Приложение N 23. Инструкция пользователя криптосредств министерства экономического развития Рязанской области. Приказ Министерства экономического развития Рязанской области от 29.07.2022 N 214 "Об утверждении организационно-распорядительной документации по организации обработки и защите персональных данных в министерстве экономического развития Рязанской области" (с изменениями и дополнениями)

Приложение N 23
к приказу
министерства
экономического развития
Рязанской области
от 29 июля 2022 г. N 214

Инструкция
пользователя криптосредств министерства экономического развития Рязанской области

1. Общие положения

1.1. Настоящая Инструкция пользователя криптосредств министерства промышленности и экономического развития Рязанской области (далее - Инструкция) определяет права и обязанности пользователей криптосредств, порядок обращения с криптосредствами, а также определяет порядок восстановления связи в случае компрометации действующих ключей к криптосредствам.

1.2. Пользователем криптосредств является сотрудник министерства экономического развития Рязанской области (далее - министерство), включенный в перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных, утвержденный приказом министра промышленности и экономического развития Рязанской области (далее - Министр).

1.3. Пользователь криптосредств должен знать нормативные акты Российской Федерации и Рязанской области, методические материалы в сфере обработки персональных данных, в том числе распорядительные документы министерства в сфере обработки персональных данных (далее - Нормативные акты).

1.4. В своей деятельности, связанной с обработкой персональных данных, пользователь криптосредств руководствуется настоящей Инструкцией.

1.5. Пользователи криптосредств несут персональную ответственность за обеспечение конфиденциальности ключевой информации и защиту криптосредств от несанкционированного использования.

2. Обязанности и права пользователя криптосредств

2.1. Пользователь криптосредств обязан:

- соблюдать требования по обеспечению безопасности функционирования криптосредств;

- обеспечить конфиденциальность всей информации ограниченного распространения, доступной по роду выполняемых функциональных обязанностей;

- сдать ответственному пользователю криптосредств министерства (далее - Ответственный) носители ключевой информации (далее - НКИ) при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств;

- сдать Ответственному НКИ по окончании срока действия сертификата ключа, а также в случае компрометации ключа;

- немедленно уведомлять руководителя структурного подразделения или Ответственного о компрометации НКИ, о фактах утраты или недостачи криптосредств;

- в пределах своей компетенции предоставлять информацию комиссии, проводящей служебные расследования по фактам компрометации, а также выявлению причин нарушения требований безопасности функционирования криптосредств.

2.2. Пользователю криптосредств запрещается:

- осуществлять несанкционированное и безучетное копирование ключевых данных;

- хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;

- передавать НКИ каким бы то ни было лицам, кроме Ответственного;

- во время работы оставлять НКИ без присмотра (например, на рабочем столе или в разъеме системного блока ПЭВМ);

- хранить на НКИ какую-либо информацию, кроме ключевой;

- использовать в помещениях, где применяются криптосредства, личные технические средства, позволяющие осуществлять копирование ключевой информации;

- использовать НКИ, выведенные из действия.

2.3. Пользователь имеет право:

- вносить предложения Министру по вопросам использования криптосредств;

- повышать уровень квалификации по использованию криптосредств.

3. Порядок обращения с криптосредствами

3.1. Монтаж и установка криптосредства осуществляются органом криптографической защиты.

3.2. Служебные помещения, в которых размещаются криптосредства, должны отвечать всем требованиям по оборудованию и охране, предъявляемым к помещениям, выделенным для работы с конфиденциальной информацией. Для хранения НКИ помещения обеспечиваются сейфами (металлическими шкафами и по убытии сотрудников закрываются, опечатываются личными печатями ответственных лиц и сдаются под охрану.

3.3. Пользователи криптосредств хранят инсталлирующие криптосредства носители, эксплуатационную и техническую документацию к криптосредствам, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

3.4. Дубликаты ключей от сейфов (а также значения кодов - при наличии кодовых замков) пользователей криптосредств должны храниться в сейфе руководителя структурного подразделения или Ответственного в упаковках, опечатанных личными печатями пользователей криптосредств. Несанкционированное изготовление дубликатов ключей запрещено. В случае утери ключа механизм (секрет) замка (либо сам сейф) должен быть заменен.

3.5. К эксплуатации криптосредств допускаются лица, прошедшие инструктаж и изучившие правила пользования данным криптосредством.

3.6. Все программное обеспечение ПЭВМ, предназначенной для установки криптосредств, должно иметь соответствующие лицензии. Установка средств разработки и отладки программ на рабочую станцию, использующую криптосредства, не допускается.

4. Восстановление связи в случае компрометации действующих ключей к криптосредствам

4.1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию владельца НКИ и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:

- утрата (хищение) НКИ, в том числе - с последующим их обнаружением;

- увольнение (переназначение) сотрудников, имевших доступ к НКИ;

- передача секретных ключей по линии связи в открытом виде;

- нарушение правил хранения НКИ;

- вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);

- ошибки при совершении криптографических операций;

- несанкционированное или безучетное копирование ключевой информации;

- все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда НКИ вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).

4.2. При наступлении любого из перечисленных выше событий пользователь криптосредств или владелец НКИ должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) Ответственному лично, по телефону, электронной почте или другим доступным способом. В любом случае пользователь криптосредств или владелец НКИ обязан убедиться, что его сообщение получено и прочтено.

4.3. При подтверждении факта компрометации действующих ключей пользователь криптосредств обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу Ответственному в течение 3 рабочих дней.

4.4. Для восстановления конфиденциальной связи после компрометации действующих ключей пользователь криптосредств получает у Ответственного новые ключи.