Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Администрации муниципального образования - Сараевский муниципальный район Рязанской области от 3 марта 2020 г. N 112 "Об утверждении документов, определяющих политику администрации муниципального образования - Сараевский муниципальный район Рязанской области в отношении обработки персональных данных"
- Приложение N 14. Инструкция ответственного пользователя средств криптографической защиты информации администрации муниципального образования - Сараевский муниципальный район Рязанской области
Приложение N 14. Инструкция ответственного пользователя средств криптографической защиты информации администрации муниципального образования - Сараевский муниципальный район Рязанской области
Приложение N 14
к постановлению
администрации
муниципального образования -
Сараевский муниципальный район
Рязанской области
от 03.03.2020 N 112
Инструкция
ответственного пользователя средств криптографической защиты информации администрации муниципального образования - Сараевский муниципальный район Рязанской области
1. Общие положения
1.1. Настоящая Инструкция ответственного пользователя средств криптографической защиты информации администрации муниципального образования - Сараевский муниципальный район Рязанской области (далее соответственно - Инструкция, администрация) определяет основные обязанности и права ответственного пользователя средств криптографической защиты информации.
1.2. Ответственный пользователь средств криптографической защиты информации назначается приказом главы администрации (далее - глава) и отвечает за организацию, обеспечение функционирования и безопасности средств криптографической защиты информации (далее - СКЗИ), предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).
1.3. Ответственный пользователь СКЗИ должен знать нормативные акты Российской Федерации, Рязанской области и муниципального образования - Сараевский муниципальный район Рязанской области, методические материалы в сфере обработки персональных данных, в том числе распорядительные документы Администрации в сфере обработки персональных данных.
1.4. В своей деятельности, связанной с обработкой персональных данных ответственный пользователь СКЗИ руководствуется настоящей Инструкцией.
2. Обязанности ответственного пользователя СКЗИ
Ответственный пользователь СКЗИ обязан:
2.1. Соблюдать требования нормативных актов, устанавливающих порядок работы с персональными данными.
2.2. Осуществлять текущий контроль за организацией, обеспечением функционирования и безопасности СКЗИ, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:
- контролировать соблюдение условий использования СКЗИ, предусмотренных эксплуатационной и технической документацией к ним;
- обеспечивать надежное хранение эксплуатационной и технической документации к СКЗИ, ключевых документов, носителей информации ограниченного распространения;
- вносить предложения по режиму охраны помещений, в которых установлены СКЗИ или хранятся ключевые документы к ним;
- вести Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);
- выдавать пользователям СКЗИ экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;
- контролировать передачу СКЗИ, эксплуатационной и технической документации к ним, ключевых документов между пользователями СКЗИ и (или) ответственным пользователем СКЗИ под расписку в соответствующем Журнале;
- пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратных и аппаратно-программных СКЗИ;
- контролировать получение и доставку СКЗИ, эксплуатационной и технической документации к ним;
- заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;
- контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ, или, если срок уничтожения эксплуатационной и технической документацией не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;
- выводить из действия носители ключевой информации (далее - НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;
- принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;
- проводить инструктаж пользователей СКЗИ по правилам работы с СКЗИ и ключевыми документами.
2.3. Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с СКЗИ или нарушения функционирования СКЗИ.
2.4. Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования СКЗИ, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
2.5. Контролировать исполнение пользователями СКЗИ требований нормативных актов в части обеспечения защиты персональных данных с помощью СКЗИ.
2.6. Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей СКЗИ информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:
- в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;
- о факте компрометации ключевой информации пользователями СКЗИ совместно с ответственным пользователем СКЗИ производится информирование всех заинтересованных участников информационного обмена;
- выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;
- для своевременного восстановления связи пользователю СКЗИ выдается новый НКИ; для этого создается резервный запас НКИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного пользователя СКЗИ.
2.7. Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного пользователя СКЗИ. Данные копии применяются с разрешения Главы, если по результатам расследования не было установлено факта компрометации.
2.8. Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.
2.9. Своевременно информировать Главу о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.
3. Права ответственного пользователя СКЗИ
Ответственный пользователь СКЗИ имеет право:
3.1. Знакомиться с Нормативными актами, регламентирующими процессы обработки персональных данных.
3.2. Требовать от пользователей СКЗИ соблюдения требований Нормативных актов в части обеспечения защиты информации с помощью СКЗИ.
3.3. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей СКЗИ, в случае выявления нарушений требований по работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования СКЗИ.