Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Департамента внутренней политики г. Севастополя от 15 декабря 2022 г. N 87-П/ОД "Об организации информационной безопасности в Департаменте внутренней политики города Севастополя"
- Приложение N 2. Инструкция по обращению со средствами криптографической защиты информации в Департаменте внутренней политики города Севастополя
Приложение N 2. Инструкция по обращению со средствами криптографической защиты информации в Департаменте внутренней политики города Севастополя
Приложение N 2
УТВЕРЖДЕНА
приказом Департамента внутренней
политики города Севастополя
от 15 декабря 2022 г. N 87-П/ОД
Инструкция по обращению со средствами криптографической защиты информации в Департаменте внутренней политики города Севастополя
I. Общие положения
Настоящая Инструкция по обращению со средствами криптографической защиты информации в Департаменте внутренней политики города Севастополя (далее - Инструкция) разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (далее - СКЗИ) в Департаменте внутренней политики города Севастополя (далее - Департамент).
Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, в т.ч. ПДн.
СКЗИ должны использоваться для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на Положении о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ Российской Федерации от 09.02.2005 N 66; Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ Российской Федерации от 13.06.2001 N 152.
II. Термины и определения
Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Департамента в рамках исполнения должностных обязанностей.
Пользователи СКЗИ - работники Департамента, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
III. Работа с СКЗИ
Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае, должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.
Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть соответствующим образом маркированы и должны использоваться, учитываться и храниться так же, как оригиналы.
Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ под подпись в соответствующих журналах поэкземплярного учета.
При обнаружении на рабочем месте, оборудованном СКЗИ, посторонних программ или вирусов, нарушающих работу указанных средств, работа со средствами защиты информации на данном рабочем месте должна быть прекращена и организуются мероприятия по анализу и ликвидации негативных последствий данного нарушения.
IV. Действия в случае компрометации ключей
О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за обеспечение функционирования и безопасности криптографических средств в Департаменте.
К компрометации ключей относятся следующие события:
- утрата носителей ключа;
- утрата иных носителей ключа с последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевой информации;
- возникновение подозрений на утечку информации или ее искажение;
- нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации, в том числе с последующим обнаружением;
- доступ посторонних лиц к ключевой информации;
- другие события утери доверия к ключевой документации.
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия.
Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, не предъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Мероприятия по розыску и локализации последствий компрометации информации ограниченного доступа, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет Департамент (обладатель скомпрометированной информации ограниченного доступа).
V. Обязанности и ответственность лиц, допущенных к работе с СКЗИ
Лица, допущенные к работе с СКЗИ, обязаны:
- не разглашать информацию ограниченного доступа, к которой они допущены;
- сохранять носители ключевой информации и другие документы о ключах, выдаваемых с ключевыми носителями;
- соблюдать требования к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;
- сообщать Ответственному за обеспечение функционирования и безопасности криптосредств о ставших известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
- не вводить номера лицензий на СКЗИ, уже вводимые на других ПК;
- немедленно уведомлять Ответственного за обеспечение функционирования и безопасности криптосредств о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
Лица, допущенные к работе с СКЗИ, отвечают за исполнение своих функциональных обязанностей и сохранность информации ограниченного доступа, которая стала им известной вследствие исполнения им своих служебных обязанностей.
Ответственность лиц, допущенных к работе с СКЗИ, за неисполнение и (или) ненадлежащее исполнение своих обязанностей, предусмотренных соответствующими инструкциями (Инструкция ответственного за обеспечение функционирования и безопасности криптографических средств в Департаменте, Инструкция пользователя СКЗИ в Департаменте), а также за разглашение информации ограниченного доступа, ставшей ему известной вследствие исполнения им своих служебных обязанностей, определяется действующим законодательством Российской Федерации и условиями трудового договора.