Приложение N 6. Инструкция по порядку использования и организации работы со средствами криптографической защиты информации в министерстве сельского хозяйства Тульской области. Приказ Министерства сельского хозяйства Тульской области от 10.03.2017 N 8-осн "Об утверждении документов, регламентирующих защиту персональных данных в министерстве сельского хозяйства Тульской области"

Приложение N 6
к приказу
министерства
сельского хозяйства
Тульской области
от 10.03.2017 N 8-осн

Инструкция
по порядку использования и организации
работы со средствами криптографической защиты информации
в министерстве сельского хозяйства Тульской области

1. Общие положения

1.1. Настоящая инструкция устанавливает единые требования по обеспечению безопасности функционирования средств криптографической защиты информации (далее - СКЗИ), эксплуатации СКЗИ в министерстве сельского хозяйства Тульской области (далее - министерство) и определяет порядок учета, выдачи, хранения, уничтожения СКЗИ, а также действия при компрометации ключей.

1.2. Инструкция разработана в соответствии с:

Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи";

Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) от 13 июня 2001 года N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

Приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

Приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

1.3. В настоящей инструкции использована следующая терминология:

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или АС, от внутренних или внешних угроз.

Доступ к информации (доступ) - ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.

Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Криптографическая (шифровальная) защита - защита информации от ее несанкционированного доступа и модификации посторонними лицами при помощи алгоритмов криптографического преобразования.

Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.

Конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Компрометация ключа - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Ключевой документ (криптоключ) - сохраняемая в тайне, закрытая информация, используемая криптографическим алгоритмом при шифровании/расшифровании сообщений, постановке и проверке электронной подписи (далее - ЭП), вычислении кодов аутентичности.

Криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности к криптосредствам относятся СКЗИ-шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Шифровальные (криптографические) средства:

а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной подписи с использованием закрытого ключа электронной подписи, подтверждение с использованием открытого ключа электронной подписи подлинности электронной подписи, создание закрытых и открытых ключей электронной подписи;

г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации).

Несанкционированный доступ (НСД) - доступ, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Обработка информации - совокупность операций сбора, накопления, ввода-вывода, приема-передачи, записи, хранения, регистрации, уничтожения, преобразования и отображения, осуществляемых над информацией.

Ответственный пользователь - должностное лицо, назначенное ответственным за обеспечение функционирования и безопасности криптосредств в министерстве.

Пользователь криптосредств - субъект, наделенный правом применения средства криптографической защиты для выполнения возложенных обязанностей.

Среда функционирования криптосредства - совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства и которые способны повлиять на выполнение предъявляемых к криптосредству требований.

Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом.

Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

2. Организационные требования

2.1. Государственные гражданские служащие и работники министерства, замещающие должности, не отнесенные к должностям государственной гражданской службы (далее - служащие и работники), использующие при работе СКЗИ, должны быть ознакомлены с требованиями настоящей инструкции и другими документами, регламентирующими обеспечение безопасности функционирования СКЗИ. Эти служащие и работники несут персональную ответственность за несоблюдение требований указанных документов в соответствии с законодательством Российской Федерации.

2.2. Обеспечение функционирования и безопасности СКЗИ в министерстве возлагается на ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации и назначаемого приказом министра. Функция ответственного пользователя частично может быть возложена на основании договора на стороннюю организацию - лицензиата ФСБ России. Ответственный пользователь СКЗИ должен обладать необходимым уровнем квалификации для обеспечения защиты конфиденциальной информации с использованием СКЗИ.

2.3. Ответственный пользователь СКЗИ осуществляет:

обучение лиц, использующих СКЗИ, правилам работы с ними;

проверку готовности пользователей СКЗИ к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);

поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним;

учет лиц, непосредственно допущенных к работе со средствами криптографической защиты информации (пользователей СКЗИ);

поддержание в актуальном состоянии перечня пользователей СКЗИ;

контроль за соблюдением условий использования СКЗИ, предусмотренных эксплуатационной и технической документацией к СКЗИ;

подачу заявок в удостоверяющий центр на изготовление ключевых документов или исходной ключевой информации;

разбирательство и составление заключений по фактам нарушения условий хранения носителей конфиденциальной информации, использования СКЗИ, которые могут привести к нарушению или к снижению уровня защищенности информации;

принятие мер по минимизации возможных последствий при выявлении фактов утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.;

разбирательства по фактам нарушения условий хранения и использования СКЗИ.

2.4. К работе с СКЗИ пользователи допускаются решением министра для исполнения обязанностей, связанных с использованием СКЗИ. Пользователи несут персональную ответственность за сохранность СКЗИ, ключевой, эксплуатационной и технической документации.

2.5. Пользователи СКЗИ (ответственный пользователь СКЗИ) обязаны:

не разглашать информацию, к которой они допущены, в том числе сведения о СКЗИ, ключевых документах к ним и других мерах защиты;

не допускать снятия копий с ключевых документов, вывода ключевых документов на дисплей (монитор) ПЭВМ или принтер, записи на ключевой носитель посторонней информации, установки ключевых документов на другие ПЭВМ;

соблюдать требования к обеспечению безопасности конфиденциальной информации, требования к обеспечению безопасности СКЗИ и ключевых документов к ним;

сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ и ключевых документах к ним;

немедленно уведомлять руководство министерства о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к несанкционированному доступу к защищаемой конфиденциальной информации;

сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы ответственному пользователю СКЗИ под запись в журналах учета при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ.

2.6. Пользователи СКЗИ могут быть допущены к работе с СКЗИ только после соответствующего обучения. Обучение пользователей правилам работы с СКЗИ осуществляет ответственный пользователь СКЗИ. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, оформленное в виде акта на основании принятых от этих лиц зачетов.

2.7. Установка криптографических средств, настройка криптоключей и сертификатов осуществляется по заявке ответственного пользователя криптосредств или служащего (работника) министерства, поданной в службу технической поддержки. После установки, настройки и проверки работоспособности криптографических средств составляется акт установки и ввода в эксплуатацию криптосредств (криптоключей).

2.8. Передача криптосредств, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями криптосредств и ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета. Передача учтенных СКЗИ без санкции ответственного пользователя категорически запрещается.

2.9. В помещениях, в которых размещена информационная система, необходима организация режима обеспечения безопасности помещений, препятствующая возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

2.10. Текущий контроль за организацией и обеспечением функционирования СКЗИ возлагается на министра и ответственного пользователя СКЗИ в пределах их служебных полномочий.

3. Порядок учета и выдачи средств криптографической защиты информации

3.1. Служащие и работники министерства, допущенные к работе с СКЗИ, подлежат обязательному учету. Ответственный пользователь СКЗИ в министерстве ведет на каждого пользователя СКЗИ лицевой счет (приложение N 1), в котором регистрирует числящиеся за ними СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы. Лицевые счета и пользователи учитываются в журнале лицевых счетов (журнал пользователей СКЗИ) (приложение N 2).

3.2. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету в журнале поэкземплярного учета (приложение N 3). При этом программные СКЗИ должны учитываться с аппаратными средствами, вместе с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются совместно с соответствующими аппаратными средствами. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.

3.3. Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ. Пользователи несут персональную ответственность за их сохранность.

3.4. Все необходимые для работы экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.

3.5. Если в эксплуатационной и технической документации к СКЗИ предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в аппаратном журнале (приложение N 3) непосредственно пользователем СКЗИ. В аппаратном журнале отражают также данные об эксплуатации СКЗИ и другие сведения, предусмотренные эксплуатационной и технической документацией. В иных случаях аппаратный журнал на СКЗИ не заводится (если нет прямых указаний о его ведении в эксплуатационной или технической документации к криптосредствам).

3.6. СКЗИ, эксплуатационная и техническая документация, правила пользования и ключевые документы между пользователями не передаются. На период отсутствия основного пользователя с его разрешения и по распоряжению министра может быть произведена временная передача СКЗИ, их эксплуатационной и технической документации, а также правил пользования другому пользователю СКЗИ для обеспечения рабочего процесса. Ключевые документы при этом передавать категорически запрещается.

3.7. Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и (или) ответственным пользователем СКЗИ под расписку в соответствующих журналах поэкземплярного учета и с отметкой в лицевом счете пользователя. Такая передача между пользователями СКЗИ должна быть санкционирована ответственным пользователем СКЗИ.

4. Порядок уничтожения средств криптографической
защиты информации

4.1. СКЗИ, непригодные для дальнейшего использования или надобность в использовании которых миновала, уничтожаются (утилизируются) по решению министра.

4.2. Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).

4.3. Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).

4.4. Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность дальнейшего использования, а также восстановления ключевой информации.

4.5. Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к криптосредствам уничтожаются путем сжигания или с помощью бумагорезательных машин.

4.6. Ключевые документы должны быть уничтожены в сроки, указанные в правилах пользования к соответствующим СКЗИ, но не позднее 10 суток после вывода их из действия (окончания срока действия). Отметки о деинсталляции СКЗИ, уничтожении эксплуатационной, технической документации, правил пользования, ключевых документов оформляются в соответствующих журналах учета.

4.7. Уничтожение большого объема ключевых документов может быть оформлено актом. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию СКЗИ. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в журнале поэкземплярного учета.

4.8. СКЗИ, полученные от сторонних организаций в рамках оказания услуг по криптографической защите информации в министерстве, не могут уничтожаться (утилизироваться) служащими (работниками) министерства самостоятельно; требуется обязательное уведомление и привлечение сотрудников организаций - поставщиков СКЗИ. Порядок уничтожения (утилизации) СКЗИ должен соответствовать эксплуатационной и технической документации к СКЗИ.

5. Действия при компрометации или повреждении
ключевой информации. Порядок проведения расследования

5.1. Передача по техническим средствам связи служебных сообщений, касающихся организации и обеспечения безопасности с использованием СКЗИ защищаемой информации, производится только в зашифрованном виде.

5.2. Передача по техническим средствам связи закрытых ключей не допускается. за исключением специально организованных систем, правилами пользования которых предусматривается управление ключевой системой с использованием технических каналов связи.

5.3. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает необходимую защиту информации. Криптоключи, в отношении которых возникло подозрение в компрометации, необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к криптосредствам.

5.4. К событиям, связанным с компрометацией криптографических ключей, относятся:

утеря (хищение) носителей ключевой информации, в том числе с последующим их обнаружением;

увольнение сотрудника, имевшего доступ к ключевой информации;

передача закрытых ключей по линиям связи;

нарушение правил хранения или уничтожения криптоключа;

несанкционированное или безучетное копирование ключевой информации;

нарушение целостности печати на сейфе с ключевыми носителями;

раскрытие фактов утечки (искажения или изменения) передаваемой информации;

все случаи, когда нельзя достоверно установить, что произошло с носителем ключевой информации.

5.5. При наступлении любого из перечисленных случаев или иных нарушениях, которые могут привести к компрометации криптоключей, пользователь должен прекратить использование СКЗИ и немедленно сообщить о произошедшем ответственному пользователю.

5.6. Осмотр ключевых носителей посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).

5.7. В каждом случае по факту компрометации или по подозрению в компрометации ключевых документов специально назначенной комиссией проводится служебное расследование. Результатом расследования является квалификация или неквалификация данного события как компрометации.

5.8. В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры по их розыску. Мероприятия по розыску и локализации последствий компрометации ключевых документов организовывает и осуществляет министр.

5.9. Пользователями совместно с ответственным пользователем СКЗИ производится информирование всех заинтересованных участников информационного обмена о факте компрометации ключевой информации.

5.10. Выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в журнале поэкземплярного учета.

5.11. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, по решению министра допускается использование скомпрометированных криптоключей, если это не противоречит руководящей документации организации, выдавшей криптоключи. В этом случае период использования скомпрометированных криптоключей не должен превышать 1 дня, а защищаемая информация должна быть как можно менее ценной.

6. Размещение, специальное оборудование, охрана и
организация режима в помещениях, где установлены
криптосредства или хранятся ключевые документы к ним

6.1. При оборудовании помещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ согласно эксплуатационной документации на СКЗИ.

6.2. Перечень сотрудников, имеющих доступ в помещения, в которых установлены криптосредства, утверждается приказом об утверждении списка лиц, допущенных к работе со средствами криптографической защиты информации в министерстве сельского хозяйства Тульской области.

6.3. Доступ в помещения, в которых установлены криптосредства, в нерабочее время предоставляется по согласованию министра.

6.4. По окончании рабочего дня помещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от помещений должны быть сданы под расписку в соответствующем журнале на пост охраны.

6.5. Режим охраны помещений, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, осуществляется в соответствии с "Порядком доступа сотрудников органов исполнительной власти и аппарата правительства Тульской области в помещения, в которых ведется обработка персональных данных", утвержденным Постановлением правительства Тульской области "О мерах по реализации отдельных положений Федерального закона "О персональных данных" от 29 марта 2014 года N 213.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату постановления правительства Тульской области N 213 "О мерах по реализации отдельных положений Федерального закона "О персональных данных" следует читать как "от 29 апреля 2014 г."

6.6. Системные блоки ПЭВМ со СКЗИ должны быть опечатаны для осуществления контроля их вскрытия.

6.7. Применяемые СКЗИ должны быть сертифицированы в соответствии с действующим законодательством.

6.8. Пользователи криптосредств хранят выданные им для использования ключевые документы в хранилищах индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним и непреднамеренное уничтожение. В случае отсутствия индивидуального хранилища по окончании рабочего дня пользователь обязан сдать СКЗИ ответственному пользователю СКЗИ.

6.9. Хранение эксплуатационной и технической документации к СКЗИ, а также копий сертификатов открытых ключей ЭП в бумажном виде осуществляется у пользователя СКЗИ.

6.10. Хранение криптоключей и инсталляционного ПО СКЗИ допускается в одном сейфе с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное не предусмотренное правилами применение.

6.11. Ответственным пользователем криптосредств ведется журнал учета сейфов, металлических шкафов и хранилищ документов, где осуществляется хранение эксплуатационной и технической документации к СКЗИ, а также копий сертификатов открытых ключей ЭП и самих ключевых документов пользователей (приложение N 5).