Приложение N 2. Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключами к ним. Приказ Министерства образования Новосибирской области от 07.05.2018 N 1093 "Об утверждении инструкций и журналов, касающихся использования средств криптографической защиты информации" (с изменениями и дополнениями) (документ утратил силу)

Приложение N 2
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. N 1093

Инструкция
по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключами к ним

1. Общие положения

1.1. Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации (далее - СКЗИ), предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее Информация), обрабатываемой в информационных системах министерства образования Новосибирской области (далее - ИС Министерства), и криптоключами к ним регламентирует порядок обращения с криптосредствами в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты Информации.

1.2. Под криптосредством в настоящей Инструкции понимается шифровальное (криптографическое) средство, предназначенное для защиты информации.

1.3. К криптосредствам (шифровальным, криптографическим средствам) относятся:

1.3.1. Средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.

1.3.2. Средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.

1.3.3. Средства электронной подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи.

1.3.4. Средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.

1.3.5. Средства изготовления ключевых документов (независимо от вида носителя ключевой информации).

1.3.6. Ключевые документы (независимо от вида носителя ключевой информации).

1.4. В настоящей Инструкции используются следующие понятия и определения:

1.4.1. Доступ к информации - возможность получения информации и ее использования.

1.4.2. Закрытый ключ - криптоключ, который хранится пользователем системы в тайне.

1.4.3. Ключевой документ - физический носитель определенной структуры, содержащий криптоключи.

1.4.4. Компрометация криптоключа - утрата доверия к тому, что используемые криптоключи обеспечивают безопасность информации.

1.4.5. Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

1.4.6. Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.

1.4.7. Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

1.4.8. Модель угроз - перечень возможных угроз.

1.4.9. Пользователь криптосредства - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.

1.4.10. Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

1.5. Для обеспечения безопасности Информации при ее обработке в ИС Министерства должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).

1.6. Класс криптосредства определяется в соответствии с Приказом Федеральной службы безопасности Российской Федерации (ФСБ России) от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

2. Организационная структура

Безопасность обработки Информации в ИС Министерства с использованием криптосредств организует и обеспечивает Ответственный за эксплуатацию СКЗИ в ИС Министерства.

3. Обязанности пользователей криптосредств

3.1. Пользователи криптосредств допускаются к работе с ними только после получения заключения о подготовке и допуске к самостоятельной работе со средствами криптографической защиты информации и ознакомления под роспись с настоящей Инструкцией, другими документами, регламентирующими организацию и обеспечение безопасности Информации при ее обработке в ИС Министерства.

3.2. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.

3.3. Пользователи криптосредств обязаны:

3.3.1. Не нарушать конфиденциальность закрытых ключей.

3.3.2. Не допускать снятие копий с ключевых документов, содержащих закрытые ключи.

3.3.3. Не допускать вывод закрытых ключей на дисплей (монитор) автоматизированного рабочего места (далее - АРМ) или принтер.

3.3.4. Не допускать записи на ключевой документ посторонней информации.

3.3.5. Не допускать установки ключевых документов на другие АРМ.

3.3.6. Обеспечить конфиденциальность информации о криптосредствах, других мерах защиты.

3.3.7. Точно соблюдать требования к обеспечению безопасности Информации, требования к обеспечению безопасности криптосредств и ключевых документов к ним.

3.3.8. Хранить ключевые документы к криптосредствам в защищаемых хранилищах.

3.3.9. Сдавать ключевые документы к криптосредствам при увольнении или отстранении от исполнения обязанностей.

3.3.10. Своевременно выявлять и сообщать Ответственному за эксплуатацию СКЗИ в Минобразовании Новосибирской области о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним.

3.3.11. Немедленно уведомлять Ответственного за эксплуатацию СКЗИ в Минобразовании Новосибирской области и принимать меры по предупреждению нарушения конфиденциальности Информации при утрате или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей, удостоверений, пропусков, при других фактах, которые могут привести к компрометации закрытых ключей, снижению уровня защищенности обрабатываемой Информации.

4. Учет ключевых документов

4.1. Ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель информации.

4.2. Все экземпляры ключевых документов выдаются пользователям криптосредств под роспись в соответствующем журнале поэкземплярного учета.

4.3. Передача ключевых документов допускается только между пользователями криптосредств и Ответственным за эксплуатацию СКЗИ под роспись в соответствующем Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. Аналогичная передача между пользователями криптосредств осуществляется с письменного разрешения Ответственного за эксплуатацию СКЗИ.

4.4. Для исключения компрометации ключевых документов на период отсутствия пользователя и в нерабочее время, ключевые документы убираются в защищенные хранилища (ящики, шкафы) индивидуального пользования, которые, в свою очередь, закрываются на ключ и опечатываются.

4.5. Учет эксплуатационной и технической документации к криптосредствам:

4.5.1. Эксплуатационная и техническая документация к криптосредствам подлежит поэкземплярному учету.

4.5.2. Все экземпляры эксплуатационной и технической документации к криптосредствам выдаются пользователям криптосредств под роспись.

4.5.3. Передача эксплуатационной и технической документации к криптосредствам допускается только между пользователями криптосредств и Ответственным пользователем за эксплуатацию СКЗИ под роспись. Аналогичная передача между пользователями криптосредств осуществляется с санкции Ответственного за эксплуатацию СКЗИ.

4.6. Плановая смена ключевых документов:

4.6.1. Заказ на изготовление очередных ключевых документов, их изготовление и получение пользователем производится заблаговременно для своевременной замены действующих ключевых документов.

4.7. Внеплановая смена ключевых документов:

4.7.1. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи немедленно выводятся из действия, если иной порядок не оговорен в эксплуатационной и технической документации к