Руководство администратора скзи

Понятие ЭЦП

Электронная подпись – это способ подтверждения подлинности конфиденциальной компьютерной документации (не содержащей гостайн).

ЭЦП представляет собой комбинацию криптографических символов, которые невозможно подделать. Такая подпись создается индивидуально для каждого пользователя.

Документ с ЭЦП (электронный или распечатанный на бумаге) имеет юридическую силу. Попытка несанкционированного рассекречивания PIN-кода расценивается как мошенничество, равносильное подделке паспорта.

Основные функции ЭЦП:

• идентификация владельца документа;
• ограничение доступа посторонних лиц к персональным данным или ценной информации;
• проверка подлинности, целостности документа (отсутствия попыток мошенничества).

Регламентация

Правила использования ЭЦП в России регламентируются Федеральным законом № 63 «Об электронной подписи» от 6 апреля 2011 года.

В регламенте перечисляются:

• типы электронных подписей, действительных на территории РФ;
• порядок выдачи, регистрации ЭЦП, а также предоставления сертификата (в котором указаны ПДн владельца, СНИЛС, ИНН, ключ проверки ЭП, способ его создания);
• обязанности и полномочия получателя ЭЦП;
• правила пользования.

Виды

Существует два вида электронной подписи:

• простая (не требующая специального ПО);
• усиленная (создаваемая с помощью криптографических шифровальных программ).
   

Они различаются по особенностям применения, степени защиты данных.

Усиленная электронная подпись подразделяется на:

• квалифицированную;
• неквалифицированную.

Простая

Образцом простой ЭЦП является комбинация логина и пароля, с помощью которой производится идентификация пользователя, входящего, например, в личный кабинет интернет-банка. Нередко для получения доступа требуется введение дополнительного кода, присылаемого на телефон в виде сообщения SMS. Пароли/ коды необходимо хранить в секрете.

Простая подпись заменяет собственноручную, если в документе отсутствует информация, разглашение которой опасно для государства или крайне нежелательно для бизнеса.

Усиленная неквалифицированная

Используется для документации, шифруемой криптографическим методом; содержит:

1. «Закрытый ключ» ЭП – последовательность символов, с помощью которых производится шифрование. Он известен только самому пользователю.
2. «Открытый ключ» проверки подлинности подписи, достоверности документа. Он известен другим пользователям системы. По нему можно установить личность владельца ЭЦП, но нельзя получить закрытый ключ и доступ к зашифрованной информации.
    

Неквалифицированная подпись ставится под документами, которые не заверяются печатью. Она позволяет идентифицировать владельца, подтвердить сохранность данных, отсутствие исправлений после подписания.

Такую ЭЦП используют:

• для утверждения приказов, договоров, ведомостей на зарплату и других внутренних документов предприятия;
• при оплате налогов через личный кабинет ФНС;
• при оформлении соглашений, касающихся бизнес-сотрудничества.

Усиленная квалифицированная

Отличие состоит в том, что:

1. Выдается «сертификат ключа проверки», оформляемый «удостоверяющим центром», зарегистрированным в Минкомсвязи. УЦ – это коммерческая организация, которая создает ЭП по заказам клиентов, берет на себя ответственность за правильное использование подписи. Пользователи некоторых категорий (нотариусы, ИП, юридические лица) могут получать квалифицированный сертификат бесплатно в УЦ ФНС России.
2. Для создания подписи используются только специальные программно-аппаратные средства, разрешенные ФСБ (Приказ № 796 от 27 декабря 2011 г.).
3. Владельцу такой подписи предоставляется максимум юридических прав.
    

Квалифицированную ЭЦП используют при сдаче отчетов надзорным органам, решении судебных споров между предприятиями, обращении в государственные информационные системы (ГИС).

Такая подпись предназначается также для оформления торговых сделок, например, на электронной площадке АСТ ГОЗ (автоматизированной системы оборонных заказов) при Национальном университете «Высшая школа экономики».

СКЗИ в составе ЭЦП

Для создания ЭЦП используются средства криптографической защиты информации (СКЗИ). С их помощью производится:

• шифрование документации (отчетов, накладных, результатов экспертизы);
• расшифровка переписки с компаньонами, налоговыми службами, судебными органами;
• проверка правильности введения ключей ЭП.
   

СКЗИ может быть отдельной программой, которая устанавливается в рабочий компьютер. Для операционных систем Unix, Windows используются программы КриптоПро CSP, Signal-COM CSP, LISSI-CSP, VipNet CSP. Для их установки требуется приобретение лицензии ФСБ России (ст. 12 закона № 99-ФЗ от 4 мая 2011 г.).

Существуют также встроенные СКЗИ (Рутокен ЭЦП, JaCarta SE, Рутокен ЭЦП 2.0). Они закрепляются в электронных устройствах, работают самостоятельно: генерируют ЭП, шифруют, расшифровывают информацию. Отдельной лицензии на приобретение носителей не требуется.

Блоки СКЗИ со встроенными программами шифрования, генерации ключей ЭП используются, к примеру, в тахографах – автомобильных бортовых самописцах. Эти устройства устанавливаются для обеспечения безопасности грузовых, пассажирских транспортных перевозок. С их помощью осуществляется временной контроль за действиями водителей, соблюдением режима труда/ отдыха. Дополнительно фиксируются: скорость движения, расход топлива, время езды, остановок, другие эксплуатационные характеристики, которые можно скачать для контроля.

С помощью СКЗИ производится аутентификация перевозчиков, шифрование отчетов о событиях, происходивших на протяжении рабочей смены. Данные сохраняются в памяти тахографа и на индивидуальной карте водителя. На дисплей выводятся его ПДн, а также показатели режимов. Настройка и сертификация тахографов с блоками СКЗИ (Меркурий ТА-001, КАСБИ ДТ-20М, Штрих Тахо RUS и других) проводятся в специализированной мастерской не реже 1 раза в три года.

На заметку. Тахографы с блоком СКЗИ разрешается использовать только на территории РФ. На транспортных средствах, выезжающих за границу, устанавливаются устройства ЕСТР, отвечающие европейским стандартам.

Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152

ФАПСИ (Федеральное агентство правительственной связи и информации) – это государственный орган, отвечающий за безопасность электронных систем транспортной, энергетической и другой инфраструктуры. В его функции входит выявление, пресечение попыток несанкционированного доступа к информации.

Приказом N 152 была утверждена Инструкция, касающаяся хранения и передачи ценной информации (не представляющей гостайну).  В Приложении изложены правила учета документации, требования к СКЗИ.

Общие положения

В Инструкции говорится о криптозащите информации, доступ к которой ограничен законодательно. При этом не рассматривается охрана гостайн и ценных сведений, имеющихся в российских организациях, действующих за границей.

Данные обрабатываются и передаются с помощью сертифицированных программно-аппаратных средств (таких как «Континент TLS VPN client»).

Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

Вопросами использования СКЗИ на предприятиях занимаются органы криптозащиты (ОКЗ), лицензированные ФАПСИ. В их обязанности входит обеспечение информационной безопасности с применением СКЗИ и некриптографических средств.

Работники предприятия, получающие доступ к ключевой документации, проходят предварительный инструктаж, под подписку знакомятся с обязательными требованиями.

Они должны:

• держать в секрете шифруемые данные, сведения о криптоключах;
• надежно хранить носители информации, пропуска, ключи от рабочих помещений;
• своевременно выявлять попытки взлома СКЗИ.

Порядок обращения с СКЗИ и криптоключами к ним и мероприятия при компрометации криптоключей

Руководство предприятия должно позаботиться о надежном хранении криптоключей, документов, СКЗИ-оборудования. В качестве ключевых носителей используются дискеты, компакт-диски (Smart Cart, CD-ROM и другие).

Запрещается передача ключей в незашифрованном виде.

Криптодокументация учитывается поэкземплярно. При этом используется так называемый «ключевой блокнот», в котором фиксируются все эпизоды использования носителей для генерации шифровальных ключей.

Ведутся журналы учета СКЗИ и выносимых документов.

Для пользователей заводятся индивидуальные «лицевые счета». Здесь регистрируются информационные носители, за которые они отвечают.

В каждом случае составляется акт передачи СКЗИ от одного пользователя к другому.

Аппаратура, документация находятся в охраняемых помещениях. Исключается возможность непреднамеренного уничтожения ценных материалов.

Предусмотрено наличие резервных документов на случай компрометации криптоключей.

Программно-аппаратные СКЗИ пломбируются. Принимаются меры для предотвращения утечки информации в процессе ее передачи через сотрудников.

Эксплуатационные, технические документы СКЗИ разрешается переправлять по почте заказным письмом или ценной посылкой в прочной упаковке, под грифом «лично». Прилагается сопроводительное письмо с перечнем содержимого.

Послание вскрывается сотрудником органа криптозащиты или непосредственным адресатом-пользователем СКЗИ.

Скомпрометированные криптоключи уничтожаются вместе с устройством-носителем или удаляются с него по специальной технологии.

Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним

Хранилище снабжается прочными дверями с металлическими решетками, кодовыми замками.

Окна оборудуются ставнями, шторами, обеспечивающими невозможность заглядывания внутрь. Устанавливается сигнализация, предупреждающая о попытках незаконного проникновения.

Дверные ключи содержатся в сейфах, выдаются и сдаются представителю органа криптозащиты под расписку.

В помещение не допускаются посторонние. В нерабочее время хранилища опечатываются. Руководство органов криптозащиты извещается о появлении любых признаков незаконного проникновения. Принимаются меры для минимизации последствий утечки информации.

Неиспользуемое криптографическое оборудование отключается от линий связи.

Режим безопасной работы устанавливается руководством предприятия. ОКЗ контролируют соблюдение правил пользования СКЗИ.

Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

Он осуществляется ФАПСИ. При проверке анализируется:

• безопасность хранения/ обработки данных;
• уровень криптозащиты;
• условия работы с СКЗИ;
• деятельность сотрудников, обслуживающих оборудование криптозащиты.
   

Разрешение на периодическое проведение контрольных проверок дает гендиректор ФАПСИ или его заместители. Для получения допуска к ведению подобного контроля уполномоченный должен предъявить личные документы, а также предписание с печатью ФАПСИ. По результатам анализа составляются акты (справки).

Правила эксплуатации СКЗИ для защиты персональных данных

При выборе шифровальных средств учитываются особенности используемой информационной системы, характер возможных угроз. Работа ведется в соответствии с нормами российского законодательства.

Нормативно-методические документы

Защита ПДн осуществляется с учетом требований, изложенных в таких документах, как:

1. ФЗ N 152 от 27.07.2006 г.
2. Приказ ФСБ за N 378 от 10.07.2014 г. (о безопасности ПДн, применении СКЗИ).
3. Приказ ФСБ N 66 от 9.02.2005 г. (о разработке, производстве, эксплуатации СКЗИ для защиты ПДн).
4. Приказ ФАПСИ N 152 (с инструкцией о передаче, хранении криптоданных).
5. Методические рекомендации ФСБ России N 149 от 31.03.2015 г. (о моделях угроз безопасности ПДн и правилах использовании СКЗИ).

Необходимость использования СКЗИ

Как указывается в Методических рекомендациях, СКЗИ используются для обеспечения безопасности ПДн в следующих случаях:

• когда речь идет о защите гражданских прав на неприкосновенность частной жизни;
• если утечку персональной информации можно предотвратить только с использованием СКЗИ (информация передается по незащищенным каналам);
• когда владельцами ПДн являются организации, выполняющие государственные заказы.

Порядок эксплуатации

Правила пользования СКЗИ устанавливаются ФСБ России. Средства периодически проверяются на соответствие стандартам, учитываются индивидуально (каждому из них присваивается условное наименование и номер). Разработчики, производители и заказчики СКЗИ ведут поэкземплярный учет криптографических блоков и программ. Средства регистрируются также службой ФСБ, контролирующей соблюдение правил их использования.

Участники

Участниками эксплуатации СКЗИ являются обладатель ценной информации и ее потребитель. Ответственность за состояние и качество информационной защиты несут разработчик, изготовитель и специалист по обслуживанию программно-аппаратных средств.

Администратор СКЗИ отвечает за сохранность ключевых носителей, повышение квалификации пользователей, усовершенствование криптозащиты. Он ведет журнал учета СКЗИ, проверяет наличие сертификатов, сообщает в ОКЗ о проявлениях нездорового интереса к работе крипто устройств, следит за выполнением требований ИБ, управляет доступом к информации, назначает ответственных за выполнение конкретных работ.

Обязанности органа криптографической защиты

Назначение органов криптозащиты:

• проверка готовности владельцев информации к работе с СКЗИ;
• разработка мер по эксплуатации сертифицированных программно-аппаратных устройств и рекомендаций по работе с документами СКЗИ;
• учет аппаратуры, ПО, регламентной документации;
• составление списка владельцев ценной информации, использующих СКЗИ;
• выявление случаев ненадлежащего хранения данных, разработка мер по смягчению последствий информационной утечки;
• написание регламентов по эксплуатации СКЗИ с учетом техдокументации.

Обязанности пользователя СКЗИ

Пользователь обязан:

• соблюдать условия эксплуатации СКЗИ, указанные в инструкции производителя;
• хранить в тайне корпоративную информацию, с которой приходится работать;
• сдавать СКЗИ и ключевую документацию Администратору при увольнении или смене работы;
• не использовать криптоключи на сторонних компьютерах;
• сообщать о потере носителей, СКЗИ-устройств, важной документации, ключей от служебных помещений;
• принимать своевременные меры для обновления антивирусных программ;
• устанавливать на ПК только лицензионное ПО;
• не допускать посторонних к своему ПК, хранить электронные и бумажные носители в соответствии с требованиями ИБ.

Уничтожение СКЗИ

Причиной утилизации СКЗИ (блоков, носителей) могут быть окончание срока действия изделий, увольнение сотрудника, имевшего допуск к ключевой документации, или его перевод на другую работу. Средства, подлежащие уничтожению, сдаются Администратору СКЗИ.

Криптоключи удаляются из памяти устройства носителя. Затем оно уничтожается или используется повторно (в соответствии с регламентом производителя). Создаются новые ключи, информация перешифровывается.

Факт утилизации фиксируется в журнале типовой формы. Составляются акты деинсталляции криптоключей, а также уничтожения блоков СКЗИ и устройств-носителей.

Процедура проводится не позднее 10 дней после окончания использования материалов. В ней участвует не менее 2 человек (комиссия).

Примечание. Вспомогательное оборудование, которое использовалось вместе с СКЗИ (монитор, принтер, сканер) после надежного удаления предыдущей информации можно эксплуатировать в дальнейшем без ограничений.

Защита помещений ОКЗ

В Приказе № 152 ФАПСИ (п. 52, 53, 56) изложены требования, предъявляемые к помещениям ОКЗ.

Здесь говорится о том, что они должны иметь:

• оптимальную площадь;
• прочные металлические двери с надежными кодовыми замками;
• окна, защищенные решетками, жалюзями; для исключения возможности просмотра помещения с улицы используются плотные шторы;
• охранную сигнализацию, предупреждающую о вторжении злоумышленников;
• металлический сейф для хранения СКЗИ и сопутствующей документации.

Защита помещений пользователей СКЗИ

Помещения для операторов должны быть оборудованы прочными дверями, защищенными окнами. На охраняемую территорию не должны заходить посторонние люди.

Рабочие столы располагаются таким образом, чтобы сотрудники, сидящие рядом, не могли видеть документы, обрабатываемые соседом, и делать копии. Столы отделяются друг от друга перегородками. Пользователи должны иметь индивидуальные шкафы или ящики для хранения СКЗИ носителей и рабочей документации. Чтобы исключить похищение или уничтожение важных сведений, ценные источники информации закрываются на ключ, шкафы опломбируются. Действующие и резервные ключевые документы следует хранить отдельно.

Организационно-распорядительные документы

К ним относятся документы, в которых изложены общие правила работы предприятия, а также требования, касающиеся информационной защиты, охраны ПДн.

В перечень входят:

• приказы (о назначении ответственных за эксплуатацию СКЗИ, допуске сотрудников к работе с криптоключами, мерах безопасности, использовании журналов учета и т. д.);
• отчеты о проверке информационных систем, состояния криптографических средств, результатах мероприятий по усилению ИБ;
• акты (передачи, списания, уничтожения криптографических средств);
• методические рекомендации ФСТЭК, ФСБ, ФАПСИ (об источниках информационных угроз и видах нарушителей ИС, а также об использовании сертифицированных СКЗИ);
• должностные инструкции (по установке и применению ПО, криптоключей, шифровальной аппаратуры, по обеспечению безопасности ИС, использованию антивирусной защиты, предоставлению допуска к работе с СКЗИ);
• перечни конфиденциальных данных и списки работников, допущенных к их приему и передаче.

Инструкция пользователя

В каждой организации, владеющей информацией ограниченного доступа, обязательно составляется инструкция ответственного пользователя СКЗИ, в которой оговариваются особенности криптографической обработки данных и правила хранения секретной документации.

Закрепление обязанностей

В инструкции говорится о необходимости четкого закрепления обязанностей за отдельными сотрудниками. Устанавливаются конкретные рамки, в пределах которых они могут использовать аппаратуру и программы шифрования, проявлять интерес к служебной информации и деятельности других работников.

Допуск

К самостоятельной работе допускаются лица, прошедшие специальную подготовку, получившие заключение комиссии ОКЗ с результатами теста. Для получения допуска сотрудники должны иметь должные навыки работы, а также понятия о законодательных нормах обработки и хранения информации, использования СКЗИ.

Учет, выдача и уничтожение СКЗИ и ключевых носителей

В этом разделе инструкции говорится о необходимости ведения журналов учета криптографических устройств, а также электронных и бумажных носителей. Журнал заполняет администратор, отвечающий за безопасность информации.

Используются шаблоны, в которые заносятся сведения об элементах СКЗИ и сотрудниках, участвовавших в установке и эксплуатации средств. Оговариваются причины и порядок уничтожения криптоключей, устройств-носителей и блоков СКЗИ.

Действия при компрометации ключевой информации

Описываются обязанности, действия сотрудников и руководства организации в случае компрометации шифровальных ключей и криптодокументов.

Причинами компрометации (утери доверия) могут быть:

• потеря устройств-носителей (даже если они были позднее обнаружены);
• подозрения на недостаточную надежность канала связи;
• взлом печатей на дверях или сейфах с ключевыми документами;
• потеря дверных ключей от хранилищ и шкафов с элементами СКЗИ;
• увольнение сотрудников.
   

В инструкции описан порядок замены и уничтожения скомпрометированных криптоключей.

Хранение СКЗИ и ключевой информации

Здесь перечисляются обязанности пользователей СКЗИ, говорится о необходимости правильного хранения шифров и ключевой информации.

Описываются также требования к охране служебных помещений и хранилищ, правила доступа сотрудников, выдачи СКЗИ и сопроводительной документации.

Порядок проверки ФСБ

В соответствии с Федеральным законом № 152 деятельность операторов ПДн контролируется ФСБ, если обработка данных производится с использованием криптографических методов.  Операторы ПДн – это органы государственной и муниципальной власти, физические и юридические лица, имеющие дело с персональной информацией граждан.

Классы СКЗИ

Класс СКЗИ определяется с учетом «модели нарушителя» (степени уязвимости информационной системы).

Класс СКЗИ	Возможности предотвращения атак
КС1	За пределами контролируемой зоны
КС2	За пределами зоны контроля или внутри нее, но без контакта с аппаратными средствами СКЗИ
КС3	К2 + блокировка атак со стороны лиц, имеющих доступ к оборудованию СКЗИ
КВ	КВ – КС3 + нейтрализация атак со стороны разработчиков ПО и аппаратуры СКЗИ
КА	КВ + отражение атак со стороны сотрудников, имеющих опыт работы с информационными системами и знакомых с возможностями взлома ПО и оборудования СКЗИ

Контроль и проверка использования

При проверке анализируется соблюдение требований, изложенных в Приказах № 66 и № 378 ФСБ, в Приказе ФАПСИ № 152, Методических рекомендациях № 149 и № 432 ФСБ.

Сотрудники ФСБ проверяют наличие сертификатов СКЗИ, выявляет угрозы БИ и модели нарушителей (способы возможного похищения или уничтожения данных). Контролируются условия обработки и защиты ПДн.

За нарушение требований безопасности ПДн (использование несертифицированных СКЗИ, отсутствие журналов учета, недооценку угроз) предусмотрена выплата штрафа (от 1 до 20 тыс. рублей).

Мероприятия для обеспечения безопасности ПДн

Согласно ФЗ № 152 (о безопасности ПДн) для защиты персональной информации требуется:

• составить перечень ПДн, подлежащих защите;
• установить границы контролируемой зоны ИС;
• выбрать СКЗИ соответствующего класса;
• уточнить режим работы сотрудников и степень их участия в обработке данных;
• выявить возможные угрозы безопасности;
• разработать инструкции для пользователей, учитывая требования законов;
• конкретизировать обязанности сотрудников, разграничить доступ к базе данных;
• организовать регистрацию и учет СКЗИ;
• использовать безопасное ПО и защищенные сайты (стандарта csp).

Использование СКЗИ позволяет избежать материальных потерь и морального ущерба, связанного с утечкой коммерческой и личной информации. Важную роль играет правильная эксплуатация СКЗИ, разумное распределение обязанностей между сотрудниками, управление доступом к криптографическим ключам. Чтобы действовать в рамках закона, необходимо выполнять требования, изложенные в приказах и рекомендациях надзорных органов,  а также в инструкциях по использованию СКЗИ.

Приложение 14
к постановлению администрации

сельского поселения «Яснэг»

от 2014 года №

ИНСТРУКЦИЯ

администратора средств криптографической защити информации (СКЗИ)

1. Термины и определения
1.1 В настоящей Инструкции по эксплуатации средств криптографической защиты информации в Администрации применяются следующие термины и определения:

а) безопасность эксплуатации СКЗИ — совокупность мер управления и контроля, защищающая СКЗИ и криптографические ключи от несанкционированного (умышленного или случайного) их раскрытия, модификации, разрушения или использования;

б) Администратор (ответственный за эксплуатацию) СКЗИ – работник, осуществляющий организацию и обеспечение работ по техническому обслуживанию СКЗИ и управление криптографическими ключами (далее – Администратор СКЗИ).

в) Пользователь СКЗИ – работник Администрации, который использует СКЗИ;

г) средства криптографической защиты информации (СКЗИ) — совокупность программно-технических средств, обеспечивающих применение шифрования при осуществлении электронного документооборота, в том числе программное обеспечение с реализацией криптографических функций.
2. Общие положения
2.1 Настоящая Инструкция определяет:

а) порядок учета, хранения и использования СКЗИ и криптографических ключей, а также порядок их изготовления, смены, уничтожения в целях обеспечения безопасности эксплуатации СКЗИ;

б) обязанности, права и ответственность Администратора СКЗИ.
2.2 Все действия с СКЗИ осуществляются в соответствии с эксплуатационной и технической документацией на СКЗИ.
2.3 Методическая и техническая поддержка осуществляется оператором безопасности Республики Коми – ГБУ РК «Центр безопасности информации» (далее — Оператор).
2.3 Администратор СКЗИ назначается и смещается распоряжением администрации.
3. Основные обязанности Администратора СКЗИ
3.1 Администратор СКЗИ обязан:

а) вести поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним;

б) вести учет Пользователей СКЗИ;

в) осуществлять контроль за соблюдением условий использования СКЗИ в соответствии с эксплуатационной и технической документацией на СКЗИ и настоящей Инструкцией;

г) вести расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации;

г) осуществлять разработку и принятие мер по предотвращению возможных негативных последствий подобных нарушений.

д) не разглашать конфиденциальную информацию, к которой допущен, рубежи ее защиты, в том числе сведения о криптографических ключах;

е) соблюдать требования к обеспечению безопасности конфиденциальной информации при использовании СКЗИ;
4. Допуск к эксплуатации СКЗИ
4.1 Обучение Пользователей СКЗИ правилам работы с СКЗИ осуществляет Администратор СКЗИ.
4.2 Администратор СКЗИ должен иметь соответствующий документ о квалификации в области эксплуатации СКЗИ.
4.3 Непосредственно к работе с СКЗИ пользователи СКЗИ допускаются после обучения и выдачи соответствующего заключения. Заключение о прохождении тестирования оформляется в 2-х экземплярах. Для получения заключения необходимо зарегистрироваться на сайте Оператора и пройти тестирование на знание правил работы со СКЗИ.
4.4 Администратор СКЗИ должен быть ознакомлен с настоящей Инструкцией под роспись.
3. Учет и хранение СКЗИ и криптографических ключей
3.1 СКЗИ, эксплуатационная и техническая документация к ним, криптографические ключи подлежат поэкземплярному учету.
3.2 Поэкземплярный учет СКЗИ ведет Администратор СКЗИ в журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним (далее – Журнал) согласно приложению №1 к настоящей Инструкции.
3.3 Все полученные экземпляры СКЗИ, криптографических ключей должны быть выданы под роспись в Журнале Пользователям СКЗИ, несущим персональную ответственность за их сохранность. При необходимости Пользователю СКЗИ выдается документация по эксплуатации СКЗИ с последующим возвратом Администратору СКЗИ.
3.4 Дистрибутивы СКЗИ на носителях, эксплуатационная и техническая документация к СКЗИ, инструкции хранятся у Администратора СКЗИ. Криптографические ключи хранятся у Пользователей СКЗИ. Хранение осуществляется в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
3.5 Резервные криптографические ключи находится на хранении у Администратора СКЗИ.
3.5 Ключевые носители подлежат обязательной маркировке (если это возможно) с изготовлением наклейки, содержащей реквизиты регистрации из Журнала и/или сертификата.
3.6 Неработоспособные ключевые носители подлежат уничтожению. Уничтожение оформляется актом (приложение №2 к настоящей Инструкции).
3.7 Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.
3.8 Ключевые носители совместно с Журналом должны храниться в запираемом шкафу, сейфе (металлическом шкафу), как правило, в отдельной ячейке. В исключительных случаях допускается хранить ключевые носители и Журнал совместно с другими документами, при этом ключевые носители и Журнал должны быть помещены в отдельную папку.
3.9 На время отсутствия Администратора СКЗИ распоряжением Администрации должен быть назначен работник его замещающий.
4. Использование СКЗИ и криптографических ключей
4.1 Факт готовности эксплуатации СКЗИ оформляется актом о готовности эксплуатации СКЗИ (приложение №3, к настоящей Инструкции).
5. Изготовление и плановая смена криптографических ключей
5.1 Изготовление криптографических ключей производиться Администратором СКЗИ в присутствии Пользователя СКЗИ.
5.2 Криптографические ключи изготавливаются на отчуждаемый ключевой носитель (дискету, ruToken, EToken и др.) в соответствии с эксплуатационно-технической документацией на СКЗИ и требованиями безопасности, установленными настоящей Инструкцией.
5.3 В целях обеспечения непрерывности проведения работы плановую смену криптографических ключей следует производить заблаговременно.
5.4 Переход на новые криптографические ключи Пользователь СКЗИ выполняет самостоятельно в соответствии с эксплуатационной документацией на СКЗИ. Переход на новые криптографические ключи осуществляется в сроки, указанные в сертификате ключа подписи.
5.5 При замене криптографических ключей используют программное обеспечение в соответствии с документами по эксплуатации. Пользователь СКЗИ обязан самостоятельно обновить сертификат ключ подписи. Обновление справочников сертификатов ключей производится путем добавления новых сертификатов ключей подписи из файлов, содержащих сертификаты ключей подписи, предоставляемых Администратором СКЗИ. Обновление справочников сертификатов ключей подписи осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

6. Действия при компрометации криптографических ключей
6.1 Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию Владельца и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:

а) утрата (хищение) НКИ, в том числе – с последующим их обнаружением;

б) увольнение (переназначение) работников, имевших доступ к ключевой информации;

в) передача секретных ключей по линии связи в открытом виде;

г) нарушение правил хранения криптоключей;

д) вскрытие фактов утечки передаваемой информации или её искажения (подмены, подделки);

е) отрицательный результат при проверке наложенной ЭЦП;

ж) несанкционированное или безучётное копирование ключевой информации;

з) все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
6.2 События 6.1.(а-д) должны трактоваться как безусловная компрометация действующих ключей. Остальные события требуют специального расследования в каждом конкретном случае.
6.3 При наступлении любого из перечисленных в п. 6.1 событий Владелец ключа должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации руководителю структурного подразделения или Администратору СКЗИ.
6.4 При подтверждении факта компрометации действующих ключей Пользователь СКЗИ обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей.

6.5 Для восстановления конфиденциальной связи, после компрометации действующих ключей, на Пользователя СКЗИ оформляются новые ключи ЭЦП.
7. Уничтожение криптографических ключей
7.1 Неиспользованные или выведенные из действия криптографические ключи подлежат уничтожению.
7.2 Уничтожение криптографических ключей на ключевых носителях производится уполномоченной на то комиссий с участием Администратора СКЗИ с оформлением акта актом (приложение №2 к настоящей Инструкции).
7.3 Криптографические ключи, находящиеся на ключевых носителях, уничтожаются путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на СКЗИ. При уничтожении криптографических ключей, находящихся на ключевых носителях, необходимо:

а) установить наличие оригинала и количество копий криптографических ключей;

б) проверить внешним осмотром целостность каждого ключевого носителя;

в) установить наличие на оригинале и всех копиях ключевых носителей реквизитов путем сверки с записями в Журнале поэкземплярного учета;

г) убедиться, что криптографические ключи, находящиеся на ключевых носителях, действительно подлежат уничтожению;

д) произвести уничтожение ключевой информации на оригинале и на всех копиях носителей.
7.4 В Журнале поэкземплярного учета Администратором СКЗИ производится отметка об уничтожении криптографических ключей.
8. Права Администратора СКЗИ
8.1. Администратор СКЗИ имеет право:

а) вносить предложения по совершенствованию СКЗИ;

б) повышать уровень квалификации по использованию СКЗИ.
9. Ответственность Администратора СКЗИ
9.1. Администратора СКЗИ несет персональную ответственность за обеспечение конфиденциальности ключевых носителей.
9.2 В случае неисполнения или ненадлежащего выполнения требований настоящей Инструкции Администратора СКЗИ может быть привлечен к дисциплинарной и/или административной ответственности в соответствии с действующим законодательством Российской Федерации.

Приложение 2

УТВЕРЖДАЮ: Глава сельского поселения «Яснэг» ____________ /_______________/ « ____ » ____________ 20____ г. м.п.

А К Т № ____

об уничтожении ключевого носителя СКЗИ
Комиссия в составе:

__________________________________________________________________________________________________________________________________________________________________________ выполнила уничтожение ключевых носителей СКЗИ, методом последовательного уничтожения информации: (форматирование дискеты 1.4 средствами операционной системы Windows, физическое уничтожение дискеты 1.4); другое: ___________________________________________

Инвентарный номер системного блока (персональный компьютер)	Фамилия, имя, отчество Пользователя СКЗИ	Дата изъятия (уничтожения)	Серийный номер СКЗИ

Всего уничтожено ___________ ключевых носителей СКЗИ.

	Члены комиссии:
Дата уничтожения: « ___ » ____________ 20___ г.	__________________ /_________________/ __________________ /_________________/ __________________ /_________________/ __________________ /_________________/

УТВЕРЖДАЮ: Глава сельского поселения «Яснэг» ____________ /_______________/ « ____ » ____________ 20____ г. м.п.

А К Т № ____

об изъятии СКЗИ из аппаратных средств
Комиссия в составе:

__________________________________________________________________________________________________________________________________________________________________________ выполнила изъятие СКЗИ (КриптоПро CSP, ViPNet Client, SecretNet и др.), методом деинсталляции программы средствами операционной системы Windows:

Инвентарный номер системного блока (персональный компьютер)	Фамилия, имя, отчество Пользователя СКЗИ	Дата изъятия (уничтожения)	Серийный номер жесткого диска

Всего уничтожено ___________ средств СКЗИ.

	Члены комиссии:
Дата уничтожения: « ___ » ____________ 20___ г.	__________________ /_________________/ __________________ /_________________/ __________________ /_________________/ __________________ /_________________/

Приложение 3

УТВЕРЖДАЮ Глава сельского поселения «Яснэг» ______________________/________________ (подпись и Фамилия И.О. руководителя) «___»_______________20___г. м.п.

УТВЕРЖДАЮ директор ГБУ РК «Центр безопасности информации» _______________________ /___________/ «___»_______________20___г.

АКТ №_______

о готовности эксплуатации СКЗИ
Комиссия сотрудников _________________________________________________ в составе:

(название организации)

____________________________________________________________________________________

____________________________________________________________________________________
в соответствии с Договором № ___________ от «___»___________20___г. и «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации (СКЗИ) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной Приказом ФАПСИ №152 от 13.06.2001г., следующими данными о ____________________________________________________________________________________:

(название организации)

Расположение тех. средств с СКЗИ (насел. пункт, ул., дом, каб.) _______________________

______________________________________________________________________________.

Инвентарный или заводской № ПЭВМ (где используется СКЗИ), № СКЗИ (указан на полученном CD-диске): _________________________________________________________.

Печать (которой опечатана ПЭВМ): _______________________________________________.

Наименование и код СКЗИ: ______________________________________________________.

Используемое программное обеспечение (версия и код операционной системы, ПО):__________________________________________________________________________

______________________________________________________________________________.
проведенными работами по проверке функционирования СКЗИ, а также на основании соответствующей подготовки лиц, использующих СКЗИ, делает вывод о ___________________________________ вышеуказанной организации требованиям «Инструкции

(соответствии/не соответствии)

об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной Приказом ФАПСИ №152 от 13.06.2001г. и она ________________________к самостоятельному использованию СКЗИ.

(готова/не готова)

	Члены комиссии:
	____________________/___________________ ____________________/___________________ ____________________/___________________

Лист ознакомления

№ п/п	Фамилия, имя, отчество	Должность	Подпись, дата
1
2
3
4
5
6
7
8
9
10

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:

• Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
• Инструкция администратора безопасности
• Инструкция ответственного за организацию обработки персональных данных
• Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
• Инструкция по реагированию на инциденты информационной безопасности
• Инструкция пользователя государственной информационной системы
• Приказ об утверждении внутренних нормативных актов по защите информации
• Политика информационной безопасности в составе:
• — Общие положения
• — Технологические процессы обработки защищаемой информации в информационных системах
• — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
• — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
• — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
• — Правила и процедуры выявления, анализа и устранения уязвимостей
• — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
• — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
• — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
• — Форма задания на внесение изменений в списки пользователей информационной системы
• — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
• — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
• — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
• — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
• — Форма списка разрешенного программного обеспечения в информационной системе
• — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
• — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
• — Порядок резервирования информационных ресурсов
• — План обеспечения непрерывности функционирования информационной системы
• Приказ об организации контролируемой зоны
• Положение о контролируемой зоне
• План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
• Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
• Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
• Форма журнала учета приема/выдачи съемных машинных носителей информации
• Форма журнала учета средств защиты информации
• Форма журнала учета периодического тестирования средств защиты информации
• Форма журнала проведения инструктажей по информационной безопасности
• Форма журнала учета мероприятий по контролю обеспечения защиты информации

2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:

• Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
• Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
• Приказ о классификации государственной информационной системы
• Форма акта классификации государственной информационной системы
• Приказ о вводе в эксплуатация государственной информационной системы

3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:

• Положение о защите и обработке персональных данных в составе:
• — Общие положения
• — Основные понятия и состав персональных данных
• — Общие принципы обработки персональных данных
• — Порядок сбора и хранения персональных данных
• — Процедура получения персональных данных
• — Передача персональных данных третьим лицам
• — Трансграничная передача персональных данных
• — Порядок уничтожения и блокирования персональных данных
• — Защита персональных данных
• — Согласие на обработку персональных данных
• — Организация доступа работников к персональным данным субъектов
• — Организация доступа субъекту персональных данных к его персональным данным
• — Права и обязанности оператора персональных данных
• — Права и обязанности работников, допущенных к обработке персональных данных
• — Права субъекта персональных данных
• — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
• Правила рассмотрения запросов субъектов персональных данных или их представителей
• Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
• Форма перечня лиц, допущенных к обработке персональных данных
• Политика в отношении обработки персональных данных
• Приказ об определении уровня защищенности персональных данных
• Форма акта определения уровня защищенности персональных данных
• Правила обработки персональных данных без использования средств автоматизации
• Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
• Форма акта уничтожения персональных данных
• Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
• Форма согласия субъекта на обработку его персональных данных
• Положение о системе видеонаблюдения
• Форма соглашения о неразглашении персональных данных
• Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав

4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств

• Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
• Форма перечень сотрудников, допущенных к работе с СКЗИ
• Инструкция по обеспечению безопасности эксплуатации СКЗИ
• Форма акта об уничтожении криптографических ключей и ключевых документов
• Схема организации криптографической защиты информации

5. Модель угроз безопасности информации