Распоряжение администрации Аликовского района ЧР от 27.10.2014 N 12 "Об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты"
АДМИНИСТРАЦИЯ АЛИКОВСКОГО РАЙОНА
ЧУВАШСКОЙ РЕСПУБЛИКИ
РАСПОРЯЖЕНИЕ
от 27 октября 2014 г. № 12
ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ МЕР, НАПРАВЛЕННЫХ
НА ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
В целях выполнения требований законодательства Российской Федерации в области защиты информации при ее передаче по открытым каналам в связи с использованием средств криптографической защиты:
1. Назначить ответственным пользователем криптосредств администрации Аликовского района заведующего сектором информационного обеспечения В.В.Григорьева.
2. Утвердить:
2.1. Инструкцию ответственного пользователя криптосредств администрации Аликовского района (Приложение № 1).
2.2. Инструкцию пользователя криптосредств администрации Аликовского района (Приложение № 2).
2.3. Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных (пользователи криптосредств) администрации Аликовского района (Приложение № 3).
2.4. Форму Журнала поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (Приложение № 4).
2.5. Форму Лицевого счета пользователя криптосредств (Приложение № 5).
3. Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава администрации
Аликовского района
А.Н.КУЛИКОВ
Приложение № 1
Утверждена
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ АДМИНИСТРАЦИИ
АЛИКОВСКОГО РАЙОНА
1. Общие положения
1.1. Настоящая Инструкция ответственного пользователя криптосредств администрации Аликовского района (далее - Инструкция) определяет основные обязанности и права ответственного пользователя криптосредств.
1.2. Ответственный пользователь криптосредств назначается распоряжением администрации Аликовского района (далее - Администрация) и отвечает за организацию, обеспечение функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).
1.3. Ответственный пользователь криптосредств должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
1.4. В своей деятельности, связанной с обработкой персональных данных ответственный пользователь криптосредств руководствуется настоящей Инструкцией.
2. Обязанности ответственного пользователя криптосредств
Ответственный пользователь криптосредств обязан:
2.1. Соблюдать требования нормативных актов Администрации, устанавливающих порядок работы с персональными данными.
2.2. Осуществлять контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:
- контролировать соблюдение условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
- обеспечивать надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;
- вносить предложения по режиму охраны помещений, в которых установлены криптосредства или хранятся ключевые документы к ним;
- вести Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);
- выдавать пользователям криптосредств экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;
- вести на каждого пользователя криптосредств Лицевой счет, в котором регистрировать числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы;
- контролировать передачу криптосредств, эксплуатационной и технической документации к ним, ключевых документов между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующем Журнале;
- пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование криптосредств, а также аппаратных и аппаратно-программных криптосредствах;
- контролировать получение и доставку криптосредств, эксплуатационной и технической документации к ним;
- заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;
- контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам, или, если срок уничтожения эксплуатационной и технической документацией не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;
- выводить из действия носители ключевой информации (далее - НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;
- принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;
- проводить инструктаж пользователей криптосредств по правилам работы с криптосредствами и ключевыми документами.
2.3. Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с криптосредствами или нарушения функционирования криптосредств.
2.4. Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
2.5. Контролировать исполнение пользователями криптосредств требований нормативных актов Администрации в части обеспечения защиты персональных данных с помощью криптосредств.
2.6. Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей криптосредств информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:
- в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;
- о факте компрометации ключевой информации пользователями криптосредств совместно с ответственным пользователем криптосредств производится информирование всех заинтересованных участников информационного обмена;
- выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;
- для своевременного восстановления связи пользователю криптосредств выдается новый НКИ; для этого создается резервный запас НКИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного пользователя криптосредств.
2.7. Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного пользователя криптосредств. Данные копии применяются с разрешения главы Администрации, если по результатам расследования не было установлено факта компрометации.
2.8. Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.
2.9. Своевременно информировать главу Администрации о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.
3. Права ответственного пользователя криптосредств
Ответственный пользователь криптосредств имеет право:
3.1. Знакомиться с нормативными актами Администрации, регламентирующими процессы обработки персональных данных.
3.2. Требовать от пользователей криптосредств соблюдения требований нормативных актов Администрации в части обеспечения защиты информации с помощью криптосредств.
3.3. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей криптосредств, в случае выявления нарушений требований по работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования криптосредств.
Приложение № 2
Утверждена
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ АДМИНИСТРАЦИИ АЛИКОВСКОГО РАЙОНА
1. Общие положения
1.1. Настоящая Инструкция пользователя криптосредств администрации Аликовского района (далее - Инструкция) определяет права и обязанности пользователей криптосредств, порядок обращения с криптосредствами, а также определяет порядок восстановления связи в случае компрометации действующих ключей к криптосредствам.
1.2. Пользователем криптосредств является сотрудник администрации Аликовского района (далее - Администрация), включенный в перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных, утвержденный нормативным актом Администрации.
1.3. Пользователь криптосредств должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
1.4. В своей деятельности, связанной с обработкой персональных данных, пользователь криптосредств руководствуется настоящей Инструкцией.
1.5. Пользователи криптосредств несут персональную ответственность за обеспечение конфиденциальности ключевой информации и защиту криптосредств от несанкционированного использования.
2. Обязанности и права пользователя криптосредств
2.1. Пользователь криптосредств обязан:
- соблюдать требования по обеспечению безопасности функционирования криптосредств;
- обеспечить конфиденциальность всей информации ограниченного распространения, доступной по роду выполняемых функциональных обязанностей;
- сдать ответственному пользователю криптосредств Администрации (далее - Ответственный) носители ключевой информации (далее - НКИ) при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств;
- сдать Ответственному НКИ по окончании срока действия сертификата ключа, а также в случае компрометации ключа;
- немедленно уведомлять руководителя структурного подразделения или Ответственного о компрометации НКИ, о фактах утраты или недостачи криптосредств;
- в пределах своей компетенции предоставлять информацию комиссии, проводящей служебные расследования по фактам компрометации, а также выявлению причин нарушения требований безопасности функционирования криптосредств.
2.2. Пользователю криптосредств запрещается:
- осуществлять несанкционированное и безучетное копирование ключевых данных;
- хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;
- передавать НКИ каким бы то ни было лицам, кроме Ответственного;
- во время работы оставлять НКИ без присмотра (например, на рабочем столе или в разъеме системного блока ПЭВМ);
- хранить на НКИ какую-либо информацию, кроме ключевой;
- использовать в помещениях, где применяются криптосредства, личные технические средства, позволяющие осуществлять копирование ключевой информации;
- использовать НКИ, выведенные из действия.
2.3. Пользователь имеет право:
- вносить предложения главе Администрации по вопросам использования криптосредств;
- повышать уровень квалификации по использованию криптосредств.
3. Порядок обращения с криптосредствами
3.1. Монтаж и установка криптосредства осуществляются органом криптографической защиты.
3.2. Служебные помещения, в которых размещаются криптосредства, должны отвечать всем требованиям по оборудованию и охране, предъявляемым к помещениям, выделенным для работы с конфиденциальной информацией. Для хранения НКИ помещения обеспечиваются сейфами (металлическими шкафами), оборудуются охранной сигнализацией и по убытии сотрудников закрываются, опечатываются личными печатями ответственных лиц (либо закрываются кодовым замком) и сдаются под охрану.
3.3. Для хранения НКИ пользователь криптосредств должен быть обеспечен личным сейфом. В случае отсутствия индивидуального сейфа по окончании рабочего дня пользователь криптосредств обязан сдавать НКИ Ответственному.
3.4. Дубликаты ключей от сейфов (а также значения кодов - при наличии кодовых замков) пользователей криптосредств должны храниться в сейфе руководителя структурного подразделения или Ответственного в упаковках, опечатанных личными печатями пользователей криптосредств. Несанкционированное изготовление дубликатов ключей запрещено. В случае утери ключа механизм (секрет) замка (либо сам сейф) должен быть заменен.
3.5. К эксплуатации криптосредств допускаются лица, прошедшие соответствующую подготовку и изучившие правила пользования данным криптосредством.
3.6. Все программное обеспечение ПЭВМ, предназначенной для установки криптосредств, должно иметь соответствующие лицензии. Установка средств разработки и отладки программ на рабочую станцию, использующую криптосредства, не допускается.
4. Восстановление связи в случае компрометации
действующих ключей к криптосредствам
4.1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию владельца НКИ и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
- утрата (хищение) НКИ, в том числе - с последующим их обнаружением;
- увольнение (переназначение) сотрудников, имевших доступ к НКИ;
- передача секретных ключей по линии связи в открытом виде;
- нарушение правил хранения НКИ;
- вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);
- ошибки при совершении криптографических операций;
- несанкционированное или безучетное копирование ключевой информации;
- все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда НКИ вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
4.2. При наступлении любого из перечисленных выше событий пользователь криптосредств или владелец НКИ должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) Ответственному лично, по телефону, электронной почте или другим доступным способом. В любом случае пользователь криптосредств или владелец НКИ обязан убедиться, что его сообщение получено и прочтено.
4.3. При подтверждении факта компрометации действующих ключей пользователь криптосредств обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу Ответственному в течение 3 рабочих дней.
4.4. Для восстановления конфиденциальной связи после компрометации действующих ключей пользователь криптосредств получает у Ответственного новые ключи.
Лист
ознакомления с Инструкцией пользователя криптосредств
администрации Аликовского района
N
п/п
Ф.И.О.
Должность
Дата
Подпись
Приложение № 3
Утвержден
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ПЕРЕЧЕНЬ
СОТРУДНИКОВ, ДОПУЩЕННЫХ К РАБОТЕ С КРИПТОСРЕДСТВАМИ,
ПРЕДНАЗНАЧЕННЫМИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
(ПОЛЬЗОВАТЕЛИ КРИПТОСРЕДСТВ) АДМИНИСТРАЦИИ
АЛИКОВСКОГО РАЙОНА
1.
Куликов
Александр Николаевич
глава администрации Аликовского района
2.
Никитина
Лидия Михайловна
первый заместитель главы администрации Аликовского района - начальник управления экономики, сельского хозяйства, строительства и развития общественной инфраструктуры
3.
Григорьев
Владислав Вячеславович
заведующий сектором информационного обеспечения администрации Аликовского района
4.
Яжикова
Алина Иннокентиевна
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
5.
Егорова
Светлана Владимировна
ведущий специалист-эксперт сектора информационного обеспечения
6.
Григорьева
Наталья Владимировна
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
7.
Леонтьева
Татьяна Юрьевна
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
Приложение № 4
Утвержден
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ЖУРНАЛ
ПОЭКЗЕМПЛЯРНОГО УЧЕТА КРИПТОСРЕДСТВ, ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ
N
п/п
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о выдаче
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
От кого получено
Дата и номер сопроводительного письма
Ф.И.О. пользователя СКЗИ
Дата и расписка в получении
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)
Номер акта или расписка об уничтожении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Приложение № 5
Утвержден
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ЛИЦЕВОЙ СЧЕТ
пользователя криптосредств
___________________________________________________
(должность, ФИО)
N
п/п
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о передаче
Отметка о возврате, уничтожении
Примечание
От кого получено
Дата и расписка в получении
Кому передано СКЗИ
Дата и расписка в передаче
Дата возврата (уничтожения)
Расписка о возврате (уничтожении)
1
2
3
4
5
6
7
8
9
10
11
------------------------------------------------------------------
АДМИНИСТРАЦИЯ АЛИКОВСКОГО РАЙОНА
ЧУВАШСКОЙ РЕСПУБЛИКИ
РАСПОРЯЖЕНИЕ
от 27 октября 2014 г. № 12
ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ МЕР, НАПРАВЛЕННЫХ
НА ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
В целях выполнения требований законодательства Российской Федерации в области защиты информации при ее передаче по открытым каналам в связи с использованием средств криптографической защиты:
1. Назначить ответственным пользователем криптосредств администрации Аликовского района заведующего сектором информационного обеспечения В.В.Григорьева.
2. Утвердить:
2.1. Инструкцию ответственного пользователя криптосредств администрации Аликовского района (Приложение № 1).
2.2. Инструкцию пользователя криптосредств администрации Аликовского района (Приложение № 2).
2.3. Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных (пользователи криптосредств) администрации Аликовского района (Приложение № 3).
2.4. Форму Журнала поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (Приложение № 4).
2.5. Форму Лицевого счета пользователя криптосредств (Приложение № 5).
3. Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава администрации
Аликовского района
А.Н.КУЛИКОВ
Приложение № 1
Утверждена
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ АДМИНИСТРАЦИИ
АЛИКОВСКОГО РАЙОНА
1. Общие положения
1.1. Настоящая Инструкция ответственного пользователя криптосредств администрации Аликовского района (далее - Инструкция) определяет основные обязанности и права ответственного пользователя криптосредств.
1.2. Ответственный пользователь криптосредств назначается распоряжением администрации Аликовского района (далее - Администрация) и отвечает за организацию, обеспечение функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).
1.3. Ответственный пользователь криптосредств должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
1.4. В своей деятельности, связанной с обработкой персональных данных ответственный пользователь криптосредств руководствуется настоящей Инструкцией.
2. Обязанности ответственного пользователя криптосредств
Ответственный пользователь криптосредств обязан:
2.1. Соблюдать требования нормативных актов Администрации, устанавливающих порядок работы с персональными данными.
2.2. Осуществлять контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:
- контролировать соблюдение условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
- обеспечивать надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;
- вносить предложения по режиму охраны помещений, в которых установлены криптосредства или хранятся ключевые документы к ним;
- вести Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);
- выдавать пользователям криптосредств экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;
- вести на каждого пользователя криптосредств Лицевой счет, в котором регистрировать числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы;
- контролировать передачу криптосредств, эксплуатационной и технической документации к ним, ключевых документов между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующем Журнале;
- пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование криптосредств, а также аппаратных и аппаратно-программных криптосредствах;
- контролировать получение и доставку криптосредств, эксплуатационной и технической документации к ним;
- заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;
- контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам, или, если срок уничтожения эксплуатационной и технической документацией не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;
- выводить из действия носители ключевой информации (далее - НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;
- принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;
- проводить инструктаж пользователей криптосредств по правилам работы с криптосредствами и ключевыми документами.
2.3. Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с криптосредствами или нарушения функционирования криптосредств.
2.4. Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
2.5. Контролировать исполнение пользователями криптосредств требований нормативных актов Администрации в части обеспечения защиты персональных данных с помощью криптосредств.
2.6. Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей криптосредств информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:
- в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;
- о факте компрометации ключевой информации пользователями криптосредств совместно с ответственным пользователем криптосредств производится информирование всех заинтересованных участников информационного обмена;
- выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;
- для своевременного восстановления связи пользователю криптосредств выдается новый НКИ; для этого создается резервный запас НКИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного пользователя криптосредств.
2.7. Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного пользователя криптосредств. Данные копии применяются с разрешения главы Администрации, если по результатам расследования не было установлено факта компрометации.
2.8. Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.
2.9. Своевременно информировать главу Администрации о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.
3. Права ответственного пользователя криптосредств
Ответственный пользователь криптосредств имеет право:
3.1. Знакомиться с нормативными актами Администрации, регламентирующими процессы обработки персональных данных.
3.2. Требовать от пользователей криптосредств соблюдения требований нормативных актов Администрации в части обеспечения защиты информации с помощью криптосредств.
3.3. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей криптосредств, в случае выявления нарушений требований по работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования криптосредств.
Приложение № 2
Утверждена
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ АДМИНИСТРАЦИИ АЛИКОВСКОГО РАЙОНА
1. Общие положения
1.1. Настоящая Инструкция пользователя криптосредств администрации Аликовского района (далее - Инструкция) определяет права и обязанности пользователей криптосредств, порядок обращения с криптосредствами, а также определяет порядок восстановления связи в случае компрометации действующих ключей к криптосредствам.
1.2. Пользователем криптосредств является сотрудник администрации Аликовского района (далее - Администрация), включенный в перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных, утвержденный нормативным актом Администрации.
1.3. Пользователь криптосредств должен знать законодательные и иные нормативные правовые акты Российской Федерации, методические материалы в сфере обработки персональных данных.
1.4. В своей деятельности, связанной с обработкой персональных данных, пользователь криптосредств руководствуется настоящей Инструкцией.
1.5. Пользователи криптосредств несут персональную ответственность за обеспечение конфиденциальности ключевой информации и защиту криптосредств от несанкционированного использования.
2. Обязанности и права пользователя криптосредств
2.1. Пользователь криптосредств обязан:
- соблюдать требования по обеспечению безопасности функционирования криптосредств;
- обеспечить конфиденциальность всей информации ограниченного распространения, доступной по роду выполняемых функциональных обязанностей;
- сдать ответственному пользователю криптосредств Администрации (далее - Ответственный) носители ключевой информации (далее - НКИ) при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств;
- сдать Ответственному НКИ по окончании срока действия сертификата ключа, а также в случае компрометации ключа;
- немедленно уведомлять руководителя структурного подразделения или Ответственного о компрометации НКИ, о фактах утраты или недостачи криптосредств;
- в пределах своей компетенции предоставлять информацию комиссии, проводящей служебные расследования по фактам компрометации, а также выявлению причин нарушения требований безопасности функционирования криптосредств.
2.2. Пользователю криптосредств запрещается:
- осуществлять несанкционированное и безучетное копирование ключевых данных;
- хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;
- передавать НКИ каким бы то ни было лицам, кроме Ответственного;
- во время работы оставлять НКИ без присмотра (например, на рабочем столе или в разъеме системного блока ПЭВМ);
- хранить на НКИ какую-либо информацию, кроме ключевой;
- использовать в помещениях, где применяются криптосредства, личные технические средства, позволяющие осуществлять копирование ключевой информации;
- использовать НКИ, выведенные из действия.
2.3. Пользователь имеет право:
- вносить предложения главе Администрации по вопросам использования криптосредств;
- повышать уровень квалификации по использованию криптосредств.
3. Порядок обращения с криптосредствами
3.1. Монтаж и установка криптосредства осуществляются органом криптографической защиты.
3.2. Служебные помещения, в которых размещаются криптосредства, должны отвечать всем требованиям по оборудованию и охране, предъявляемым к помещениям, выделенным для работы с конфиденциальной информацией. Для хранения НКИ помещения обеспечиваются сейфами (металлическими шкафами), оборудуются охранной сигнализацией и по убытии сотрудников закрываются, опечатываются личными печатями ответственных лиц (либо закрываются кодовым замком) и сдаются под охрану.
3.3. Для хранения НКИ пользователь криптосредств должен быть обеспечен личным сейфом. В случае отсутствия индивидуального сейфа по окончании рабочего дня пользователь криптосредств обязан сдавать НКИ Ответственному.
3.4. Дубликаты ключей от сейфов (а также значения кодов - при наличии кодовых замков) пользователей криптосредств должны храниться в сейфе руководителя структурного подразделения или Ответственного в упаковках, опечатанных личными печатями пользователей криптосредств. Несанкционированное изготовление дубликатов ключей запрещено. В случае утери ключа механизм (секрет) замка (либо сам сейф) должен быть заменен.
3.5. К эксплуатации криптосредств допускаются лица, прошедшие соответствующую подготовку и изучившие правила пользования данным криптосредством.
3.6. Все программное обеспечение ПЭВМ, предназначенной для установки криптосредств, должно иметь соответствующие лицензии. Установка средств разработки и отладки программ на рабочую станцию, использующую криптосредства, не допускается.
4. Восстановление связи в случае компрометации
действующих ключей к криптосредствам
4.1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию владельца НКИ и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
- утрата (хищение) НКИ, в том числе - с последующим их обнаружением;
- увольнение (переназначение) сотрудников, имевших доступ к НКИ;
- передача секретных ключей по линии связи в открытом виде;
- нарушение правил хранения НКИ;
- вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);
- ошибки при совершении криптографических операций;
- несанкционированное или безучетное копирование ключевой информации;
- все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда НКИ вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
4.2. При наступлении любого из перечисленных выше событий пользователь криптосредств или владелец НКИ должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) Ответственному лично, по телефону, электронной почте или другим доступным способом. В любом случае пользователь криптосредств или владелец НКИ обязан убедиться, что его сообщение получено и прочтено.
4.3. При подтверждении факта компрометации действующих ключей пользователь криптосредств обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу Ответственному в течение 3 рабочих дней.
4.4. Для восстановления конфиденциальной связи после компрометации действующих ключей пользователь криптосредств получает у Ответственного новые ключи.
Лист
ознакомления с Инструкцией пользователя криптосредств
администрации Аликовского района
N
п/п
Ф.И.О.
Должность
Дата
Подпись
Приложение № 3
Утвержден
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ПЕРЕЧЕНЬ
СОТРУДНИКОВ, ДОПУЩЕННЫХ К РАБОТЕ С КРИПТОСРЕДСТВАМИ,
ПРЕДНАЗНАЧЕННЫМИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
(ПОЛЬЗОВАТЕЛИ КРИПТОСРЕДСТВ) АДМИНИСТРАЦИИ
АЛИКОВСКОГО РАЙОНА
1.
Куликов
Александр Николаевич
глава администрации Аликовского района
2.
Никитина
Лидия Михайловна
первый заместитель главы администрации Аликовского района - начальник управления экономики, сельского хозяйства, строительства и развития общественной инфраструктуры
3.
Григорьев
Владислав Вячеславович
заведующий сектором информационного обеспечения администрации Аликовского района
4.
Яжикова
Алина Иннокентиевна
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
5.
Егорова
Светлана Владимировна
ведущий специалист-эксперт сектора информационного обеспечения
6.
Григорьева
Наталья Владимировна
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
7.
Леонтьева
Татьяна Юрьевна
ведущий специалист-эксперт сектора организационной, контрольной и кадровой работы
Приложение № 4
Утвержден
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ЖУРНАЛ
ПОЭКЗЕМПЛЯРНОГО УЧЕТА КРИПТОСРЕДСТВ, ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ
N
п/п
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о выдаче
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
От кого получено
Дата и номер сопроводительного письма
Ф.И.О. пользователя СКЗИ
Дата и расписка в получении
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)
Номер акта или расписка об уничтожении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Приложение № 5
Утвержден
распоряжением
администрации
Аликовского района
от 27.10.2014 № 12
ЛИЦЕВОЙ СЧЕТ
пользователя криптосредств
___________________________________________________
(должность, ФИО)
N
п/п
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о передаче
Отметка о возврате, уничтожении
Примечание
От кого получено
Дата и расписка в получении
Кому передано СКЗИ
Дата и расписка в передаче
Дата возврата (уничтожения)
Расписка о возврате (уничтожении)
1
2
3
4
5
6
7
8
9
10
11
------------------------------------------------------------------