ЧĂВАШ РЕСПУБЛИКИ
ЭЛĔК РАЙОН
АДМИНИСТРАЦИЙĔ
ХУШУ
27.10.2014 № 12
Элĕк сали
ЧУВАШСКАЯ РЕСПУБЛИКА
АДМИНИСТРАЦИЯ
АЛИКОВСКОГО РАЙОНА
РАСПОРЯЖЕНИЕ
27.10.2014 № 12
с. Аликово
Об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты
В целях выполнения требований законодательства Российской Федерации в области защиты информации при ее передаче по открытым каналам в связи с использованием средств криптографической защиты:
Назначить ответственным пользователем криптосредств администрации Аликовского района заведующего сектором информационного обеспечения В.В. Григорьева.
-
Утвердить:
Инструкцию ответственного пользователя криптосредств администрации Аликовского района (Приложение № 1).
Инструкцию пользователя криптосредств администрации Аликовского района (Приложение № 2).
Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных (пользователи криптосредств) администрации Аликовского района (Приложение № 3).
-
Форму Журнала поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (Приложение № 4).
Форму Лицевого счета пользователя криптосредств (Приложение № 5).
Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава администрации
Аликовского района А.Н. Куликов
Приложение № 1
УТВЕРЖДЕНА
распоряжением администрации Аликовского района
от «27» октября 2014 г. № 12
Инструкция ответственного пользователя криптосредств
администрации Аликовского района
-
ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Инструкция ответственного пользователя криптосредств администрации Аликовского района (далее - Инструкция) определяет основные обязанности и права ответственного пользователя криптосредств.
Ответственный пользователь криптосредств назначается распоряжением администрации Аликовского района (далее – Администрация) и отвечает за организацию, обеспечение функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).
Ответственный пользователь криптосредств должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
В своей деятельности, связанной с обработкой персональных данных ответственный пользователь криптосредств руководствуется настоящей Инструкцией.
-
ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ
Ответственный пользователь криптосредств обязан:
Соблюдать требования нормативных актов Администрации, устанавливающих порядок работы с персональными данными.
-
Осуществлять контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:
контролировать соблюдение условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
обеспечивать надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;
вносить предложения по режиму охраны помещений, в которых установлены криптосредства или хранятся ключевые документы к ним;
вести Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);
выдавать пользователям криптосредств экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;
вести на каждого пользователя криптосредств Лицевой счет, в котором регистрировать числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы;
контролировать передачу криптосредств, эксплуатационной и технической документации к ним, ключевых документов между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующем Журнале;
пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование криптосредств, а также аппаратных и аппаратно-программных криптосредствах;
контролировать получение и доставку криптосредств, эксплуатационной и технической документации к ним;
заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;
контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам, или, если срок уничтожения эксплуатационной и технической документацией не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;
выводить из действия носители ключевой информации (далее - НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;
принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;
проводить инструктаж пользователей криптосредств по правилам работы с криптосредствами и ключевыми документами.
Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с криптосредствами или нарушения функционирования криптосредств.
Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
Контролировать исполнение пользователями криптосредств требований нормативных актов Администрации в части обеспечения защиты персональных данных с помощью криптосредств.
-
Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей криптосредств информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:
в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;
о факте компрометации ключевой информации пользователями криптосредств совместно с ответственным пользователем криптосредств производится информирование всех заинтересованных участников информационного обмена;
выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;
для своевременного восстановления связи пользователю криптосредств выдается новый НКИ; для этого создаётся резервный запас НКИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного пользователя криптосредств.
Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного пользователя криптосредств. Данные копии применяются с разрешения главы Администрации, если по результатам расследования не было установлено факта компрометации.
Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.
Своевременно информировать главу Администрации о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.
-
ПРАВА ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ
Ответственный пользователь криптосредств имеет право:
Знакомиться с нормативными актами Администрации, регламентирующими процессы обработки персональных данных.
Требовать от пользователей криптосредств соблюдения требований нормативных актов Администрации в части обеспечения защиты информации с помощью криптосредств.
Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей криптосредств, в случае выявления нарушений требований по работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования криптосредств.
Приложение № 2
УТВЕРЖДЕНА
распоряжением администрации Аликовского района
от «27» октября 2014 г. № 12
Инструкция пользователя криптосредств
Администрации Аликовского района
-
ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Инструкция пользователя криптосредств администрации Аликовского района (далее - Инструкция) определяет права и обязанности пользователей криптосредств, порядок обращения с криптосредствами, а также определяет порядок восстановления связи в случае компрометации действующих ключей к криптосредствам.
Пользователем криптосредств является сотрудник администрации Аликовского района (далее – Администрация), включенный в перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных, утвержденный нормативным актом Администрации.
Пользователь криптосредств должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
В своей деятельности, связанной с обработкой персональных данных, пользователь криптосредств руководствуется настоящей Инструкцией.
Пользователи криптосредств несут персональную ответственность за обеспечение конфиденциальности ключевой информации и защиту криптосредств от несанкционированного использования.
-
ОБЯЗАННОСТИ И ПРАВА ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ
Пользователь криптосредств обязан:
соблюдать требования по обеспечению безопасности функционирования криптосредств;
обеспечить конфиденциальность всей информации ограниченного распространения, доступной по роду выполняемых функциональных обязанностей;
сдать ответственному пользователю криптосредств Администрации (далее - Ответственный) носители ключевой информации (далее - НКИ) при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств;
сдать Ответственному НКИ по окончании срока действия сертификата ключа, а также в случае компрометации ключа;
немедленно уведомлять руководителя структурного подразделения или Ответственного о компрометации НКИ, о фактах утраты или недостачи криптосредств;
в пределах своей компетенции предоставлять информацию комиссии, проводящей служебные расследования по фактам компрометации, а также выявлению причин нарушения требований безопасности функционирования криптосредств.
Пользователю криптосредств запрещается:
осуществлять несанкционированное и безучётное копирование ключевых данных;
хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;
передавать НКИ каким бы то ни было лицам, кроме Ответственного;
во время работы оставлять НКИ без присмотра (например, на рабочем столе или в разъеме системного блока ПЭВМ);
хранить на НКИ какую-либо информацию, кроме ключевой;
использовать в помещениях, где применяются криптосредства, личные технические средства, позволяющие осуществлять копирование ключевой информации;
использовать НКИ, выведенные из действия.
Пользователь имеет право:
вносить предложения главе Администрации по вопросам использования криптосредств;
повышать уровень квалификации по использованию криптосредств.
-
ПОРЯДОК ОБРАЩЕНИЯ С КРИПТОСРЕДСТВАМИ
Монтаж и установка криптосредства осуществляются органом криптографической защиты.
Служебные помещения, в которых размещаются криптосредства, должны отвечать всем требованиям по оборудованию и охране, предъявляемым к помещениям, выделенным для работы с конфиденциальной информацией. Для хранения НКИ помещения обеспечиваются сейфами (металлическими шкафами), оборудуются охранной сигнализацией и по убытии сотрудников закрываются, опечатываются личными печатями ответственных лиц (либо закрываются кодовым замком) и сдаются под охрану.
Для хранения НКИ пользователь криптосредств должен быть обеспечен личным сейфом. В случае отсутствия индивидуального сейфа по окончании рабочего дня пользователь криптосредств обязан сдавать НКИ Ответственному.
Дубликаты ключей от сейфов (а также значения кодов – при наличии кодовых замков) пользователей криптосредств должны храниться в сейфе руководителя структурного подразделения или Ответственного в упаковках, опечатанных личными печатями пользователей криптосредств. Несанкционированное изготовление дубликатов ключей запрещено. В случае утери ключа механизм (секрет) замка (либо сам сейф) должен быть заменён.
К эксплуатации криптосредств допускаются лица, прошедшие соответствующую подготовку и изучившие правила пользования данным криптосредством.
Все программное обеспечение ПЭВМ, предназначенной для установки криптосредств, должно иметь соответствующие лицензии. Установка средств разработки и отладки программ на рабочую станцию, использующую криптосредства, не допускается.
-
ВОССТАНОВЛЕНИЕ СВЯЗИ В СЛУЧАЕ КОМПРОМЕТАЦИИ ДЕЙСТВУЮЩИХ КЛЮЧЕЙ К КРИПТОСРЕДСТВАМ
Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию владельца НКИ и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
утрата (хищение) НКИ, в том числе – с последующим их обнаружением;
увольнение (переназначение) сотрудников, имевших доступ к НКИ;
передача секретных ключей по линии связи в открытом виде;
нарушение правил хранения НКИ;
вскрытие фактов утечки передаваемой информации или её искажения (подмены, подделки);
ошибки при совершении криптографических операций;
несанкционированное или безучётное копирование ключевой информации;
все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда НКИ вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
При наступлении любого из перечисленных выше событий пользователь криптосредств или владелец НКИ должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) Ответственному лично, по телефону, электронной почте или другим доступным способом. В любом случае пользователь криптосредств или владелец НКИ обязан убедиться, что его сообщение получено и прочтено.
При подтверждении факта компрометации действующих ключей пользователь криптосредств обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу Ответственному в течение 3 рабочих дней.
Для восстановления конфиденциальной связи после компрометации действующих ключей пользователь криптосредств получает у Ответственного новые ключи.
Лист ознакомления
с Инструкцией пользователя криптосредств
администрации Аликовского района
№ п/п
|
Ф.И.О.
|
Должность
|
Дата
|
Подпись
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение № 3
УТВЕРЖДЕН
распоряжением администрации Аликовского района
от «27» октября 2014 г. № 12
Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных (пользователи криптосредств) администрации Аликовского района
№ п/п
|
ФИО Сотрудника
|
Должность
|
|
Куликов Александр Николаевич
|
глава администрации Аликовского района
|
|
Никитина Лидия Михайловна
|
первый заместитель главы администрации Аликовского района - начальник управления экономики, сельского хозяйства, строительства и развития общественной инфраструктуры
|
|
Григорьев Владислав Вячеславович
|
заведующий сектором информационного обеспечения администрации Аликовского района
|
|
Яжикова Алина Иннокентиевна
|
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
|
|
Егорова Светлана Владимировна
|
ведущий специалист-эксперт сектора информационного обеспечения
|
|
Григорьева Наталья Владимировна
|
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
|
|
Леонтьева Татьяна Юрьевна
|
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
|
Приложение № 4
УТВЕРЖДЕН
распоряжением администрации
Аликовского района
от «27» октября 2014 г. № 12
Журнал
поэкземплярного учета криптосредств, эксплуатационной
и технической документации к ним, ключевых документов
№
п/п
|
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
|
Серийные
номера
СКЗИ,
эксплуатационной и
технической документации к ним, номера серий
ключевых
документов
|
Номера
экземпляров (криптографические
номера)
ключевых документов
|
Отметка
о получении
|
Отметка
о выдаче
|
Отметка о подключении
(установке) СКЗИ
|
Отметка об изъятии СКЗИ из
аппаратных средств,
уничтожении ключевых
документов
|
Примечание
|
От кого
получено
|
Дата и номер сопроводительного письма
|
Ф.И.О.
пользователя СКЗИ
|
Дата и
расписка в получении
|
Ф.И.О.
сотрудников органа криптографической защиты, пользователя СКЗИ,
произведших подключение (установку)
|
Дата
подключения
(установки) и подписи лиц, произведших подключение
(установку)
|
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ
|
Дата изъятия (уничтожения)
|
Ф.И.О.
сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)
|
Номер
акта или расписка об уничтожении
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение № 5
УТВЕРЖДЕН
распоряжением администрации Аликовского района
от «27» октября 2014 г. № 12
ЛИЦЕВОЙ СЧЕТ
пользователя криптосредств
_______________________________________________________________________________
(должность, ФИО)
№ п/п
|
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
|
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
|
Номера экземпляров (криптографические номера) ключевых документов
|
Отметка о получении
|
Отметка о передаче
|
Отметка о возврате, уничтожении
|
Примечание
|
От кого получено
|
Дата и расписка в получении
|
Кому передано СКЗИ
|
Дата и расписка в передаче
|
Дата возврата (уничтожения)
|
Расписка о возврате (уничтожении)
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
