«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц»


Скачать 84.2 Kb.
Название «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц»
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
«Требования к обеспечению информационной безопасности
на рабочем месте Пользователя УЦ»

г. Орел 14 июля 2009г.

  1. Общие положения

  1. Системы защищенного электронного документооборота.

Обмен электронными документами между участниками защищенного электронного документооборота осуществляются с электронной цифровой подписью. Целостность и подлинность информации при обмене документами обеспечивается средством криптографической защиты информации (СКЗИ).

  1. Представление налоговых деклараций и бухгалтерской отчетности в ИФНС РФ.

Обмен электронными документами между Специализированным Оператором Связи, Налоговым Органом и Налогоплательщиком осуществляется посредством Системы защищенного документооборота «СТЭК – Траст» по обмену открытой и конфиденциальной информацией в электронном виде с электронной цифровой подписью. Целостность и подлинность информации, проходящей через Систему, обеспечивается СКЗИ.

  1. Представление сведений персонифицированного учета в УПФР.

Обмен электронными документами между УПФР и Страхователем осуществляется посредством Системы защищенного документооборота «СТЭК – Траст» по обмену открытой и конфиденциальной информацией в электронном виде с электронной цифровой подписью. Целостность и подлинность информации, проходящей через Систему, обеспечивается СКЗИ.

  1. Конфиденциальность информации

В целях обеспечения конфиденциальности информации, Пользователь УЦ обязан выполнять требования к обеспечению информационной безопасности, руководствуясь нормативно – правовыми актами в области защиты информации, не содержащей сведений, отнесенных к государственной тайне РФ:

  • Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрировано в Минюсте РФ 06.08.2001 № 2848)

  • Приказ ФАПСИ от 23.09.1999 № 158 «Об утверждении положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрировано в Минюсте РФ 28.12.1999 № 2029)

  • Федеральный Закон от 20.02.1995 № 24-ФЗ (ред. от 10.01.2003) «Об информации, информатизации и защите информации» (принят ГД ФС РФ 25.01.1995)

  • Эксплуатационная документация на СКЗИ.




  1. Учет, хранение и эксплуатация СКЗИ и ключей ЭЦП Пользователем УЦ




  1. Пользователь УЦ (юридическое или физическое лицо), организующий работу в системе защищенного электронного документооборота для обмена документами по телекоммуникационным каналам связи, обязан:

    • определить и утвердить порядок учета, хранения и использования СКЗИ и носителей закрытых ключей шифрования и ЭЦП;

    • обеспечить условия хранения носителей закрытых ключей шифрования и ЭЦП, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации и паролей отзыва ключей.

  2. Требования по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены СКЗИ:

    • Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), должны обеспечивать безопасность информации, СКЗИ и ключей шифрования и ЭЦП, сведение к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.

    • Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования конкретной структуры предприятия.

    • При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки.

    • Для хранения ключей шифрования и ЭЦП, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством предприятия.

    • Устанавливаемый руководителем предприятия порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

    • Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ.

    • Системные блоки ЭВМ с СКЗИ должны быть оборудованы средствами контроля их вскрытия.

    • Для работы со СКЗИ привлекаются уполномоченные лица, назначенные соответствующим приказом руководителя организации и изучившие пользовательскую документацию и эксплуатационную документацию на СКЗИ и систему защищенного документооборота.

  3. Уполномоченные лица, назначенные для эксплуатации автоматизированного рабочего места (АРМ) СКЗИ и для осуществления обмена информацией в электронном виде с использованием ключей шифрования и ЭЦП, несут персональную ответственность за:

    • сохранение в тайне конфиденциальной информации, ставшей им известной в процессе работы с системой защищенного документооборота и СКЗИ;

    • сохранение в тайне содержания закрытых ключей шифрования и ЭЦП и защита их от компрометации;

    • сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;

    • сохранность в тайне паролей для отзыва ключей шифрования и ЭЦП.

  4. При работе о СКЗИ запрещается:

    • осуществлять несанкционированное копирование магнитных носителей ключевой информации;

    • разглашать содержимое магнитных носителей ключевой информации, а также передавать их лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер, за исключением случаев, предусмотренных эксплуатационной документацией;

    • использовать в работе со СКЗИ и системой защищенного документооборота скомпрометированные ключи шифрования и ЭЦП;

    • вставлять ключевой носитель в дисковод ПК при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка электронной цифровой подписи и т.д. ), а также в дисководы других ПК;

    • записывать на магнитные носители ключевой информации любую другую информацию;

    • оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении;

    • вносить какие-либо изменения в программное обеспечение СКЗИ;

    • использовать бывшие в работе магнитные носители ключевой информации для записи новой информации, без предварительного уничтожения на дискетах ключевой информации путем их переформатирования при помощи программы, входящей в состав средств криптографической защиты информации;

    • оставлять монитор в непогашенном состоянии. При длительном или кратковременном перерыве в работе с программой необходимо производить гашение экрана, а возобновление активности экрана производить с использованием пароля доступа, задаваемого в конфигурации АРМ;

    • хранить пароли в виде записей на бумажном носителе;

    • осуществлять несанкционированное вскрытие системных блоков АРМ.

В случае обнаружения факта несанкционированного доступа к системным блокам, работа на этих АРМ должна быть прекращена. По данному факту должно проводиться служебное расследование и организовываться работа по анализу и ликвидации негативных последствий данного нарушения.

  1. Аппаратно-программные средства защиты информации от несанкционированного доступа, установленные на АРМ Пользователя УЦ, должны обеспечивать:

    • парольный вход;

    • проверку целостности программного и информационного обеспечения;

    • идентификацию Пользователя УЦ при входе в систему защищенного документооборота;

    • регистрацию действий Пользователя УЦ в электронном журнале.

  2. Администрирование средств криптографической защиты информации, программных и аппаратных средств защиты информации от несанкционированного доступа возлагается на администратора информационной безопасности.

  3. Администратор назначается приказом руководителя организации из числа сотрудников, прошедших соответствующее обучение и имеющих сертификат и (или) свидетельство на право установки и эксплуатации средств криптографической защиты информации.

  4. Администратор информационной безопасности обязан фиксировать действия, связанные с эксплуатацией СКЗИ, в журнале, отражая в нем факты компрометации ключевой информации или ключевых документов, нештатные ситуации, происходящие в системе защищенного документооборота и связанные с использованием СКЗИ, проведение регламентных работ (плановая замена ключей, обновление сертификатов и т.п.).

  5. Пользователь УЦ несет ответственность за то, чтобы на компьютере, на котором установлено СКЗИ и система защищенного документооборота, не были установлены и не эксплуатировались программы (в том числе, - вирусы), которые могут нарушить функционирование СКЗИ и системы защищенного документооборота.

  6. При обнаружении на рабочем месте, оборудованном СКЗИ, посторонних программ или вирусов, нарушающих работу указанных средств, работа со средствами защиты информации на данном рабочем месте должна быть прекращена и должны быть организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения.




  1. Действия Пользователя УЦ в случае компрометации ключей

  1. К событиям, связанным с компрометацией ключей относятся:

    • утрата ключевых дискет;

    • утрата ключевых дискет с последующим обнаружением;

    • увольнение сотрудников, имевших доступ к ключевой информации;

    • нарушение правил хранения ключевой информации и ключевых носителей;

    • возникновение подозрений на утечку информации или ее искажение в системе защищенного документооборота;

    • нарушение печати на сейфе, в котором хранятся ключевые носители;

    • несанкционированное копирование и другие происшествия, в результате которых закрытые ключи ЭЦП и шифрования могли стать доступными несанкционированным лицам и (или) процессам.

Пользователь УЦ самостоятельно должен определить факт компрометации закрытого ключа и оценить значение этого события для Пользователя УЦ. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, переданной с использованием СКЗИ и системы защищенного документооборота, организует и осуществляет сам Пользователь УЦ.

  1. При компрометации закрытых ключей ЭЦП и шифрования Пользователь УЦ руководствуется «Регламентом Удостоверяющего центра». Действия Пользователя УЦ сводятся к следующему:

    • немедленно прекратить использование скомпрометированных ключей шифрования и ЭЦП;

    • немедленно проинформировать администратора Удостоверяющего центра о компрометации ключевой информации;

    • в течение одного рабочего дня направить в Удостоверяющий центр заявление об аннулировании сертификатов скомпрометированных закрытых ключей ЭЦП и шифрования, заверенное рукописной подписью и печатью организации. Заявление должно содержать идентификационные параметры скомпрометированных ключей ЭЦП и шифрования.

Дата и время, не позднее которого закрытые ключи ЭЦП и шифрования будут считаться скомпрометированными, согласовывается с Администратором Удостоверяющего центр. Дата и время, с которой сертификаты ключей ЭЦП и шифрования считаются недействительными в системе защищенного документооборота, устанавливается равной дате и времени отзыва сертификата ключа подписи в списке отозванных сертификатов Удостоверяющего центра.

Похожие:

«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Правила по обеспечению информационной безопасности на рабочем месте
Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную...
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Требования по обеспечению информационной безопасности автоматизированного...
«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкция по эксплуатации •
Поддерживайте чистоту и порядок на рабочем месте. Любая помеха на рабочем месте или на рабочем столе может стать причиной травмы
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкция пользователя автоматизированная (информационная) система...
А(И)С – программное средство автоматизации мероприятий по обеспечению информационной безопасности на объектах информатизации. А(И)С...
«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Действия работников по предупреждению
Основные требования охраны труда и соблюдение техники безопасности на рабочем месте
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Основные требования пожарной безопасности на рабочем месте и в быту....
«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкция по охране труда при работе с бензокосой иот 049 2012 г
К самостоятельному выполнению работ по скашиванию травы бензокосой допускаются лица старше 18 лет, получившие первичный инструктаж...
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon 1. Общие требования безопасности
Повторный инструктаж на рабочем месте через каждые 3 месяца работы, а повторная проверка знаний через каждый год
«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Образец заполнения журнала инструктажа на рабочем месте
Журнал инструктажа на рабочем месте должен быть пронумерован, прошнурован, подписан лицом, ответственным за его ведение и скреплен...
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкция по безопасности на рабочем месте абонента
Автоматизированное рабочее место абонента использует средства криптографической защиты информации (скзи) для обеспечения целостности,...
«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкция по охране труда и технике безопасности при работе с компьютерами,...
Икт и курсы по использованию уло, прошедшие вводный инструктаж по охране труда, инструктаж по технике безопасности непосредственно...
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon 1. Общие требования безопасности
Все вновь поступающие на работу допускаются к исполнению обязанностей только после прохождения вводного инструктажа по охране труда,...
«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Методическая разработка для обучения сотрудников университета (населения)...
Основные требования пожарной безопасности на рабочем месте и в быту. Инструктаж по пожарной безопасности. Инструкция по введению...
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкция по безопасности на рабочем месте заказчика Автоматизированное рабочее место
Автоматизированное рабочее место заказчика (далее – арм) использует скзи для обеспечения целостности, авторства и конфиденциальности...
«Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкци я по охране труда
Кма допускаются лица, не имеющие медицинских противопоказаний к работе по данной специальности, прошедшие инструк­таж по охране труда...
 «Требования к обеспечению информационной безопасности на рабочем месте Пользователя уц» icon Инструкция по охране труда монтажника стальных и железобетонных конструкций
Допуск к самостоятельной работе оформляется письменно в журнале инструктажа на рабочем месте. Перед допуском к работе монтажник должен...

Руководство, инструкция по применению



При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru

Главная

Руководство
ремонт

Руководство
эксплуатация

Инструкция по
эксплуатации

руководство
пользователя

Инструкция по охране труда
Инструкция по пожарной безопасности
bizerba bc ii 800 инструкция
Инструкция «Стопсептикум»
"Индибак софт" инструкция по применению
Руководство автомобиля
Техническое руководство


Руководство разное





Поиск