Приложение N 1. Инструкция ответственного за эксплуатацию средств криптографической защиты информации Управления ветеринарии города Севастополя. Приказ Управления ветеринарии г. Севастополя от 07.11.2023 N 68 "Об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты"

Приложение N 1
УТВЕРЖДЕНА
приказом начальника Управления
ветеринарии города Севастополя
от 07.11.2023 N 68

Инструкция ответственного за эксплуатацию средств криптографической защиты информации Управления ветеринарии города Севастополя

1. Общие положения

1.1. Настоящая Инструкция ответственного за эксплуатацию средств криптографической защиты информации Управления ветеринарии города Севастополя (далее - Инструкция) определяет основные обязанности и права ответственного за эксплуатацию средств криптографической защиты информации.

1.2. Ответственный за эксплуатацию средств криптографической защиты информации назначается приказом Управления ветеринарии города Севастополя (далее - Управление) и отвечает за организацию, обеспечение функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).

1.3. Ответственный за эксплуатацию средств криптографической защиты информации должен знать нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности персональных данных, в области защиты информации при ее передаче по открытым каналам связи с использованием средств криптографической защиты.

1.4. В своей деятельности, связанной с обработкой персональных данных, ответственный за эксплуатацию средств криптографической защиты информации руководствуется нормативными правовыми актами Российской Федерации и настоящей Инструкцией.

2. Обязанности ответственного за эксплуатацию средств криптографической защиты информации

Ответственный за эксплуатацию средств криптографической защиты информации обязан:

2.1. Соблюдать требования локальных актов Управления, устанавливающих порядок работы с персональными данными.

2.2. Осуществлять контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:

- допускать к проведению работ по монтажу и установке криптосредств исключительно организации, имеющие лицензии на данные виды деятельности;

- контролировать соблюдение условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;

- обеспечивать надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;

- вносить предложения по режиму охраны помещений, в которых установлены криптосредства или хранятся ключевые документы к ним;

- вести Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);

- выдавать пользователям криптосредств экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;

- вести на каждого пользователя криптосредств Лицевой счет, в котором регистрировать числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы;

- контролировать передачу криптосредств, эксплуатационной и технической документации к ним, ключевых документов между пользователями криптосредств и (или) ответственным за эксплуатацию средств криптографической защиты информации под расписку в соответствующем Журнале;

- пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование криптосредств, а также аппаратных и аппаратно-программных криптосредствах;

- контролировать получение и доставку криптосредств, эксплуатационной и технической документации к ним;

- заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;

- контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам, или, если срок уничтожения эксплуатационной и технической документацией не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;

- выводить из действия носители ключевой информации (далее - НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;

- принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;

- проводить инструктаж пользователей криптосредств по правилам работы с криптосредствами и ключевыми документами.

2.3. Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с криптосредствами или нарушения функционирования криптосредств.

2.4. Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.

2.5. Контролировать исполнение пользователями криптосредств требований Инструкции пользователя криптосредств Управления ветеринарии города Севастополя и прочих локальных актов Управления в части обеспечения защиты персональных данных с помощью криптосредств.

2.6. Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:

- в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;

- о факте компрометации ключевой информации пользователями криптосредств совместно с ответственным за эксплуатацию средств криптографической защиты информации производится информирование всех заинтересованных участников информационного обмена;

- выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;

- для своевременного восстановления связи пользователю криптосредств выдается новый НКИ; для этого создаётся резервный запас РЖИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного за эксплуатацию средств криптографической защиты информации.

2.7. Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного за эксплуатацию средств криптографической защиты информации. Данные копии применяются с разрешения начальника Управления, если по результатам расследования не было установлено факта компрометации.

2.8. Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.

2.9. Своевременно информировать ответственного за организацию обработки персональных данных Управления о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.

3. Права ответственного за эксплуатацию средств криптографической защиты информации

Ответственный за эксплуатацию средств криптографической защиты информации имеет право:

3.1. Знакомиться с локальными актами Управления, регламентирующими процессы обработки персональных данных.

3.2. Требовать от пользователей ИСПДн соблюдения требований локальных актов Управления в части обеспечения защиты информации с помощью криптосредств.

3.3. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей криптосредств, в случае выявления нарушений требований по работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования криптосредств.