Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства цифровых технологий и связи Калининградской области от 12 июля 2021 г. N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"
- Приложение. Методические рекомендации по обеспечению защиты информации в государственных информационных системах
- Приложение N 18. Инструкция по обращению со средствами криптографической защиты информации из состава системы защиты информации "Наименование информационной системы"
Приложение N 18. Инструкция по обращению со средствами криптографической защиты информации из состава системы защиты информации "Наименование информационной системы"
Приложение N 18
к Методическим рекомендациям
Инструкция
по обращению со средствами криптографической защиты информации из состава системы защиты информации "Наименование информационной системы"
1. Общие положения
1.1. Назначение документа
Настоящий документ определяет порядок обращения со средствами криптографической защиты информации (криптосредствами) в целях защиты информации, содержащейся в "Наименование информационной системы".
1.2. Сокращения, термины и определения
В настоящем документе используются сокращения, термины и определения, приведенные в таблицах 1 и 2 соответственно.
Таблица 1. Перечень сокращений
|
Сокращение |
Расшифровка сокращения |
|
АРМ |
Автоматизированное рабочее место |
|
ГОСТ |
Государственный стандарт |
|
СКЗИ, криптосредство |
Средство криптографической защиты информации |
|
ФАПСИ |
Федеральное агентство правительственной связи и информации при Президенте Российской Федерации |
|
ФСБ России |
Федеральная служба безопасности Российской Федерации |
Таблица 2. Перечень терминов и определений
|
Термин |
Определение |
Источник |
|
Администратор информационной безопасности (Администратор ИБ) |
Лицо, обеспечивающее эксплуатацию, администрирование системы защиты информации конкретной ИС и ее штатное функционирование. Администратор ИБ имеет право передачи полномочий по администрированию системы защиты информации курируемых ИС другим лицам, при этом он должен осуществлять контроль за использованием переданных полномочий. Администратор ИБ назначается правовым актом и (или) внесением соответствующих положений в должностную инструкцию работника |
|
|
Ответственный за защиту информации в "Наименование информационной системы" (Ответственный за ЗИ) |
Лицо, обеспечивающее защиту информации в конкретной информационной системе. Ответственный за защиту информации имеет право передачи своих полномочий другим лицам, при этом он должен осуществлять контроль за использованием переданных полномочий. Ответственный за защиту информации назначается правовым актом и (или) внесением соответствующих положений в должностную инструкцию работника |
|
|
Доступ к информации |
Возможность получения информации и ее использования |
|
|
Информационная система |
Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Информация |
Сведения (сообщения, данные), независимо от формы их представления |
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Контролируемая зона |
Пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, посторонних лиц, а также транспортных, технических и иных материальных средств |
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15.02.2008 |
|
Криптографический ключ (криптоключ) |
Совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе |
Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации" |
|
Нарушитель безопасности информации |
Физическое лицо (субъект), случайно или преднамеренно совершившее действия, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах |
|
|
Персональные данные |
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" |
|
Пользователь средств криптографической защиты информации |
Лицо, участвующее в эксплуатации криптографического средства или использующее результаты его функционирования |
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ России 21.02.2008 N 149/5-144) |
|
Средство защиты информации |
Техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации |
|
|
Средство криптографической защиты информации (криптографическое средство) |
Криптографическое (шифровальное) средство, предназначенное для защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну. К криптографическим (шифровальным) средствам относятся: - средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении; - средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации; - средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи; - средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций; - средства изготовления ключевых документов (независимо от вида носителя ключевой информации); - ключевые документы (независимо от вида носителя ключевой информации). (Приказ ФСБ РФ от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)") |
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ России 21.02.2008, N 149/6/6-622) |
2. Порядок применения криптосредств
Для защиты информации "Наименование информационной системы" (далее - ИС) должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства.
Класс криптосредства определяется в соответствии с Приказом ФСБ России от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Ответственность за эксплуатацию средств криптографической защиты информации в ИС возложена на Администратора ИБ.
Пользователи криптосредств допускаются к работе с ними только после ознакомления под подпись с настоящим документом и другими документами, регламентирующими защиту информации в ИС.
Предоставление доступа к работе со средствами криптографической защиты информации из состава системы защиты информации ИС осуществляется в соответствии с Перечнем лиц, допущенных к работе со средствами криптографической защиты информации в "Наименование информационной системы".
При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
Техническое обслуживание криптосредств, а также другого оборудования, функционирующего с криптосредствами, смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
Криптосредства, а также другое оборудование, функционирующее с криптосредствами, на время отсутствия пользователей при наличии такой технической возможности выключаются, отключаются от линии связи и убираются в опечатываемые хранилища. В противном случае необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.
Системные блоки АРМ (или иные аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, аппаратные и аппаратно-программные СКЗИ), на которых установлены криптосредства, должны оборудоваться средствами контроля за их вскрытием (опечатываться, опломбироваться). Место опечатывания (опломбирования) системного блока должно быть таким, чтобы его можно было визуально контролировать.
СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.
3. Обязанности пользователей криптосредств
Пользователи криптосредств обязаны:
- не нарушать конфиденциальность закрытых ключей;
- не допускать снятие копий с ключевых документов, содержащих закрытые ключи;
- не допускать вывод закрытых ключей на дисплей (монитор) АРМ или принтер;
- не допускать записи на ключевой документ посторонней информации;
- не допускать установки ключевых документов в другие АРМ;
- обеспечить конфиденциальность информации о криптосредствах, других мерах защиты;
- не нарушать конфиденциальность информации;
- соблюдать требования к защите информации, требования к обеспечению безопасности криптосредств и ключевых документов к ним;
- хранить инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение;
- обеспечивать раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей;
- сдавать ключевые документы к криптосредствам при увольнении или отстранении от исполнения обязанностей;
- своевременно выявлять и сообщать Ответственному за ЗИ о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним, защищаемой информации;
- немедленно уведомлять Ответственного за ЗИ и принимать меры по предупреждению нарушения конфиденциальности защищаемой информации при утрате или недостаче криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей, удостоверений, пропусков, при других фактах, которые могут привести к компрометации закрытых ключей, снижению уровня защищенности информации.
Администратор ИБ обязан:
- осуществлять поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним;
- осуществлять контроль за соблюдением условий использования криптосредств, установленных эксплуатационной и технической документацией на криптосредства и настоящим документом (в пределах своей компетенции);
- осуществлять учет пользователей криптосредств.
Ответственный за ЗИ обязан:
- осуществлять контроль за соблюдением условий использования криптосредств, установленных эксплуатационной и технической документацией на криптосредства и настоящим документом;
- проводить расследования и составлять заключения по фактам нарушения условий использования криптосредств, которые могут привести к снижению требуемого уровня защиты информации.
4. Обращение с ключевыми документами, эксплуатационной и технической документацией к криптосредствам
Ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель информации.
Все экземпляры ключевых документов выдаются пользователям криптосредств под подпись в Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов из состава системы защиты информации "Наименование информационной системы" (далее - Журнал).
Для исключения компрометации ключевых документов на период отсутствия пользователя и в нерабочее время при наличии технической возможности ключевые документы убираются в защищенные хранилища (сейфы, железные ящики), которые, в свою очередь, закрываются на ключ и опечатываются.
Эксплуатационная и техническая документация к криптосредствам подлежит поэкземплярному учету.
Все экземпляры эксплуатационной и технической документации к криптосредствам выдаются пользователям криптосредств под подпись в Журнале.
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи немедленно выводятся из действия, если иной порядок не оговорен в эксплуатационной и технической документации к криптосредствам.
5. Организация помещений
Охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним, должны обеспечивать сохранность информации, криптосредств и ключевых документов к ним, исключать возможность неконтролируемого проникновения или пребывания в помещениях посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
При оборудовании помещений должны выполняться требования к размещению, монтажу криптосредств, а также другого оборудования, функционирующего с криптосредствами. Помещения выделяются с учетом размеров контролируемых зон. Помещения должны быть оснащены входными дверьми с замками, и должно быть обеспечено постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода, а также опечатывание помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.
Окна помещений, расположенных на первых и (или) последних этажах зданий, а также окна помещений, находящихся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, должны быть оборудованы металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Двери и окна помещений, в которых размещены серверы системы защиты информации ИС, должны быть оборудованы металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Перечисленные в настоящем документе требования к режимным помещениям могут не предъявляться, если это предусмотрено правилами пользования криптосредствами, согласованными с ФСБ России.
Режим охраны помещений определен в документации о внутрипропускном и объектовом режиме.
6. Порядок доступа к хранилищам криптосредств
Пользователи криптосредств хранят эксплуатационную и техническую документацию к криптосредствам, ключевые документы в металлических хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Металлические хранилища должны быть оборудованы внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.
Должно быть предусмотрено раздельное безопасное хранение пользователями криптосредств действующих и резервных ключевых документов, предназначенных для применения, в случае компрометации действующих ключевых документов.
При необходимости доступа к содержимому хранилища работник, ответственный за данное хранилище, проверяет целостность хранилища, открывает механический замок хранилища с использованием ключа.
По окончании работы работник закрывает и опечатывает хранилище, за которое он ответственен.
Печати, предназначенные для опечатывания хранилищ, должны находиться у работников, ответственных за данные хранилища.
Ключи для доступа к хранилищам предоставляются работникам в следующем порядке:
- рабочий ключ от хранилища предоставляется работнику, ответственному за данное хранилище, под подпись в соответствующем журнале;
- запасные экземпляры ключей от хранилищ хранятся в сейфе (хранилище) Администратора ИБ;
- ключи от хранилища не должны предоставляться работникам, не ответственным за данные хранилища;
- ключи от механических замков хранилищ должны быть пронумерованы, учтены в соответствующем журнале;
- при увольнении работника либо при назначении другого лица ответственным за хранилище данного работника работник обязан сдать имеющиеся у него ключи от механического замка хранилища Администратору ИБ;
- работникам запрещено передавать кому-либо ключи от хранилищ, кроме как в случаях, предусмотренных настоящим документом.
Действия при несанкционированном проникновении или утрате ключей от хранилища:
- при утрате ключа от хранилища замок данного хранилища необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Об утрате ключа работник должен немедленно оповестить Ответственного за ЗИ. Порядок хранения документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает Ответственный за ЗИ;
- при обнаружении признаков, указывающих на возможное несанкционированное проникновение в хранилища посторонних лиц, о случившемся должно быть немедленно сообщено Ответственному за ЗИ. Ответственный за ЗИ должен оценить возможность компрометации, хищения, подмены, порчи хранящихся документов и технических средств, составить акт и принять при необходимости меры к локализации последствий.
7. Порядок уничтожения СКЗИ
Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в орган криптографической защиты или по его указанию должны быть уничтожены в организации.
Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования. Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.
СКЗИ уничтожают (утилизируют) по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с лицензиатом ФСБ России.
Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств. В Журнале проставляется отметка об изъятии СКЗИ из аппаратных средств.
Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в Журнале. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах.
Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются пользователями этих СКЗИ самостоятельно под расписку в техническом (аппаратном) журнале.
Ключевые документы уничтожаются либо пользователями СКЗИ, либо сотрудниками органа криптографической защиты под расписку в Журнале. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи. После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующий орган криптографической защиты для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документах. Орган криптографической защиты вправе устанавливать периодичность представления указанных отчетов чаще одного раза в год.
8. Ответственность
Пользователи криптосредств несут персональную ответственность за сохранность полученных криптосредств, эксплуатационной и технической документации к криптосредствам, ключевых документов, за соблюдение положений настоящего документа.
Ответственный за ЗИ несет ответственность за соответствие проводимых им мероприятий по защите информации с использованием криптосредств условиям эксплуатационной и технической документации к криптосредствам, а также настоящего документа.