим методическим документом, и наличия у оператора (обладателя информации) возможности контроля использования мобильных устройств. Контроль использования мобильных устройств должен осуществляться в соответствии с внутренними стандартами и регламентами по защите информации.

Требования к документированию: Внутренние стандарты по защите мобильных устройств должны содержать:

требования к типам мобильных устройств, применяемых в составе информационных систем;

требования к составу программных средств и средств защиты информации мобильных устройств, их настройкам, конфигурациям;

требования к составу интерфейсов мобильных устройств, с использованием которых разрешен доступ к сети "Интернет", и их контролю.

Действия пользователя при работе на мобильных устройствах при осуществлении доступа к информационным системам определяются во внутренних регламентах, определяющих порядок предоставления пользователям удаленного доступа к информационным системам и содержащейся в них информации и определяющих порядок предоставления пользователям доступа из информационных систем в сеть "Интернет" и контроля использования мобильных устройств в случае взаимодействия с сетью "Интернет".

Требования к усилению:

1) при хранении в мобильных устройствах информации ограниченного доступа ее защита обеспечивается с использованием шифровальных (криптографических) средств защиты информации.