Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 16
Утверждена
постановлением администрации
города Южно-Сахалинска
21 февраля 2020 г. N 489-па
Инструкция
по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и криптоключами к ним
1. Общие положения
1.1. Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации (далее - СКЗИ), предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее - Информация), и криптоключами к ним регламентирует порядок обращения с криптосредствами.
1.2. Настоящая Инструкция разработана в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. приказом ФСБ России от 10.07.2014 N 378);
- Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (утв. приказом ФСБ России от 09.02.2005 N 66);
- Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (утв. приказом ФАПСИ от 13.06.2001 N 152).
1.3. Под криптосредством в настоящей Инструкции понимается шифровальное (криптографическое) средство, предназначенное для защиты информации.
1.4. К криптосредствам (шифровальным, криптографическим средствам) относятся:
- средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
- средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
- средства электронной подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
- средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
- средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
- ключевые документы (независимо от вида носителя ключевой информации).
1.5. В настоящей Инструкции используются следующие понятия и определения:
- доступ к информации - возможность получения информации и ее использования;
- закрытый ключ - криптоключ, который хранится пользователем системы в тайне;
- ключевой документ - физический носитель определенной структуры, содержащий криптоключи;
- компрометация криптоключа - утрата доверия к тому, что используемые криптоключи обеспечивают безопасность информации;
- контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения;
- криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
- модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности;
- модель угроз - перечень возможных угроз;
- пользователь криптосредства - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования;
- средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
1.6. Для обеспечения безопасности Информации при ее обработке в информационных системах (далее - ИС) администрации города Южно-Сахалинска (далее - Администрация) должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).
1.7. Класс криптосредства определяется в соответствии с Приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
2. Организационная структура
Безопасность обработки Информации в ИС Администрации с использованием криптосредств организует и обеспечивает ответственный за эксплуатацию СКЗИ в Администрации.
3. Обязанности пользователей криптосредств
3.1. Пользователи криптосредств допускаются к работе с ними только после получения заключения комиссии по организации обработки и защиты персональных данных о подготовке и допуске к самостоятельной работе со средствами криптографической защиты информации и ознакомления под роспись с настоящей Инструкцией, другими документами, регламентирующими организацию и обеспечение безопасности Информации при ее обработке в ИС Администрации.
3.2. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
3.3. Пользователи криптосредств обязаны:
- не нарушать конфиденциальность закрытых ключей;
- не допускать снятие копий с ключевых документов, содержащих закрытые ключи;
- не допускать вывод закрытых ключей на дисплей (монитор) автоматизированного рабочего места (далее - АРМ) или принтер;
- не допускать записи на ключевой документ посторонней информации;
- не допускать установки ключевых документов на другие АРМ;
- обеспечить конфиденциальность информации о криптосредствах, других мерах защиты;
- точно соблюдать требования к обеспечению безопасности Информации, требования к обеспечению безопасности криптосредств и ключевых документов к ним;
- хранить ключевые документы к криптосредствам в защищаемых хранилищах;
- сдавать ключевые документы к криптосредствам при увольнении или отстранении от исполнения обязанностей;
- своевременно выявлять и сообщать ответственному за эксплуатацию СКЗИ о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним;
- немедленно уведомлять ответственного за эксплуатацию СКЗИ и принимать меры по предупреждению нарушения конфиденциальности Информации при утрате или недостаче криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей, удостоверений, пропусков, при других фактах, которые могут привести к компрометации закрытых ключей, снижению уровня защищенности обрабатываемой Информации.
4. Учет ключевых документов
4.1. Ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель информации.
4.2. Все экземпляры ключевых документов выдаются пользователям криптосредств под роспись в соответствующем журнале поэкземплярного учета.
4.3. Передача ключевых документов допускается только между пользователями криптосредств и ответственным за эксплуатацию СКЗИ под роспись в соответствующем Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. Аналогичная передача между пользователями криптосредств осуществляется с письменного разрешения ответственного за эксплуатацию СКЗИ.
4.4. Для исключения компрометации ключевых документов на период отсутствия пользователя и в нерабочее время, ключевые документы убираются в защищенные хранилища (ящики, шкафы) индивидуального пользования, которые в свою очередь закрываются на ключ и опечатываются.
4.5. Учет эксплуатационной и технической документации к криптосредствам:
- эксплуатационная и техническая документация к криптосредствам подлежит поэкземплярному учету.
4.6. Плановая смена ключевых документов:
- заказ на изготовление очередных ключевых документов, их изготовление и получение пользователем производится заблаговременно для своевременной замены действующих ключевых документов.
4.7. Внеплановая смена ключевых документов:
- криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи немедленно выводятся из действия, если иной порядок не оговорен в эксплуатационной и технической документации к криптосредствам.
4.8. Уничтожение ключевых документов:
- ключевые документы с неиспользованными или выведенными из действия криптоключами (исходной ключевой информацией) возвращаются ответственному за эксплуатацию СКЗИ или по его указанию уничтожаются на месте пользователями криптосредств;
- уничтожение ключевых документов производится путем стирания (разрушения) криптоключей без повреждения ключевого документа;
- бумажные и прочие сгораемые ключевые документы уничтожаются путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта;
- ключевые документы уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы уничтожаются не позднее 10 (десяти) суток после вывода их из действия (окончания срока действия);
- пользователям криптосредств разрешается уничтожать только использованные непосредственно ими (предназначенные для них) ключевые документы. После уничтожения пользователи криптосредств уведомляют об этом ответственного за эксплуатацию СКЗИ;
- уничтожение эксплуатационной и технической документации к криптосредствам;
- эксплуатационная и техническая документация к криптосредствам уничтожается путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта.
5. Техническое обслуживание криптосредств
5.1. Техническое обслуживание криптосредств, а также другого оборудования, функционирующего с криптосредствами, смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
5.2. На время отсутствия пользователей криптосредства, а также другое оборудование, функционирующее с криптосредствами, при наличии технической возможности, выключается, отключается от линии связи и убирается в опечатываемые хранилища. В противном случае необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.
6. Опечатывание аппаратных средств
Системные блоки АРМ, на которых установлены криптосредства, должны оборудоваться средствами контроля за их вскрытием (опечатываются, опломбируются). Место опечатывания (опломбирования) системного блока должно быть таким, чтобы его можно было визуально контролировать.
7. Порядок доступа к хранилищам
Эксплуатация хранилищ:
- пользователи криптосредств хранят эксплуатационную и техническую документацию к криптосредствам, ключевые документы в хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение;
- должно быть предусмотрено раздельное безопасное хранение пользователями криптосредств действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов;
- при необходимости доступа к содержимому хранилища сотрудник, ответственный за данное хранилище, проверяет целостность хранилища, открывает механический замок хранилища с использованием ключа;
- по окончании работы сотрудник закрывает и опечатывает хранилище, за которое он ответственен;
- печати, предназначенные для опечатывания хранилищ, должны находиться у сотрудников, ответственных за данные хранилища.
8. Контроль безопасности криптосредств
Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на ответственного за эксплуатацию СКЗИ в пределах его полномочий.
9. Ответственность за нарушение требований
9.1. Пользователи криптосредств несут персональную ответственность за сохранность полученных криптосредств, эксплуатационной и технической документации к криптосредствам, ключевых документов, за соблюдение положений настоящей Инструкции.
9.2. Ответственный за эксплуатацию СКЗИ несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки Информации с использованием криптосредств лицензионным требованиям и условиям эксплуатационной и технической документации к криптосредствам, а также настоящей Инструкции.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.