Приказ Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл от 16.09.2016 N 419 "Об обращении со средствами криптографической защиты информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл"

В целях исполнения требований Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13 июня 2001 г. N 152, Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных, утвержденных приказом ФСБ РФ 21 февраля 2008 г. N 149/6/6-622, приказа ФСБ РФ от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" приказываю:

1. Утвердить прилагаемые:

Инструкцию по обращению со средствами криптографической защиты информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл;

Инструкцию лица, ответственного за организацию работ по криптографической защите информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл;

Инструкцию пользователей средств криптографической защиты информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл;

Порядок допуска лиц в помещения Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл, в которых эксплуатируются средства криптографической защиты информации;

Перечень пользователей, допущенных к работе со средствами криптографической защиты информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл согласно приложению N 1;

Перечень лиц, имеющих право доступа в помещения Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл, в которых эксплуатируются средства криптографической защиты информации согласно приложению N 2.

2. Руководителям структурных подразделений Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл:

при работе со средствами криптографической защиты информации в Министерстве руководствоваться настоящими Инструкциями;

обеспечить ознакомление всех сотрудников структурных подразделений Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл с настоящими Инструкциями.

3. Возложить обязанности ответственного за обеспечение технической защиты информации, ответственного пользователя криптосредств на главного специалиста-эксперта Зарубина К.В.

4. Приказ Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл от 2 сентября 2016 г. N 404 "Об обращении со средствами криптографической защиты информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл" признать утратившим силу.

Министр

Э.В. Варенова

Инструкция
по обращению со средствами криптографической защиты информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл
(утв. приказом Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл от 16 сентября 2016 г. N 419)

1. Общие положения

Настоящая Инструкция разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (далее - СКЗИ) в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл (далее - Министерство), которые осуществляют работы с применением СКЗИ.

Под работами с применением СКЗИ в настоящей Инструкции понимаются: защищенное подключение к информационным системам; подписание электронных документов электронной подписью и проверка подписи; шифрование файлов другие действия согласно технической документации на СКЗИ.

Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

Настоящая Инструкция разработана в соответствии с документами:

Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным Приказом ФСБ России N 66 от 9 февраля 2005 г.;

приказом ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСБ РФ 21 февраля 2008 г. N 149/6/6-622.

2. Термины и определения

Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.

Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.

Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).

Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.

Ответственный за организацию работ по криптографической защите информации (Ответственный) - сотрудник Министерства, отвечающий за реализацию мероприятий связанных с обеспечением в Министерстве безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Министерства в рамках исполнения должностных обязанностей.

Пользователи СКЗИ - сотрудники Министерства, непосредственно допущенные к работе с СКЗИ.

Средство криптографической защиты информации (СКЗИ) совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

3. Порядок получения допуска пользователей к работе с СКЗИ

Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.

Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый приказом Министра строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл.

Контроль за реализацией данных мероприятий возлагается на Ответственного.

4. Работа с СКЗИ

Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено.

В Министерстве должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.

Каждый ключевой документ должен быть зарегистрирован в Журнале поэкземплярного учёта СКЗИ.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и (или) сотрудниками органа криптографической защиты под расписку в соответствующем журнале поэкземплярного учета СКЗИ.

Двери в помещениях, где установлены СКЗИ и (или) хранятся ключевые документы, должны быть плотно закрыты.

Все окна и форточки в помещениях, где установлены СКЗИ и (или) хранятся ключевые документы, по окончании рабочего дня должны быть плотно закрыты, двери заперты на замок и опечатаны.

При отсутствии всех сотрудников на рабочих местах дверь в помещение, где установлены СКЗИ и (или) хранятся ключевые документы, должна закрываться на замок.

Категорически запрещается оставлять ключ в замке двери.

Запрещается присутствие посторонних лиц в помещениях, где установлены СКЗИ.

При обнаружении на рабочей станции с установленным СКЗИ, программного обеспечения, не соответствующего объему и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.

5. Действия в случае компрометации ключей

О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.

К компрометации ключей относятся следующие события:

1) утрата носителей ключа;

2) утрата иных носителей ключа с последующим обнаружением

3) возникновение подозрений на утечку ключевой информации или ее искажение;

4) нарушение целостности печатей на сейфах (ящиках) с носителями ключевой информации, если используется процедура опечатывания сейфов (ящиков);

5) утрата ключей от сейфов (ящиков) в момент нахождения в них носителей ключевой информации;

6) утрата ключей от сейфов (ящиков) в момент нахождения в них носителей ключевой информации с последующим обнаружением;

7) доступ посторонних лиц к ключевой информации;

8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.

В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.

Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).

Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается Ответственный.

6. Ответственность лиц, допущенных к работе с СКЗИ

За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

Инструкция
лица, ответственного за организацию работ по криптографической защите информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл
(утв. приказом Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл от 16 сентября 2016 г. N 419)

1. Общие положения

Настоящая Инструкция разработана в целях регламентации действий лиц, ответственных за организацию работ по криптографической защите информации (далее - Ответственное лицо) в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл (далее - Министерство), которые осуществляют работы с применением средств криптографической защиты информации (далее - СКЗИ).

Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.

Ответственное лицо назначается приказом Министра строительства, архитектуры и жилищно-коммунального хозяйств Республики Марий Эл из числа сотрудников Министерства.

Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

Настоящая Инструкция разработана в соответствии с документами:

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ РФ N 66 от 9 февраля 2005 г.;

Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСБ РФ 21 февраля 2008 г. N 149/6/6-622.

2. Термины и определения

Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.

Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.

Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).

Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.

Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Министерства в рамках исполнения должностных обязанностей.

Пользователи СКЗИ - сотрудники Министерства, непосредственно допущенные к работе с СКЗИ.

Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

3. Обязанности Ответственного лица

При реализации мероприятий, связанных с обеспечением в Министерстве безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться действующим законодательством Российской Федерации, Инструкцией по обращению с СКЗИ, а так же настоящей Инструкцией.

На Ответственное лицо возлагается проведение следующих мероприятий:

1) Ведение Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

2) Хранение установочных комплектов СКЗИ, эксплуатационной и технической документации к ним;

3) Принятие ключевых документов к СКЗИ от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;

4) Своевременная актуализация перечня пользователей СКЗИ;

5) Уничтожение (стирание) ключевых документов пользователей СКЗИ под расписку в Журнале поэкземплярного учета СКЗИ;

6) Ежегодная проверка наличия СКЗИ, эксплуатационной и технической документации к ним, согласно Журналу поэкземплярного учета СКЗИ.

Ответственный обязан:

1) Не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;

2) Обеспечивать сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;

3) Обеспечить соблюдение требований к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;

4) Контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;

5) Немедленно уведомлять непосредственного руководителя о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;

6) Не допускать ввод одного номера лицензии на право использования СКЗИ более чем на одно рабочее место.

7) Контролировать уровень знаний пользователей СКЗИ.

4. Права Ответственного лица

В рамках исполнения возложенных на него обязанностей, Ответственное лицо имеет право:

1) Требовать от пользователей СКЗИ соблюдения положений Инструкции по обращению с СКЗИ и Инструкции пользователя СКЗИ;

2) Обращаться к непосредственному руководителю с предложением прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;

3) Инициировать проведение служебных расследований по фактам нарушения в Министерстве порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

5. Порядок передачи обязанностей при смене Ответственного лица

При смене Ответственного лица должны быть внесены соответствующие изменения в Приказ об обращении с СКЗИ. Вновь назначенное Ответственное лицо должно быть ознакомлено под роспись с настоящей Инструкцией и приступить к исполнению возложенных на него обязанностей.

6. Ответственность за невыполнение настоящей инструкции

За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

Инструкция
пользователей средств криптографической защиты информации в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл
(утв. приказом Министерства строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл от 16 сентября 2016 г. N 419)

1. Общие положения

Настоящая Инструкция разработана в целях регламентации действий работников, допущенных к работам с использованием средств криптографической защиты информации (далее - Пользователей), в Министерстве строительства, архитектуры и жилищно-коммунального хозяйства Республики Марий Эл (далее - Министерство).

Под работами с применением средств криптографической защиты информации (далее - СКЗИ) в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.

Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

Настоящая Инструкция разработана в соответствии с документами:

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ РФ N 66 от 9 февраля 2005 г.;

приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСБ РФ 21 февраля 2008 г. N 149/6/6-622.

2. Термины и определения

Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.

Исходная ключевая информация - совокупность дачных, предназначенных для выработки по определенным правилам криптоключей.

Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).

Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоклю