Приложение. Регламент использования съемных носителей информации и мобильных программно-технических устройств в ППК "Роскадастр". Приказ публично-правовой компании "Роскадастр" от 02.06.2023 N П/259-23 "Об утверждении регламента использования съемных носителей информации и мобильных программно-технических устройств в ППК "Роскадастр"

Приложение
к приказу ППК "Роскадастр"
от 02.06.2023 N П/259-23

Регламент
использования съемных носителей информации и мобильных программно-технических устройств в ППК "Роскадастр"

Термины и сокращения

Перечень используемых терминов и сокращений:

Термины/Сокращения	Определение
АВЗ	Антивирусная защита
АРМ	Автоматизированное рабочее место
Журнал	Журнал учета съемных носителей информации и мобильных программно-технических устройств
Инфотех	Филиал ППК "Роскадастр" Центр информационных технологий "Роскадастр-Инфотех"
Компания	ППК "Роскадастр"
МПТУ	Мобильные программно-технические устройства
Ответственное лицо	Ответственное лицо за организацию регистрации и учета СНИ и МПТУ в филиале ППК "Роскадастр"
ПО	Программное обеспечение
ПТМО	Портал технического и методологического обеспечения ППК "Роскадастр"
Регламент	Регламент использования съемных носителей информации и мобильных программно-технических устройств в ППК "Роскадастр"
СНИ	Съемные носители информации
УИБ	Управление информационной безопасности филиала ППК "Роскадастр" ЦИТ "Роскадастр-Инфотех"
ЦА	Центральный аппарат ППК "Роскадастр"

1. Общие положения

1.1. Регламент формирует комплекс требований к использованию съемных носителей информации и мобильных программно-технических устройств в информационной инфраструктуре Компании.

1.2. Требования Регламента распространяются на всех работников и объекты информационной инфраструктуры Компании.

1.3. Изменения и дополнения в Регламент вносятся УИБ на основании обращений структурных подразделений Компании и требований регуляторов.

2. Требования к регистрации и учету СНИ и МПТУ в ЦА и Инфотехе

2.1. В ЦА и Инфотехе для подключения к АРМ разрешено использовать только зарегистрированные СНИ и МПТУ.

2.2. С целью регистрации и учета СНИ и МПТУ работниками УИБ в электронном виде ведется Журнал согласно форме, установленной приложением к Регламенту.

2.3. Регистрация СНИ и МПТУ в Журнале осуществляется путем подачи заявки на ПТМО с указанием данных, приведенных в пункте 2.5. Срок обработки заявки составляет не более 3 (трех) рабочих дней с даты подачи заявки.

2.4. СНИ и МПТУ работников ЦА и Инфотеха подлежат обязательной регистрации в Журнале до момента их подключения к техническим средствам информационной инфраструктуры Компании.

2.5. В Журнале должны быть зафиксированы следующие данные СНИ и МПТУ:

тип: СНИ или МПТУ;

принадлежность: служебный/личный;

серийный номер (определяется с помощью специального ПО, например Flash Drive Information Extractor);

модель (для МПТУ);

наименование структурного подразделения;

Ф.И.О. пользователя СНИ/МПТУ;

обоснование доступа;

дата регистрации;

срок действия доступа.

2.6. Контроль сроков действия доступа осуществляется работниками УИБ.

3. Требования к регистрации и учету СНИ и МПТУ в иных филиалах Компании

3.1. Для реализации регистрации и учета СНИ и МПТУ в филиалах Компании соответствующим приказом назначается Ответственное лицо.

3.2. В филиалах Компании для подключения к АРМ разрешено использовать только зарегистрированные СНИ и МПТУ.

3.3. С целью регистрации и учета СНИ и МПТУ в филиалах Компании Ответственным лицом ведется Журнал согласно форме, установленной приложением к Регламенту.

3.4. Регистрация СНИ и МПТУ в Журнале осуществляется путем направления служебной записки на имя руководителя структурного подразделения филиала, в котором числится Ответственное лицо, с указанием данных, приведенных в пункте 3.6. Срок обработки заявки составляет не более 3 (трех) рабочих дней с даты направления служебной записки.

3.5. СНИ и МПТУ работников филиалов Компании подлежат обязательной регистрации в Журнале до момента их подключения к техническим средствам информационной инфраструктуры Компании.

3.6. В Журнале должны быть зафиксированы следующие данные СНИ и МПТУ:

тип: СНИ или МПТУ;

принадлежность: служебный/личный;

серийный номер (определяется с помощью специального ПО, например Flash Drive Information Extractor);

модель (для МПТУ);

наименование структурного подразделения;

Ф.И.О. пользователя СНИ/МПТУ;

обоснование доступа;

дата регистрации;

срок действия доступа.

3.7. Контроль сроков действия доступа осуществляется Ответственным лицом.

4. Требования к использованию СНИ и МПТУ

4.1. Перед использованием МПТУ и СНИ пользователь обязан проводить проверку СНИ и МПТУ на наличие вредоносного ПО, которое может оказать негативное влияние на информационную структуру Компании. Проверка на наличие вредоносного ПО производится с помощью АВЗ.

4.2. Использование МПТУ и СНИ, на которых АВЗ обнаружила присутствие вредоносного программного обеспечения, возможно только после их полного антивирусного сканирования и успешной очистки или удаления зараженных файлов.

4.3. Если полная очистка информации от вредоносного ПО на СНИ невозможна, то они подлежат форматированию в случае перезаписываемых СНИ или изъятию из употребления/уничтожению в случае неперезаписываемых СНИ.

4.4. Не допускается обработка (чтение, запуск, копирование, запись) конфиденциальной информации на МПТУ и СНИ.

4.5. В случае отсутствия возможности использования средств защиты информации на АРМ или сервере информационной инфраструктуры Компании использование СНИ ограничивается штатными средствами операционной системы путем ограничения работоспособности USB-портов, настройкой соответствующих конфигурационных разделов BIOS и (или) физически путем отключения USB-портов от материнской платы.

5. Ограничение использования СНИ и МПТУ

В целях предотвращения утраты, утечки или модификации информации, предотвращения распространения вредоносного ПО и возможного оказания негативного воздействия на информационную инфраструктуру Компании применяются ограничительные меры по использованию незарегистрированных СНИ и МПТУ в Компании при помощи средств АВЗ.

6. Ответственность работников Компании при использовании СНИ и МПТУ

6.1. Работник, осуществляющий работу с СНИ и МПТУ, несет персональную ответственность:

за качество выполнения обязанностей, установленных Регламентом;

за выполнение правил эксплуатации и сохранность СНИ и МПТУ;

за несанкционированную запись и обработку конфиденциальной информации при работе с СНИ и МПТУ.

6.2. Работники, виновные в нарушениях, несут ответственность в соответствии с действующим законодательством Российской Федерации и локальными нормативными актами Компании.

7. Контроль выполнения требований

7.1. Контроль выполнения требований Регламента производится путем проведения периодических проверок структурных подразделений Компании на соблюдение требований информационной безопасности в ЦА и Инфотехе - работниками УИБ, в иных филиалах Компании - Ответственным лицом.

7.2. Обо всех фактах несанкционированного и (или) нецелевого использования СНИ и МПТУ работникам ЦА и Инфотеха необходимо незамедлительно сообщать в УИБ, работникам иных филиалов Компании - Ответственному лицу.