Приложение N 2. Инструкция пользователям средств криптографической защиты информации в структурных подразделениях Управления по тарифам города Севастополя. Приказ Управления по тарифам г. Севастополя от 13.05.2022 N 53-УТ "Об организации использования средств криптографической защиты информации в Управлении по тарифам города Севастополя"

Приложение N 2

УТВЕРЖДЕНА
приказом Управления по тарифам
города Севастополя
от 13.05.2022 N 53-УТ

Инструкция пользователям средств криптографической защиты информации в структурных подразделениях Управления по тарифам города Севастополя

1. Общие положения

1. Настоящая Инструкция пользователям средств криптографической защиты информации в структурных подразделениях Управления по тарифам города Севастополя (далее - Инструкция) определяет порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в Управлении по тарифам города Севастополя (далее Управление).

2. В настоящей Инструкции используются следующие понятия:

2.1. Средствами криптографической защиты информации (далее - СКЗИ) являются:

а) аппаратные, программные и программно-аппаратные криптографические средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства электронной подписи, квалифицированная электронная подпись (далее - КЭП), выданная удостоверяющим центром;

в) ключевая документация, квалифицированный сертификат ключа проверки электронной подписи, дистрибутивы ключей для подключения к защищенной сети;

г) ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (совокупности криптографических ключей (далее - криптоключ)).

2.2. Пользователи СКЗИ - физические лица, непосредственно допущенные к работе с СКЗИ.

2.3. Хранилище СКЗИ - надежно запираемый шкаф, ящик, сейф индивидуального пользования, оборудованный приспособлением для опечатывания замочной скважины индивидуальной печатью пользователя СКЗИ. Ключ от хранилища должен находиться у соответствующего пользователя СКЗИ.

2.4. Компрометация криптоключа (КЭП) - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключ (КЭП) может стать доступным несанкционированным лицам и (или) процессам.

2.5. Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами Российской Федерации.

Под информацией ограниченного доступа (сведениями конфиденциального характера) в Управлении относятся персональные данные, определенные Положением об обработке персональных данных в Управлении по тарифам города Севастополя, утвержденным приказом Управления от 13.05.2022 N 52-УТ.

3. Обязанности пользователя СКЗИ

3.1. Использовать СКЗИ в строгом соответствии с руководством пользователя (эксплуатационной документацией), предоставляемым ему при инсталляции программного продукта.

3.2. Не разглашать сведения конфиденциального характера.

3.3. О попытках посторонних лиц получить сведения об используемых СКЗИ немедленно сообщать руководителю своего структурного подразделения и сотрудникам органа криптографической защиты Управления (далее - ОКЗ).

3.4. Сдать СКЗИ по окончании срока действия СКЗИ, увольнении, отстранении от исполнения обязанностей, связанных с использованием СКЗИ, сотрудникам ОКЗ.

3.5. Немедленно уведомлять сотрудников ОКЗ о фактах утраты или недостачи СКЗИ, ключевой документации, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к компрометации криптоключа (КЭП) и (или) разглашению сведений конфиденциального характера.

3.6. Передавать СКЗИ другим пользователями СКЗИ только с санкции сотрудников ОКЗ под расписку в соответствующем журнале поэкземплярного учета СКЗИ.

3.7. Хранить СКЗИ в индивидуальных опечатываемых хранилищах СКЗИ в условиях, исключающих бесконтрольный доступ к ним, а также их уничтожение. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в хранилище посторонних лиц, немедленно сообщать руководителю своего структурного подразделения и сотрудникам ОКЗ.

3.8. В случае уведомления со стороны удостоверяющего центра, выдавшего криптоключ (КЭП), или сотрудников ОКЗ немедленно прекратить использование криптоключа (КЭП) до получения особого указания.

3.9. Не оставлять без контроля аппаратные средства, на которых эксплуатируется СКЗИ, после ввода ключевой информации либо иных сведений конфиденциального характера, контролировать место опечатывания (опломбирования) аппаратных средств с установленными СКЗИ, не допускать их несанкционированного вскрытия. В случае обнаружения несанкционированного нарушения места опечатывания немедленно сообщить руководителю своего структурного подразделения и сотрудникам ОКЗ.

3.10. При оставлении рабочего места отключить СКЗИ от автоматизированного рабочего места (далее - АРМ), поместить в хранилище и опечатать хранилище личной печатью.

3.11. Не допускать вскрытие аппаратных средств с установленными СКЗИ, установку и настройку системного и прикладного программного обеспечения в отсутствие сотрудников ОКЗ.

3.12. Не подключать к АРМ с установленными СКЗИ дополнительные устройства и соединители, не предусмотренные штатной комплектацией: мобильные телефоны, внешние носители и т.д., беспроводные устройства (клавиатуры, компьютерные мыши, колонки и т.д.).

3.13. Не проводить работу на АРМ с установленными СКЗИ, если во время его начальной загрузки не проходят встроенные тесты.

3.14. Не проводить работу с СКЗИ при включенных на АРМ штатных средствах выхода в радиоканал.

3.15. Не применять СКЗИ в целях, не связанных с исполнением должностных обязанностей.

3.16. Размещать устройства вывода (отображения) так, чтобы исключить возможность просмотра информации на нем посторонними лицами.

3.17. При назначении паролей пользоваться Парольной политикой на автоматизированных рабочих местах Управления.

3.18. При обработке информации дополнительно руководствоваться Правилами обработки информации в Управления.

3.19. В случае нештатной ситуации (пожар, стихийное бедствие, угроза террористического акта, эвакуация из помещения (здания)) пользователь СКЗИ обязан:

- завершить сеанс работы с АРМ (при возможности), извлечь СКЗИ (КЭП) из АРМ и вынести из помещения;

- при первой возможности обратиться в ОКЗ для анализа и учета произошедшей нештатной ситуации.