Поиск по сайту

Постановление № 211 от 19.04.2019г. "Об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район»Ульяновской области"

АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИ

«КУЗОВАТОВСКИЙ РАЙОН» УЛЬЯНОВСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

 

19 апреля  2019 г.                                                          №211

р.п. Кузоватово

 

 

Об организации и обеспечении безопасности

хранения, обработки и  передачи по каналам

связи с использованием  средств криптографической

защиты информации  с ограниченным доступом,

не содержащей  сведений, составляющих

государственную тайну, в администрации

муниципального образования «Кузоватовский

район»Ульяновской области

 

В целях исполнения требований Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утверждённой приказом ФАПСИ от 13 июня 2001 г. №152 и в соответствии с требованиями приказа ФСБ России от 09.02.2005 г.№ 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», администрация муниципального образования «Кузоватовский район» Ульяновской области   постановляет:

 1.Назначить ответственным за организацию работ по криптографической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области  начальника отдела по административной реформе и информационным технологиям администрации муниципального образования «Кузоватовский  район» Ульяновской области Емелину Светлану Викторовну.

2.Утвердить:

2.1. Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации  с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области  (Приложение 1);

 2.2. Инструкцию ответственного за организацию работ по криптографической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области (Приложение 2);

 2.3. Инструкцию пользователей средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области  (Приложение 3);

2.4.Форму Перечня пользователей  средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области  (Приложение 4);

2.5. Форму Журнала поэкземплярного учёта средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области,  эксплуатационной и технической документации к ним, ключевых документов (Приложение 5);

2.6.Форму Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях,  и ключевых документов (Приложение 6).

3. Настоящее постановление вступает в силу после его официального обнародования.

4.  Контроль за исполнением настоящего постановления возложить на руководителя аппарата администрации муниципального образования «Кузоватовский район» Ульяновской области Озерову Т.Н.

 

 

 

 

Глава администрации

муниципального образования

«Кузоватовский район»

Ульяновской области                                                   А.Н. Вильчик

 

 

 

 

 

 

 

Приложение 1

к постановлению администрации муниципального образования «Кузоватовский район»

от  19.04. 2019 г.  № 211

 

ИНСТРУКЦИЯ

об организации и обеспечении безопасности хранения,  обработки и передачи по каналам связи с использованием средств криптографической защиты информации  с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области

 

                                   1.Общие положения

         Настоящая Инструкция определяет единый порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющихи государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области (далее - СКЗИ), и разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации администрации муниципального образования «Кузоватовский район» Ульяновской области (далее -  Учреждение), которые осуществляют работы с применением СКЗИ.

         Под работами с применением СКЗИ в настоящей Инструкции понимается защищённое подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов, другие действия согласно технической документации на СКЗИ.

         Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

         Настоящая Инструкция в своём составе, терминах и определениях основывается на положениях Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утверждённой приказом ФАПСИ от 13 июня 2001 г. №152 (далее - Инструкция ФАПСИ от 13 июня 2001 г. №152), Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённого приказом ФСБ РФ от 9 февраля 2005 г. № 66, а также Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости, утверждённых приказом ФСБ от 10 июля 2014 г. № 378.

                               2.Термины и определения

Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами;

Исходная ключевая информация - совокупность данных, предназначенных для выработки по определённым правилам криптоключей;

Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;

Ключевой документ - физический носитель определённой структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определённой структуры, предназначенный для размещения на нём ключевой информации (исходной ключевой информации).

Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;

Орган криптографической защиты (ОКЗ) – отраслевой (функциональный) орган Учреждения, работник Учреждения или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.

Ответственный за организацию работ по криптографической защите информации (Ответственный) – сотрудник Учреждения, отвечающий за реализацию мероприятий связанных с обеспечением в Учреждении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.

Пользователи СКЗИ - работники Учреждения, непосредственно допущенные к работе с СКЗИ.

Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при её обработке и хранении.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

3.Порядок получения допуска пользователей к работе с СКЗИ

Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.

Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Учреждения.

Контроль за реализацией данных мероприятий возлагается на Ответственного.

                                   4.Работа с СКЗИ

Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено. В организации должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.

Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть промаркированы и должны использоваться, учитываться и храниться в общем порядке. Все копии учитываются за отдельным номером.

         Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учёту в Журнале поэкземплярного учёта СКЗИ. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.

         Каждый ключевой документ должен быть зарегистрирован в Журнале поэкземплярного учёта СКЗИ.

         Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только с разрешения руководителя  Учреждения  с  соответствующей пометкой в Журнале поэкземплярного учёта.

        Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем Журнале поэкземплярного учёта пользователям СКЗИ, несущим персональную ответственность за их сохранность.

        При обнаружении на рабочей станции с установленным СКЗИ, программного обеспечения, не соответствующего объёму и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.

        Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

         Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.

 Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в Учреждение или по его указанию должны быть уничтожены на месте.

Уничтожение криптоключей (исходной ключевой информации) может производиться путём физического уничтожения ключевого носителя, на котором они расположены, или путём стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).

Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями Учреждения, производившего запись криптоключей (исходной ключевой информации).

Ключевые носители уничтожают путём нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями  Учреждения, производившего запись криптоключей (исходной ключевой информации).

Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.

Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств.

Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стёрта).

Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих Журналах поэкземплярного учёта. В эти же сроки с отметкой в техническом (аппаратном) Журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищённом виде данные следует перешифровать на новых криптоключах.

 

     5.Действия в случае компрометации ключей

         О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.

         К компрометации ключей относятся следующие события:

утрата носителей ключа;

утрата иных носителей ключа с последующим обнаружением;

возникновение подозрений на утечку ключевой информации или её искажение;

нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;

утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

доступ посторонних лиц к ключевой информации;

другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.

          В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.

         Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).

          Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается ОКЗ.

 

6. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним

Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы (далее - спецпомещения), должны исключать возможность неконтролируемого доступа и использования СКЗИ посторонними лицами, а также просмотра посторонними лицами ведущихся там работ.

Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надёжное закрытие помещений в нерабочее время.

Окна спецпомещений, расположенных на первых и последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, должны быть оборудованы металлическими решётками или охранной сигнализацией.

В спецпомещениях для хранения ключевых документов пользователям СКЗИ необходимо иметь надёжно запираемые шкафы индивидуального пользования, оборудованные приспособлениями для опечатывания замочных скважин. Ключи от шкафов должны находиться у соответствующих Пользователей СКЗИ. Опечатанные шкафы пользователей СКЗИ могут быть вскрыты только самими пользователями.

При обнаружении признаков, указывающих на возможное несанкцио-нированное проникновение в индивидуальные шкафы пользователей СКЗИ посторонних лиц, о случившемся немедленно сообщается непосредственному руководителю и в ОКЗИ.

                  7.Ответственность лиц, допущенных к работе с СКЗИ

         За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

 

___________

 

 

 

Приложение 2

к постановлению  администрации

муниципального образования

«Кузоватовский район»

Ульяновской области

от  19.04. 2019  г. № 211

 

ИНСТРУКЦИЯ

ответственного за организацию работ по криптографической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области

 

1. Общие положения

        

          Настоящая Инструкция разработана в целях регламентации действий лиц, ответственных за организацию работ по криптографической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, (далее – Ответственный) в администрации муниципального образования «Кузоватовский район» Ульяновской области (далее – Учреждение), которые осуществляют работы с применением средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, (далее – СКЗИ).

         Под работами с применением СКЗИ в настоящей Инструкции понимается защищённое подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.

Ответственный назначается руководителем Учреждения из числа её работников.

         Данная Инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

         Настоящая Инструкция в своём составе, терминах и определениях основывается на положениях Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утверждённой приказом ФАПСИ от 13 июня  2001 г. №152 (далее - Инструкция ФАПСИ от 13 июня 2001 г. №152), Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённого приказом ФСБ РФ от 9 февраля 2005 г. № 66, а также Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости, утверждённых приказом ФСБ от 10 июля 2014 г.№ 378.

 

2.Термины и определения

Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.

Исходная ключевая информация - совокупность данных, предназначенных для выработки по определённым правилам криптоключей.

Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определённого срока.

Ключевой документ - физический носитель определённой структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.

Ключевой носитель – физический носитель определённой структуры, предназначенный для размещения на нём ключевой информации (исходной ключевой информации).

Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

   Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.

Орган криптографической защиты (ОКЗ) – отраслевой (функциональный) орган Учреждения, работник Учреждения или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.

Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Учреждения в рамках исполнения должностных обязанностей.

Пользователи СКЗИ – работники Учреждения, непосредственно допущенные к работе с СКЗИ.

Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при её обработке и хранении.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

3.Обязанности Ответственного

При реализации мероприятий, связанных с обеспечением в Учреждении  безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться действующим законодательством Российской Федерации, Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации  с ограниченным доступом, не содержащей сведений, составляющих государственную тайну в администрации муниципального образования «Кузоватовский район» Ульяновской области , а так же настоящей Инструкцией.

На Ответственного возлагается проведение следующих мероприятий:

Ведение Журнала поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

Хранение установочных комплектов СКЗИ, эксплуатационной и технической документации к ним;

Принятие ключевых документов к СКЗИ от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;

Своевременная актуализация перечня пользователей СКЗИ;

Ежегодная проверка наличия СКЗИ, эксплуатационной и технической документации к ним, согласно Журналу поэкземплярного учёта СКЗИ.

Ответственный обязан:

Не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;

Обеспечивать сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;

Обеспечить соблюдение требований к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;

Контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;

Немедленно уведомлять непосредственного руководителя о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;

Не допускать ввод одного номера лицензии на право использования СКЗИ более чем на одно рабочее место.

4.Права Ответственного

В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:

Требовать от пользователей СКЗИ соблюдения положений Инструкции  об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации  с ограниченным доступом, не содержащей сведений, составляющих государственную тайну в администрации муниципального образования «Кузоватовский район» Ульяновской области и Инструкции пользователя СКЗИ;

Обращаться  к непосредственному руководителю с предложением прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;

Инициировать проведение служебных расследований по фактам нарушения в Учреждении  порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

5.Порядок передачи обязанностей при смене Ответственного

         При смене Ответственного должны быть внесены соответствующие изменения в постановление об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации  с ограниченным доступом, не содержащей сведений, составляющих государственную тайну в администрации муниципального образования «Кузоватовский район» Ульяновской области. Вновь назначенный Ответственный должен быть ознакомлен под роспись с настоящей Инструкцией и приступить к исполнению возложенных на него обязанностей.

6.Ответственность за невыполнение настоящей Инструкции

         За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

_______________

 

Приложение 3

к постановлению  администрации

муниципального образования

«Кузоватовский район»

Ульяновской области

от  19.04.2019  г. № 211

 

ИНСТРУКЦИЯ

пользователей средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в администрации муниципального образования «Кузоватовский район» Ульяновской области

 

1. Общие положения

         Настоящая Инструкция разработана в целях регламентации действий работников, допущенных к работам с использованием средств криптографической защиты информации (далее - Пользователей),  в администрации муниципального образования «Кузоватовский район» Ульяновской области (далее  -  Учреждение).

         Под работами с применением СКЗИ в настоящей Инструкции понимается защищённое подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.

         Данная Инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

         Настоящая Инструкция в своём составе, терминах и определениях основывается на положениях Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утверждённой приказом ФАПСИ от 13 июня  2001 г. №152 (далее - Инструкция ФАПСИ от 13 июня 2001 г. №152), Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённого приказом ФСБ РФ от 9 февраля 2005 г. № 66, а также Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости, утверждённых приказом ФСБ от 10 июля 2014  г. № 378.

 

                                         2.Термины и определения

Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами;

Исходная ключевая информация - совокупность данных, предназначенных для выработки по определённым правилам криптоключей;         Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определённого срока;

Ключевой документ - физический носитель определённой структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определённой структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).

Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;

Орган криптографической защиты (ОКЗ) – отраслевой (функциональный) орган Учреждения, работник Учреждения  или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.

Ответственный за организацию работ по криптографической защите информации (Ответственный) – сотрудник Учреждения, отвечающий за реализацию мероприятий, связанных с обеспечением в Учреждении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Учреждения в рамках исполнения должностных обязанностей.

Пользователи СКЗИ – работники Учреждения, непосредственно допущенные к работе с СКЗИ.

Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и(или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при её обработке и хранении.

 Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Обязанности пользователей СКЗИ

          Пользователи СКЗИ обязаны:

соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;

обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;

соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;

незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;

при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;

при подозрении на компрометацию ключевой документации, а также при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.

          Пользователям СКЗИ запрещается:

выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы и т.п.);

оставлять ключевые носители с ключевой документацией без присмотра;

записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);

вносить любые изменения в программное обеспечение СКЗИ;

Ответственность пользователей СКЗИ

         За нарушение установленных требований по эксплуатации криптосредств пользователь СКЗИ несёт ответственность в соответствии с действующим законодательством Российской Федерации.

 

 

___________

 

от  19.04. 2019  г. №211

 

Приложение 4

к постановлению администрации муниципального образования

«Кузоватовский район»

Ульяновской области

 

 

 

ЖУРНАЛ

поэкземплярного учёта СКЗИ, эксплуатационной

и технической документации к ним, ключевых документов

(для обладателя конфиденциальной информации)

 

 

                                                                                                              Начат: «___» ____________ 20__ г.

Окончен: «___» ____________ 20__ г.


 



п/п

Наимено-вание СКЗИ,
эксплуата-ционной и
техничес-кой докумен-тации к
ним, ключевыхдокумен-тов

Серийные  
номера    
СКЗИ, эксплуа-тационной и техничес-кой  
докумен-тации к ним,
номера серий ключевых докумен-тов

Номера   
экземпля-ров (крипто-графи-
ческие номера) ключевых докумен-тов

Отметка о получении

Отметка о выдаче

Отметка о подключении  
(установке СКЗИ)

Отметка об изъятии СКЗИ из 
аппаратных средств, уничтожении ключевых документов

При-меча-ние

 

От кого полу-чены

Дата и номер сопроводи-тельного письма

Ф.И.О. пользо-вателя СКЗИ

Дата и рас-писка в полу-чении

Ф.И.О. сотрудников органа криптогра-фической защиты, пользовате-лей СКЗИ, произвед-шихподключе-ние (установку)

Дата подклю-чения (установки) подписи лиц, произведших подлкючение (установку)

Номера аппарат-ных средств, в которые установ-лены или к которым подклю-чены СКЗИ

Дата изъятия (уничтожения)

Ф.И.О. сотрудников органа криптографии-ческой защиты, пользователя СКЗИ, производивших изъятие (уничтожение)

Номер акта или расписка об уничто-жении

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 5

к постановлению  администрации муниципального образования

«Кузоватовский район»

Ульяновской области

от   19.04.2019  г. №.211

 

 

Перечень пользователей допущенных к работе с СКЗИ

 

ФИО сотрудника

Должность

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Приложение 6

к постановлению администрации муниципального образования

«Кузоватовский район»

Ульяновской области

от  19.04.2019  г. № 211

 

Форма Акта № ______ от «__» ________ 20__ г. (форма)

об уничтожении криптографических ключей, содержащихся на ключевых носителях,  и ключевых документов

Комиссия _____________________________________________________в составе:

                                                                     (название организации)

__________________________________________________________________

произвела уничтожение криптографических ключей, содержащихся на ключевых носителях, и ключевых документов:

№ п/п

Учетный

номер

ключевого

носителя

(документа)

Номер

(идентификатор)

криптографического

ключа, наименование

документа

Владелец ключа

(документа)

Количество

ключевых

носителей

(документов)

Номера

экземпляров

 

 

 

 

 

 

 

 

 

 

 

 

 

Всего уничтожено _______ криптографических ключей на _______ ключевых носителях.

Уничтожение криптографических ключей выполнено путём их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.

Записи Акта сверены с записями в Журнале поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Факт списания с учёта ключевых носителей в Журнале поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:

 

 

Председатель комиссии

____________________/___________________

 

Члены комиссии:

 

 

 

 

____________________/___________________

____________________/___________________

____________________/___________________

    Новости