Приложение. Положение о порядке обеспечения безопасности информации с использованием средств криптографической защиты информации. Приказ Министерства транспорта и дорожного хозяйства Кабардино-Балкарской Республики от 25.02.2021 N 59-пр "Об утверждении Положения о порядке обеспечения безопасности информации с использованием средств криптографической защиты информации"

Приложение

к приказу

Министерства транспорта

и дорожного хозяйства

Кабардино-Балкарской Республики

от 25 февраля 2021 г. N 59-пр

Положение
о порядке обеспечения безопасности информации с использованием средств криптографической защиты информации

1. Определения

1.1. Администратор безопасности - пользователь, уполномоченный выполнять действия (имеющий полномочия) по администрированию (управлению) системы защиты информации информационной системы персональных данных.

1.2. Средство криптографической защиты информации - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну (далее - СКЗИ).

1.3. Пользователь СКЗИ - лицо, участвующее в эксплуатации СКЗИ или использующее результаты его функционирования.

1.4. Ответственный за организацию обработки персональных данных (далее - ПД) - должностное лицо Минтранса КБР, эксплуатирующее информационную систему персональных данных (далее - ИСПД), отвечающее за организацию обработки ПД.

1.5. Криптоключ - секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке сообщений.

2. Общие положения

2.1. Настоящее Положение о порядке обеспечения безопасности информации с использованием СКЗИ (далее - Положение) в информационных системах (далее - ИС) Министерства транспорта и дорожного хозяйства Кабардино-Балкарской Республики разработано в соответствии со следующими нормативными правовыми актами и документацией на ИС и ее системы защиты информации:

Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации";

Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

приказом ФСБ РФ от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

приказом ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

нормативно-техническим документом "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)" (утвержден приказом Гостехкомиссии России от 30 августа 2002 года N 282);

ГОСТ Р 53114-2008 "Национальный стандарт Российской Федерации. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" (утв. и введен в действие приказом Ростехрегулирования от 18.12.2008 N 532-ст).

2.2. Положение предназначено для организации защиты данных с помощью СКЗИ.

2.3. Положение используется в Министерстве транспорта и дорожного хозяйства Кабардино-Балкарской Республики (далее - Министерство) совместно с организационно-распорядительными документами по управлению обработкой и защитой информации в информационной системе (далее - ИС).

2.4. При использовании СКЗИ требования настоящего Положения имеют преимущество перед требованиями организационно-распорядительной документации по управлению обработкой и защитой информации в ИС в отношении аналогичных объектов или процессов защиты.

2.5. Обязанности ответственного пользователя СКЗИ изложены в Инструкции ответственного пользователя средств криптографической защиты, являющейся приложением к настоящему Положению.

2.6. Пользователи СКЗИ, обрабатывающие ПД в ИС, обязаны участвовать в защите этих ПД, знать и выполнять требования:

нормативно-правовых документов по защите ПД;

организационно-распорядительных документов по управлению системой защиты информации;

Положения;

Инструкции пользователя средств криптографической защиты информации в Министерстве транспорта и дорожного хозяйства Кабардино-Балкарской Республики.

3. Управление СКЗИ

3.1. Управление СКЗИ осуществляется Министерством с целью обеспечения безопасности обработки ПД с использованием СКЗИ.

3.2. Положение регламентирует порядок управления СКЗИ на стадии эксплуатации СКЗИ в составе системы защиты информации ИС.

3.3. К управлению СКЗИ на этапе эксплуатации отнесены процедуры:

- учет СКЗИ;

- учет пользователей СКЗИ;

- контроль соблюдения условий использования СКЗИ;

- хранение, выдача, замена и уничтожение СКЗИ;

- действия при утере и компрометации СКЗИ;

- защита СКЗИ.

3.4. Учет СКЗИ.

Учет СКЗИ осуществляет ответственный пользователь СКЗИ в Журнале поэкземплярного учета средств криптографической защиты информации (СКЗИ), эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты информации) (далее - Журнал учета СКЗИ). Форма Журнала учета СКЗИ приведена в приложении N 2 к настоящему Положению.

3.5. Учет пользователей СКЗИ.

Учет пользователей СКЗИ осуществляет ответственный пользователь СКЗИ созданием и ведением лицевых счетов пользователей СКЗИ. Также учет пользователей СКЗИ осуществляется в перечне пользователей СКЗИ в Министерстве, утвержденном приказом министра транспорта и дорожного хозяйства КБР (далее - министр).

3.6. Контроль соблюдения условий использования СКЗИ.

Условия использования СКЗИ в ИС должны периодически, не реже 1 раза в год, проверяться на соответствие требованиям эксплуатации СКЗИ. Проверки осуществляются комиссионно. Состав комиссии, сроки и порядок ее работы утверждаются приказом министра. Результаты проверок оформляются актом результатов проверки условий использования СКЗИ по форме, изложенной в приложении N 3 к настоящему Положению. В акте результатов проверки условий использования СКЗИ должны быть отражены результаты проверки по следующим пунктам:

- состояние и актуальность Журнала учета СКЗИ;

- состояние и актуальность лицевых счетов пользователей СКЗИ;

- актуальность перечня пользователей СКЗИ;

- соответствие технического состояния СКЗИ и сопрягаемых с СКЗИ технических средств требованиям эксплуатационной документации на СКЗИ, ИС и систему защиты информации;

- знание и выполнение пользователями правил хранения, выдачи и уничтожения СКЗИ;

- знание и выполнение пользователями правил защиты СКЗИ.

Если произошла потеря или компрометация СКЗИ, то ответственный за организацию обработки ПД назначает внеплановую проверку условий использования СКЗИ.

3.7. Действия при утере ключевой носителя с ключевой информацией и компрометации криптоключа.

3.7.1. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи, ответственный пользователь СКЗИ должен немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ.

3.7.2. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению ответственного пользователя СКЗИ, согласованного с ответственным за организацию обработки ПД, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а защищаемая информация как можно менее ценной.

3.7.3. При обнаружении недостачи, непредъявлении ключевых документов, а также неопределенности их местонахождения ответственный пользователь СКЗИ организует срочные меры к их розыску.

4. Правила учета СКЗИ

4.1. СКЗИ, используемые для обеспечения безопасности ПД при их обработке в ИС, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров СКЗИ определяется Федеральной службой безопасности Российской Федерации.

4.2. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету в Журнале учета СКЗИ по форме. Заполнение, хранение и ведение журнала учета СКЗИ осуществляет ответственный пользователь СКЗИ.

4.3. Программные СКЗИ учитываются в Журнале учета СКЗИ совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.

4.4. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств ИС, то такие СКЗИ учитываются совместно с соответствующими аппаратными средствами, о чем вносится соответствующая запись в журнале учета СКЗИ.

5. Правила хранения СКЗИ

5.1. Пользователи СКЗИ должны хранить инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

5.2. Пользователи СКЗИ должны обеспечить раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.

5.3. Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. Опечатывание (опломбирование) осуществляет ответственный пользователь СКЗИ.

5.4. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища. Отключение и уборку СКЗИ в опечатываемые хранилища производит пользователь этих СКЗИ.

6. Правила выдачи СКЗИ

6.1. Все экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ответственный пользователь СКЗИ выдает пользователям СКЗИ под расписку в Журнале учета СКЗИ.

6.2. Ответственный пользователь СКЗИ заводит и ведет на каждого пользователя СКЗИ лицевой счет по форме согласно приложению N 4 к Положению, в котором регистрирует числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы.

6.3. Передачу СКЗИ, эксплуатационной и технической документации к ним, ключевых документов пользователю СКЗИ может производить только ответственный пользователь СКЗИ под расписку в Журнале учета СКЗИ. Передача СКЗИ между пользователями СКЗИ должна быть санкционирована ответственным пользователем СКЗИ под расписку в Журнале учета СКЗИ или по актам без обязательной отметки в Журнале учета СКЗИ.

7. Правила уничтожения СКЗИ

7.1. Уничтожение криптоключей (исходной ключевой информации) производится путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей без повреждения ключевого носителя (для обеспечения возможности его многократного использования).

7.2. Непосредственные действия по стиранию криптоключей, а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей.

7.3. Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим ключевым носителям, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).

7.4. Бумажные и прочие сгораемые ключевые носители, а также эксплуатационную и техническую документацию к СКЗИ уничтожают путем сжигания или с помощью любых бумагорезательных машин.

7.5. СКЗИ уничтожают (утилизируют) по приказу министра.

7.6. Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ, и они полностью отсоединены от аппаратных средств.

7.7. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.), разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть удалена (стерта).

7.8. Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документации не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения в Журнал учета СКЗИ заносит ответственный пользователь СКЗИ.

7.9. Ключевые документы уничтожаются либо ответственным пользователем СКЗИ, либо пользователем СКЗИ под расписку в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним.

7.10. Уничтожение большого объема ключевых документов может быть оформлено актом по форме, изложенной в приложении N 5 к Положению. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию СКЗИ. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, эксплуатационной и технической документации.

8. Требования к помещениям для установки и хранения СКЗИ

8.1. Размер помещений для установки и хранения СКЗИ должен быть выбран с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией на СКЗИ.

8.2. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время.

8.3. Окна помещений, расположенных на первых и последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, необходимо оборудовать металлическими решетками или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в помещения.

8.4. Размещение и специальное оборудование в помещениях должны исключить возможность неконтролируемого просмотра посторонними лицами ведущихся там работ.

8.5. Для предотвращения просмотра извне помещений, в которых установлены или хранятся СКЗИ, их окна должны быть защищены.

8.6. Помещения должны быть оснащены охранной сигнализацией, связанной со службой охраны здания Министерства.

9. Режим работы помещений для установки и хранения СКЗИ

9.1. Охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц.

9.2. Режим охраны помещений, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливается положением о пропускном и внутриобъектовом режиме.

9.3. Двери помещений, где установлены или хранятся СКЗИ, должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей.

9.4. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам, имеющим право допуска в помещения.

9.5. Дубликаты ключей от входных дверей помещений с установленными СКЗИ хранятся в сейфе ответственного пользователя СКЗИ.

9.6. Исправность сигнализации в помещениях, в которых установлены или хранятся СКЗИ, периодически, не реже раза в неделю, проверяет ответственный пользователь СКЗИ совместно с представителем службы охраны Министерства.

9.7. По окончании рабочего дня помещение, в котором установлены и (или) хранятся СКЗИ, и установленные в нем хранилища СКЗИ должны быть закрыты и опечатаны. Закрывают и опечатывают помещения и хранилища СКЗИ пользователи СКЗИ.

10. Требования к размещению и монтажу СКЗИ

10.1. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях должны сводить к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам.

10.2. Техническое обслуживание такого оборудования и замена СКЗИ осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.

11. Заключительные положения

11.1. Все пользователи СКЗИ должны быть предупреждены об ответственности за действия с СКЗИ, нарушающие требования настоящего Положения и других организационных и правовых актов, определяющих меры по защите ПД с помощью СКЗИ.

11.2. Пользователи СКЗИ, в том числе ответственный пользователь СКЗИ, должны быть ознакомлены с настоящим Положением до начала работы с СКЗИ под подпись.