Вход
- Главная
- Постановление Администрации Дубенского муниципального района Республики Мордовия от 27 сентября 2018 г. N 535 "Об утверждении положения о порядке использования средств криптографической защиты информации и ключевой информации к ним в Администрации Дубенского муниципального района Республики Мордовия"
Постановление Администрации Дубенского муниципального района Республики Мордовия от 27 сентября 2018 г. N 535 "Об утверждении положения о порядке использования средств криптографической защиты информации и ключевой информации к ним в Администрации Дубенского муниципального района Республики Мордовия"
В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", администрация Дубенского муниципального района постановляет:
1. Утвердить положение о порядке использования средств криптографической защиты информации и ключевой информации к ним в администрации Дубенского муниципального района Республики Мордовия
2. Опубликовать настоящее постановление в официальном печатном издании Дубенского муниципального района Республики Мордовия - Информационном бюллетене Дубенского муниципального района и разместить на официальном сайте органов местного самоуправления Дубенского муниципального района http://dubenki.e-mordovia.ru.
3. Настоящее постановление вступает в силу с момента опубликования.
|
Глава Дубенского муниципального района |
Плешаков С.Г. |
Положение
о порядке использования средств криптографической защиты информации и ключевой информации к ним в Администрации Дубенского муниципального района Республики Мордовия
(утв. Постановлением Администрации Дубенского муниципального района от 27 сентября 2018 г. N 535)
Содержание
1. Основные термины и определения
3. Общие принципы и условия работы с СКЗИ
4. Обязанности пользователя СКЗИ
5. Порядок обращения с СКЗИ. Организация и обеспечение безопасности хранения, работы и передачи СКЗИ
7. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ
8. Ответственность за нарушение режима криптографической защиты
1 Основные термины и определения
1.1. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
а) средства шифрования аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
б) средства имитозащиты аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;
в) средства электронной подписи шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций
создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;
г) средства кодирования средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;
д) средства изготовления ключевых документов аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;
е) ключевые документы электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;
ж) аппаратные шифровальные (криптографические) средства устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
з) программные шифровальные (криптографические) средства программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.
1.2. В настоящем документе используются термины и понятия установленные Приказом ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", Приказом ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности":
Автоматизированная система (АС) система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Защищаемая информация информация, для которой обладателем информации определены характеристики ее безопасности.
Информация сведения (сообщения, данные) независимо от формы их представления.
Информационная система совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационно-телекоммуникационная сеть технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Информационно-телекоммуникационная сеть общего пользования информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Контролируемая зона пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.
Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
Криптографически опасная информация (КОИ) информация о состояниях криптосредства, знание которой нарушителем позволит ему строить алгоритмы определения ключевой информации (или ее части) или алгоритмы бесключевого чтения.
Криптографический ключ (криптоключ) совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Ключевая информация специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Исходная ключевая информация совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевой носитель физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.).
Криптосредство шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ)
шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Модель нарушителя предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Нарушитель (субъект атаки) лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
Оператор государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Персональные данные любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пользователь лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
ПО программное обеспечение.
Среда функционирования криптосредства (СФК) совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства и которые способны повлиять на выполнение предъявляемых к криптосредству требований.
Средство защиты информации техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Уничтожение персональных данных действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уровень криптографической защиты информации совокупность требований, предъявляемых к криптосредству.
2 Общие положения
2.1. Настоящее Положение разработано в соответствии с Приказом об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, утвержденным ФСБ Российской Федерации от 10 июля 2014 года N 378, и устанавливающим методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах (далее - ИС) администрации Дубенского муниципального района Республики Мордовия (далее - администрация) с использованием средств криптографической защиты информации, а также определяет порядок обслуживания, хранения документации, материальных носителей криптографических средств (далее - СКЗИ).
2.2. Основанием для разработки данного локального нормативного акта являются:
- Конституция Российской Федерации от 12 декабря 1993 г. (ст. 2, 17-24, 41);
- часть 1 и 2, часть 4 Гражданского кодекса Российской Федерации;
- Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
- Постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".
- Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 г. N 66.
- Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".
- Указ Президента Российской Федерации от 6 марта 1997 г. N 188 (ред. от 23 сентября 2005 г.) "Об утверждении перечня сведений конфиденциального характера".
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
- Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
- Приказ ФСБ Российской Федерации от 10 июля 2014 г. N 378 г. "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
- Распоряжение администрации Дубенского муниципального района от 5 сентября 2018 г. N 230 "Об организации режима криптографической защиты".
2.3. СКЗИ предназначены для обеспечения безопасности хранения, обработки и передачи по каналам связи информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
2.4. Все действия с СКЗИ осуществляются в соответствии с эксплуатационной документацией на СКЗИ.
2.5. Администрация использует сертифицированные ФСБ России СКЗИ, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, обрабатываемой в информационных системах Администрации.
2.6. Ввод в эксплуатацию СКЗИ оформляется "Актом ввода в эксплуатацию средств криптографической защиты информации".
3 Общие принципы и условия работы с СКЗИ
3.1. Ответственные лица допускаются к работе с СКЗИ и криптоключами в соответствии с утвержденным "Перечнем пользователей СКЗИ в администрации Дубенского муниципального района Республики Мордовия" после ознакомления с "Приказом по организации режима криптографической защиты" и настоящим Положением под роспись.
3.2. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа в администрации создается отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо его функции возлагаются на одно из существующих структурных подразделений.
3.3. Структурное подразделение по защите ПДн осуществляет:
- определение уровня криптографической защиты, и выбор класса криптосредства;
- проверку готовности использования СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);
- разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;
- обучение лиц, использующих СКЗИ, правилам работы с ними;
- поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним;
- учет физических лиц непосредственно допущенных к работе с СКЗИ;
- подачу заявок в ФСБ или лицензиату, имеющему лицензию ФСБ на деятельность по изготовлению ключевых документов для СКЗИ, на изготовление ключевых документов или исходной ключевой информации. Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;
- контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФСБ и настоящим Положением;
- расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- разработку схемы организации криптографической защиты конфиденциальной информации (с указанием наименования и размещения нижестоящих структурных подразделений по защите ПДн, если таковые имеются, обладателей конфиденциальной информации, реквизитов договоров на оказание услуг по криптографической защите конфиденциальной информации, а также с указанием типов применяемых СКЗИ и ключевых документов к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения и средств вычислительной техники).
3.4. Инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой с использованием СКЗИ конфиденциальной информации, должны согласовываться с лицензиатом ФСБ. Такие инструкции подготавливаются согласно эксплуатационной и технической документации на соответствующие сети связи, автоматизированные и информационные системы, в которых передается, обрабатывается или хранится конфиденциальная информация, с учетом используемых СКЗИ и настоящего Положения.
3.5. К выполнению обязанностей сотрудников структурного подразделения по защите ПДн лицензиатами ФСБ допускаются лица, имеющие необходимый уровень квалификации для обеспечения защиты конфиденциальной информации с использованием конкретного вида (типа) СКЗИ.
3.6. Лиц, оформляемых на работу и входящих в состав структурного подразделения по защите ПДн, следует ознакомить с настоящим Положением под расписку.
3.7. Обязанности, возлагаемые на сотрудников структурного подразделения по защите ПДн, могут выполняться штатными сотрудниками или сотрудниками других структурных подразделений, привлекаемыми к такой работе по совместительству.
3.8. Сотрудники структурного подразделения по защите ПДн должны иметь разработанные в соответствии с настоящим Положением и утвержденные лицензиатом ФСБ функциональные обязанности. Объем и порядок ознакомления сотрудников структурного подразделения по защите ПДн с конфиденциальной информацией определяется обладателем конфиденциальной информации.
3.9. Физические лица допускаются к работе с СКЗИ согласно перечню пользователей СКЗИ, утверждаемому обладателем конфиденциальной информации.
3.10. Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения.
Обучение пользователей правилам работы с СКЗИ осуществляет ответственный за обеспечение безопасности СКЗИ. Должная специальная подготовка пользователей и возможность их допуска к самостоятельной работе с СКЗИ, отражается в "Акте ввода в эксплуатацию средств криптографической защиты информации".
4 Обязанности пользователя СКЗИ
4.1. Пользователи СКЗИ обязаны:
- не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе сведения о криптоключах;
- соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ;
- сообщать в структурное подразделение по защите ПДн о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
- сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным разделом 5 настоящего Положения, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
- немедленно уведомлять структурное подразделение по защите ПДн о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
4.2. Не допускается:
- осуществлять несанкционированное копирование ключевых носителей;
- вставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным режимом использования ключевого носителя;
- вносить какие-либо изменения в программное обеспечение СКЗИ;
- изменять настройки, установленные программой установки СКЗИ или администратором;
- осуществлять несанкционированное вскрытие системных блоков ПЭВМ, подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные в комплектации.
5 Порядок обращения с СКЗИ. Организация и обеспечение безопасности хранения, работы и передачи СКЗИ
5.1. Криптографические ключи используются для обеспечения конфиденциальности информации, передаваемой по открытым каналам связи.
5.2. Изготовление ключевых документов обеспечивается специалистами администрации по заявке пользователя или специалистами организаций - владельцев сетей, к которым администрация имеет подключение, с применением штатных СКЗИ (если такая возможность предусмотрена эксплуатационной и технической документацией к СКЗИ).
5.3. Ключевые документы, СКЗИ с введенными криптоключами относятся к материальным носителям, содержащим конфиденциальную информацию. При этом должны выполняться требования настоящего Положения и иных документов, регламентирующих порядок обращения с конфиденциальной информацией в администрации.
5.4. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленным формам в соответствии с требованиями Положения ПКЗ-2005, утвержденного приказом ФСБ России от 09 февраля 2005 г. N 66. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно. В Администрации ведутся соответствующие Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
5.5. Все полученные администрации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.
5.6. Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ под расписку в соответствующих журналах поэкземплярного учета.
5.7. Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5.8. СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников структурного подразделения по защите ПДн или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
5.9. Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подготавливается сопроводительное письмо, в котором указывается, что посылается и в каком количестве, учетные номера изделий или документов. Получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждается отправителю в соответствии с порядком, указанным в сопроводительном письме.
5.10. Криптоключи, в отношении которых возникло подозрение в компрометации, необходимо немедленно вывести из действия. О выводе криптоключей из действия необходимо сообщить в структурное подразделение по защите ПДн администрации или в структурное подразделение по защите ПДн владельца сети.
5.11. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием конфиденциальной информации, пользователи СКЗИ обязаны сообщать в структурное подразделение по защите ПДн администрации. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
5.12. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет структурное подразделение по защите ПДн администрации.
5.13. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов.
5.14. Средства вычислительной техники, на которых осуществляется штатное функционирование СКЗИ, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.
6 Уничтожение СКЗИ
6.1. Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в структурное подразделение по защите ПДн администрации или по его указанию должны быть уничтожены на месте.
6.2. Уничтожение криптографических ключей на ключевых носителях производится ответственным за эксплуатацию СКЗИ.
6.3. Уничтожение СКЗИ (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором он расположен, или путем стирания (разрушения) СКЗИ (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
6.4. СКЗИ (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.
6.5. Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств.
6.6. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
6.7. Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах.
6.8. Ключевые документы уничтожаются либо пользователями СКЗИ, либо сотрудниками структурного подразделения по защите ПДн под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи. После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующее структурное подразделение по защите ПДн для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в структурное подразделение по защите ПДн письменные отчеты об уничтоженных ключевых документах. Структурное подразделение по защите ПДн вправе устанавливать периодичность представления указанных отчетов чаще одного раза в год.
6.9. Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников структурного подразделения по защите ПДн. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
7 Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ
7.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов.
7.2. При оборудовании помещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.
7.3. Помещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в помещения.
7.4. Размещение, специальное оборудование, охрана и организация режима в помещениях структурного подразделения по защите ПДн должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
7.5. Двери помещений структурного подразделения по защите ПДн должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам структурного подразделения по защите ПДн под расписку в журнале учета хранилищ. Дубликаты ключей от входных дверей таких помещений следует хранить в сейфе руководителя структурного подразделения по защите ПДн. Хранение дубликатов ключей вне помещений структурного подразделения по защите ПДн не допускается.
7.6. Для предотвращения просмотра извне помещений структурного подразделения по защите ПДн их окна должны быть защищены.
7.7. Структурное подразделение по защите ПДн для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей должно иметь необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у сотрудника, ответственного за хранилище. Дубликаты ключей от хранилищ сотрудники хранят в сейфе руководителя структурного подразделения по защите ПДн.
7.8. По окончании рабочего дня помещения структурного подразделения по защите ПДн и установленные в них хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы под расписку в соответствующем журнале руководителю структурного подразделения по защите ПДн или лицу, им уполномоченному (дежурному), которые хранят эти ключи в личном или специально выделенном хранилище.
7.9. В обычных условиях помещения структурного подразделения по защите ПДн, находящиеся в них опечатанные хранилища могут быть вскрыты только сотрудниками структурного подразделения по защите ПДн.
7.10. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено руководителю структурного подразделения по защите ПДн. Прибывшие сотрудники структурного подразделения по защите ПДн должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.
7.11. При утрате ключа от хранилища или от входной двери в помещение пользователя СКЗИ замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает структурное подразделение по защите ПДн.
8 Ответственность за нарушение режима криптографической защиты
8.1. Пользователь СКЗИ несет персональную ответственность за конфиденциальность личных носителей СКЗИ.
8.2. В случае неисполнения или ненадлежащего выполнения требований настоящего Положения Пользователь СКЗИ может быть привлечен к дисциплинарной и/или административной ответственности в соответствии с действующим Законодательством Российской Федерации.
Приложение 1
Типовая форма
журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
|
N |
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов |
Серийные номера СКЗИ эксплуатационной и технической документации к ним, номера серии ключевых документов |
Номера экземпляров (криптографические номера) ключевых документов |
Отметка о получении |
Отметка о передаче |
|||
|
От кого получены или ФИО сотрудника структурного подразделения по защите ПДн, изготовившего ключевые документы |
Дата и номер сопроводительного письма или дата изготовления ключевых документов и расписка в изготовлении |
Кому переданы |
Дата и номер сопроводительного письма |
Расписка в получении (дата) |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отметка о возврате |
Дата ввода в эксплуатацию |
Дата вывода из действия |
Отметка об уничтожении СКЗИ, ключевых документов |
Примечание |
||
|
Дата и номер сопроводительного письма |
Дата и номер подтверждения |
Дата уничтожения |
Номера акта или расписка об уничтожении |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 2
Типовая форма
журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
|
N |
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов |
Серийные номера СКЗИ эксплуатационной и технической документации к ним, номера серии ключевых документов |
Номера экземпляров (криптографические номера) ключевых документов |
Отметка о получении |
Отметка о передаче |
||
|
От кого получены |
Дата и номер сопроводительного письма |
ФИО пользователя СКЗИ |
Расписка в получении (дата) |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отметка о подключении (установке) СКЗИ |
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов |
Примечание |
||||
|
ФИО сотрудника структурного подразделения по защите ПДн, пользователя СКЗИ производивших подключение (установку) |
Дата подключения (установки) и подписи лиц производивших установку |
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ |
Дата изъятия (уничтожения) |
ФИО сотрудника структурного подразделения по защите ПДн, пользователя СКЗИ производивших изъятие (уничтожение) |
Номера акта или расписка об уничтожении |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 3
Типовая форма
технического (аппаратного) журнала
|
N |
Дата |
Тип и серийные номера СКЗИ |
Записи по обслуживанию СКЗИ |
Используемые криптоключи |
Отметка об уничтожении (стирании) |
Примечание |
|||
|
Тип ключевого документа |
Серийный криптографический номер и номер экземпляра ключевого документа |
Номер разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи |
Дата |
Подпись пользователя |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 4
Шаблон акта повреждения упаковки
Акт N_______
г. Саранск "__" ____________ 201__ г.
Администратор информационной безопасности ________________________
(ФИО) составил настоящий акт в том, что полученная упаковка повреждена
(указать степень повреждения).
Вывод:
В выводе указывается возможность/невозможность дальнейшего
использования ключевой информации/СКЗИ в зависимости от степени
повреждения упаковки.
В случае образования свободного доступа к содержимому упаковки,
использование ключевой информации/СКЗИ невозможно.
____________/_____________ (подпись) (Ф. И. О)
Приложение 5
Шаблон акта уничтожения СКЗИ
Акт N ____
уничтожения СКЗИ
г. Саранск "____" ____________ 201__ г.
Комиссия, назначенная приказом от "__" _________ 201_ г. N ___ г., в
составе: председатель комиссии ________________________ (должность, ФИО),
члены комиссии _____________________ (должность, ФИО), __________________
(должность, ФИО), произвела уничтожение СКЗИ, указанных в таблице путем
(способ уничтожения).
|
Наименование СКЗИ |
АРМ уч. N |
Серийный номер сертификата ключевой информации/ номер лицензии |
ФИО Пользователя СКЗИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Председатель комиссии |
Должность, ФИО |
|
|
|
|
Члены комиссии |
Должность, ФИО |
|
|
|
|
|
Должность, ФИО |
|
|
|
|
|
Должность, ФИО |
Приложение 6
Лист ознакомления
с Положением о порядке использования средств криптографической защиты информации и ключевой информации к ним в администрации Дубенского муниципального района Республики Мордовия
|
N п/п |
Фамилия, имя, отчество |
Должность |
Дата ознакомления |
Подпись |
|
1 |
2 |
3 |
4 |
5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 7
Шаблон акта ввода в эксплуатацию СКЗИ
Акт
ввода в эксплуатацию средств криптографической защиты информации в
информационной системе администрации Дубенского муниципального района
Республики Мордовия
Настоящий акт составлен о том, что "___" _____________ 201_г.
сотрудником (наименование организации, должность, фамилия, имя, отчество,
иные сведения) (далее - Администратор ИБ) была проведена работа по
установке и настройке средств криптографической защиты информации (далее
- СКЗИ) в составе:
|
N п/п |
Наименование и тип СКЗИ |
Зав. N СЗЗ N |
Сертификат соответствия |
Инвентарный N АРМ |
|
1. |
|
|
N______ от __.__.201_ г., действителен до __.__.201_ г. |
|
|
2. |
|
|
|
|
|
3. |
|
|
|
|
Указанные СКЗИ переданы в пользование ответственному лицу
____________________________ (далее - пользователь СКЗИ).
Пользователь допускается к работе с СКЗИ и криптоключами в
соответствии с утвержденным "Перечнем пользователей СКЗИ в администрации
Дубенского муниципального района Республики Мордовия" после ознакомления
с "Приказом по организации режима криптографической защиты" и "Положением
о порядке использования средств криптографической защиты информации и
ключевой информации к ним в администрации Дубенского муниципального
района Республики Мордовия" под роспись.
Установка СКЗИ выполнена в соответствии с требованиями технической
документации. Все СЗИ работоспособны и обеспечивают необходимый уровень
защищенности информации.
Размещение АРМ Пользователя СКЗИ, хранение ключевых носителей,
охрана помещений организованы установленным порядком;
По окончании установки СКЗИ проведены тестовые испытания. В ходе
испытаний нарушений работоспособности рабочих станций и конфликтов в
операционной системе и ЛВС не выявлено.
Ответственным за организацию эксплуатации, обслуживание, хранение
СКЗИ, материальных носителей, документации СКЗИ и обеспечения
безопасности СКЗИ в администрации Дубенского муниципального района
Республики Мордовия проведено обучение Пользователя СКЗИ правилам работы
с СКЗИ и проверка знаний нормативно правовых актов и эксплуатационной и
технической документации к ним.
Условия для использования СКЗИ, установленные эксплуатационной и
технической документацией к СКЗИ созданы.
|
_______________________________________________/___________________ |
______________________ |
|
|
(должность Администратора ИБ) |
(подпись) |
(Фамилия И. О.) |
|
_______________________________________________/___________________ |
______________________ |
|
|
(должность ответственного лица пользователя АРМ заявителя) |
(подпись) |
(Фамилия И. О.) |
|
_______________________________________________/___________________ |
______________________ |
|
|
(должность ответственного за организацию эксплуатации, обслуживание, хранение СКЗИ материальных носителей, документации СКЗИ и обеспечения безопасности СКЗИ) |
(подпись) |
(Фамилия И. О.) |
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Постановление Администрации Дубенского муниципального района Республики Мордовия от 27 сентября 2018 г. N 535 "Об утверждении положения о порядке использования средств криптографической защиты информации и ключевой информации к ним в Администрации Дубенского муниципального района Республики Мордовия"
Настоящее постановление вступает в силу с момента опубликования
Текст постановления опубликован не был