Приложение. Положение по обеспечению безопасности информации с помощью средств криптографической защиты информации в информационных системах администрации городского округа Богданович. Распоряжение Главы городского округа Богданович Свердловской области от 15.01.2016 N 8-р "Об утверждении Положения по обеспечению безопасности информации с помощью средств криптографической защиты информации в информационных системах администрации городского округа Богданович"

Приложение

1. Общие положения

Настоящее Положение по обеспечению безопасности информации с помощью средств криптографической защиты информации в информационных системах администрации городского округа Богданович (далее - Положение) разработано в соответствии со следующими нормативными правовыми актами:

- Федеральный закон Российской Федерации (далее - РФ) от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Приказ Федерального агентства правительственной связи и информации при Президенте РФ от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

- Приказ Федеральной службы безопасности (далее - ФСБ) РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

- Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности России 21 февраля 2008 г. N 149/54-144;

- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра Федеральной службы безопасности России 21 февраля 2008 г. N 149/6/6-622;

- Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены руководством 8 Центра ФСБ России 31.03.2015 г. N 149/7/2/9-432).

К шифровальным (криптографическим) средствам защиты информации (далее - СКЗИ), включая документацию на эти средства, относятся:

а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства для изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящих в состав этих шифровальных (криптографических) средств;

е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах.

2. Организация и обеспечение функционирования СКЗИ

Организация и обеспечение функционирования СКЗИ представляет следующий комплекс мероприятий:

- установка и ввод в эксплуатацию СКЗИ в соответствии с эксплуатационной и технической документацией к этим средствам;

- проверка готовности СКЗИ к использованию с составлением

- заключений о возможности их эксплуатации;

- разработка мероприятий по обеспечению функционирования и безопасности, применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;

- создание исходной ключевой информации, создание из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;

- обучение сотрудников, использующих СКЗИ, работе с ними;

- поэкземплярный учет используемых СКЗИ, предусмотренных эксплуатационной и технической документацией к ним;

- проведение служебного расследования и составление заключений по фактам нарушения условий криптографической защиты информации.

2.1. Структура ответственных лиц

Структуру ответственных лиц по направлению организации и обеспечению криптографической защиты информации в администрации городского округа Богданович образуют:

- ответственный пользователь СКЗИ;

- пользователи СКЗИ.

Лица, осуществляющие работу с СКЗИ, должны быть ознакомлены с документами, регламентирующими организацию и обеспечение криптографической защитой информации, под подпись и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством РФ.

Контроль за организацией и обеспечением функционирования СКЗИ возлагается на ответственного пользователя СКЗИ в пределах его служебных полномочий.

Контроль за организацией, обеспечением функционирования и безопасности СКЗИ осуществляется в соответствии с законодательством РФ.

2.1.1. Ответственный пользователь СКЗИ

Ответственный пользователь СКЗИ назначается распоряжением главы администрации городского округа Богданович.

Организация и обеспечение функционирования СКЗИ возлагается на ответственного пользователя СКЗИ.

Перед допуском к работе ответственный пользователь СКЗИ обязан ознакомиться с нормативными правовыми документами, регулирующими организацию и обеспечение криптографической защиты информации, с настоящим Положением и локальными актами, определяющими порядок защиты информации с помощью СКЗИ в администрации городского округа Богданович.

Ответственный пользователь СКЗИ осуществляет:

- организацию безопасности обработки информации с использованием СКЗИ;

- обеспечение функционирования и безопасности СКЗИ;

- организацию и обеспечение эксплуатации СКЗИ;

- разработку и осуществление мероприятий по организации и обеспечению безопасности хранения, обработке и передаче информации с использованием СКЗИ;

- поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, и ключевых документов;

- учет сотрудников, являющихся пользователями СКЗИ;

- обучение пользователей СКЗИ работе с СКЗИ;

- инсталляцию (деинсталляцию) СКЗИ с рабочих мест пользователей СКЗИ, прием, выдачу, уничтожение ключевой информации, эксплуатационной и технической документации к ним;

- плановую смену ключей, а также смену ключей в случае их компрометации;

- контроль за соблюдением пользователями СКЗИ условий использования СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

- участие в комиссиях по расследованию фактов нарушений условий использования СКЗИ, которые могут привести (привели) к снижению уровня характеристик безопасности информации;

- участие в комиссиях по плановой проверке правильности учета и соблюдения правил обращения с СКЗИ и их хранением;

- уведомление руководства о фактах нарушения порядка эксплуатации СКЗИ.

Ответственный пользователь СКЗИ несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности хранения, обработки с использованием СКЗИ требованиям законодательства, эксплуатационной и технической документации к СКЗИ, настоящим Положением.

2.1.2. Пользователь СКЗИ

Пользователь СКЗИ обязан:

- не разглашать информацию, к которой он допущен, в том числе сведения об СКЗИ, ключевых документах к ним и других мерах защиты;

- соблюдать требования к обеспечению безопасности СКЗИ и ключевых документов к ним;

- обеспечивать с помощью СКЗИ безопасность хранения, обработки информации, ключевых документов к СКЗИ и парольной информации к ним;

- осуществлять эксплуатацию СКЗИ в соответствии с требованиями эксплуатационной документации;

- не допускать снятие копий с ключевых документов;

- не допускать записи на ключевой носитель посторонней информации;

- не допускать установки ключевых документов на другие автоматизированные рабочие места (далее - АРМ);

- хранить инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение;

- предусматривать раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей;

- сообщать о ставших известных попытках получения сведений об используемых СКЗИ или ключевых документах к ним лицами, не обладающими правом доступа к таким сведениям;

- немедленно уведомлять ответственного пользователя СКЗИ, руководство о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), хранилищ, личных печатей, предназначенных для опечатывания Помещений (хранилищ), и о других фактах, которые могут привести к снижению уровня характеристик безопасности информации;

- сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ.

2.2. Требования к обеспечению безопасности хранения и обработки информации с использованием СКЗИ

Безопасность хранения и обработки с использованием СКЗИ информации достигается:

- соблюдением пользователями СКЗИ конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых документах к ним;

- точным выполнением пользователями СКЗИ требований к обеспечению безопасности информации;

- надежным хранением эксплуатационной и технической документации к СКЗИ, ключевых документов, носителей информации;

- своевременным выявлением сотрудниками попыток получения сведений о защищаемой информации, об используемых СКЗИ или ключевых документах к ним лицами, не обладающими правом доступа к таким сведениям;

- немедленным принятием мер по предупреждению разглашения защищаемой информации, а также возможной ее утечки при выявлении фактов утраты или недостачи СКЗИ, ключевых документов к ним,

- удостоверений, пропусков, ключей от Помещений, хранилищ, сейфов, личных печатей и т.п.

2.2.1. Требования к помещениям

Размещение, специальное оборудование, охрана и организация режима в Помещениях, должны обеспечивать сохранность защищаемой информации, СКЗИ и ключевых документов к ним.

Помещения должны удовлетворять требованиям, предъявляемым эксплуатационной и технической документацией к СКЗИ, а также другого оборудования, функционирующего с СКЗИ.

Размещение, специальное оборудование, охрана и организация режима в Помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

Обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения, который достигается путем:

- оснащением Помещений входными дверьми с замками;

- обеспечением постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;

- утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

- утверждения перечня лиц, имеющих право доступа в Помещения. Помещения выделяют с учетом размеров контролируемых зон,

регламентированных эксплуатационной и технической документацией к СКЗИ. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие Помещений в нерабочее время. Для предотвращения просмотра Помещений извне их окна должны быть защищены.

Ответственный пользователь СКЗИ осуществляет учет хранилищ, ключей от них в журнале учета хранилищ и ключей от них, форма которого приведена в Приложении N 1 к настоящему Положению.

Помещения подлежат опечатыванию или должны быть оснащены охранной сигнализацией, связанной со службой охраны здания. Исправность охранной сигнализации периодически необходимо проверять ответственному пользователю СКЗИ и с отметкой в журнале проверки работы средств охранной сигнализации, размещенных в помещении, форма которого приведена в Приложении N 2 к настоящему Положению.

Ключи от дверей Помещений подлежат учету, который осуществляет ответственный пользователь СКЗИ в журнале учета хранилищ и ключей от них.

Дубликаты ключей от Помещений следует хранить ответственному пользователю СКЗИ в сейфе.

Личные печати сотрудников, предназначенные для опечатывания хранилищ и Помещений, должны находиться у пользователей СКЗИ, ответственных за эти хранилища и Помещения. Выдачу личных печатей сотрудникам осуществляет ответственный пользователь СКЗИ с отметкой в журнале учета личных печатей, предназначенных для опечатывания, форма которого приведена в Приложении N 3 к настоящему Положению.

По окончании рабочего дня Помещения и установленные в нем хранилища должны быть закрыты, а также поставлены на охрану посредством технических средств охраны или опечатаны, о чем производится запись в журнале опечатывания (вскрытия) помещений (хранилищ), форма которого приведена в Приложении N 4 к настоящему Положению.

Ответственный пользователь СКЗИ осуществляет контроль за вскрытием, опечатыванием хранилищ с обязательной отметкой в журнале опечатывания (вскрытия) хранилищ. Хранение ключей от хранилищ ответственный пользователь СКЗИ осуществляет в личном или специально выделенном хранилище.

При утрате ключа от хранилища или от входной двери в Помещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает ответственный пользователь СКЗИ.

В обычных условиях Помещения, а также находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями СКЗИ, имеющими право доступа в соответствующие помещения, или ответственным пользователем СКЗИ.

При обнаружении признаков, указывающих на возможное несанкционированное проникновение в Помещения о случившемся должно быть немедленно сообщено ответственному пользователю СКЗИ или руководству. Прибывший ответственный пользователь СКЗИ должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации и к замене скомпрометированных криптоключей.

Обеспечение сохранности носителей персональных данных достигается:

- хранением съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);

- поэкземплярным учетом машинных носителей персональных данных в соответствующем журнале.

В Помещениях для хранения выданных им ключевых документов, эксплуатационной и технической документации к СКЗИ, инсталлирующих СКЗИ носителей необходимо наличие достаточного числа надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ. Дубликаты ключей от хранилищ должны храниться в сейфе ответственного пользователя СКЗИ.

Техническое обслуживание СКЗИ и смена криптоключей осуществляется в отсутствие лиц, не допущенных к работе с данными СКЗИ.

2.2.2. Требования к СКЗИ

Для криптографической защиты информации должны применяться только сертифицированные по требованиям Федеральной службы безопасности РФ СКЗИ.

2.2.3. Требования к АРМ, на которые инсталлируются СКЗИ

Технические характеристики и состав ПО должны соответствовать требованиям, предъявляемым эксплуатационной и технической документацией к СКЗИ.

Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ данные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.

2.2.4. Требования к криптоключам

По истечению срока действия криптоключ подлежит смене в порядке, предусмотренном эксплуатационной и технической документацией к СКЗИ или регламентом удостоверяющего центра, от которого получен ключевой документ.

2.3. Эксплуатация СКЗИ

2.3.1. Регистрация и учет СКЗИ, ключевых документов и эксплуатационной и технической документации к ним

Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету в журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов, форма которого приведена в Приложении N 5 к настоящему Положению.

Единицей поэкземплярного учета криптоключей является ключевой носитель. Если один и тот же ключевой носитель многократно используется для записи криптоключей, то каждый раз он подлежит отдельной регистрации.

Журналы ведутся ответственным пользователем СКЗИ. С учетом особенности эксплуатации отдельных СКЗИ допускается добавление в журналы полей или их перестановка. При ведении журналов не допускается применение корректирующих средств.

Журналы ведутся до полного использования, после чего закрываются. Все числящиеся на момент закрытия журнала СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы берутся на учет во вновь заведенном журнале поэкземплярного учета.

Если эксплуатационной и технической документацией к СКЗИ предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом (аппаратном) журнале, форма которого приведена в Приложении N 6, ведущимся непосредственно пользователем СКЗИ.

2.3.2. Выдача СКЗИ, ключевых документов, эксплуатационной и технической документации к ним

Выдача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов осуществляется ответственным пользователем СКЗИ под подпись в журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов между пользователями СКЗИ допускается между пользователями СКЗИ и (или) ответственным пользователем СКЗИ под подпись в соответствующем журнале поэкземплярного учета. Такая передача между пользователями СКЗИ должна быть санкционирована ответственным пользователем СКЗИ.

Заказ на изготовление очередных ключевых документов, их изготовление и рассылку на места использования для своевременной замены действующих ключевых документов следует производить заблаговременно.

Изготовление (заказ) ключевой информации осуществляется на основе решения руководителя или заявки на установку СКЗИ.

Ключи записываются только на учтенные машинные носители информации.

Указание о вводе в действие очередных ключевых документов может быть дано ответственным пользователем СКЗИ только после поступления от всех заинтересованных пользователей СКЗИ подтверждения о получении ими очередных ключевых документов.

Неиспользованные или выведенные из действия ключевые документы подлежат возвращению ответственному пользователю СКЗИ или по его указанию должны быть уничтожены на месте.

ГАРАНТ:

Нумерация подразделов приводится в соответствии с источником

2.3.4. Инсталляция СКЗИ

Перед инсталляцией СКЗИ проводится обследование Помещения на соответствие требованиям, предъявляемым к Помещениям технической и эксплуатационной документацией к СКЗИ.

Допуск пользователей СКЗИ к работе с СКЗИ осуществляется после прохождения ими обучения работе с СКЗИ. Обучение проводит ответственный пользователь СКЗИ. Обучение включает ознакомление с требованиями нормативных правовых актов и локальных актов администрации городского округа Богданович, регламентирующих организацию криптографической защиты информации и предусматривающих порядок обращения с СКЗИ, эксплуатационной и технической документацией к СКЗИ, и настоящим Положением. О факте проведения обучения делается отметка в журнале инструктажа пользователей средств криптографической защиты информации, форма которого приведена в Приложении N 7 к настоящему Положению.

По завершении инсталляции составляется Акт установки и ввода в эксплуатацию СКЗИ, форма которого приведена в Приложении N 8. Акт установки и ввода в эксплуатацию СКЗИ подлежит хранению у ответственного пользователя СКЗИ. Сведения о пользователе СКЗИ заносятся в журнале учета пользователей средств криптографической защиты информации, форма которого приведена в Приложении N 9 к настоящему Положению.

2.3.5. Порядок эксплуатации СКЗИ

Эксплуатация СКЗИ осуществляется в соответствии с технической и эксплуатационной документацией к нему.

Эксплуатационная и техническая документация для СКЗИ, ключевые документы хранятся в хранилищах в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Отдельно от ключей подлежат хранению резервные ключевые документы, предназначенные для применения в случае компрометации действующих.

Перед началом работы с АРМ контролируется наличие и целостность номерной наклейки (пломбы), которой опечатан системный блок. После входа в операционную систему контролируется запуск антивирусного программного обеспечения и актуальность антивирусных баз.

Во время эксплуатации СКЗИ осуществляется контроль целостности установленного СКЗИ с помощью механизма самого СКЗИ или с помощью программного обеспечения контроля целостности.

Во время эксплуатации СКЗИ пользователям СКЗИ запрещается:

- изменять настройки СКЗИ;

- осуществлять вскрытие системного блока АРМ с установленными СКЗИ, подключать к ним дополнительные устройства без разрешения ответственного пользователя СКЗИ;

- оставлять без контроля ключевые носители, а также АРМ с установленными СКЗИ при включенном питании;

- вносить какие-либо несанкционированные изменения в СКЗИ;

- выводить на монитор защищаемую информацию (в т.ч. информацию ключевых документов), обрабатываемых с использованием СКЗИ в присутствии лиц, не имеющих к такой информации права доступа;

- применять скомпрометированные ключи и пароли;

- осуществлять несанкционированное копирование ключевой информации;

- вставлять ключевой носитель в устройства, штатный порядок работы которых не предусматривает использование ключевого носителя.

2.3.6. Контроль за соблюдением эксплуатации средств криптографической защиты информации

Ежегодно комиссией, в которую входят сотрудники администрации городского округа Богданович, проводятся контрольные мероприятия:

- наличия, правильности учета и соблюдения правил обращения и хранения СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

- выявление установочных носителей СКЗИ, ключевых документов, экземпляров технической и эксплуатационной документации подлежащей уничтожению;

- соблюдения правил обращения, предусмотренных настоящим Положением пользователями СКЗИ.

Внеплановые проверки проводятся комиссией, в которую входят сотрудники администрации городского округа Богданович, в случаях нарушения установленного в администрации городского округа Богданович порядка криптографической защиты информации.

Состав комиссии определяется служебным распоряжением главы городского округа Богданович. В состав комиссии при необходимости может быть включен независимый эксперт.

По завершении проверки комиссией составляется Акт проверки, в котором указывается состав комиссии, основание проверки, проверочные мероприятия, недостатки, выявленные в ходе проверки, и рекомендации по их уст