Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Администрации муниципального образования - Сараевский муниципальный район Рязанской области от 3 марта 2020 г. N 112 "Об утверждении документов, определяющих политику администрации муниципального образования - Сараевский муниципальный район Рязанской области в отношении обработки персональных данных"
- Приложение N 15. Инструкция пользователя средств криптографической защиты информации министерства цифрового развития, информационных технологий и связи Рязанской области
Приложение N 15. Инструкция пользователя средств криптографической защиты информации министерства цифрового развития, информационных технологий и связи Рязанской области
Приложение N 15
к постановлению
администрации
муниципального образования -
Сараевский муниципальный район
Рязанской области
от 03.03.2020 N 112
Инструкция
пользователя средств криптографической защиты информации министерства цифрового развития, информационных технологий и связи Рязанской области
1. Общие положения
1.1. Настоящая Инструкция пользователя средств криптографической защиты информации администрации муниципального образования - Сараевский муниципальный район Рязанской области (далее - Инструкция, Администрация) определяет права и обязанности пользователя средств криптографической защиты информации, порядок обращения с криптографическими средствами защиты информации (далее - СКЗИ), а также определяет порядок восстановления связи в случае компрометации действующих ключей к СКЗИ.
1.2. Пользователем СКЗИ является сотрудник администрации, включенный в перечень сотрудников, допущенных к работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных, утвержденный приказом главы администрации (далее - глава).
1.3. Пользователь СКЗИ должен знать нормативные акты Российской Федерации и Рязанской области, методические материалы в сфере обработки персональных данных, в том числе распорядительные документы администрации в сфере обработки персональных данных (далее - Нормативные акты).
1.4. В своей деятельности, связанной с обработкой персональных данных, пользователь СКЗИ руководствуется настоящей Инструкцией.
1.5. Пользователи СКЗИ несут персональную ответственность за обеспечение конфиденциальности ключевой информации и защиту СКЗИ от несанкционированного использования.
2. Обязанности и права пользователя СКЗИ
2.1. Пользователь СКЗИ обязан:
- соблюдать требования по обеспечению безопасности функционирования СКЗИ;
- обеспечить конфиденциальность всей информации ограниченного распространения, доступной по роду выполняемых функциональных обязанностей;
- сдать ответственному пользователю СКЗИ министерства (далее - Ответственный) носители ключевой информации (далее - НКИ) при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
- сдать Ответственному НКИ по окончании срока действия сертификата ключа, а также в случае компрометации ключа;
- немедленно уведомлять руководителя структурного подразделения или Ответственного о компрометации НКИ, о фактах утраты или недостачи СКЗИ;
- в пределах своей компетенции предоставлять информацию комиссии, проводящей служебные расследования по фактам компрометации, а также выявлению причин нарушения требований безопасности функционирования СКЗИ.
2.2. Пользователю СКЗИ запрещается:
- осуществлять несанкционированное и безучетное копирование ключевых данных;
- хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;
- передавать НКИ каким бы то ни было лицам, кроме Ответственного;
- во время работы оставлять НКИ без присмотра (например, на рабочем столе или в разъеме системного блока ПЭВМ);
- хранить на НКИ какую-либо информацию, кроме ключевой;
- использовать в помещениях, где применяются СКЗИ, личные технические средства, позволяющие осуществлять копирование ключевой информации;
- использовать НКИ, выведенные из действия.
2.3. Пользователь имеет право:
- вносить предложения Министру по вопросам использования СКЗИ;
- повышать уровень квалификации по использованию СКЗИ.
3. Порядок обращения с СКЗИ
3.1. Монтаж и установка СКЗИ осуществляются органом криптографической защиты.
3.2. Служебные помещения, в которых размещаются СКЗИ, должны отвечать всем требованиям по оборудованию и охране, предъявляемым к помещениям, выделенным для работы с конфиденциальной информацией. Для хранения НКИ помещения обеспечиваются сейфами (металлическими шкафами) и по убытии сотрудников закрываются, опечатываются личными печатями ответственных лиц и сдаются под охрану.
3.3. Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
3.4. Дубликаты ключей от сейфов (а также значения кодов - при наличии кодовых замков) пользователей СКЗИ должны храниться в сейфе руководителя структурного подразделения или Ответственного в упаковках, опечатанных личными печатями пользователей СКЗИ. Несанкционированное изготовление дубликатов ключей запрещено. В случае утери ключа механизм (секрет) замка (либо сам сейф) должен быть заменен.
3.5. К эксплуатации СКЗИ допускаются лица, прошедшие инструктаж и изучившие правила пользования данным СКЗИ.
3.6. Все программное обеспечение ПЭВМ, предназначенной для установки СКЗИ, должно иметь соответствующие лицензии. Установка средств разработки и отладки программ на рабочую станцию, использующую СКЗИ, не допускается.
4. Восстановление связи в случае компрометации действующих ключей к СКЗИ
4.1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию владельца НКИ и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
- утрата (хищение) НКИ, в том числе - с последующим их обнаружением;
- увольнение (переназначение) сотрудников, имевших доступ к НКИ;
- передача секретных ключей по линии связи в открытом виде;
- нарушение правил хранения НКИ;
- вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);
- ошибки при совершении криптографических операций;
- несанкционированное или безучетное копирование ключевой информации;
- все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда НКИ вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
4.2. При наступлении любого из перечисленных выше событий пользователь СКЗИ или владелец НКИ должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) Ответственному лично, по телефону, электронной почте или другим доступным способом. В любом случае пользователь СКЗИ или владелец НКИ обязан убедиться, что его сообщение получено и прочтено.
4.3. При подтверждении факта компрометации действующих ключей пользователь СКЗИ обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу Ответственному в течение 3 рабочих дней.
4.4. Для восстановления конфиденциальной связи после компрометации действующих ключей пользователь СКЗИ получает у Ответственного новые ключи.
АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ -
САРАЕВСКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН РЯЗАНСКОЙ ОБЛАСТИ
ЖУРНАЛ N _____
ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ,
ЭКСПЛУАТАЦИОННОЙ И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ,
КЛЮЧЕВЫХ ДОКУМЕНТОВ
Начат: "____" ____________ 20 ____ г.
Окончен: "____" ____________ 20 ____ г.
|
N п/п |
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов |
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов |
Номера экземпляров (криптографические номера) ключевых документов |
Отметка о получении |
Отметка о выдаче |
||
|
От кого получены |
Дата и номер сопроводительного письма |
Ф.И.О. пользователя СКЗИ |
Дата и расписка в получении |
||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отметка о подключении (установке СКЗИ) |
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов |
Примечание |
||||
|
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку) |
Дата подключения (установки) и подписи лиц, произведших подключение (установку) |
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ |
Дата изъятия (уничтожения) |
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение) |
Номер акта или расписка об уничтожении |
|
|
9 |
10 |
11 |
12 |
13 |
14 |
15 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В журнале прошито, пронумеровано
и скреплено печатью для документов
__ (_________) листов
Инструкция по ведению журнала
Настоящий журнал разработан в соответствии с формой, утвержденной
Приказом ФАПСИ от 13.07.2001 N 152 (Приложение N 2).
Настоящий журнал введен в действие в администрации муниципального
образования - Сараевский муниципальный район Рязанской области,
поскольку для защиты информации в министерстве цифрового развития,
информационных технологий и связи Рязанской области применяются
криптографические средства защиты информации.
В графе "Наименование СКЗИ, эксплуатационной и технической
документации к ним, ключевых документов" указывается наименование СКЗИ,
например "ViPNet Client 4", а также наименование имеющейся
эксплуатационной и технической информации, например "Формуляр",
"Руководство пользователя". Здесь же указываются названия ключевых
документов. Под "ключевым документом" подразумевается физический
носитель ключевой информации с записанной на него ключевой информацией,
например электронный ключ eToken или RuToken, дискета, компакт-диск. В
случае, если ключевая информация хранится на жестком диске, указывается
серийный номер тома диска, который можно получить, выполнив команду dir
в командной строке Windows.
В графе "Серийные номера СКЗИ, эксплуатационной и технической
документации к ним, номера серий ключевых документов" указываются
серийные номера СКЗИ, а также номера имеющейся документации при наличии.
Серийные номера СКЗИ указаны на самих СКЗИ и/или в формулярах.
В графе "Номера экземпляров (криптографические номера) ключевых
документов" указываются номера экземпляров ключевых документов. Как
правило, ключевые документы издаются в единственном экземпляре.
В графе "От кого получены или ФИО ОКЗ, изготовившего ключевые
документы" указывается название организации-распространителя
криптографических средств (лицензиата ФСБ), например: "ООО
"Информационный центр" . В случае, если ключевые документы изготовлены
органом криптографической защиты (ОКЗ) самостоятельно, указывается ФИО
сотрудника, изготовившего ключевые документы.
В графе "Дата и номер сопроводительного письма или дата
изготовления ключевых документов и расписка в изготовлении" указываются
дата и номер сопроводительного письма, которое сопровождало передачу
СКЗИ. В случае, если ключевые документы изготовлены органом
криптографической защиты (ОКЗ) самостоятельно, в этой графе сотрудник,
изготовивший ключевые документы, ставит свою подпись.
В графе "ФИО пользователя СКЗИ" указываются Фамилия Имя и Отчество
(инициалы) сотрудника, использующего данный экземпляр СКЗИ (ключевого
документа).
В графе "Дата и расписка в получении" указывается дата получения
СКЗИ сотрудником и ставится его подпись.
В графе "ФИО сотрудника ОКЗ, установившего СКЗИ" указывается
Фамилия и инициалы сотрудника ОКЗ, производившего установку
(инсталляцию) криптографического средства.
В графе "Дата установки и подписи лиц" указывается дата установки
(инсталяции) СКЗИ и лица, производившие установку ставят свои подписи.
В графе "Номера ТС, в которые установлено СКЗИ" указываются
серийные или инвентарные номера технических средств (компьютеров,
моноблоков, ноутбуков и т. д.), на которые было установлено СКЗИ.
В графе "Дата уничтожения" указывается дата уничтожение ключевых
носителей и/или ключевых документов.
В графе "ФИО сотрудника, уничтожившего (изъявшего) СКЗИ" ставится
ссылка на акт уничтожения, в котором указаны ФИО председателя и членов
комиссии по уничтожению.
В графе "Номер акта об уничтожении" указывается номер и дата акта
уничтожения СКЗИ.