Приложение. Регламент работы со средствами криптографической (шифровальной) защиты информации. Постановление Службы жилищного надзора Астраханской области от 16.08.2017 N 01-П "О регламенте работы со средствами криптографической (шифровальной) защиты информации"

Приложение
к постановлению службы
жилищного надзора
Астраханской области
от 16 августа 2017 г. N 01-П

Регламент
работы со средствами криптографической (шифровальной) защиты информации

1. Общие положения

1.1. Настоящий регламент разработан в соответствии с законодательством Российской Федерации и определяет правила работы со средствами криптографической (шифровальной) защиты информации (далее - СКЗИ) в службе жилищного надзора Астраханской области (далее - Служба).

1.2. К СКЗИ, включая документацию на них, относятся:

- средства шифрования - аппаратные, программные и программно-аппаратные криптографические (шифровальные) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

- средства имитозащиты - аппаратные, программные и программно-аппаратные криптографические (шифровальные) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

- средства электронной подписи (далее - ЭП);

- средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

- средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные криптографические (шифровальные) средства, обеспечивающие возможность изготовления ключевых документов для криптографических (шифровальных) средств, не входящие в состав этих криптографических (шифровальных) средств;

- ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в криптографических (шифровальных) средствах;

- аппаратные криптографические (шифровальные) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

- программные криптографические (шифровальные) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных криптографических (шифровальных) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием криптографических (шифровальных) средств;

- программно-аппаратные криптографические (шифровальные) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

2. Правила работы с СКЗИ

2.1. Для работы с СКЗИ допускаются только сотрудники, уполномоченные эксплуатировать СКЗИ, получать и использовать ключи шифрования и ЭП в соответствии с нормативными документами службы безопасности (далее - уполномоченные сотрудники).

2.2. При получении СКЗИ уполномоченным сотрудникам необходимо обеспечить контроль наличия лицензий на передачу криптографических (шифровальных) средств у поставщиков товаров, услуг, работ, или в случае необходимости других лицензий в соответствии с постановлением Правительства Российской Федерации от 16.04.2012 N 313 "Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

2.3 При размещении технических средств, на которых осуществляется эксплуатация СКЗИ, должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены такие технические средства, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях.

2.4. Хранение инсталлирующих СКЗИ носителей, эксплуатационной и технической документации к СКЗИ, и материальных носителей в запираемых шкафах (ящиках, хранилищах) должно производиться уполномоченными сотрудниками в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

2.5. Учет СКЗИ, носителей, эксплуатационной и технической документации к СКЗИ, ключевых документов должен осуществляться уполномоченными сотрудниками по журналу поэкземплярного учета СКЗИ, эксплуатационной и технической документации и ключевых документов в соответствии с требованиями приказа ФАПСИ от 13.06.2001 N 152.

2.6. Ключевые носители после удаления с них закрытого ключа ЭП используются в том же качестве (для хранения новых ключей) либо уничтожаются. При удалении с ключевых носителей закрытого ключа необходимо оформить акт стирания ключей ЭП с машинных носителей, согласно приложению к настоящему регламенту, а также сделать соответствующую отметку в журнале поэкземплярного учёта СКЗИ, эксплуатационной и технической документации и ключевых документов.

2.7. Уполномоченные сотрудники несут персональную ответственность за:

- сохранность СКЗИ;

- отсутствие на техническом средстве, на котором осуществляется эксплуатация СКЗИ, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования СКЗИ.

2.8. На технических средствах, на которых осуществляется эксплуатация СКЗИ, должно использоваться только лицензионное программное обеспечение (далее - ПО) фирм-изготовителей. При закупках ПО необходимо выполнять требования постановления Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд".

2.9. При обнаружении на техническом средстве, на котором осуществляется эксплуатация СКЗИ, посторонних программ (вирусов и т.д.), эксплуатация СКЗИ на этом техническом средстве прекращается с дальнейшей организацией мероприятий по анализу и ликвидации посторонних программ и возможных негативных последствий.

2.10. Категорически запрещается:

- разглашать содержимое материальных носителей, содержащих ключи ЭП, или передавать сами материальные носители лицам, к ним не допущенным;

- производить несанкционированное копирование носителей ключевой информации;

- записывать на материальный носитель, содержащий ключи ЭП, постороннюю информацию;

- оставлять материальный носитель, содержащий ключи ЭП без присмотра на рабочем месте;

- вносить какие-либо изменения в программное обеспечение СКЗИ;

- передавать СКЗИ, в том числе документацию на них, в сторонние организации, в том числе подведомственные службе безопасности.

3. Действия в случае компрометации ключей ЭП

3.1. К событиям, связанным с компрометацией ключей ЭП, относят следующие:

- утрата материальных носителей, содержащих ключи ЭП;

- потеря материальных носителей, содержащих ключи ЭП, с их последующим обнаружением;

- хищение материальных носителей, содержащих ключи ЭП;

- разглашение содержимого материальных носителей, содержащих ключи ЭП;

- несанкционированное копирование содержимого материальных носителей, содержащих ключи ЭП;

- увольнение сотрудников, имевших доступ к материальным носителям, содержащим ключи ЭП;

- нарушение правил хранения и уничтожения (после окончания срока действия материальных носителей, содержащих ключи ЭП);

- возникновение подозрений на утечку содержимого материальных носителей, содержащих ключи ЭП, или ее искажение;

- нарушение печати на сейфе или замка сейфа, в котором хранятся материальные носители, содержащие ключи ЭП;

- невозможность достоверного установления того, что произошло с материальными носителями (в том числе случаи, когда материальный носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);

- любые другие виды разглашения содержимого материальных носителей, содержащих ключи ЭП, в результате которых ключи могут стать доступными посторонним лицам и (или) процессам.

3.2. В случае установления факта компрометации ключа ЭП уполномоченный сотрудник обязан незамедлительно прекратить эксплуатацию СКЗИ поставить в известность ответственных лиц и Удостоверяющий Центр.