Основная информация
| Дата опубликования: | 07 мая 2018г. |
| Номер документа: | RU54000201800443 |
| Текущая редакция: | 3 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Новосибирская область |
| Принявший орган: | Министерство образования Новосибирской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 07 мая 2018 г. № 1093
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИЙ И ЖУРНАЛОВ, КАСАЮЩИХСЯ ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
(в редакции приказа министерства образования Новосибирской области от 13.12.2018 № 3236; от 12.02.2019 № 297)
В связи с использованием средств криптографической защиты информации (далее - СКЗИ или криптосредства) в информационных системах министерства образования Новосибирской области, приказываю:
Пункт 1 утратил силу - приказ министерства образования Новосибирской области от 13.12.2018 № 3236.
2. Утвердить Инструкцию ответственного за эксплуатацию средств криптографической защиты информации в информационных системах министерства образования Новосибирской области (Приложение № 1).
3. Утвердить Инструкцию по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключам к ним (Приложение № 2).
4. Утвердить перечень работников, допущенных к работе с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области (Приложение № 3).
5. Утвердить форму Журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (Приложение № 4).
6. Утвердить Инструкцию по восстановлению связи в случае компрометации действующих ключей криптосредствам в информационных системах министерства образования Новосибирской области (Приложение № 5) и ознакомить с ней всех пользователей криптосредств из перечня работников, допущенных к работе с сертифицированными СКЗИ (Приложение № 3).
7. Утвердить перечень помещений, в которых эксплуатируются СКЗИ (Приложение № 6).
8. Утвердить форму Журнала учета ключей от помещений, в которых осуществляется эксплуатация и хранение СКЗИ (Приложение № 7).
9. Назначить Исакову Светлану Владимировну, ведущего эксперта, отдела организации управления и кадровой работы организационно-правового управления за ведение Журнала учета ключей от помещений, в которых осуществляется эксплуатация и хранение СКЗИ.
10. Утвердить типовую форму заявления на выдачу (перевыпуск) ключевых документов (Приложение № 8).
11. Утвердить типовую форму акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов (Приложение № 9).
12. Признать утратившими силу:
приказ министерства образования, науки и инновационной политики Новосибирской области от 26.04.2013 № 1167 «Об эксплуатации средств криптографической защиты информации»;
приказ министерства образования, науки и инновационной политики Новосибирской области от 18.12.2013 № 2867/5;
приказ министерства образования, науки и инновационной политики Новосибирской области от 27.11.2013 № 2760;
приказ министерства образования, науки и инновационной политики Новосибирской области от 21.10.2015 № 3045;
приказ министерства образования, науки и инновационной политики Новосибирской области от 06.11.2015 № 3354;
приказ министерства образования, науки и инновационной политики Новосибирской области от 04.12.2015 № 3673.
10. Контроль за исполнением требований настоящего приказа оставляю за собой.
Исполняющий обязанности министра
А.А. Флек
Приложение № 1
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Инструкция
ответственного за эксплуатацию средств криптографической защиты информации в информационных системах министерства образования Новосибирской области
1. Общие положения
1.1. Настоящий документ определяет основные права и обязанности ответственного за эксплуатацию средств криптографической защиты информации (далее - СКЗИ) в информационных системах министерства образования Новосибирской области (далее - ИС Министерства).
1.2. Ответственный за эксплуатацию СКЗИ назначается приказом министерства образования Новосибирской области из числа работников министерства.
1.3. Ответственный за эксплуатацию СКЗИ получает указания непосредственно от министра образования Новосибирской области или иного уполномоченного министром лица, и подотчетно ему.
2. Обязанности ответственного за эксплуатацию СКЗИ
2.1. Вести поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним в соответствующем журнале.
2.2. Вести учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности информации в ИС Министерства (пользователи криптосредств) в соответствующем журнале.
2.3. Организовывать установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам.
2.4. Осуществлять контроль за соблюдением условий использования криптосредств, установленных в эксплуатационной и технической документации на СКЗИ.
2.5. Не разглашать информацию, к которой он допущен, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты.
2.6. Соблюдать требования к обеспечению безопасности информации в ИС Министерства, требования к обеспечению безопасности криптосредств и ключевых документов к ним.
2.7. Сообщать о ставших ему известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним министру образования Новосибирской области или иному уполномоченному лицу.
2.8. Немедленно уведомлять министра образования Новосибирской области или иное уполномоченное им лицо о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению информации ограниченного доступа.
2.9. Сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.
2.10. Осуществлять ведение журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов и журнала учета хранилищ с ключевыми документами, а также ведение личных карточек (лицевых счетов) на каждого пользователя криптосредств.
3. Права ответственного за эксплуатацию СКЗИ
3.1. Инициировать разбирательство и составление заключений по фактам нарушения условий использования криптосредств, которые могут привести к нарушению безопасности информации или другим нарушениям, приводящим к снижению уровня защищенности ИС Министерства.
3.2. Инициировать разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4. Ответственность
4.1. Ответственный за эксплуатацию СКЗИ несет материальную, дисциплинарную, административную и уголовную ответственность:
- за неисполнение либо ненадлежащее исполнение должностных обязанностей;
- за нарушение федерального законодательства, приказов министерства по защите информации;
- за превышение должностных полномочий и злоупотребление ими;
- за разглашение информации, к которой он допущен в рамках выполнения своих функциональных обязанностей, посторонним лицам.
Приложение № 2
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключами к ним
1. Общие положения
1.1. Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации (далее - СКЗИ), предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее Информация), обрабатываемой в информационных системах министерства образования Новосибирской области (далее - ИС Министерства), и криптоключами к ним регламентирует порядок обращения с криптосредствами в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты Информации.
1.2. Под криптосредством в настоящей Инструкции понимается шифровальное (криптографическое) средство, предназначенное для защиты информации.
1.3. К криптосредствам (шифровальным, криптографическим средствам) относятся:
1.3.1. Средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
1.3.2. Средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.
1.3.3. Средства электронной подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи.
1.3.4. Средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.
1.3.5. Средства изготовления ключевых документов (независимо от вида носителя ключевой информации).
1.3.6. Ключевые документы (независимо от вида носителя ключевой информации).
1.4. В настоящей Инструкции используются следующие понятия и определения:
1.4.1. Доступ к информации - возможность получения информации и ее использования.
1.4.2. Закрытый ключ - криптоключ, который хранится пользователем системы в тайне.
1.4.3. Ключевой документ - физический носитель определенной структуры, содержащий криптоключи.
1.4.4. Компрометация криптоключа - утрата доверия к тому, что используемые криптоключи обеспечивают безопасность информации.
1.4.5. Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
1.4.6. Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
1.4.7. Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
1.4.8. Модель угроз - перечень возможных угроз.
1.4.9. Пользователь криптосредства - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
1.4.10. Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
1.5. Для обеспечения безопасности Информации при ее обработке в ИС Министерства должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).
1.6. Класс криптосредства определяется в соответствии с Приказом Федеральной службы безопасности Российской Федерации (ФСБ России) от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
2. Организационная структура
Безопасность обработки Информации в ИС Министерства с использованием криптосредств организует и обеспечивает Ответственный за эксплуатацию СКЗИ в ИС Министерства.
3. Обязанности пользователей криптосредств
3.1. Пользователи криптосредств допускаются к работе с ними только после получения заключения о подготовке и допуске к самостоятельной работе со средствами криптографической защиты информации и ознакомления под роспись с настоящей Инструкцией, другими документами, регламентирующими организацию и обеспечение безопасности Информации при ее обработке в ИС Министерства.
3.2. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
3.3. Пользователи криптосредств обязаны:
3.3.1. Не нарушать конфиденциальность закрытых ключей.
3.3.2. Не допускать снятие копий с ключевых документов, содержащих закрытые ключи.
3.3.3. Не допускать вывод закрытых ключей на дисплей (монитор) автоматизированного рабочего места (далее - АРМ) или принтер.
3.3.4. Не допускать записи на ключевой документ посторонней информации.
3.3.5. Не допускать установки ключевых документов на другие АРМ.
3.3.6. Обеспечить конфиденциальность информации о криптосредствах, других мерах защиты.
3.3.7. Точно соблюдать требования к обеспечению безопасности Информации, требования к обеспечению безопасности криптосредств и ключевых документов к ним.
3.3.8. Хранить ключевые документы к криптосредствам в защищаемых хранилищах.
3.3.9. Сдавать ключевые документы к криптосредствам при увольнении или отстранении от исполнения обязанностей.
3.3.10. Своевременно выявлять и сообщать Ответственному за эксплуатацию СКЗИ в Минобразовании Новосибирской области о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним.
3.3.11. Немедленно уведомлять Ответственного за эксплуатацию СКЗИ в Минобразовании Новосибирской области и принимать меры по предупреждению нарушения конфиденциальности Информации при утрате или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей, удостоверений, пропусков, при других фактах, которые могут привести к компрометации закрытых ключей, снижению уровня защищенности обрабатываемой Информации.
4. Учет ключевых документов
4.1. Ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель информации.
4.2. Все экземпляры ключевых документов выдаются пользователям криптосредств под роспись в соответствующем журнале поэкземплярного учета.
4.3. Передача ключевых документов допускается только между пользователями криптосредств и Ответственным за эксплуатацию СКЗИ под роспись в соответствующем Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. Аналогичная передача между пользователями криптосредств осуществляется с письменного разрешения Ответственного за эксплуатацию СКЗИ.
4.4. Для исключения компрометации ключевых документов на период отсутствия пользователя и в нерабочее время, ключевые документы убираются в защищенные хранилища (ящики, шкафы) индивидуального пользования, которые, в свою очередь, закрываются на ключ и опечатываются.
4.5. Учет эксплуатационной и технической документации к криптосредствам:
4.5.1. Эксплуатационная и техническая документация к криптосредствам подлежит поэкземплярному учету.
4.5.2. Все экземпляры эксплуатационной и технической документации к криптосредствам выдаются пользователям криптосредств под роспись.
4.5.3. Передача эксплуатационной и технической документации к криптосредствам допускается только между пользователями криптосредств и Ответственным пользователем за эксплуатацию СКЗИ под роспись. Аналогичная передача между пользователями криптосредств осуществляется с санкции Ответственного за эксплуатацию СКЗИ.
4.6. Плановая смена ключевых документов:
4.6.1. Заказ на изготовление очередных ключевых документов, их изготовление и получение пользователем производится заблаговременно для своевременной замены действующих ключевых документов.
4.7. Внеплановая смена ключевых документов:
4.7.1. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи немедленно выводятся из действия, если иной порядок не оговорен в эксплуатационной и технической документации к криптосредствам.
4.8. Уничтожение ключевых документов:
4.8.1. Ключевые документы с неиспользованными или выведенными из действия криптоключами (исходной ключевой информацией) возвращаются Ответственному за эксплуатацию СКЗИ, или по его указанию уничтожаются на месте пользователями криптосредств.
4.8.2. Уничтожение ключевых документов производится путем стирания (разрушения) криптоключей без повреждения ключевого документа.
4.8.3. Бумажные и прочие сгораемые ключевые документы уничтожаются путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта.
4.8.4. Ключевые документы уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы уничтожаются не позднее 10 (десяти) суток после вывода их из действия (окончания срока действия).
4.8.5. Пользователям криптосредств разрешается уничтожать только использованные непосредственно ими (предназначенные для них) ключевые документы. После уничтожения пользователи криптосредств уведомляют об этом Ответственного за эксплуатацию СКЗИ.
4.9. Уничтожение эксплуатационной и технической документации к криптосредствам:
4.9.1. Эксплуатационная и техническая документация к криптосредствам уничтожается путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта.
5. Техническое обслуживание криптосредств
5.1. Техническое обслуживание криптосредств, а также другого оборудования, функционирующего с криптосредствами, смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
5.2. На время отсутствия пользователей криптосредства, а также другое оборудование, функционирующее с криптосредствами, при наличии технической возможности, выключается, отключается от линии связи и убирается в опечатываемые хранилища. В противном случае необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.
6. Опечатывание аппаратных средств
6.1. Системные блоки АРМ, на которых установлены криптосредства, должны оборудоваться средствами контроля за их вскрытием (опечатываются, опломбируются). Место опечатывания (опломбирования) системного блока должно быть таким, чтобы его можно было визуально контролировать.
7. Порядок доступа к хранилищам
7.1. Эксплуатация хранилищ:
7.1.1. Пользователи криптосредств хранят эксплуатационную и техническую документацию к криптосредствам, ключевые документы в хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
7.1.2. Должно быть предусмотрено раздельное безопасное хранение пользователями криптосредств действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.
7.2. При необходимости доступа к содержимому хранилища работник, ответственный за данное хранилище, проверяет целостность хранилища, открывает механический замок хранилища с использованием ключа.
7.3. По окончании работы работник закрывает и опечатывает хранилище, за которое он ответственен.
7.4. Печати, предназначенные для опечатывания хранилищ, должны находиться у работников, ответственных за данные хранилища.
8. Контроль безопасности криптосредств
Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на ответственного за эксплуатацию СКЗИ в пределах его полномочий.
9. Ответственность за нарушение требований
9.1. Пользователи криптосредств несут персональную ответственность за сохранность полученных криптосредств, эксплуатационной и технической документации к криптосредствам, ключевых документов, за соблюдение положений настоящей Инструкции.
9.2. Ответственный за эксплуатацию СКЗИ несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки Информации с использованием криптосредств лицензионным требованиям и условиям эксплуатационной и технической документации к криптосредствам, а также настоящей Инструкции.
Приложение № 4
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
ФОРМА
ЖУРНАЛ № _____________поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов
Начат
20
г.
На ______ листах
Окончен
20
г.
(ФИО ответственного лица за ведение журнала)
(подпись)
№
п/п
Наименование СКЗИ,
эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о выдаче
От кого получены
Дата и номер
сопроводительного письма
ФИО
пользователя
СКЗИ
Дата и расписка в получении
1
2
3
4
5
6
7
8
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ. производивших подключение (установку)
Дата подключения (установки) и подписи лиц, производивших подключение (установку)
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)
Номер акта или расписка об уничтожении
9
10
1 1
12
13
14
15
Приложение № 5
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Инструкция по восстановлению связи в случае компрометации действующих ключей к криптосредствам в информационных системах министерства образования Новосибирской области
1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию Владельца и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
1) утрата (хищение) носителей ключевой информации (далее - НКИ), в том числе - с последующим их обнаружением;
2) увольнение (переназначение) работников, имевших доступ к ключевой информации;
3) передача секретных ключей по линии связи в открытом виде;
4) нарушение правил хранения криптоключей;
5) вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);
6) отрицательный результат при проверке наложенной электронной подписи;
7) несанкционированное или безучетное копирование ключевой информации;
8) все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
2. События 1-5 п. 1 должны трактоваться как безусловная компрометация действующих ключей. Остальные события требуют специального расследования в каждом конкретном случае.
3. При наступлении любого из перечисленных выше событий владелец ключа должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации). Ответственному за эксплуатацию криптографических средств защиты информации лично, по телефону, электронной почте или другим доступным способом. В любом случае владелец ключа обязан убедиться, что его сообщение получено и прочтено адресатом.
4. При подтверждении факта компрометации действующих ключей Пользователь обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей в течение трех рабочих дней.
5. Для восстановления конфиденциальной связи после компрометации действующих ключей Пользователь получает новые ключи в течение рабочего дня на основании предоставленного Заявления (Приложение № 6 к Приказу об утверждении инструкций и журналов, касающихся использования средств криптографической защиты информации).
Приложение № 7
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
ФОРМА
ЖУРНАЛ № __________
Учета ключей от помещений, в которых эксплуатируются СКЗИ
Начат
20
г.
На ______ листах
Окончен
20
г.
(ФИО ответственного лица за ведение журнала)
(подпись)
№
п/п
№
кабинета
Отметка о получении
Отметка о возврате
ФИО пользователя
Дата и подпись
ФИО пользователя
Дата и подпись
1
2
5
6
7
8
Приложение № 8
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Типовая форма
ЗАЯВЛЕНИЕ
на выдачу (перевыпуск) ключевых документов
(полное наименование организации, включая организационно-правовую форму)
в лице
(должность, фамилия, имя, отчество)
действующего на основании
просит выдать (перевыпустить) ключевой документ в соответствии с указанными в таблице 1 данными.
Таблица 1.
Данные для выдачи (перевыпуска) ключевого документа
Сведения об организации
Наименование организации
Должность руководителя организации
Фамилия, имя, отчество руководителя организации
Адрес организации (для переписки)
Контактные телефоны организации
Подпись/ФИО
Сведения о сети ViP№et и об абонентском пункте
Имя сети ViP№et
Номер сети ViP№et
Наименование организации-владельца сети ViP№et
Наименование сервера IР адресов
Наименование абонентского пункта 1
Идентификатор абонентского пункта 2
Место расположения абонентского пункта
Сведения о пользователе
Фамилия, имя и отчество пользователя
Должность пользователя
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/ФИО
Сведения об ответственном за обработку и защиту информации
Фамилия, имя и отчество
Наименование структурного подразделения/должность
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/ФИО
М.П.
Подпись руководителя
__________________________
1 При подключении с помощью ViP№et Clie№t
2 При подключении с помощью ПАК ViP№et HW
Приложение № 9
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
ТИПОВАЯ ФОРМА
УТВЕРЖДАЮ
И.о. министра образования
Новосибирской области
______________ С.В. Федорчук
_____ ________________ 20__ г.
АКТ № __________ от «___» _______________ 20__ г.
Об уничтожении криптографических ключей, содержащихся на ключевых
носителях, и ключевых документов
Комиссия в составе:
Председатель
комиссии:
(ФИО, должность)
Члены комиссии
(ФИО, должность)
(ФИО, должность)
(ФИО, должность)
произвела уничтожение криптографических ключей, содержащихся на ключевых носителях, и ключевых документов:
№
Учетный номер ключевого носителя (документа)
Номер (идентификатор) криптографического ключа, наименование документа
Владелец ключа (документа)
Количество ключевых носителей (документов)
Номера экземпляров
Всего уничтожается ключей (документов)
Всего уничтожено __________ криптографических ключей на _____________ ключевых носителях.
Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.
Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
0Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:
Председатель
комиссии:
/
Члены комиссии:
/
/
/
/
─────────────────────────
МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 07 мая 2018 г. № 1093
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИЙ И ЖУРНАЛОВ, КАСАЮЩИХСЯ ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
(в редакции приказа министерства образования Новосибирской области от 13.12.2018 № 3236; от 12.02.2019 № 297)
В связи с использованием средств криптографической защиты информации (далее - СКЗИ или криптосредства) в информационных системах министерства образования Новосибирской области, приказываю:
Пункт 1 утратил силу - приказ министерства образования Новосибирской области от 13.12.2018 № 3236.
2. Утвердить Инструкцию ответственного за эксплуатацию средств криптографической защиты информации в информационных системах министерства образования Новосибирской области (Приложение № 1).
3. Утвердить Инструкцию по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключам к ним (Приложение № 2).
4. Утвердить перечень работников, допущенных к работе с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области (Приложение № 3).
5. Утвердить форму Журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (Приложение № 4).
6. Утвердить Инструкцию по восстановлению связи в случае компрометации действующих ключей криптосредствам в информационных системах министерства образования Новосибирской области (Приложение № 5) и ознакомить с ней всех пользователей криптосредств из перечня работников, допущенных к работе с сертифицированными СКЗИ (Приложение № 3).
7. Утвердить перечень помещений, в которых эксплуатируются СКЗИ (Приложение № 6).
8. Утвердить форму Журнала учета ключей от помещений, в которых осуществляется эксплуатация и хранение СКЗИ (Приложение № 7).
9. Назначить Исакову Светлану Владимировну, ведущего эксперта, отдела организации управления и кадровой работы организационно-правового управления за ведение Журнала учета ключей от помещений, в которых осуществляется эксплуатация и хранение СКЗИ.
10. Утвердить типовую форму заявления на выдачу (перевыпуск) ключевых документов (Приложение № 8).
11. Утвердить типовую форму акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов (Приложение № 9).
12. Признать утратившими силу:
приказ министерства образования, науки и инновационной политики Новосибирской области от 26.04.2013 № 1167 «Об эксплуатации средств криптографической защиты информации»;
приказ министерства образования, науки и инновационной политики Новосибирской области от 18.12.2013 № 2867/5;
приказ министерства образования, науки и инновационной политики Новосибирской области от 27.11.2013 № 2760;
приказ министерства образования, науки и инновационной политики Новосибирской области от 21.10.2015 № 3045;
приказ министерства образования, науки и инновационной политики Новосибирской области от 06.11.2015 № 3354;
приказ министерства образования, науки и инновационной политики Новосибирской области от 04.12.2015 № 3673.
10. Контроль за исполнением требований настоящего приказа оставляю за собой.
Исполняющий обязанности министра
А.А. Флек
Приложение № 1
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Инструкция
ответственного за эксплуатацию средств криптографической защиты информации в информационных системах министерства образования Новосибирской области
1. Общие положения
1.1. Настоящий документ определяет основные права и обязанности ответственного за эксплуатацию средств криптографической защиты информации (далее - СКЗИ) в информационных системах министерства образования Новосибирской области (далее - ИС Министерства).
1.2. Ответственный за эксплуатацию СКЗИ назначается приказом министерства образования Новосибирской области из числа работников министерства.
1.3. Ответственный за эксплуатацию СКЗИ получает указания непосредственно от министра образования Новосибирской области или иного уполномоченного министром лица, и подотчетно ему.
2. Обязанности ответственного за эксплуатацию СКЗИ
2.1. Вести поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним в соответствующем журнале.
2.2. Вести учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности информации в ИС Министерства (пользователи криптосредств) в соответствующем журнале.
2.3. Организовывать установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам.
2.4. Осуществлять контроль за соблюдением условий использования криптосредств, установленных в эксплуатационной и технической документации на СКЗИ.
2.5. Не разглашать информацию, к которой он допущен, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты.
2.6. Соблюдать требования к обеспечению безопасности информации в ИС Министерства, требования к обеспечению безопасности криптосредств и ключевых документов к ним.
2.7. Сообщать о ставших ему известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним министру образования Новосибирской области или иному уполномоченному лицу.
2.8. Немедленно уведомлять министра образования Новосибирской области или иное уполномоченное им лицо о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению информации ограниченного доступа.
2.9. Сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.
2.10. Осуществлять ведение журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов и журнала учета хранилищ с ключевыми документами, а также ведение личных карточек (лицевых счетов) на каждого пользователя криптосредств.
3. Права ответственного за эксплуатацию СКЗИ
3.1. Инициировать разбирательство и составление заключений по фактам нарушения условий использования криптосредств, которые могут привести к нарушению безопасности информации или другим нарушениям, приводящим к снижению уровня защищенности ИС Министерства.
3.2. Инициировать разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4. Ответственность
4.1. Ответственный за эксплуатацию СКЗИ несет материальную, дисциплинарную, административную и уголовную ответственность:
- за неисполнение либо ненадлежащее исполнение должностных обязанностей;
- за нарушение федерального законодательства, приказов министерства по защите информации;
- за превышение должностных полномочий и злоупотребление ими;
- за разглашение информации, к которой он допущен в рамках выполнения своих функциональных обязанностей, посторонним лицам.
Приложение № 2
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключами к ним
1. Общие положения
1.1. Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации (далее - СКЗИ), предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее Информация), обрабатываемой в информационных системах министерства образования Новосибирской области (далее - ИС Министерства), и криптоключами к ним регламентирует порядок обращения с криптосредствами в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты Информации.
1.2. Под криптосредством в настоящей Инструкции понимается шифровальное (криптографическое) средство, предназначенное для защиты информации.
1.3. К криптосредствам (шифровальным, криптографическим средствам) относятся:
1.3.1. Средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
1.3.2. Средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.
1.3.3. Средства электронной подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи.
1.3.4. Средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.
1.3.5. Средства изготовления ключевых документов (независимо от вида носителя ключевой информации).
1.3.6. Ключевые документы (независимо от вида носителя ключевой информации).
1.4. В настоящей Инструкции используются следующие понятия и определения:
1.4.1. Доступ к информации - возможность получения информации и ее использования.
1.4.2. Закрытый ключ - криптоключ, который хранится пользователем системы в тайне.
1.4.3. Ключевой документ - физический носитель определенной структуры, содержащий криптоключи.
1.4.4. Компрометация криптоключа - утрата доверия к тому, что используемые криптоключи обеспечивают безопасность информации.
1.4.5. Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
1.4.6. Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
1.4.7. Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
1.4.8. Модель угроз - перечень возможных угроз.
1.4.9. Пользователь криптосредства - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
1.4.10. Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
1.5. Для обеспечения безопасности Информации при ее обработке в ИС Министерства должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).
1.6. Класс криптосредства определяется в соответствии с Приказом Федеральной службы безопасности Российской Федерации (ФСБ России) от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
2. Организационная структура
Безопасность обработки Информации в ИС Министерства с использованием криптосредств организует и обеспечивает Ответственный за эксплуатацию СКЗИ в ИС Министерства.
3. Обязанности пользователей криптосредств
3.1. Пользователи криптосредств допускаются к работе с ними только после получения заключения о подготовке и допуске к самостоятельной работе со средствами криптографической защиты информации и ознакомления под роспись с настоящей Инструкцией, другими документами, регламентирующими организацию и обеспечение безопасности Информации при ее обработке в ИС Министерства.
3.2. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
3.3. Пользователи криптосредств обязаны:
3.3.1. Не нарушать конфиденциальность закрытых ключей.
3.3.2. Не допускать снятие копий с ключевых документов, содержащих закрытые ключи.
3.3.3. Не допускать вывод закрытых ключей на дисплей (монитор) автоматизированного рабочего места (далее - АРМ) или принтер.
3.3.4. Не допускать записи на ключевой документ посторонней информации.
3.3.5. Не допускать установки ключевых документов на другие АРМ.
3.3.6. Обеспечить конфиденциальность информации о криптосредствах, других мерах защиты.
3.3.7. Точно соблюдать требования к обеспечению безопасности Информации, требования к обеспечению безопасности криптосредств и ключевых документов к ним.
3.3.8. Хранить ключевые документы к криптосредствам в защищаемых хранилищах.
3.3.9. Сдавать ключевые документы к криптосредствам при увольнении или отстранении от исполнения обязанностей.
3.3.10. Своевременно выявлять и сообщать Ответственному за эксплуатацию СКЗИ в Минобразовании Новосибирской области о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним.
3.3.11. Немедленно уведомлять Ответственного за эксплуатацию СКЗИ в Минобразовании Новосибирской области и принимать меры по предупреждению нарушения конфиденциальности Информации при утрате или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей, удостоверений, пропусков, при других фактах, которые могут привести к компрометации закрытых ключей, снижению уровня защищенности обрабатываемой Информации.
4. Учет ключевых документов
4.1. Ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель информации.
4.2. Все экземпляры ключевых документов выдаются пользователям криптосредств под роспись в соответствующем журнале поэкземплярного учета.
4.3. Передача ключевых документов допускается только между пользователями криптосредств и Ответственным за эксплуатацию СКЗИ под роспись в соответствующем Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. Аналогичная передача между пользователями криптосредств осуществляется с письменного разрешения Ответственного за эксплуатацию СКЗИ.
4.4. Для исключения компрометации ключевых документов на период отсутствия пользователя и в нерабочее время, ключевые документы убираются в защищенные хранилища (ящики, шкафы) индивидуального пользования, которые, в свою очередь, закрываются на ключ и опечатываются.
4.5. Учет эксплуатационной и технической документации к криптосредствам:
4.5.1. Эксплуатационная и техническая документация к криптосредствам подлежит поэкземплярному учету.
4.5.2. Все экземпляры эксплуатационной и технической документации к криптосредствам выдаются пользователям криптосредств под роспись.
4.5.3. Передача эксплуатационной и технической документации к криптосредствам допускается только между пользователями криптосредств и Ответственным пользователем за эксплуатацию СКЗИ под роспись. Аналогичная передача между пользователями криптосредств осуществляется с санкции Ответственного за эксплуатацию СКЗИ.
4.6. Плановая смена ключевых документов:
4.6.1. Заказ на изготовление очередных ключевых документов, их изготовление и получение пользователем производится заблаговременно для своевременной замены действующих ключевых документов.
4.7. Внеплановая смена ключевых документов:
4.7.1. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи немедленно выводятся из действия, если иной порядок не оговорен в эксплуатационной и технической документации к криптосредствам.
4.8. Уничтожение ключевых документов:
4.8.1. Ключевые документы с неиспользованными или выведенными из действия криптоключами (исходной ключевой информацией) возвращаются Ответственному за эксплуатацию СКЗИ, или по его указанию уничтожаются на месте пользователями криптосредств.
4.8.2. Уничтожение ключевых документов производится путем стирания (разрушения) криптоключей без повреждения ключевого документа.
4.8.3. Бумажные и прочие сгораемые ключевые документы уничтожаются путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта.
4.8.4. Ключевые документы уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы уничтожаются не позднее 10 (десяти) суток после вывода их из действия (окончания срока действия).
4.8.5. Пользователям криптосредств разрешается уничтожать только использованные непосредственно ими (предназначенные для них) ключевые документы. После уничтожения пользователи криптосредств уведомляют об этом Ответственного за эксплуатацию СКЗИ.
4.9. Уничтожение эксплуатационной и технической документации к криптосредствам:
4.9.1. Эксплуатационная и техническая документация к криптосредствам уничтожается путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта.
5. Техническое обслуживание криптосредств
5.1. Техническое обслуживание криптосредств, а также другого оборудования, функционирующего с криптосредствами, смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
5.2. На время отсутствия пользователей криптосредства, а также другое оборудование, функционирующее с криптосредствами, при наличии технической возможности, выключается, отключается от линии связи и убирается в опечатываемые хранилища. В противном случае необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.
6. Опечатывание аппаратных средств
6.1. Системные блоки АРМ, на которых установлены криптосредства, должны оборудоваться средствами контроля за их вскрытием (опечатываются, опломбируются). Место опечатывания (опломбирования) системного блока должно быть таким, чтобы его можно было визуально контролировать.
7. Порядок доступа к хранилищам
7.1. Эксплуатация хранилищ:
7.1.1. Пользователи криптосредств хранят эксплуатационную и техническую документацию к криптосредствам, ключевые документы в хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
7.1.2. Должно быть предусмотрено раздельное безопасное хранение пользователями криптосредств действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.
7.2. При необходимости доступа к содержимому хранилища работник, ответственный за данное хранилище, проверяет целостность хранилища, открывает механический замок хранилища с использованием ключа.
7.3. По окончании работы работник закрывает и опечатывает хранилище, за которое он ответственен.
7.4. Печати, предназначенные для опечатывания хранилищ, должны находиться у работников, ответственных за данные хранилища.
8. Контроль безопасности криптосредств
Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на ответственного за эксплуатацию СКЗИ в пределах его полномочий.
9. Ответственность за нарушение требований
9.1. Пользователи криптосредств несут персональную ответственность за сохранность полученных криптосредств, эксплуатационной и технической документации к криптосредствам, ключевых документов, за соблюдение положений настоящей Инструкции.
9.2. Ответственный за эксплуатацию СКЗИ несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки Информации с использованием криптосредств лицензионным требованиям и условиям эксплуатационной и технической документации к криптосредствам, а также настоящей Инструкции.
Приложение № 4
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
ФОРМА
ЖУРНАЛ № _____________поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов
Начат
20
г.
На ______ листах
Окончен
20
г.
(ФИО ответственного лица за ведение журнала)
(подпись)
№
п/п
Наименование СКЗИ,
эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о выдаче
От кого получены
Дата и номер
сопроводительного письма
ФИО
пользователя
СКЗИ
Дата и расписка в получении
1
2
3
4
5
6
7
8
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ. производивших подключение (установку)
Дата подключения (установки) и подписи лиц, производивших подключение (установку)
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)
Номер акта или расписка об уничтожении
9
10
1 1
12
13
14
15
Приложение № 5
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Инструкция по восстановлению связи в случае компрометации действующих ключей к криптосредствам в информационных системах министерства образования Новосибирской области
1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию Владельца и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
1) утрата (хищение) носителей ключевой информации (далее - НКИ), в том числе - с последующим их обнаружением;
2) увольнение (переназначение) работников, имевших доступ к ключевой информации;
3) передача секретных ключей по линии связи в открытом виде;
4) нарушение правил хранения криптоключей;
5) вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);
6) отрицательный результат при проверке наложенной электронной подписи;
7) несанкционированное или безучетное копирование ключевой информации;
8) все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
2. События 1-5 п. 1 должны трактоваться как безусловная компрометация действующих ключей. Остальные события требуют специального расследования в каждом конкретном случае.
3. При наступлении любого из перечисленных выше событий владелец ключа должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации). Ответственному за эксплуатацию криптографических средств защиты информации лично, по телефону, электронной почте или другим доступным способом. В любом случае владелец ключа обязан убедиться, что его сообщение получено и прочтено адресатом.
4. При подтверждении факта компрометации действующих ключей Пользователь обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей в течение трех рабочих дней.
5. Для восстановления конфиденциальной связи после компрометации действующих ключей Пользователь получает новые ключи в течение рабочего дня на основании предоставленного Заявления (Приложение № 6 к Приказу об утверждении инструкций и журналов, касающихся использования средств криптографической защиты информации).
Приложение № 7
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
ФОРМА
ЖУРНАЛ № __________
Учета ключей от помещений, в которых эксплуатируются СКЗИ
Начат
20
г.
На ______ листах
Окончен
20
г.
(ФИО ответственного лица за ведение журнала)
(подпись)
№
п/п
№
кабинета
Отметка о получении
Отметка о возврате
ФИО пользователя
Дата и подпись
ФИО пользователя
Дата и подпись
1
2
5
6
7
8
Приложение № 8
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
Типовая форма
ЗАЯВЛЕНИЕ
на выдачу (перевыпуск) ключевых документов
(полное наименование организации, включая организационно-правовую форму)
в лице
(должность, фамилия, имя, отчество)
действующего на основании
просит выдать (перевыпустить) ключевой документ в соответствии с указанными в таблице 1 данными.
Таблица 1.
Данные для выдачи (перевыпуска) ключевого документа
Сведения об организации
Наименование организации
Должность руководителя организации
Фамилия, имя, отчество руководителя организации
Адрес организации (для переписки)
Контактные телефоны организации
Подпись/ФИО
Сведения о сети ViP№et и об абонентском пункте
Имя сети ViP№et
Номер сети ViP№et
Наименование организации-владельца сети ViP№et
Наименование сервера IР адресов
Наименование абонентского пункта 1
Идентификатор абонентского пункта 2
Место расположения абонентского пункта
Сведения о пользователе
Фамилия, имя и отчество пользователя
Должность пользователя
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/ФИО
Сведения об ответственном за обработку и защиту информации
Фамилия, имя и отчество
Наименование структурного подразделения/должность
Контактный телефон (рабочий)
Контактный телефон (мобильный)
Адрес электронной почты (рабочий)
Подпись/ФИО
М.П.
Подпись руководителя
__________________________
1 При подключении с помощью ViP№et Clie№t
2 При подключении с помощью ПАК ViP№et HW
Приложение № 9
к приказу министерства образования
Новосибирской области
от 7 мая 2018 г. № 1093
ТИПОВАЯ ФОРМА
УТВЕРЖДАЮ
И.о. министра образования
Новосибирской области
______________ С.В. Федорчук
_____ ________________ 20__ г.
АКТ № __________ от «___» _______________ 20__ г.
Об уничтожении криптографических ключей, содержащихся на ключевых
носителях, и ключевых документов
Комиссия в составе:
Председатель
комиссии:
(ФИО, должность)
Члены комиссии
(ФИО, должность)
(ФИО, должность)
(ФИО, должность)
произвела уничтожение криптографических ключей, содержащихся на ключевых носителях, и ключевых документов:
№
Учетный номер ключевого носителя (документа)
Номер (идентификатор) криптографического ключа, наименование документа
Владелец ключа (документа)
Количество ключевых носителей (документов)
Номера экземпляров
Всего уничтожается ключей (документов)
Всего уничтожено __________ криптографических ключей на _____________ ключевых носителях.
Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.
Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
0Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:
Председатель
комиссии:
/
Члены комиссии:
/
/
/
/
─────────────────────────
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 02.08.2018 |
| Рубрики правового классификатора: | 020.010.010 Общие положения, 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 130.010.010 Общие положения |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
