Основная информация
| Дата опубликования: | 06 июля 2020г. |
| Номер документа: | RU66005405202000065 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Москва |
| Принявший орган: | Администрация Режевского городского округа |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Распоряжения |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
1
АДМИНИСТРАЦИЯ РЕЖЕВСКОГО ГОРОДСКОГО ОКРУГА
РАСПОРЯЖЕНИЕ
от 06.07.2020 № 81-р
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ПО ИСПОЛЬЗОВАНИЮ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ АДМИНИСТРАЦИИ РЕЖЕВСКОГО ГОРОДСКОГО ОКРУГА
В соответствии с требованиями федеральных законов от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных», с целью обеспечения безопасности информации с помощью средств криптографической защиты:
1. Утвердить Положение по использованию средств криптографической защиты информации в информационных системах Администрации Режевского городского округа (прилагается).
2. Распоряжение Администрации Режевского городского округа от 31.12.2015 № 190 «Об утверждении Положения по обеспечению безопасности информации с помощью средств криптографической защиты информации в информационных системах Администрации Режевского городского округа» признать утратившим силу.
3. Контроль за исполнением настоящего распоряжения возложить на управляющего делами администрации Е.И. Папушу.
Глава Режевского городского округа
И.Г. Карташов
УТВЕРЖДЕНО
распоряжением Администрации
Режевского городского округа
от 06.07.2020 № 81-р
«Об утверждении Положения по использованию
средств криптографической защиты информации
в информационных системах Администрации
Режевского городского округа»
ПОЛОЖЕНИЕ
по использованию средств криптографической защиты информации в информационных системах Администрации Режевского городского округа
1. Термины и определения
в настоящем Положении по использованию средств криптографической защиты информации в информационных системах Администрации Режевского городского округа (далее – Положение) применяются следующие термины и определения:
Доступ к информации - возможность получения информации и ее использования.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой блокнот - набор бумажных ключевых документов одного вида (таблиц, перфолент, перфокарт и т.п.), сброшюрованных и упакованных по установленным правилам.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт - диск, Data Key, Smart Card, Touch Memory и т.п.).
Компрометация криптоключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Лицензиат ФСБ – оператор конфиденциальной связи и лица, имеющие лицензию ФСБ и не являющиеся операторами конфиденциальной связи.
Орган криптографической защиты – организация, структурное подразделение организации - лицензиата ФСБ, обладателя конфиденциальной информации или физическое лицо.
Средства криптографической защиты информации (СКЗИ) – сертифицированные ФСБ (ФАПСИ) России средства:
Пользователи СКЗИ – лица, непосредственно допущенные к работе с СКЗИ.
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно - программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно - программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно - программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и «электронной подписи»;
- аппаратные, программные и аппаратно - программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
Специализированные помещения - помещения, где установлены СКЗИ или хранятся ключевые документы к ним.
2. Общие положения
Настоящее Положение определяет порядок учета, хранения и использования СКЗИ и криптографических ключей, в целях обеспечения безопасности эксплуатации СКЗИ в Администрации Режевского городского округа (далее – Администрация).
Настоящее Положение разработано в соответствии с:
Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным приказом ФСБ России от 09.02.2005 № 66 (далее - Положение ПКЗ-2005);
Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13.06.2001 № 152;
Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденными Приказом ФСБ России от 10.07.2014 № 378.
Для организации и обеспечения работ по техническому обслуживанию СКЗИ и управления криптографическими ключами распоряжением Администрации назначается ответственный пользователь СКЗИ, выполняющий функции органа криптографической защиты информации и имеющий необходимый уровень квалификации.
Ответственный пользователь СЗКИ осуществляет:
поэкземплярный учет СКЗИ;
контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией на СКЗИ и настоящим Положением;
расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации.
Список Пользователей СКЗИ утверждается муниципальным правовым актом Администрации.
Пользователь СКЗИ обязан:
строго соблюдать правила пользования СКЗИ и требования настоящего Положения;
не допускать установки на ПЭВМ нештатных программ, предупреждать возможность занесения вирусов и других вредоносных программ;
не разглашать информацию, к которой они допущены, в том числе сведения о СКЗИ, ключевых документах к ним и других мерах защиты;
соблюдать требования к обеспечению безопасности информации ограниченного доступа, требования к обеспечению безопасности СКЗИ и ключевых документов к ним;
сообщать о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
немедленно уведомлять Ответственного пользователя СЗКИ о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемой информации;
сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с установленным порядком при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
не допускать снятие копий с ключевых документов;
не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ или принтер;
не допускать записи на ключевой носитель посторонней информации;
не допускать установки ключевых документов в другие ПЭВМ.
Непосредственно к работе с СКЗИ Пользователи допускаются только после соответствующего обучения. Обучение пользователей правилам работы с СКЗИ осуществляет Ответственный пользователь СЗКИ с отметкой в журнале инструктажа пользователей средств криптографической защиты информации в Администрации Режевского городского округа (Приложение № 2) и записью в Журнале учета пользователей средств криптографической защиты информации в Администрации Режевского городского округа (Приложение № 4).
Текущий контроль, обеспечение функционирования и безопасности СКЗИ возлагается на Ответственного пользователя СЗКИ.
Ответственный пользователь СЗКИ и Пользователи СКЗИ должны быть ознакомлены с настоящим Положением под роспись.
3. Учет, хранение СКЗИ и криптографических ключей
3.1. Учет криптографических средств
Криптосредства, эксплуатационная и техническая документация к ним, используемые для обеспечения безопасности информации ограниченного доступа, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.
Все поступившие СКЗИ, эксплуатационная и техническая документации к ним, а также ключевые документы должны быть взяты на поэкземплярный учет и внесены в «Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов в Администрации Режевского городского округа (далее – Журнал поэкземплярного учета)» (Приложение № 1). При этом программные криптосредства должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные криптосредства подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие криптосредства учитываются также совместно с соответствующими аппаратными средствами.
Поэкземплярный учет СКЗИ имеет цель обеспечить контроль за снабжением СКЗИ, их наличием, движением, расходованием и исключить обезличенное пользование ими. В журнале поэкземплярного учета должно отражаться полное прохождение каждого в отдельности экземпляра СКЗИ, эксплуатационной и технической документации к ним, ключевых документов с момента получения до уничтожения.
Единицей поэкземплярного учета криптографических средств, ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Журнал поэкземплярного учета ведет Ответственный пользователь СКЗИ.
Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов выдаются под роспись в соответствующем журнале поэкземплярного учета Пользователям СКЗИ, несущим персональную ответственность за их сохранность.
При увольнении, перемещении Пользователя СКЗИ все числящие за ним СКЗИ и другие документы передаются сотруднику, которому поручено исполнять его обязанности. При временном убытии сотрудника (в том числе командировку, отпуск, временной нетрудоспособности) могут быть переданы только СКЗИ и документы, необходимые для работы в период его отсутствия. Остальные числящие СКЗИ и документы должны находиться в хранилище (упаковке). При установке СКЗИ на рабочее место пользователя СКЗИ составляется Акт установки и ввода в эксплуатацию средства криптографической защиты информации (Приложение № 3), а при увольнении, перемещении пользователя СКЗИ Акт деинсталляции средства криптографической защиты информации (Приложение № 5).
3.2. Хранение криптографических средств
Незадействованные в эксплуатации СКЗИ, дистрибутивы СКЗИ на магнитных носителях, эксплуатационная и техническая документация к ним хранится у Ответственного пользователя СКЗИ. Криптографические ключи хранятся у Пользователей СКЗИ.
Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-програмные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.
Инсталлирующие СКЗИ носители, эксплуатационная и техническая документация к СКЗИ, ключевые документы хранятся в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Действующие и резервные ключевые документы, предназначенные для применения в случае компрометации действующих криптоключей, хранятся раздельно.
3.3. Рассылка СКЗИ, ключевых документов
Криптосредства и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными, которыми могут быть Ответственный пользователь СКЗИ или Пользователи СКЗИ, при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам и ключевым документам во время доставки. Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.
Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать, что посылается и в каком количестве, учетные номера изделий или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
Полученные упаковки вскрывают пользователи СКЗИ, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю.
При обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия следует возвратить изготовителю для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранить до поступления дополнительных указаний изготовителя.
Получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме.
3.4. Уничтожение СКЗИ, ключевых документов
СКЗИ уничтожают (утилизируют) в соответствии с требованиями эксплуатационной и технической документации к ним.
Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств.
Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
СКЗИ, ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета.
О проведенном уничтожении СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, делаются отметки в соответствующем журнале поэкземплярного учета.
4. Компрометация криптоключей
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ. О выводе криптоключей из действия сообщают Ответственному пользователю СКЗИ. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению Ответственного пользователя СКЗИ, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а передаваемая информация как можно менее ценной.
О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации, Пользователи СКЗИ обязаны сообщать Ответственному пользователю СКЗИ. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Необходимо провести мероприятия по локализации последствий компрометации информации, передававшейся (хранящейся) с использованием СКЗИ.
Размещение, охрана и организация режима в помещениях, где установлены СКЗИ
Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним (далее – специализированные помещения), должны обеспечивать сохранность информации ограниченного доступа, криптосредств и ключевых документов к ним.
При оборудовании специализированных помещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с криптосредствами.
Специализированные помещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в режимные помещения.
Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
Для предотвращения просмотра извне специализированных помещений их окна должны быть защищены.
Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в специализированных помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
На время отсутствия Пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено и отключено от линии связи. В противном случае по согласованию с Ответственным пользователем СКЗИ необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.
В специализированных помещениях Пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования. Ключи от этих хранилищ должны находиться у соответствующих Пользователей СКЗИ.
При утрате Пользователем СКЗИ ключа от хранилища или от входной двери в специализированное помещение замок необходимо заменить.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в специализированные помещения или несанкционированное вскрытие хранилищ посторонними лицами, о случившемся должно быть немедленно сообщено Ответственному пользователю СКЗИ. Ответственный пользователь СКЗИ должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации информации ограниченного доступа и к замене скомпрометированных криптоключей.
5. Контроль за соблюдением эксплуатации средств криптографической защиты информации
Ежегодно комиссией, утвержденной распоряжением Администрации Режевского городского округа, проводятся плановые проверки:
наличия, правильности учета и соблюдения правил обращения и хранения СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
выявление установочных носителей СКЗИ, ключевых документов, экземпляров технической и эксплуатационной документации подлежащей уничтожению;
соблюдения правил обращения, предусмотренных настоящим Положением пользователями СКЗИ.
Внеплановые проверки проводятся комиссией, в которую входят сотрудники Администрации Режевского городского округа, в случаях нарушения установленного в Администрации Режевского городского округа порядка криптографической защиты информации.
Состав комиссии определяет глава Режевского городского округа.
По завершении проверки комиссией составляется Акт проверки, в котором указывается состав комиссии, основание проверки, проверочные мероприятия, недостатки, выявленные в ходе проверки, и рекомендации по их устранению, рекомендации по совершенствованию криптографической системы защиты информации.
6. Порядок проведения служебной проверки по фактам нарушения правил эксплуатации СКЗИ
В случае возникновения конфликтной ситуации и по фактам (подозрению) нарушения конфиденциальности информации, защищаемой с помощью СКЗИ, проводится служебная проверка.
Основаниями проведения служебной проверки являются докладная записка сотрудника, информационные письма (претензии) сторонних организаций, непосредственное обнаружение руководством факта (подозрения) нарушения конфиденциальности защищаемой информации, безопасность которых обеспечивается применением СКЗИ.
Служебная проверка назначается руководителем не позднее трех дней с момента поступления информации о факте нарушения конфиденциальности защищаемой информации.
В ходе служебной проверки устанавливается:
действительно ли имело место нарушение конфиденциальности защищаемой информации;
лица виновные в нарушении, их вина и ее степень;
причины и условия, способствовавшие нарушению;
характер и размер причиненного ущерба;
предложения по недопущению подобных случаев впредь;
иные сведения, имеющие отношения к нарушению.
Служебная проверка осуществляется комиссией, назначаемой распоряжением Администрации Режевского городского округа в составе не менее трех человек.
Срок завершения служебной проверки указывается в Распоряжении о проведении служебной проверки. Если срок не указан, то служебная проверка должна завершиться не позднее, чем через месяц со дня обнаружения нарушения.
На первом этапе служебной проверки комиссия устанавливает суть нарушения, его последствия, предполагает, что могло послужить причиной.
На втором этапе собирается вся необходимая интересующая информация о нарушении, объяснения с участников.
На третьем этапе на основании собранных в ходе первых двух этапов служебной проверки материалов оформляется письменное заключение (акт). В нем указываются основание и сроки проведения служебной проверки, состав комиссии, значимые обстоятельства, установленные в ходе расследования. Акт подписывается всеми членами комиссии и направляется руководителю.
Приложение № 1
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Журнал
поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов в Администрации Режевского городского округа
№ п/п.
Наименование
СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Тип
носителя
Регистрационные номера СКЗИ, эксплуата-
ционной и технической документации к ним, номера серий ключевых
документов
Номера экземпляров (криптогра-фические номера)
ключевых
документов
Отметка о получении
Отметка о выдаче
От кого полу-
чены
Дата и номер сопрово-дительного письма
Наименование юридического лица или ФИО сотрудника, выдавшего
СКЗИ, эксплуата-ционную и техничес-
кую документа-цию, ключевые документы
ФИО сотрудникаа,
получив-шего
СКЗИ, эксплуата-ционную и техничес-кую документацию, ключевые докумен-ты,
дата и подпись
1
2
3
4
5
6
7
8
9
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, выводе СКЗИ из эксплуатации, уничтожении ключевых документов
Примечание
ФИО
ответственного
пользователя СКЗИ, производившего подключение, (установку) СКЗИ
Дата подключения (установки) СКЗИ и подписи лиц, производивших подключение (установку)
Номера аппаратных средств, в которые установлены и/или к которым подключены СКЗИ
Дата и номер акта о вводе в эксплуата-цию
Дата изъятия СКЗИ из аппаратных средств, вывода СКЗИ из эксплуатации, уничтожения ключевых документов с указанием наименования производимой процедуры
ФИО ответственного пользователя СКЗИ, производившего изъятие СКЗИ из аппаратных средств, вывод СКЗИ из эксплуатации, уничтожение ключевых документов
Дата и номер акта об изъятии СКЗИ из аппаратных средств,
о выводе СКЗИ из эксплуата-ции, об
уничтожении ключевых документов или расписка об уничтожении
10
11
12
13
14
15
16
17
Приложение № 2
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Журнал
инструктажа пользователей средств криптографической защиты информации в Администрации Режевского городского округа
№
п/п
Дата
ФИО пользователя СКЗИ, прошедшего инструктаж
Подпись пользователя СКЗИ, прошедшего инструктаж
ФИО ответственного пользователя СКЗИ, проводившего инструктаж
Подпись ответственного пользователя СКЗИ,
проводившего
инструктаж
1
2
3
4
5
6
Приложение № 3
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Акт
установки и ввода в эксплуатацию
средства криптографической защиты информации
№ _____ «___» _____________ 20__ г.
Настоящий акт составлен о том, что ____________ 20___ г. ответственным пользователем средств криптографической защиты информации была произведена установка и настройка средства криптографической защиты информации (далее – СКЗИ) в соответствии с приведенной таблицей:
Наименование СКЗИ
Серийный № (Инв. №) АРМ
Место установки
ФИО ответственного лица пользователя
Рег. № дистрибутива СКЗИ (номер
экземпляра)
Проведена проверка работоспособности СКЗИ. Установленное программное обеспечение работает в штатном режиме, настройки СКЗИ соответствуют требованиям технической и эксплуатационной документации к ним и правам пользователя СКЗИ.
Проведено обучение пользователя СКЗИ работе с СКЗИ. Пользователю СКЗИ разъяснены правила пользования СКЗИ, ключевыми документами и парольной информацией к СКЗИ.
Проведено обследование помещения № _____ на соответствие требованиям эксплуатационной и технической документации. Размещение и оборудование помещения отвечают требованиям технической и эксплуатационной документации к СКЗИ, позволяют установить СКЗИ и обеспечить сохранность информации ограниченного доступа, СКЗИ и ключевых документов.
Системный блок с установленным СКЗИ опечатан номерной наклейкой № ______________ от «___» _____________ 20__ года. Замечания отсутствуют.
Ответственный пользователь СКЗИ:
_____________________________________________________________________________
(должность, подпись, расшифровка подписи)
Пользователь СКЗИ:
(должность, подпись, расшифровка подписи)
Приложение № 4
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Журнал
учета пользователей средств криптографической защиты информации в Администрации Режевского городского округа
№ п/п
Дата
ФИО пользователя СКЗИ
Подпись пользователя СКЗИ
Наименование
СКЗИ
Номер помещения,
где размещено СКЗИ
ФИО и подпись ответственного пользователя СКЗИ
1
2
3
4
5
6
7
Приложение № 5
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
АКТ
деинсталляции средства криптографической защиты информации
№ _____ «___» _____________ 20__ г.
Комиссия в составе:
______________________________________________________________________
(должность, фамилия, имя, отчество)
______________________________________________________________________
(должность, фамилия, имя, отчество)
______________________________________________________________________
(должность, фамилия, имя, отчество)
составила настоящий акт о том, что на системном блоке с серийным (инвентарным) номером №_______________
1. Произведена деинсталляция средства криптографической защиты информации
(далее - СКЗИ) ________________________________________________________
(наименование СКЗИ)
_____________________________________________________________________
следующим способом:[1]_________________________________________________
_____________________________________________________________________ .
2. Ключи № _________________ , находящиеся на ключевом носителе № _________________ уничтожены (возвращены ответственному пользователю СКЗИ).
Лицо, проводившее деинсталляцию:
______________________________________________________________________
(должность, подпись, расшифровка подписи)
Пользователь СКЗИ:
______________________________________________________________________
(должность, подпись, расшифровка подписи
[1] Способ уничтожения СКЗИ и ключевых документов регламентируется эксплуатационной и технической документацией к ним. В частности, к способам уничтожения относятся переформатирование, удаление программного обеспечения СКЗИ, физическое уничтожение носителей.
1
АДМИНИСТРАЦИЯ РЕЖЕВСКОГО ГОРОДСКОГО ОКРУГА
РАСПОРЯЖЕНИЕ
от 06.07.2020 № 81-р
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ПО ИСПОЛЬЗОВАНИЮ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ АДМИНИСТРАЦИИ РЕЖЕВСКОГО ГОРОДСКОГО ОКРУГА
В соответствии с требованиями федеральных законов от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных», с целью обеспечения безопасности информации с помощью средств криптографической защиты:
1. Утвердить Положение по использованию средств криптографической защиты информации в информационных системах Администрации Режевского городского округа (прилагается).
2. Распоряжение Администрации Режевского городского округа от 31.12.2015 № 190 «Об утверждении Положения по обеспечению безопасности информации с помощью средств криптографической защиты информации в информационных системах Администрации Режевского городского округа» признать утратившим силу.
3. Контроль за исполнением настоящего распоряжения возложить на управляющего делами администрации Е.И. Папушу.
Глава Режевского городского округа
И.Г. Карташов
УТВЕРЖДЕНО
распоряжением Администрации
Режевского городского округа
от 06.07.2020 № 81-р
«Об утверждении Положения по использованию
средств криптографической защиты информации
в информационных системах Администрации
Режевского городского округа»
ПОЛОЖЕНИЕ
по использованию средств криптографической защиты информации в информационных системах Администрации Режевского городского округа
1. Термины и определения
в настоящем Положении по использованию средств криптографической защиты информации в информационных системах Администрации Режевского городского округа (далее – Положение) применяются следующие термины и определения:
Доступ к информации - возможность получения информации и ее использования.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой блокнот - набор бумажных ключевых документов одного вида (таблиц, перфолент, перфокарт и т.п.), сброшюрованных и упакованных по установленным правилам.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт - диск, Data Key, Smart Card, Touch Memory и т.п.).
Компрометация криптоключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Лицензиат ФСБ – оператор конфиденциальной связи и лица, имеющие лицензию ФСБ и не являющиеся операторами конфиденциальной связи.
Орган криптографической защиты – организация, структурное подразделение организации - лицензиата ФСБ, обладателя конфиденциальной информации или физическое лицо.
Средства криптографической защиты информации (СКЗИ) – сертифицированные ФСБ (ФАПСИ) России средства:
Пользователи СКЗИ – лица, непосредственно допущенные к работе с СКЗИ.
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно - программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно - программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно - программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и «электронной подписи»;
- аппаратные, программные и аппаратно - программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
Специализированные помещения - помещения, где установлены СКЗИ или хранятся ключевые документы к ним.
2. Общие положения
Настоящее Положение определяет порядок учета, хранения и использования СКЗИ и криптографических ключей, в целях обеспечения безопасности эксплуатации СКЗИ в Администрации Режевского городского округа (далее – Администрация).
Настоящее Положение разработано в соответствии с:
Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным приказом ФСБ России от 09.02.2005 № 66 (далее - Положение ПКЗ-2005);
Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13.06.2001 № 152;
Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденными Приказом ФСБ России от 10.07.2014 № 378.
Для организации и обеспечения работ по техническому обслуживанию СКЗИ и управления криптографическими ключами распоряжением Администрации назначается ответственный пользователь СКЗИ, выполняющий функции органа криптографической защиты информации и имеющий необходимый уровень квалификации.
Ответственный пользователь СЗКИ осуществляет:
поэкземплярный учет СКЗИ;
контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией на СКЗИ и настоящим Положением;
расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации.
Список Пользователей СКЗИ утверждается муниципальным правовым актом Администрации.
Пользователь СКЗИ обязан:
строго соблюдать правила пользования СКЗИ и требования настоящего Положения;
не допускать установки на ПЭВМ нештатных программ, предупреждать возможность занесения вирусов и других вредоносных программ;
не разглашать информацию, к которой они допущены, в том числе сведения о СКЗИ, ключевых документах к ним и других мерах защиты;
соблюдать требования к обеспечению безопасности информации ограниченного доступа, требования к обеспечению безопасности СКЗИ и ключевых документов к ним;
сообщать о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
немедленно уведомлять Ответственного пользователя СЗКИ о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемой информации;
сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с установленным порядком при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
не допускать снятие копий с ключевых документов;
не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ или принтер;
не допускать записи на ключевой носитель посторонней информации;
не допускать установки ключевых документов в другие ПЭВМ.
Непосредственно к работе с СКЗИ Пользователи допускаются только после соответствующего обучения. Обучение пользователей правилам работы с СКЗИ осуществляет Ответственный пользователь СЗКИ с отметкой в журнале инструктажа пользователей средств криптографической защиты информации в Администрации Режевского городского округа (Приложение № 2) и записью в Журнале учета пользователей средств криптографической защиты информации в Администрации Режевского городского округа (Приложение № 4).
Текущий контроль, обеспечение функционирования и безопасности СКЗИ возлагается на Ответственного пользователя СЗКИ.
Ответственный пользователь СЗКИ и Пользователи СКЗИ должны быть ознакомлены с настоящим Положением под роспись.
3. Учет, хранение СКЗИ и криптографических ключей
3.1. Учет криптографических средств
Криптосредства, эксплуатационная и техническая документация к ним, используемые для обеспечения безопасности информации ограниченного доступа, подлежат учету с использованием индексов или условных наименований и регистрационных номеров.
Все поступившие СКЗИ, эксплуатационная и техническая документации к ним, а также ключевые документы должны быть взяты на поэкземплярный учет и внесены в «Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов в Администрации Режевского городского округа (далее – Журнал поэкземплярного учета)» (Приложение № 1). При этом программные криптосредства должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные криптосредства подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие криптосредства учитываются также совместно с соответствующими аппаратными средствами.
Поэкземплярный учет СКЗИ имеет цель обеспечить контроль за снабжением СКЗИ, их наличием, движением, расходованием и исключить обезличенное пользование ими. В журнале поэкземплярного учета должно отражаться полное прохождение каждого в отдельности экземпляра СКЗИ, эксплуатационной и технической документации к ним, ключевых документов с момента получения до уничтожения.
Единицей поэкземплярного учета криптографических средств, ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Журнал поэкземплярного учета ведет Ответственный пользователь СКЗИ.
Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов выдаются под роспись в соответствующем журнале поэкземплярного учета Пользователям СКЗИ, несущим персональную ответственность за их сохранность.
При увольнении, перемещении Пользователя СКЗИ все числящие за ним СКЗИ и другие документы передаются сотруднику, которому поручено исполнять его обязанности. При временном убытии сотрудника (в том числе командировку, отпуск, временной нетрудоспособности) могут быть переданы только СКЗИ и документы, необходимые для работы в период его отсутствия. Остальные числящие СКЗИ и документы должны находиться в хранилище (упаковке). При установке СКЗИ на рабочее место пользователя СКЗИ составляется Акт установки и ввода в эксплуатацию средства криптографической защиты информации (Приложение № 3), а при увольнении, перемещении пользователя СКЗИ Акт деинсталляции средства криптографической защиты информации (Приложение № 5).
3.2. Хранение криптографических средств
Незадействованные в эксплуатации СКЗИ, дистрибутивы СКЗИ на магнитных носителях, эксплуатационная и техническая документация к ним хранится у Ответственного пользователя СКЗИ. Криптографические ключи хранятся у Пользователей СКЗИ.
Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-програмные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.
Инсталлирующие СКЗИ носители, эксплуатационная и техническая документация к СКЗИ, ключевые документы хранятся в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Действующие и резервные ключевые документы, предназначенные для применения в случае компрометации действующих криптоключей, хранятся раздельно.
3.3. Рассылка СКЗИ, ключевых документов
Криптосредства и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными, которыми могут быть Ответственный пользователь СКЗИ или Пользователи СКЗИ, при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам и ключевым документам во время доставки. Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.
Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать, что посылается и в каком количестве, учетные номера изделий или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
Полученные упаковки вскрывают пользователи СКЗИ, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю.
При обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия следует возвратить изготовителю для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранить до поступления дополнительных указаний изготовителя.
Получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме.
3.4. Уничтожение СКЗИ, ключевых документов
СКЗИ уничтожают (утилизируют) в соответствии с требованиями эксплуатационной и технической документации к ним.
Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств.
Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
СКЗИ, ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета.
О проведенном уничтожении СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, делаются отметки в соответствующем журнале поэкземплярного учета.
4. Компрометация криптоключей
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ. О выводе криптоключей из действия сообщают Ответственному пользователю СКЗИ. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению Ответственного пользователя СКЗИ, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а передаваемая информация как можно менее ценной.
О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации, Пользователи СКЗИ обязаны сообщать Ответственному пользователю СКЗИ. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Необходимо провести мероприятия по локализации последствий компрометации информации, передававшейся (хранящейся) с использованием СКЗИ.
Размещение, охрана и организация режима в помещениях, где установлены СКЗИ
Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним (далее – специализированные помещения), должны обеспечивать сохранность информации ограниченного доступа, криптосредств и ключевых документов к ним.
При оборудовании специализированных помещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с криптосредствами.
Специализированные помещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в режимные помещения.
Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
Для предотвращения просмотра извне специализированных помещений их окна должны быть защищены.
Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в специализированных помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
На время отсутствия Пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено и отключено от линии связи. В противном случае по согласованию с Ответственным пользователем СКЗИ необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.
В специализированных помещениях Пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования. Ключи от этих хранилищ должны находиться у соответствующих Пользователей СКЗИ.
При утрате Пользователем СКЗИ ключа от хранилища или от входной двери в специализированное помещение замок необходимо заменить.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в специализированные помещения или несанкционированное вскрытие хранилищ посторонними лицами, о случившемся должно быть немедленно сообщено Ответственному пользователю СКЗИ. Ответственный пользователь СКЗИ должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации информации ограниченного доступа и к замене скомпрометированных криптоключей.
5. Контроль за соблюдением эксплуатации средств криптографической защиты информации
Ежегодно комиссией, утвержденной распоряжением Администрации Режевского городского округа, проводятся плановые проверки:
наличия, правильности учета и соблюдения правил обращения и хранения СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
выявление установочных носителей СКЗИ, ключевых документов, экземпляров технической и эксплуатационной документации подлежащей уничтожению;
соблюдения правил обращения, предусмотренных настоящим Положением пользователями СКЗИ.
Внеплановые проверки проводятся комиссией, в которую входят сотрудники Администрации Режевского городского округа, в случаях нарушения установленного в Администрации Режевского городского округа порядка криптографической защиты информации.
Состав комиссии определяет глава Режевского городского округа.
По завершении проверки комиссией составляется Акт проверки, в котором указывается состав комиссии, основание проверки, проверочные мероприятия, недостатки, выявленные в ходе проверки, и рекомендации по их устранению, рекомендации по совершенствованию криптографической системы защиты информации.
6. Порядок проведения служебной проверки по фактам нарушения правил эксплуатации СКЗИ
В случае возникновения конфликтной ситуации и по фактам (подозрению) нарушения конфиденциальности информации, защищаемой с помощью СКЗИ, проводится служебная проверка.
Основаниями проведения служебной проверки являются докладная записка сотрудника, информационные письма (претензии) сторонних организаций, непосредственное обнаружение руководством факта (подозрения) нарушения конфиденциальности защищаемой информации, безопасность которых обеспечивается применением СКЗИ.
Служебная проверка назначается руководителем не позднее трех дней с момента поступления информации о факте нарушения конфиденциальности защищаемой информации.
В ходе служебной проверки устанавливается:
действительно ли имело место нарушение конфиденциальности защищаемой информации;
лица виновные в нарушении, их вина и ее степень;
причины и условия, способствовавшие нарушению;
характер и размер причиненного ущерба;
предложения по недопущению подобных случаев впредь;
иные сведения, имеющие отношения к нарушению.
Служебная проверка осуществляется комиссией, назначаемой распоряжением Администрации Режевского городского округа в составе не менее трех человек.
Срок завершения служебной проверки указывается в Распоряжении о проведении служебной проверки. Если срок не указан, то служебная проверка должна завершиться не позднее, чем через месяц со дня обнаружения нарушения.
На первом этапе служебной проверки комиссия устанавливает суть нарушения, его последствия, предполагает, что могло послужить причиной.
На втором этапе собирается вся необходимая интересующая информация о нарушении, объяснения с участников.
На третьем этапе на основании собранных в ходе первых двух этапов служебной проверки материалов оформляется письменное заключение (акт). В нем указываются основание и сроки проведения служебной проверки, состав комиссии, значимые обстоятельства, установленные в ходе расследования. Акт подписывается всеми членами комиссии и направляется руководителю.
Приложение № 1
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Журнал
поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов в Администрации Режевского городского округа
№ п/п.
Наименование
СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Тип
носителя
Регистрационные номера СКЗИ, эксплуата-
ционной и технической документации к ним, номера серий ключевых
документов
Номера экземпляров (криптогра-фические номера)
ключевых
документов
Отметка о получении
Отметка о выдаче
От кого полу-
чены
Дата и номер сопрово-дительного письма
Наименование юридического лица или ФИО сотрудника, выдавшего
СКЗИ, эксплуата-ционную и техничес-
кую документа-цию, ключевые документы
ФИО сотрудникаа,
получив-шего
СКЗИ, эксплуата-ционную и техничес-кую документацию, ключевые докумен-ты,
дата и подпись
1
2
3
4
5
6
7
8
9
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, выводе СКЗИ из эксплуатации, уничтожении ключевых документов
Примечание
ФИО
ответственного
пользователя СКЗИ, производившего подключение, (установку) СКЗИ
Дата подключения (установки) СКЗИ и подписи лиц, производивших подключение (установку)
Номера аппаратных средств, в которые установлены и/или к которым подключены СКЗИ
Дата и номер акта о вводе в эксплуата-цию
Дата изъятия СКЗИ из аппаратных средств, вывода СКЗИ из эксплуатации, уничтожения ключевых документов с указанием наименования производимой процедуры
ФИО ответственного пользователя СКЗИ, производившего изъятие СКЗИ из аппаратных средств, вывод СКЗИ из эксплуатации, уничтожение ключевых документов
Дата и номер акта об изъятии СКЗИ из аппаратных средств,
о выводе СКЗИ из эксплуата-ции, об
уничтожении ключевых документов или расписка об уничтожении
10
11
12
13
14
15
16
17
Приложение № 2
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Журнал
инструктажа пользователей средств криптографической защиты информации в Администрации Режевского городского округа
№
п/п
Дата
ФИО пользователя СКЗИ, прошедшего инструктаж
Подпись пользователя СКЗИ, прошедшего инструктаж
ФИО ответственного пользователя СКЗИ, проводившего инструктаж
Подпись ответственного пользователя СКЗИ,
проводившего
инструктаж
1
2
3
4
5
6
Приложение № 3
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Акт
установки и ввода в эксплуатацию
средства криптографической защиты информации
№ _____ «___» _____________ 20__ г.
Настоящий акт составлен о том, что ____________ 20___ г. ответственным пользователем средств криптографической защиты информации была произведена установка и настройка средства криптографической защиты информации (далее – СКЗИ) в соответствии с приведенной таблицей:
Наименование СКЗИ
Серийный № (Инв. №) АРМ
Место установки
ФИО ответственного лица пользователя
Рег. № дистрибутива СКЗИ (номер
экземпляра)
Проведена проверка работоспособности СКЗИ. Установленное программное обеспечение работает в штатном режиме, настройки СКЗИ соответствуют требованиям технической и эксплуатационной документации к ним и правам пользователя СКЗИ.
Проведено обучение пользователя СКЗИ работе с СКЗИ. Пользователю СКЗИ разъяснены правила пользования СКЗИ, ключевыми документами и парольной информацией к СКЗИ.
Проведено обследование помещения № _____ на соответствие требованиям эксплуатационной и технической документации. Размещение и оборудование помещения отвечают требованиям технической и эксплуатационной документации к СКЗИ, позволяют установить СКЗИ и обеспечить сохранность информации ограниченного доступа, СКЗИ и ключевых документов.
Системный блок с установленным СКЗИ опечатан номерной наклейкой № ______________ от «___» _____________ 20__ года. Замечания отсутствуют.
Ответственный пользователь СКЗИ:
_____________________________________________________________________________
(должность, подпись, расшифровка подписи)
Пользователь СКЗИ:
(должность, подпись, расшифровка подписи)
Приложение № 4
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
Журнал
учета пользователей средств криптографической защиты информации в Администрации Режевского городского округа
№ п/п
Дата
ФИО пользователя СКЗИ
Подпись пользователя СКЗИ
Наименование
СКЗИ
Номер помещения,
где размещено СКЗИ
ФИО и подпись ответственного пользователя СКЗИ
1
2
3
4
5
6
7
Приложение № 5
к Положению по использованию средств
криптографической защиты информации
в информационных системах Администрации
Режевского городского округа
Форма
АКТ
деинсталляции средства криптографической защиты информации
№ _____ «___» _____________ 20__ г.
Комиссия в составе:
______________________________________________________________________
(должность, фамилия, имя, отчество)
______________________________________________________________________
(должность, фамилия, имя, отчество)
______________________________________________________________________
(должность, фамилия, имя, отчество)
составила настоящий акт о том, что на системном блоке с серийным (инвентарным) номером №_______________
1. Произведена деинсталляция средства криптографической защиты информации
(далее - СКЗИ) ________________________________________________________
(наименование СКЗИ)
_____________________________________________________________________
следующим способом:[1]_________________________________________________
_____________________________________________________________________ .
2. Ключи № _________________ , находящиеся на ключевом носителе № _________________ уничтожены (возвращены ответственному пользователю СКЗИ).
Лицо, проводившее деинсталляцию:
______________________________________________________________________
(должность, подпись, расшифровка подписи)
Пользователь СКЗИ:
______________________________________________________________________
(должность, подпись, расшифровка подписи
[1] Способ уничтожения СКЗИ и ключевых документов регламентируется эксплуатационной и технической документацией к ним. В частности, к способам уничтожения относятся переформатирование, удаление программного обеспечения СКЗИ, физическое уничтожение носителей.
Дополнительные сведения
| Государственные публикаторы: | Официальный сайт Режевского городского округа от 06.07.2020 |
| Рубрики правового классификатора: | 150.020.000 Муниципальные информационные системы. |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
