Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Распоряжение Администрации г. Смоленска от 20 декабря 2011 г. N 1535-р/адм "Об утверждении Инструкции по использованию средств криптографической защиты информации в Администрации города Смоленска" (с изменениями и дополнениями)
Распоряжение Администрации г. Смоленска
от 20 декабря 2011 г. N 1535-р/адм
"Об утверждении Инструкции по использованию средств криптографической защиты информации в Администрации города Смоленска"
С изменениями и дополнениями от:
2 декабря 2014 г., 17 декабря 2015 г.
В соответствии с приказом ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", распоряжением Администрации города Смоленска от 08.12.2011 N 1487-р/адм "Об органе криптографической защиты Администрации города Смоленска", Уставом города Смоленска:
1. Утвердить прилагаемую Инструкцию по использованию средств криптографической защиты информации в Администрации города Смоленска.
2. Руководителям структурных подразделений Администрации города Смоленска ознакомить всех сотрудников, допущенных к работе со средствами криптографической защиты информации, с Инструкцией и обеспечить ее исполнение.
3. Комитету по информационным ресурсам и телекоммуникациям Администрации города Смоленска (С.В. Пивоваров) разместить настоящее распоряжение на сайте Администрации города Смоленска.
Информация об изменениях:
Распоряжением Администрации г. Смоленска от 17 декабря 2015 г. N 48-р/адм пункт 4 изложен в новой редакции
4. Контроль за исполнением настоящего распоряжения возложить на первого заместителя Главы города Смоленска.
|
Врип Главы Администрации |
Н.Н. Алашеев |
Инструкция
по использованию средств криптографической защиты информации в Администрации города Смоленска
(утв. распоряжением Администрации города Смоленска от 20 декабря 2011 г. N 1535-р/адм)
С изменениями и дополнениями от:
2 декабря 2014 г.
1. Общие положения
1.1. Инструкция по использованию средств криптографической защиты информации в Администрации города Смоленска (далее - Инструкция) регламентирует порядок обращения с сертифицированными ФСБ РФ шифровальными (криптографическими) средствами, предназначенными для защиты информации, не содержащей сведений, составляющих государственную тайну, в процессе их получения, транспортировки, учета, хранения, интеграции в прикладные системы, тестирования, испытаний, передачи и установки (инсталляции) клиентам, уничтожения, а также порядок допуска к работам с шифровальными средствами.
Информация об изменениях:
Распоряжением Администрации г. Смоленска от 2 декабря 2014 г. N 475-р/адм пункт 1.2 изложен в новой редакции
1.2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
- средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
- средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;
- средства электронной подписи;
- средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;
- средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;
- ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;
- аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
- программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
- программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.
Действие Инструкции распространяется также на прикладные информационные системы со встроенными средствами криптографической защиты информации (далее - СКЗИ).
Информация об изменениях:
Распоряжением Администрации г. Смоленска от 2 декабря 2014 г. N 475-р/адм в пункт 1.3 внесены изменения
1.3. Разработка и проведение мероприятий по обеспечению безопасности при осуществлении работ с СКЗИ осуществляются ответственным за защиту информации с участием руководителей соответствующих структурных подразделений.
Все сотрудники, допущенные к работе с СКЗИ, должны строго выполнять требования нормативных правовых актов Российской Федерации, относящихся к деятельности с СКЗИ, нормативных и методических документов лицензирующего органа, настоящей Инструкции, а также условия действия лицензий, указанные в лицензиях ФСБ РФ.
Основными нормативными документами при работе с СКЗИ являются:
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";
- постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации в соответствии с Положением ПКЗ-2005, утвержденным приказом ФСБ РФ от 09.02.2005 N 66;
- Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13.06.2001 N 152.
2. Работа со средствами шифрования при передаче информации ограниченного доступа по открытым телекоммуникационным каналам связи
К работе с СКЗИ допускаются лица, назначенные приказами руководителей структурных подразделений Администрации города Смоленска "О допуске лиц к обработке персональных данных в информационных системах персональных данных".
Должностные лица, уполномоченные эксплуатировать СКЗИ, получать и использовать ключи шифрования, несут персональную ответственность:
- за сохранение в тайне информации ограниченного доступа, ставшей им известной в процессе работы с СКЗИ;
- за сохранение в тайне содержания закрытых ключей шифрования;
- за сохранность носителей ключевой информации и ключевых документов, выдаваемых с ключевыми носителями;
- за выполнение требований Инструкции.
Факт установки СКЗИ на выделенную рабочую станцию оформляется актом внедрения (приложение N 1 к Инструкции).
При увольнении сотрудника, а также при исключении в своей работе необходимости использования СКЗИ, руководитель структурного подразделения Администрации города Смоленска должен уведомить орган криптографической защиты Администрации города Смоленска о данном факте, а все СКЗИ, принадлежащие сотруднику, должны быть уничтожены согласно акту (приложение N 2 к Инструкции).
На время отсутствия пользователей СКЗИ рабочая станция (при наличии технической возможности) должна быть выключена, отключена от линии связи. В противном случае пользователи СКЗИ по согласованию с органом криптографической защиты Администрации города Смоленска обязаны предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в их отсутствие.
Техническое обслуживание оборудования и смена криптографических ключей не допускаются в присутствии лиц, не допущенных к работе с данными СКЗИ.
Пользователь несет ответственность за то, чтобы на рабочей станции, где установлены СКЗИ, не были установлены и не эксплуатировались программы, которые могут нарушить функционирование программных СКЗИ. При обнаружении на рабочем месте, оборудованном СКЗИ, посторонних программ или вирусов, нарушающих работу указанных средств, работа с СКЗИ на данном рабочем месте должна быть прекращена и организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения.
Не допускается:
- разглашать содержимое носителей ключевой информации или передавать носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;
- вставлять ключевой носитель в дисковод компьютера при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровка информации, проверка подлинности файлов ЭЦП, подтверждение ее подлинности), а также в дисководы других рабочих станций;
- записывать на ключевой носитель постороннюю информацию;
- вносить какие-либо изменения в программное обеспечение средств шифрования и электронной цифровой подписи;
- использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации путем переформатирования (рекомендуется физическое уничтожение носителей). Физическое уничтожение СКЗИ осуществляется на основании заявки руководителя структурного подразделения Администрации города Смоленска в орган криптографической защиты Администрации города Смоленска (приложение N 4 к Инструкции).
Посторонние лица не должны допускаться к работе на компьютере, на котором установлены средства шифрования.
3. Порядок ввода в эксплуатацию СКЗИ
Генерация ключевой информации для пользователей СКЗИ производится по заявке структурного подразделения Администрации города Смоленска в орган криптографической защиты Администрации города Смоленска (приложение N 3 к Инструкции).
Орган криптографической защиты Администрации города Смоленска регистрирует заявку в "Журнале учета заявок на регистрацию пользователей и выдачи дистрибутивов ключей", проверяет достоверность и правильность сведений, указанных в заявке. В случае отказа в регистрации пользователя орган криптографической защиты Администрации города Смоленска уведомляет об этом руководителя структурного подразделения Администрации города Смоленска, которым направлена заявка, с указанием причины.
Ключевые дистрибутивы и пароли доступа к ним пользователей структурных подразделений Администрации города Смоленска заносятся в журналы поэкземплярного учета согласно приложениям N 1, 2 к Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 N 152.
Ввод в действие ключевых наборов осуществляется в течение трех рабочих дней с момента генерации.
4. Смена ключевой информации
Пользователь средств криптографической защиты обязан производить смену используемых ключей не реже чем раз в год. В штатной ситуации программное средство криптографической защиты информирует пользователя о необходимости проведения данной процедуры.
Внеплановая смена ключевой информации осуществляется пользователем в следующих случаях:
- компрометация ключей;
- замена носителя ключевой информации в случае его выхода из строя;
- изменение регистрационных данных пользователя СКЗИ.
Смена ключевой подписи до истечения срока действия осуществляется пользователем автоматизированно непосредственно на рабочем месте путем формирования новых ключевых наборов и отправки электронного запроса на сертификацию в орган криптографической защиты Администрации города Смоленска.
Орган криптографической защиты Администрации города Смоленска в течение одного рабочего дня с момента получения запроса от пользователя осуществляет сертификацию ключа, высылает его с помощью защищенной сети пользователю, запросившему сертификацию. Установка сертификата ключа осуществляется автоматически либо вручную в зависимости от программного комплекса СКЗИ.
В случае невыполнения пользователем смены ключей до истечения срока действия сертификата ключа изготовление нового сертификата ключа подписи осуществляется в соответствии с разделом 3 настоящей Инструкции.
5. Действия в случае компрометации ключей
Под компрометацией закрытых ключей понимается их утрата (в том числе с их последующим обнаружением), хищение, разглашение, несанкционированное копирование, передача их по линии связи в открытом виде, увольнение по любой причине сотрудника, имеющего доступ к ключевым носителям или к ключевой информации на данных носителях, любые другие виды разглашения ключевой информации, в результате которых закрытые ключи могут стать доступными несанкционированным лицам и (или) процессам.
Пользователь СКЗИ самостоятельно должен определить факт компрометации закрытого ключа и оценить значение этого события. При компрометации ключа пользователя СКЗИ необходимо немедленно прекратить обмен файлами по каналам связи и поставить в известность орган криптографической защиты Администрации города Смоленска о факте компрометации с указанием особой информации (пароля). Информация о компрометации может передаваться по телефону или непосредственно.
Орган криптографической защиты Администрации города Смоленска выясняет причины компрометации и принимает меры для предотвращения возникновения этих причин в дальнейшем.
Разблокировка учетной записи пользователя производится только после замены скомпрометированных ключей.
6. Хранение технической документации, ключевых документов, СКЗИ
В Администрации города Смоленска, как в организации участвующей в информационном обмене электронными документами, содержащими персональные данные, с использованием СКЗИ, должны быть обеспечены условия хранения ключевых носителей и карточек отзыва ключей в соответствии с требованиями приказа ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", исключающими возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации и паролей отзыва ключей.
Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами (флэш-носителями и дискетами, содержащими ЭЦП), с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также совместно с соответствующими аппаратными средствами.
Пользователи СКЗИ хранят носители, содержащие исходные копии СКЗИ, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Приложение N 1
Акт внедрения N ___
средств криптографической защиты информации
г. Смоленск "___" ________ 20__ года
В информационной системе ________________________________________________
___________________________________________________ Администрации города
(структурное подразделение)
Смоленска произведена установка и настройка следующих технических
средств защиты информации:
|
N п/п |
Наименование и тип технического средства |
Заводской (серийный) номер |
Сведения о сертификате |
Место и дата установки |
|
1. |
|
|
|
|
|
2. |
|
|
|
|
Монтаж средств защиты информации выполнен в соответствии с требованиями
технической документации. В ходе инструментальной проверки установлено,
что средства защиты информации работоспособны и обеспечивают
защищенность информации.
Руководитель
структурного подразделения Инициалы, фамилия
Орган криптографической защиты Инициалы, фамилия
Исполнитель Инициалы, фамилия
Приложение N 2
Акт уничтожения N _____
средств криптографической защиты информации
г. Смоленск "___" ________ 20__ года
В информационной системе ________________________________________________
____________________________________________________ Администрации города
(структурное подразделение)
Смоленска произведено уничтожение следующих средств технической защиты:
|
N п/п |
Наименование и тип технического средства |
Заводской (серийный) номер |
Сведения о сертификате |
Место расположения |
|
1. |
|
|
|
|
|
2. |
|
|
|
|
Руководитель
структурного подразделения Инициалы, фамилия
Орган криптографической защиты Инициалы, фамилия
Исполнитель Инициалы, фамилия
Приложение N 3
Председателю комитета по
информационным ресурсам и
телекоммуникациям
Администрации города Смоленска
С.В. Пивоварову
руководителя структурного
подразделения Администрации
города Смоленска
Инициалы, фамилия
Заявка
на выработку ключевой информации и установку
средств криптографической защиты информации
Прошу Вас организовать подготовку к самостоятельной работе с
криптографическим средством защиты информации _________________, а также
(тип криптосредства)
выработать ключевую информацию и выдать пароли сотруднику структурного
подразделения ___________________________________________________________
(наименование структурного подразделения)
_________________________________________________________________________
(должность, фамилия, имя, отчество сотрудника)
с установкой средств криптографической защиты на выделенную рабочую
станцию инв. N __________
Необходимость установки средств криптографической защиты
обусловлена _____________________________________________________________
Инициалы, фамилия
Дата
Регистрационный номер
ИСПОЛНЕНО
Сотрудник органа криптографической защиты
____________________________________
(подпись) (инициалы, фамилия)
"_____" ________ 20___ г.
Приложение N 4
Председателю комитета по
информационным ресурсам и
телекоммуникациям
Администрации города Смоленска
С.В. Пивоварову
руководителя структурного
подразделения Администрации
города Смоленска
Инициалы, фамилия
Заявка
на уничтожение средств криптографической защиты информации
Прошу Вас уничтожить ключевую информацию и заблокировать доступ к
криптографическим средствам защиты информации сотрудника
_________________________________________________________________________
(наименование структурного подразделения)
_________________________________________________________________________
(должность, фамилия, имя, отчество сотрудника)
на рабочей станции инв. N __________ в связи с __________________________
(инв. номер) (указать причину)
________________________________________________________________________.
Инициалы, фамилия
Дата
Регистрационный номер
ИСПОЛНЕНО
Сотрудник органа криптографической защиты
____________________________________
(подпись) (инициалы, фамилия)
"_____" ________ 20___ г.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Регламентирован порядок обращения с сертифицированными ФСБ РФ шифровальными (криптографическими) средствами, предназначенными для защиты информации (СКЗИ), не содержащей сведений, составляющих гостайну, в процессе их получения, транспортировки, учета, хранения, интеграции в прикладные системы, тестирования, испытаний, передачи и установки клиентам, уничтожения, а также порядок допуска к работам с шифровальными средствами.
За сохранение в тайне информации ограниченного доступа, ставшей им известной в процессе работы с СКЗИ, за сохранение в тайне содержания закрытых ключей шифрования, за сохранность носителей ключевой информации и ключевых документов, выдаваемых с ключевыми носителями, за выполнение требований Инструкции должностные лица, уполномоченные эксплуатировать СКЗИ, получать и использовать ключи шифрования, несут персональную ответственность.
Техническое обслуживание оборудования и смена криптографических ключей не допускаются в присутствии лиц, не допущенных к работе с данными СКЗИ.
Смена используемых ключей должна проводится не реже чем раз в год.
Распоряжение Администрации г. Смоленска от 20 декабря 2011 г. N 1535-р/адм "Об утверждении Инструкции по использованию средств криптографической защиты информации в Администрации города Смоленска"
Опубликование:
-
В настоящий документ внесены изменения следующими документами:
Распоряжение Администрации города Смоленска от 7 ноября 2023 г. N 269-р/адм
Распоряжение Администрации города Смоленска от 14 сентября 2023 г. N 206-р/адм
Распоряжение Администрации города Смоленска от 13 июля 2023 г. N 150-р/адм
Распоряжение Администрации города Смоленска от 8 июня 2022 г. N 82-р/адм
Распоряжение Администрации г. Смоленска от 17 декабря 2015 г. N 48-р/адм
Распоряжение Администрации г. Смоленска от 2 декабря 2014 г. N 475-р/адм