ОАО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"

РАСПОРЯЖЕНИЕ
от 1 ноября 2013 г. N 2347р

ОБ УТВЕРЖДЕНИИ ПОРЯДКА ИСПОЛЬЗОВАНИЯ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ В ОАО "РЖД"

В соответствии с п. 3 распоряжения ОАО "РЖД" от 6 июня 2013 г. N 1280р в целях упорядочения использования мобильных технических средств и обеспечения информационной безопасности при подключении к информационным ресурсам ОАО "РЖД" и сетям общего пользования утвердить и ввести в действие прилагаемый Порядок использования мобильных технических средств в ОАО "РЖД".

Вице-президент ОАО "РЖД"
А.В.Илларионов

 

 

УТВЕРЖДЕН
распоряжением ОАО "РЖД"
от 1 ноября 2013 г. N 2347р

ПОРЯДОК
ИСПОЛЬЗОВАНИЯ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ В ОАО "РЖД"

I. Термины и определения

мобильные технические средства: технические средства (переносимые персональные компьютеры), способные выполнять прием, обработку, хранение и передачу текстовой, графической, аудио и видеоинформации, в том числе с использованием беспроводных сетей связи.
планшетный компьютер (планшет): мобильное техническое средство - портативный компьютер с сенсорным управлением.
информационные системы ОАО "РЖД": совокупность
содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств, принятых в эксплуатацию в ГВЦ ОАО "РЖД";
информационная система общего пользования: глобальная информационная система (сеть Интернет), доступ к которой установленным Порядком предоставляется за счет ресурсов ОАО "РЖД" внутренним пользователям для выполнения ими должностных обязанностей.

II. Общие положения

1. Настоящий документ устанавливает правила использования и требования по подключению к информационным системам ОАО "РЖД" и информационным системам общего пользования, размещенным в сети Интернет, мобильных технических средств в рамках обеспечения производственной деятельности выделенных категорий сотрудников руководящего состава ОАО "РЖД", перечисленных в п. 4 настоящего документа.
Правила использования и требования по подключению к информационным системам ОАО "РЖД" и информационным системам общего пользования, размещенным в сети Интернет, мобильных технических средств для обеспечения производственной деятельности других категорий сотрудников ОАО "РЖД" должны устанавливаться отдельными организационно-распорядительными документами ОАО "РЖД".
2. В качестве мобильных технических средств (далее мобильных ТС) в ОАО "РЖД" определены: планшетные компьютеры, сотовые телефоны, смартфоны, портативные электронные устройства, карманные персональные компьютеры, ноутбуки и субноутбуки, и другие используемые в ОАО "РЖД" виды мобильных компьютеров в соответствии с Реестром мобильных технических средств, разрешенных к использованию в ОАО "РЖД".
Реестр определяет перечень разрешенных к использованию в ОАО "РЖД" процессорных архитектур, аппаратных и программных платформ мобильных ТС.
В реестр допускается включение только официально поставляемых в Российскую Федерацию (сертифицированных Ростест) мобильных технических средств, прошедших предварительное тестирование на совместимость с используемыми в ОАО "РЖД" приложениями и средствами защиты информации, не имеющими возможности удаленного управления (включения) со стороны операторов и производителей.
3. Мобильные технические средства предназначены для предоставления сотрудникам ОАО "РЖД" защищенного удаленного доступа к информационным системам ОАО "РЖД" и/или информационным системам общего пользования.
4. Мобильные технические средства применяются для обеспечения производственной деятельности сотрудников ОАО "РЖД" в части предоставления отчетной и аналитической информации, а также возможности работы с документами и материалами информационных систем ОАО "РЖД" во время командировок и участия в мероприятиях вне постоянного рабочего места, за исключением выездов за пределы Российской Федерации.
Мобильными техническими средствами обеспечиваются следующие выделенные категории сотрудников руководящего состава ОАО "РЖД": президент, первые вице-президенты, старшие вице-президенты, вице-президенты, начальники департаментов, первые заместители начальников департаментов, главные инженеры департаментов, начальники управлений, руководители структурных подразделений ОАО "РЖД", руководители филиалов, первые заместители руководителей филиалов, главные инженеры филиалов, начальники служб.
В отдельных случаях по решению вице-президента ОАО "РЖД" по информационным технологиям и развитию системы управления мобильными ТС могут обеспечиваться другие категории сотрудников ОАО "РЖД".
5. Перечень информационных систем ОАО "РЖД", к которым разрешен доступ с использованием мобильных ТС, определяется Реестром разрешенных для доступа с мобильных ТС информационных систем ОАО "РЖД".
В Реестре выделяются информационные системы, доступ к которым возможен (разрешен) напрямую с мобильных ТС с использованием клиентского приложения для мобильного ТС ("толстого клиента") или веб-браузера без необходимости использования промежуточных терминальных технологий, и информационные системы, доступ к которым возможен (разрешен) только с использованием промежуточных терминальных технологий.
6. Приобретение для сотрудников аппарата управления мобильных ТС с программным обеспечением (далее - ПО) или оформление лицензий на необходимое ПО к мобильным ТС осуществляется Трансинформом - филиалом ОАО "РЖД" по утвержденным планам в пределах лимитов Программы информатизации по поручению Департамента информатизации на основании заявок подразделений аппарата управления, направляемых в Департамент информатизации в установленном порядке для включения в планы поставок.
7. Приобретение мобильных ТС железными дорогами и другими филиалами ОАО "РЖД" осуществляется за счет собственных средств филиалов в установленном ОАО "РЖД" порядке по согласованию с Департаментом информатизации.
8. Инвентарный учет (в том числе выдача и возврат) мобильных ТС осуществляются балансодержателем мобильного ТС в соответствии с распоряжением ОАО "РЖД" от 26 января 2005 г. N 90р.
9. Техническая поддержка, установка и сопровождение программного обеспечения на мобильных ТС осуществляются Главным вычислительным центром (далее ГВЦ) и информационно-вычислительными центрами (далее ИВЦ) через обращения в Единую службу поддержки пользователей ОАО "РЖД" (АСУ ЕСПП).
ГВЦ и ИВЦ устанавливают и сопровождают программное обеспечение, разработанное для использования на мобильных ТС, включенное в Реестр программного обеспечения, разрешенного к использованию на мобильных ТС ОАО "РЖД", и принятое в эксплуатацию ГВЦ и ИВЦ в установленном порядке.
Не допускается установка программного обеспечения, не включенного в Реестр программного обеспечения, разрешенного к использованию на мобильных ТС.
Установка, мониторинг и сопровождение программного обеспечения мобильных ТС осуществляются с использованием Системы мониторинга состояния и управления мобильными приложениями и мобильными техническими средствами (далее СМТ).
Вычислительные комплексы СМТ должны быть приняты в эксплуатацию в ГВЦ/ИВЦ ОАО "РЖД".
10. Предоставление услуг доступа к сети операторов мобильной связи, приобретение и выдача SIM-карт осуществляется в установленном ОАО "РЖД" порядке.
11. Работники ОАО "РЖД" несут персональную ответственность за нарушение порядка работы с информацией, находящейся на мобильном ТС, в соответствии с действующим законодательством и организационно-распорядительными документами ОАО "РЖД".
12. Департамент информатизации по согласованию с Департаментом безопасности и ГВЦ разрабатывает, утверждает и поддерживает в актуальном состоянии:
а) Реестр мобильных технических средств, разрешенных к использованию в ОАО "РЖД";
б) Реестр разрешенных для доступа с мобильных технических средств информационных систем ОАО "РЖД";
в) Реестр программного обеспечения, разрешенного к использованию на мобильных технических средствах ОАО "РЖД".
Включение в реестры разрешенных мобильных технических средств, информационных систем ОАО "РЖД" и программного обеспечения осуществляется по согласованию с Департаментом безопасности и ГВЦ.

III. Порядок подключения мобильных технических средств к информационным системам ОАО "РЖД" и информационным системам общего пользования

13. К информационным системам ОАО "РЖД" допускается подключение только учтенных мобильных ТС, которые являются собственностью ОАО "РЖД". Инвентаризация мобильных ТС проводится не реже одного раза в год в соответствии с установленными процедурами и механизмами контроля.
14. Подключение мобильных ТС к информационным системам ОАО "РЖД", не имеющих приложений для мобильных ТС, осуществляется с использованием технологий терминального доступа и сертифицированных средств защиты в соответствии со схемами, согласованными с Департаментом безопасности.
Запрещается подключение мобильных ТС к информационным ресурсам (далее ИР) ОАО "РЖД", находящимся в сетях оперативно-технологического назначения или имеющих связи с такими системами.
15. Подключение пользователей мобильных ТС к информационным системам общего пользования и информационным системам ОАО "РЖД" осуществляется в соответствии с Порядком предоставления доступа к информационным системам ОАО "РЖД", утвержденным распоряжением ОАО "РЖД" от 28 ноября 2011 г. N 2546р.
16. Подключение мобильных ТС к информационным системам ОАО "РЖД" осуществляется с использованием приложений, разрабатываемых для мобильных ТС ОАО "РЖД" и сертифицированных средств защиты информации, предназначенных для работы на мобильных ТС и принятых в эксплуатацию ГВЦ и ИВЦ.
17. Средства защиты информации должны быть предустановленны на мобильные ТС специалистами ГВЦ или ИВЦ до начала эксплуатации мобильного ТС пользователем. Использование мобильного ТС без предустановленных средств защиты информации, согласованных в установленном порядке, запрещается. При этом используемые механизмы защиты информации должны запрещать пользователям изменять параметры настройки.
Параметры настройки общесистемного программного обеспечения и программного обеспечения средств защиты информации мобильных ТС должны обеспечивать реализацию мер защиты информации, а также устранение возможных уязвимостей, приводящих к возникновению угроз безопасности информации.
Должны использоваться автоматизированные средства контроля параметров настройки общесистемного программного обеспечения и программного обеспечения средств защиты информации мобильных ТС.
В случае отсутствия установленных средств защиты информации, несоответствия настроек средств защиты информации и операционной системы мобильного ТС утвержденным параметрам безопасности, доступ к информации ограниченного доступа ОАО "РЖД" должен быть запрещен средствами защиты СМТ.
18. Подключение мобильных ТС к информационным системам ОАО "РЖД" может осуществляться с использованием защищенных Wi-Fi точек доступа к сети Интернет, в соответствии с требованиями документа ОАО "РЖД" "Средства защиты информации, передаваемой по радиоканалам. Руководящий документ ОАО "РЖД" по обеспечению информационной безопасности беспроводного радиодоступа (стандарты IEEE 802.11, IEEE 802.16)".
Незащищенное подключение мобильных ТС, содержащих информацию ограниченного доступа, к прочим Wi-Fi точкам доступа к сети Интернет запрещено.
Подключение мобильных ТС к информационным системам общего пользования и информационным системам ОАО "РЖД" может также осуществляться с использованием сети Интернет с применением SIM-карт сотовых операторов или публичных Wi-Fi сетей с обязательным применением сертифицированных средств криптографической защиты информации.
При использовании сети связи публичного оператора сотовой связи или публичных Wi-Fi сетей в качестве среды доступа не гарантируется стабильная работа с информационными системами ОАО "РЖД".
19. Типовые схемы подключения мобильных технических средств к информационным системам ОАО "РЖД" и информационным системам общего пользования, размещенным в сети Интернет, разрабатываются ГВЦ, согласовываются Департаментом безопасности и ЦСС, утверждаются Департаментом информатизации в порядке, утвержденном распоряжением ОАО "РЖД" от 28 ноября 2011 г. N 2546р.
20. С целью обеспечения централизованной защиты от компьютерных атак доступ к ИР ОАО "РЖД" мобильных ТС во всех случаях осуществляется через корпоративные узлы доступа (ЗУД в ГВЦ, УДИС в ИВЦ), а доступ к ИР сети Интернет через прокси-серверы, размещенные в узлах доступа к Интернет, реализованных в ГВЦ или в ИВЦ.
21. Схема организации доступа пользователей мобильных ТС к информационным системам ОАО "РЖД" и к информационным системам общего пользования с использованием защищенных Wi-Fi точек доступа к сети Интернет приведена на рисунке 1.
См.рисунок 1
Передача данных от мобильного ТС до ЗУД или УДИС ОАО "РЖД" осуществляется по каналу, защищенному с использованием сертифицированных средств криптографической защиты информации.
При этом в качестве транспортной среды передачи данных с мобильных ТС используется сеть Интернет.
22. Схема организации доступа пользователей мобильных ТС к информационным системам ОАО "РЖД" и информационным системам общего пользования, размещенным в сети Интернет, с применением SIM-карт приведена на рисунке 2.
См.рисунок 2
Передача данных от мобильного ТС до ЗУД или УДИС ОАО "РЖД" осуществляется по каналу, защищенному с использованием сертифицированных средств криптографической защиты информации.
При этом в качестве транспортной среды передачи данных с мобильных ТС используется сеть Интернет.

IV. Общие правила использования мобильных технических средств

23. Мобильные ТС должны использоваться работниками ОАО "РЖД" исключительно для выполнения служебных обязанностей. Не допускается:
а) использование мобильных ТС в личных целях;
б) самостоятельное внесение изменений в состав программного обеспечения на мобильном ТС;
в) использование технологии синхронизации данных на мобильном ТС с облачными и другими сервисами, размещенными в сети Интернет;
г) вывоз мобильного ТС за пределы Российской Федерации без оформления соответствующего разрешения в установленном порядке;
д) подключение к информационным системам и СПД ОАО "РЖД" личных мобильных ТС, а также мобильных технических средств через предоставляемые мобильным ТС интерфейсы;
е) использование SMS, MMS и других коммуникаций для передачи информации ограниченного доступа ОАО "РЖД" третьим лицам;
ж) перенос информации, хранимой на мобильном ТС, на неучтенные в ОАО "РЖД" съемные машинные носители информации;
з) использование карт памяти, подключаемых к мобильным ТС для хранения и передачи информации ограниченного доступа ОАО "РЖД".
24. В случае утери или кражи мобильного ТС пользователь должен незамедлительно сообщить о данном факте начальнику дежурной смены ГВЦ/ИВЦ. Начальник дежурной смены информирует администратора СМТ, о факте кражи или потери и сообщает об инциденте в Единую службу поддержки пользователей. В АСУ ЕСПП создается наряд на блокирование доступа с мобильного ТС к информационным системам ОАО "РЖД" и удаления (по возможности) данных с утерянного (украденного) мобильного ТС.
25. О факте утери или кражи мобильного ТС и выполненных мероприятиях по блокированию доступа к информационным системам ОАО "РЖД" и удаления данных с мобильного ТС начальник дежурной смены ГВЦ/ИВЦ в течение одного рабочего дня сообщает руководителю структурного подразделения, выдавшего мобильное ТС и в Департамент безопасности (региональный центр безопасности) и, при необходимости, в ЦСС для блокирования действия корпоративной SIM-карты.
26. Очистка пользовательской информации (загруженных данных из информационных систем ОАО "РЖД", истории просмотра) на мобильном ТС производится пользователем или средствами СМТ не реже одного раза в месяц, а также во всех случаях передачи мобильного ТС третьим лицам (другому пользователю, для установки (обновления) программного обеспечения, ремонта или вывода из эксплуатации).
В случае неработоспособности мобильного ТС и невозможности выполнения очистки информации (восстановления исходного состояния" мобильного ТС) до его передачи в ремонт, в Системе управления мобильными техническими средствами ОАО "РЖД" выполняется блокировка мобильного ТС и смена учетных данных пользователя мобильного ТС.
В случае вывода неисправного (без возможности ремонта и очистки информации) мобильного ТС из эксплуатации выполняется физическое уничтожение мобильного ТС в установленном порядке и смена учетных данных пользователя мобильного ТС.
27. Допускается синхронизация мобильного ТС с рабочим компьютером пользователя исключительно для получения/передачи файлов, сообщений электронной почты и другой информации, необходимой пользователю для выполнения своих служебных обязанностей.

v. Меры по защите информации при использовании мобильных технических средств в ОАО "РЖД"

28. Меры по защите информации при использовании мобильных ТС в ОАО "РЖД" должны соответствовать нормативным документам ОАО "РЖД":
а) Основные положения защиты информационной инфраструктуры ОАО "РЖД" от компьютерных атак, утвержденные ОАО "РЖД" 05 июля 2013 г.;
б) Общие требования безопасности, предъявляемые к подключаемым информационным системам, являющимся потребителями персональных данных, обрабатываемых в системах ОАО "РЖД", утвержденные ОАО "РЖД" 08 октября 2010 г.;
в) Общие технические требования к разработке систем защиты информации автоматизированных информационно-телекоммуникационных систем, утвержденные ОАО "РЖД" 22 апреля 2009 г.;
г) Порядок предоставления доступа к информационным системам ОАО "РЖД" утвержденный распоряжением ОАО "РЖД" от 28 ноября 2011 г. N 2546р;
д) Средства защиты информации, передаваемой по радиоканалу. Руководящий документ ОАО "РЖД" по обеспечению информационной безопасности беспроводного радиодоступа (стандарты IEЕЕ 802.11, IEEE 802.16), утвержденный ОАО "РЖД" 21 мая 2010 г.
29. В приложениях, разрабатываемых для использования на мобильных ТС ОАО "РЖД", должна быть отключена возможность автоматического запуска приложения, сохранения учетных данных пользователя и хранения информации ограниченного доступа на мобильном ТС.
30. При организации доступа к информационным системам ОАО "РЖД" с использованием мобильных ТС приоритет должен отдаваться системам, клиентские приложения которых не хранят на мобильном ТС результаты просмотра.
Если текущая реализация клиентского приложения для мобильного ТС представляет собой "толстый клиент", то это приложение должно быть доработано для обеспечения доступа к информационной системе по протоколу HTTP.
31. Операционная система мобильного ТС должна быть настроена в соответствии с утвержденными Департаментом безопасности параметрами настройки, обеспечивающими:
а) запрет использования мобильного ТС без ввода и проверки пароля;
б) запрет предоставления пользователю мобильного ТС прав суперпользователя (root);
в) автоматическую блокировку экрана мобильного ТС при неактивности пользователя в течение более 15 минут с последующим запросом на ввод пароля;
г) запрет использования облачных сервисов, встроенных в операционную систему;
д) невозможность отключения средств защиты информации;
е) запрет использования протоколов, беспроводной связи, обеспечивающих соединение устройств по топологии точка-точка в соответствии со спецификациями Bluethooth, AirDrop, NFC, WiFi direct и т.п.
32. Доступ к информационным системам общего пользования должен быть ограничен использованием сетевого протокола передачи гипертекста (HTTP), а также его расширения, поддерживающего защиту соединения и передаваемых данных (HTTPS) в случае поддержки возможности установления защищенного соединения с внешними ресурсами от имени корпоративного прокси-сервера.
33. Использование других сетевых протоколов для доступа к информационным системам общего пользования должно быть ограничено техническими средствами ЗУД/УДИС, а также встроенными функциями межсетевого экрана мобильного ТС.
34. Доступ к информационным ресурсам должен осуществляется через ЗУД или УДИС, в зависимости от организационной принадлежности пользователя мобильного ТС.
35. При подключении мобильного ТС по схеме (рисунок 1), входящий открытый трафик, поступающий на мобильное ТС, блокируется. Исходящий открытый трафик шифруется, и в защищенном виде посредством VPN - туннеля доставляется до ЗУД/УДИС, где подвергается обработке в соответствии с установленными политиками безопасности. Ответный открытый трафик также после обработки на ЗУД/УДИС шифруется и в защищенном виде доставляется до мобильного ТС.
36. Для предоставления доступа к информационным системам общего пользования с мобильного ТС в ГВЦ и ИВЦ ОАО "РЖД" должны использоваться узлы доступа в Интернет.
37. Использование "внешних" (неконтролируемых ГВЦ/ИВЦ) DNS-серверов при настройке доступа мобильных ТС запрещается.
38. Узлы доступа в Интернет должны обеспечивать доступ в сеть Интернет, а также ограничивать доступ к информационным системам общего пользования в соответствии с политиками безопасности.
39. ЗУД/УДИС должен включать в свой состав набор средств, реализующих следующие функции защиты информации: межсетевое экранирование; обнаружение и предотвращение сетевых вторжений; шифрование и расшифрование передаваемого сетевого трафика с использованием криптографического алгоритма ГОСТ 28147-89; антивирусную защиту шлюзового типа.
40. В случае необходимости подключения пользователей мобильных ТС к информационным ресурсам, используя Wi-Fi точки доступа к сети Интернет подключение должно производиться в рамках утвержденных проектных решений в соответствии с документом "Средства защиты информации передаваемой по радиоканалу. Руководящий документ ОАО "РЖД" по обеспечению информационной безопасности беспроводного радиодоступа (стандарты IEЕЕ 802.11, IEEE 802.16)", утвержденным 21 мая 2010 г., и в соответствии с процедурами, определенными в Порядке предоставления доступа к информационным системам ОАО "РЖД", утвержденным распоряжением ОАО "РЖД" N 2546р от 28 ноября 2011 г. по согласованным в установленном порядке схемам.
41. На мобильном ТС должны быть предустановленны средства защиты информации в следующем составе: средства межсетевого экранирования, сертифицированные средства криптографической защиты информации, средства удаленного администрирования, средства контроля целостности программного обеспечения, средств уничтожения информации.
В случае отсутствия необходимых средств защиты информации должны применяться дополнительные организационные и технические меры защиты.
42. Средствами межсетевого экранирования должен быть заблокирован любой незашифрованный входящий/исходящий сетевой трафик.
43. Используемые средства криптографической защиты информации должны осуществлять шифрование/расшифрование сетевого трафика, передаваемого между мобильным ТС и ЗУД/УДИС, а так же шифрование/расшифрование информации, хранимой на мобильном ТС.
44. На мобильном ТС должны использоваться средства антивирусной защиты. В случае отсутствия средств антивирусной защиты для конкретной платформы мобильного технического средства, разработчиком данной платформы или ее представителями должны быть разработаны иные (компенсирующие) меры, направленные на нейтрализацию угроз, связанных с внедрением в корпоративные информационные потоки вредоносных компьютерных программ (вирусов), и проведено обоснование применения компенсирующих мер.
45. Для удаленного администрирования мобильных ТС должна использоваться система мониторинга состояния и управления мобильными приложениями и мобильными техническими средствами, соответствующая требованиям:
первоначальное конфигурирование мобильных ТС;
развертывание программного обеспечения (приложений, операционной системы, обновлений микропрограммного обеспечения);
возможность удаленного форматирования мобильного ТС, блокирование мобильных ТС; управление на основе групповых политик безопасности, с возможностью разделения на группы устройств по моделям, типам пользователей;
разделение прав администраторов по группам устройств;
определение местоположения мобильного ТС (в том числе блокирование мобильного ТС при выезде за пределы РФ);
удаленное уничтожение информации на скомпрометированных мобильных ТС; контроль используемых приложений.
Все технические средства СМТ (серверы, программное обеспечение) должны быть приняты в эксплуатацию и установлены исключительно в ГВЦ/ИВЦ. Использование внешних "облачных" систем удаленного администрирования мобильных ТС категорически запрещается.
46. Система мониторинга состояния и управления мобильными приложениями и мобильными техническими средствами должна регистрировать и хранить события безопасности, связанные с доступом к информационным системам ОАО "РЖД" и информационным системам общего пользования, а также с попытками нарушения установленного настоящим документом порядка использования мобильных ТС. Срок хранения событий безопасности определяется с учетом модели угроз безопасности информации.
Система мониторинга состояния и управления мобильными приложениями и мобильными техническими средствами должна обеспечивать передачу событий безопасности в системы мониторинга событий безопасности и управления информационной безопасностью.
47. Система мониторинга состояния и управления мобильными приложениями и мобильными техническими средствами должна быть интегрирована с функционирующим в ОАО "РЖД" программным комплексом управления информационной безопасностью (ПК УИБ) в части предоставления информации по событиям безопасности, связанным с доступом к информационным системам ОАО "РЖД" и информационным системам общего пользования, а также с попытками нарушения установленного настоящим документом порядка использования мобильных ТС.
48. При использовании мобильных ТС для доступа к информационным системам персональных данных должны быть выполнены требования законодательства и следующих нормативных правовых актов уполномоченных федеральных органов исполнительной власти:
а) "Организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. приказом ФСТЭК России от 18 февраля 2013 г. N 21);
б) "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (после утверждения и ввода в действие ФСБ России).
49. При использовании мобильных ТС для доступа к информационным системам, обрабатывающим иную информацию ограниченного доступа должны быть выполнены "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (утв. приказом ФСТЭК России от 11 февраля 2013 г. N 17) и требования ФСБ России, регламентирующие применение средств криптографической защиты информации.
50. Настоящий Порядок использования мобильных технических средств в ОАО "РЖД" подлежит пересмотру при появлении новых уязвимостей и угроз безопасности информационных систем, связанных с использованием мобильных технических средств, а также при утверждении и вводе в действие новых организационно-технических и методических документов уполномоченных федеральных органов исполнительной власти по вопросам технической защиты информации при использовании мобильных технических средств в информационных системах.