Приложение N 22. Инструкция ответственного пользователя криптосредств министерства экономического развития Рязанской области. Приказ Министерства экономического развития Рязанской области от 29.07.2022 N 214 "Об утверждении организационно-распорядительной документации по организации обработки и защите персональных данных в министерстве экономического развития Рязанской области" (с изменениями и дополнениями)

Приложение N 22
к приказу
министерства
экономического развития
Рязанской области
от 29 июля 2022 г. N 214

Инструкция
ответственного пользователя криптосредств министерства экономического развития Рязанской области

1. Общие положения

1.1. Настоящая Инструкция ответственного пользователя криптосредств министерства экономического развития Рязанской области (далее соответственно - Инструкция, Министерство) определяет основные обязанности и права ответственного пользователя криптосредств.

1.2. Ответственный пользователь криптосредств назначается приказом министра промышленности и экономического развития Рязанской области (далее - Министр) и отвечает за организацию, обеспечение функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).

1.3. Ответственный пользователь криптосредств должен знать нормативные акты Российской Федерации и Рязанской области, методические материалы в сфере обработки персональных данных, в том числе распорядительные документы министерства в сфере обработки персональных данных (далее - Нормативные акты).

1.4. В своей деятельности, связанной с обработкой персональных данных ответственный пользователь криптосредств руководствуется настоящей Инструкцией.

2. Обязанности ответственного пользователя криптосредств

Ответственный пользователь криптосредств обязан:

2.1. Соблюдать требования Нормативных актов, устанавливающих порядок работы с персональными данными.

2.2. Осуществлять текущий контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:

- контролировать соблюдение условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;

- обеспечивать надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;

- вносить предложения по режиму охраны помещений, в которых установлены криптосредства или хранятся ключевые документы к ним;

- вести Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);

- выдавать пользователям криптосредств экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;

- контролировать передачу криптосредств, эксплуатационной и технической документации к ним, ключевых документов между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующем Журнале;

- пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование криптосредств, а также аппаратных и аппаратно-программных криптосредствах;

- контролировать получение и доставку криптосредств, эксплуатационной и технической документации к ним;

- заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;

- контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам, или, если срок уничтожения эксплуатационной и технической документацией не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;

- выводить из действия носители ключевой информации (далее - НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;

- принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;

- проводить инструктаж пользователей криптосредств по правилам работы с криптосредствами и ключевыми документами.

2.3. Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с криптосредствами или нарушения функционирования криптосредств.

2.4. Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.

2.5. Контролировать исполнение пользователями криптосредств требований нормативных актов в части обеспечения защиты персональных данных с помощью криптосредств.

2.6. Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей криптосредств информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:

- в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;

- о факте компрометации ключевой информации пользователями криптосредств совместно с ответственным пользователем криптосредств производится информирование всех заинтересованных участников информационного обмена;

- выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;

- для своевременного восстановления связи пользователю криптосредств выдается новый НКИ; для этого создается резервный запас НКИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного пользователя криптосредств.

2.7. Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного пользователя криптосредств. Данные копии применяются с разрешения Министра, если по результатам расследования не было установлено факта компрометации.

2.8. Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.

2.9. Своевременно информировать Министра о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.

3. Права ответственного пользователя криптосредств

Ответственный пользователь криптосредств имеет право:

3.1. Знакомиться с нормативными актами, регламентирующими процессы обработки персональных данных.

3.2. Требовать от пользователей криптосредств соблюдения требований Нормативных актов в части обеспечения защиты информации с помощью криптосредств.

3.3. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей криптосредств, в случае выявления нарушений требований по работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования криптосредств.