Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства здравоохранения Кабардино-Балкарской Республики от 5 октября 2018 г. N 251-П "Об организации работы со средствами криптографической защиты информации в Министерстве здравоохранения Кабардино-Балкарской Республики"
- Приложение N 2. Инструкция об организации работы с СКЗИ и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ в Минздраве КБР
Приложение N 2. Инструкция об организации работы с СКЗИ и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ в Минздраве КБР
Приложение N 2
Утверждена
Министерства здравоохранения
Кабардино-Балкарской Республики
от 5 октября 2018 г. N 251-П
Инструкция
об организации работы с СКЗИ и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ в Минздраве КБР
1. Общие положения
1.1. Настоящая Инструкция об организации работы с СКЗИ и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ определяет основные обязанности и права ответственных должностных лиц, непосредственно допущенных к работе с СКЗИ, а также лиц, ответственных за обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ.
ГАРАНТ:
Нумерация пунктов приводится в соответствии с источником
1.3. Ответственное лицо за обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ назначается приказом министра здравоохранения КБР и отвечает за организацию, обеспечение функционирования и безопасности СКЗИ (далее - ответственное должностное лицо).
1.4. Пользователем СКЗИ является сотрудник Министерства здравоохранения КБР, включенный в перечень сотрудников, допущенных к работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных, утвержденный приказом Министерства здравоохранения КБР.
1.5. Ответственные должностные лица и пользователи СКЗИ должны знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
1.6. В своей деятельности, связанной с обработкой персональных данных, ответственные должностные лица и пользователи СКЗИ руководствуются настоящей Инструкцией.
2. Права и обязанности ответственного должностного лица
2.1. Ответственное должностное лицо имеет право:
Знакомиться с нормативными актами учреждения, регламентирующими процессы обработки персональных данных.
Требовать от пользователей СКЗИ соблюдения требований нормативных актов учреждения в части обеспечения защиты информации с помощью СКЗИ.
Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей СКЗИ, в случае выявления нарушений требований по работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования СКЗИ.
ГАРАНТ:
Нумерация пунктов приводится в соответствии с источником
2.1. Ответственное должностное лицо обязано:
Соблюдать требования нормативных актов учреждения, устанавливающих порядок работы с персональными данными.
Осуществлять контроль за организацией, обеспечением функционирования и безопасности СКЗИ, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:
- контролировать соблюдение условий использования СКЗИ предусмотренных эксплуатационной и технической документацией к ним;
- обеспечивать надежное хранение эксплуатационной и технической документации к СКЗИ, ключевых документов, носителей информации ограниченного распространения;
- вносить предложения по режиму охраны помещений, в которых установлены СКЗИ или хранятся ключевые документы к ним;
- вести Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);
- выдавать пользователям СКЗИ экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;
- вести на каждого пользователя СКЗИ лицевой счет, в котором регистрировать числящиеся за ними СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы;
- контролировать передачу СКЗИ, эксплуатационной и технической документации к ним, ключевых документов между пользователями СКЗИ и (или) ответственным пользователем СКЗИ под расписку в соответствующем Журнале;
- пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратных и аппаратно-программных СКЗИ;
- контролировать получение и доставку СКЗИ, эксплуатационной и технической документации к ним;
- заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;
- контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ, или, если срок уничтожения эксплуатационной и технической документации не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;
- выводить из действия носители ключевой информации (далее - НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;
- принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;
- проводить инструктаж пользователей СКЗИ по правилам работы с СКЗИ и ключевыми документами.
Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с СКЗИ или нарушения функционирования СКЗИ.
Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования СКЗИ, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
Контролировать исполнение пользователями СКЗИ требований нормативных актов учреждения в части обеспечения защиты персональных данных с помощью СКЗИ.
Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей СКЗИ информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:
- в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;
- о факте компрометации ключевой информации пользователями СКЗИ совместно с ответственным пользователем СКЗИ производится информирование всех заинтересованных участников информационного обмена;
- выведенные из действия, скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;
- для своевременного восстановления связи пользователю СКЗИ выдается новый НКИ; для этого создается резервный запас НКИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного пользователя СКЗИ.
Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного пользователя СКЗИ. Данные копии применяются с разрешения руководителя, если по результатам расследования не было установлено факта компрометации.
Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.
Своевременно информировать руководителя о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.
3. Права и обязанности пользователя СКЗИ
3.1. Пользователь СКЗИ имеет право:
- вносить предложения руководителю по вопросам использования СКЗИ;
- повышать свой уровень квалификации по использованию СКЗИ.
3.2. Пользователь СКЗИ обязан:
- соблюдать требования по обеспечению безопасности функционирования СКЗИ;
- обеспечить конфиденциальность всей информации ограниченного распространения, доступной по роду выполняемых функциональных обязанностей;
- сдать ответственному должностному лицу СКЗИ носители ключевой информации (далее - НКИ) при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
- сдать ответственному должностному лицу СКЗИ НКИ по окончании срока действия сертификата ключа, а также в случае компрометации ключа;
- немедленно уведомлять руководителя структурного подразделения или ответственное должностное лицо о компрометации НКИ, о фактах утраты или недостачи СКЗИ;
- в пределах своей компетенции предоставлять информацию комиссии, проводящей служебные расследования по фактам компрометации, а также выявлению причин нарушения требований безопасности функционирования СКЗИ.
3.3. Пользователю СКЗИ запрещается:
- осуществлять несанкционированное и без учетное копирование ключевых данных;
- хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;
- передавать НКИ каким бы то ни было лицам, кроме ответственного должностного лица СКЗИ;
- во время работы оставлять НКИ без присмотра;
- хранить на НКИ какую-либо информацию, кроме ключевой;
- использовать в помещениях, где применяются СКЗИ, личные технические средства, позволяющие осуществлять копирование ключевой информации;
- использовать НКИ, выведенные из действия.
4. Порядок обращения с СКЗИ
4.1. Монтаж и установка СКЗИ осуществляются органом криптографической защиты.
4.2. Служебные помещения, в которых размещаются СКЗИ, должны отвечать всем требованиям по оборудованию и охране, предъявляемым к помещениям, выделенным для работы с конфиденциальной информацией. Для хранения НКИ помещения обеспечиваются сейфами (металлическими шкафами), оборудуются охранной сигнализацией и по убытии сотрудников закрываются, опечатываются личными печатями ответственных лиц (либо закрываются кодовым замком) и сдаются под охрану.
4.3. Для хранения НКИ пользователь СКЗИ должен быть обеспечен личным сейфом. В случае отсутствия индивидуального сейфа по окончании рабочего дня пользователь СКЗИ обязан сдавать НКИ ответственному должностному лицу.
4.4. Дубликаты ключей от сейфов (а также значения кодов - при наличии кодовых замков) пользователей СКЗИ должны храниться в сейфе руководителя структурного подразделения или ответственного должностного лица в упаковках, опечатанных личными печатями пользователей СКЗИ. Несанкционированное изготовление дубликатов ключей запрещено. В случае утери ключа механизм (секрет) замка (либо сам сейф) должен быть заменен.
4.5. К эксплуатации СКЗИ допускаются лица, прошедшие соответствующую подготовку и изучившие правила пользования данным СКЗИ.
4.6. Все программное обеспечение ПЭВМ, предназначенной для установки СКЗИ, должно иметь соответствующие лицензии. Установка средств разработки и отладки программ на рабочую станцию, использующую СКЗИ, не допускается.
5. Восстановление связи в случае компрометации действующих ключей к СКЗИ
5.1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию владельца НКИ и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
- утрата (хищение) НКИ, в том числе - с последующим их обнаружением;
- увольнение (переназначение) сотрудников, имевших доступ к НКИ;
- передача секретных ключей по линии связи в открытом виде;
- нарушение правил хранения НКИ;
- вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);
- ошибки при совершении криптографических операций;
- несанкционированное или безучетное копирование ключевой информации;
- все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда НКИ вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
5.2. При наступлении любого из перечисленных выше событий пользователь СКЗИ или владелец НКИ должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) ответственному должностному лицу лично, по телефону, электронной почте или другим доступным способом. В любом случае пользователь СКЗИ или владелец НКИ обязан убедиться, что его сообщение получено и прочтено.
5.3. При подтверждении факта компрометации действующих ключей пользователь СКЗИ обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу ответственному должностному лицу в течение 3 рабочих дней.
5.4. Для восстановления конфиденциальной связи после компрометации действующих ключей пользователь СКЗИ получает у ответственного должностного лица новые ключи.
6. Порядок действий при компрометации криптографических ключей
Под компрометацией криптографических ключей понимается хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптографические ключи могут стать доступными несанкционированным лицам и (или) процессам.
К компрометации ключей относятся следующие события:
- утрата носителей ключа;
- утрата иных носителей ключа с последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевой информации;
- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
- нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
- доступ посторонних лиц к ключевой информации;
- другие события утери доверия к ключевой документации.
Криптографические ключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптографические ключи необходимо немедленно вывести из действия.
О нарушениях, которые могут привести к компрометации криптографических ключей, их составных частей или передававшейся (хранящейся) с их использованием конфиденциальной информации, пользователи СКЗИ обязаны сообщать руководству.
Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптографических ключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, не предъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет обладатель скомпрометированной конфиденциальной информации.
Порядок оповещения пользователей СКЗИ о предполагаемой компрометации криптографических ключей и их замене устанавливается ответственным должностным лицом.
На случай компрометации ключевых документов совместно с ними выдается "Карточка оповещения о компрометации", в которой указываются порядок действий пользователя, номера телефонов и другие способы связи, пароль, означающий факт компрометации криптографических ключей конкретного пользователя.
Действующие и резервные ключевые документы, предназначенные для применения в случае компрометации действующих криптографических ключей, должны храниться во внутреннем отсеке сейфа в различных конвертах.
7. Порядок действий пользователя УЦ при компрометации ключей
При компрометации ключа у пользователя он должен немедленно прекратить связь по сети с другими пользователями. Решение о факте или угрозе компрометации своего закрытого ключа пользователь принимает самостоятельно.
Пользователь должен немедленно известить ответственное должностное лицо о компрометации ключей пользователя.
Информация о компрометации может передаваться в удостоверяющий центр по телефону с сообщением заранее условленного пароля, зарегистрированного в "Карточке оповещения о компрометации". Порядок обращения и хранения карточки должен соответствовать порядку обращения и хранения ключевых документов.
При наличии сетевого взаимодействия пользователь может оповестить центр регистрации путем формирования электронного сообщения о компрометации.
После компрометации ключей пользователь формирует новый закрытый ключ и запрос на сертификат. Уведомление о компрометации секретного ключа ЭЦП на бумажном носителе, заверенное рукописной подписью владельца сертификата и запрос на сертификат (на машинном носителе) вместе с заверенными рукописной подписью бланками запроса на бумажном носителе доставляются лично пользователем или через специальную почтовую связь в удостоверяющий центр.
8. Порядок учета, выдачи и передачи средств криптографической защиты информации, электронной подписи, эксплуатационно-технической документации и ключевых документов
Учет средств криптографической защиты информации (СКЗИ), эксплуатационно-технической документации на СКЗИ, ключевых документов и ЭП организуется в соответствии с требованиями "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну", утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 13.06.2001 N 152 (далее - Инструкция N 152), Правилами использования СКЗИ, утвержденными разработчиком СКЗИ.
Доставка СКЗИ в организацию должна осуществляться фельдъегерской связью (СПЕЦСВЯЗЬ экспресс) либо непосредственно сотрудником самой организации, в таком же порядке должна осуществляться передача СКЗИ конечному пользователю, согласно п. 32 Инструкции N 152.
Порядок упаковки СКЗИ должен соответствовать требованиям п. 33, п. 34 Инструкции N 152.
Передача СКЗИ оформляется актами приема-передачи либо подтверждается сопроводительными отгрузочными документами.
При передаче СКЗИ уполномоченным нарочным, нарочный расписывается в актах приема-передачи СКЗИ, дата и номер акта заносятся в соответствующие журналы учета.
Поэкземплярный учет СКЗИ, поступающих от разработчиков, изготовителей и поставщиков СКЗИ необходимо вести в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) (п. 26, Приложение N 2 к Инструкции N 152). Учет ведется ответственным пользователем СКЗИ.
Все передаваемые сторонним организациям экземпляры СКЗИ эксплуатационной и технической документации к ним, ключевых документов должны быть выданы по акту приема-передачи и учтены в соответствующем Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты) (п. 26, Приложение N 1 к Инструкции N 152). Учет ведется ответственным пользователем СКЗИ.
Ответственное должностное лицо заводит и ведет на каждого пользователя СКЗИ (каждую организацию, кому передается СКЗИ) лицевой счет, в котором регистрирует числящиеся за ними СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы. Рекомендуемая типовая форма лицевого счета пользователя СКЗИ представлена в приложении к настоящему Порядку (не прилагается).
Все полученные, используемые, хранимые или передаваемые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптографических ключей, то его каждый раз следует регистрировать отдельно.
Единицами поэкземплярного учета могут быть:
- eToken (шт.) - ключевой носитель;
- формуляр СКЗИ (экз.) - эксплуатационная или техническая документация.
Учет СКЗИ, средств ЭП, эксплуатационной и технической документации, ключевых документов и информации должен быть организован на бумажных носителях или в электронном виде с помощью автоматизированной информационной системы, которая должна быть определена приказом руководителя организации.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только по акту приема-передачи с внесением записи в соответствующих журналах поэкземплярного учета.
Ответственным должностным лицом в организации рекомендовано назначать ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных.
Ведение непосредственных операций по учету СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, в соответствии с функциональными обязанностями и инструкциями, возлагается на администратора безопасности информации или лицо с соответствующими функциональными обязанностями.