В соответствии с Федеральным законом от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности", постановлением Правительства Российской Федерации от 16.04.2012 N 313 "Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" министерство образования и науки Астраханской области постановляет:
1. Утвердить прилагаемый регламент работы со средствами криптографической (шифровальной) защиты информации.
2. Управлению организационного и правового обеспечения образования (Батаев Д.Н.):
2.1. В семидневный срок после дня первого официального опубликования направить копию настоящего постановления, а также сведения об источниках его официального опубликования в Управление Министерства юстиции Российской Федерации по Астраханской области.
2.2. В трехдневный срок направить настоящее постановление в агентство связи и массовых коммуникаций Астраханской области для официального опубликования.
2.3. Обеспечить включение настоящего постановления в электронную базу данных "Гарант" и "КонсультантПлюс".
3. Медиацентру (Мысова В.О.) в семидневный срок разместить настоящее постановление на официальном сайте министерства образования и науки Астраханской области http//minobr.astrobl.ru.
4. Постановление вступает в силу со дня его официального опубликования.
Министр |
В.А. Гутман |
Регламент
работы со средствами криптографической (шифровальной) защиты информации
(утв. постановлением министерства образования и науки Астраханской области от 2 марта 2017 г. N 13)
1. Общие положения
1.1. Настоящий регламент разработан в соответствии с законодательством Российской Федерации и определяет правила работы со средствами криптографической (шифровальной) защиты информации (далее - СКЗИ) в министерстве образования и науки Астраханской области (далее - министерство).
1.2. К СКЗИ, включая документацию на них, относятся:
- средства шифрования - аппаратные, программные и программно-аппаратные криптографические (шифровальные) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
- средства имитозащиты - аппаратные, программные и программно-аппаратные криптографические (шифровальные) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;
- средства электронной подписи (далее - ЭП);
- средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;
- средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные криптографические (шифровальные) средства, обеспечивающие возможность изготовления ключевых документов для криптографических (шифровальных) средств, не входящие в состав этих криптографических (шифровальных) средств;
- ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в криптографических (шифровальных) средствах;
- аппаратные криптографические (шифровальные) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
- программные криптографические (шифровальные) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных криптографических (шифровальных) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием криптографических (шифровальных) средств;
- программно-аппаратные криптографические (шифровальные) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.
2. Правила работы с СКЗИ
2.1. Для работы с СКЗИ допускаются только сотрудники, уполномоченные эксплуатировать СКЗИ, получать и использовать ключи шифрования и ЭП в соответствии с нормативными документами министерства (далее - уполномоченные сотрудники).
2.2. При получении СКЗИ уполномоченным сотрудникам необходимо обеспечить контроль наличия лицензий на передачу криптографических (шифровальных) средств у поставщиков товаров, услуг, работ, или в случае необходимости других лицензий в соответствии с постановлением Правительства Российской Федерации от 16.04.2012 N 313 "Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
2.3 При размещении технических средств, на которых осуществляется эксплуатация СКЗИ, должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены такие технические средства, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях.
2.4. Хранение инсталлирующих СКЗИ носителей, эксплуатационной и технической документации к СКЗИ, и материальных носителей в запираемых шкафах (ящиках, хранилищах) должно производиться уполномоченными сотрудниками в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
2.5. Учет СКЗИ, носителей, эксплуатационной и технической документации к СКЗИ, ключевых документов должен осуществляться уполномоченными сотрудниками по журналу поэкземплярного учета СКЗИ, эксплуатационной и технической документации и ключевых документов в соответствии с требованиями приказа ФАПСИ от 13.06.2001 N 152.
2.6. Ключевые носители после удаления с них закрытого ключа ЭП используются в том же качестве (для хранения новых ключей) либо уничтожаются. При удалении с ключевых носителей закрытого ключа необходимо оформить акт стирания ключей ЭП с машинных носителей, согласно приложению к настоящему регламенту, а также сделать соответствующую отметку в журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации и ключевых документов.
2.7. Уполномоченные сотрудники несут персональную ответственность за:
- сохранность СКЗИ;
- отсутствие на техническом средстве, на котором осуществляется эксплуатация СКЗИ, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования СКЗИ.
2.8. На технических средствах, на которых осуществляется эксплуатация СКЗИ, должно использоваться только лицензионное программное обеспечение (далее - ПО) фирм-изготовителей. При закупках ПО необходимо выполнять требования постановления Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд".
2.9. При обнаружении на техническом средстве, на котором осуществляется эксплуатация СКЗИ, посторонних программ (вирусов и т.д.), эксплуатация СКЗИ на этом техническом средстве прекращается с дальнейшей организацией мероприятий по анализу и ликвидации посторонних программ и возможных негативных последствий.
2.10. Категорически запрещается:
- разглашать содержимое материальных носителей, содержащих ключи ЭП, или передавать сами материальные носители лицам, к ним не допущенным;
- производить несанкционированное копирование носителей ключевой информации;
- записывать на материальный носитель, содержащий ключи ЭП, постороннюю информацию;
- оставлять материальный носитель, содержащий ключи ЭП без присмотра на рабочем месте;
- вносить какие-либо изменения в программное обеспечение СКЗИ;
- передавать СКЗИ, в том числе документацию на них, в сторонние организации, в том числе подведомственные министерству.
3. Действия в случае компрометации ключей ЭП
3.1. К событиям, связанным с компрометацией ключей ЭП, относят следующие:
- утрата материальных носителей, содержащих ключи ЭП;
- потеря материальных носителей, содержащих ключи ЭП, с их последующим обнаружением;
- хищение материальных носителей, содержащих ключи ЭП;
- разглашение содержимого материальных носителей, содержащих ключи ЭП;
- несанкционированное копирование содержимого материальных носителей, содержащих ключи ЭП;
- увольнение сотрудников, имевших доступ к материальным носителям, содержащим ключи ЭП;
- нарушение правил хранения и уничтожения (после окончания срока действия материальных носителей, содержащих ключи ЭП);
- возникновение подозрений на утечку содержимого материальных носителей, содержащих ключи ЭП, или ее искажение;
- нарушение печати на сейфе или замка сейфа, в котором хранятся материальные носители, содержащие ключи ЭП;
- невозможность достоверного установления того, что произошло с материальными носителями (в том числе случаи, когда материальный носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
- любые другие виды разглашения содержимого материальных носителей, содержащих ключи ЭП, в результате которых ключи могут стать доступными посторонним лицам и (или) процессам.
3.2. В случае установления факта компрометации ключа ЭП уполномоченный сотрудник обязан незамедлительно прекратить эксплуатацию СКЗИ поставить в известность ответственных лиц и Удостоверяющий Центр.
Приложение
к регламенту работы со средствами
криптографической (шифровальной)
защиты информации
УТВЕРЖДАЮ
Министр образования и науки
Астраханской области
__________________ В.А. Гутман
(подпись)
"____" ____________ 20 _______
АКТ N __
о стирании ключей электронной подписи (шифрования) с машинных носителей
Мы, нижеподписавшиеся, ______________________________________
__________________________________________________________________
(Ф.И.О., должность)
в присутствии владельцев ключей ЭП (шифрования) составили настоящий акт
о том, что на перечисленных в нем машинных носителях информации подлежит
стиранию ключевая информация:
Регистрационный номер, по журналу |
Причина стирания ключей ЭП (шифрования) с машинных носителей |
Тип машинного носителя ключей ЭП (шифрования) |
Количество экземпляров |
Номер экземпляра |
Кол-во в экземпляре (штук, лент, листов) |
Производимая операция |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
|
|
|
|
|
|
Ключевая информация на машинных носителях, перед стиранием, была
сверена с записями в учетных формах. Ключевая информация уничтожена с
машинного носителя путем двойного форматирования.
____________/_________________
(Ф.И.О., подпись, дата)
____________/_________________
(Ф.И.О., подпись, дата)
____________/_________________
(Ф.И.О., подпись, дата)
Отметки о стирании ключевой информации с машинных носителей в
учетных формах произвел:
____________. ________________________________
(Ф.И.О., подпись, дата)
* Графы таблицы могут принимать следующие значения:
2 графа - "Окончание срока действия сертификата", "Компрометация
ключей", "Изменение реквизитов ключа ЭП" и т.д.
3 графа - "Flash носитель", "ГМД 3,5", "Rutoken" и т.д.
7 графа - "Стирание ключевой информации", "Уничтожение носителя"
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Постановление Министерства образования и науки Астраханской области от 2 марта 2017 г. N 13 "О регламенте работы со средствами криптографической (шифровальной) защиты информации"
Настоящее постановление вступает в силу со дня его официального опубликования
Текст постановления опубликован в издании "Сборник Законов и нормативных правовых актов Астраханской области" от 9 марта 2017 г. N 9