Об обращении с средствами

криптографической защиты информации

В соответствии с требованиями п.2 ч.2 ст.19 и п.5 ч.2 ст.19 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных», приказа ФСБ России от 10 июля 2014 года  №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 года  №152 и положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ России №66 от 9 февраля 2005 года,

постановляю:

1. Утвердить и ввести в действие Инструкцию по обращению с шифровальными (криптографическими) средствами защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (далее – Инструкция) (Приложение №1 к настоящему Постановлению).
2. Утвердить прилагаемый Перечень помещений Исполнительного комитета Алексеевского муниципального района Республики Татарстан, выделенных для установки средств криптографической защиты информации и хранения ключевых документов к ним (Приложение №2 к настоящему Постановлению).
3. Утвердить прилагаемый Перечень защищенных хранилищ, предназначенных для хранения средств криптографической защиты информации, ключевых документов, эксплуатационной и технической документации к средствам криптографической защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (Приложение №3 к настоящему Постановлению).
4. Ответственному за обеспечение безопасности персональных данных ознакомить работников, использующие средства криптографической защиты информации, с прилагаемой Инструкцией.
5. Контроль за исполнением настоящего постановления оставляю за собой.

И.о. Руководителя

Исполнительного комитета                                                              А.Д. Васильев

Приложение № 1

к постановлению

Исполнительного комитета

Алексеевского муниципального

района Республики Татарстан

от  _23.07.2020__ № _288__

ИНСТРУКЦИЯ

по обращению со средствами криптографической защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан

1. Основные термины и определения

Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей.

Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевой блокнот – набор бумажных ключевых документов одного вида (таблиц, перфолент, перфокарт и т.п.), сброшюрованных и упакованных по установленным правилам.

Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).

Компрометация криптоключа – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

Контролируемая зона – территория объекта, на которой исключено неконтролируемое пребывание лиц или транспортных средств.

Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.

Пользователь СКЗИ – физическое лицо, непосредственно допущенное к работе со средствами криптографической защиты информации.

Режимные помещения – помещения, где установлены средства криптографической защиты информации или хранятся ключевые документы к ним.

Средство криптографической защиты информации – криптосредства, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну.

а) средства шифрования – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации).

2. Общие положения

1. Настоящая Инструкция по обращению со средствами криптографической защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (далее – Инструкция), определяет порядок обращения, размещения, хранения, учета и уничтожения, средств криптографической защиты информации (далее – СКЗИ), а также ответственных за эксплуатацию СКЗИ.
2. Инструкция разработана в соответствии со следующими документами:

• «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утвержденное приказом ФСБ России №66 от 9 февраля 2005 года;
• Приказ ФАПСИ при Президенте РФ от 13 июня 2001 года  №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
• Приказ ФСБ России от 10 июля 2014 года №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

1. Требования настоящей Инструкции являются обязательными для исполнения всеми работниками Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Комитет), использующими в своей работе СКЗИ.
2. Все работники Комитета, использующие СКЗИ (далее –Пользователи СКЗИ), должны быть ознакомлены с требованиями настоящей Инструкции под подпись.
3. Настоящая Инструкция является дополнением к действующим локальным нормативным актам (внутренним документам) по вопросам обеспечения безопасности сведений конфиденциального характера, в том числе и персональных данных, и не исключает обязательного выполнения их требований.
4. Требования настоящей Инструкции не распространяются на следующие случаи:

• осуществляется неавтоматизированная обработка информации;
• осуществляется хранение, комплектование, учет и использование архивных документов, содержащих сведения конфиденциального характера, в соответствии с законодательством об архивном деле в Российской Федерации;
• осуществляется обработка сведений, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1. По всем вопросам организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ сведений конфиденциального характера Комитет обязан обращаться к организации-лицензиату ФСБ РФ и выполнять его требования.

3. Ответственные лица

1. В Комитете ответственность за эксплуатацию сертифицированных СКЗИ, несут:

1. Ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных (далее – Ответственный за обеспечение безопасности ПДн в ИСПДн), на которого возлагаются обязанности по:

• разработке мероприятий по обеспечению функционирования и безопасности, применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;
• обучении лиц, использующих СКЗИ, правилам работы с СКЗИ и выдаче «Заключения о подготовке и допуске к самостоятельной работе со средствами криптографической защиты информации» по результатам прохождения обучения;
• поэкземплярному учету СКЗИ, эксплуатационной и технической документации к ним;
• учету лиц, допущенных к работе с СКЗИ;
• контролю за соблюдением условий использования и хранения СКЗИ в соответствии с эксплуатационной и технической документацией на СКЗИ и настоящей Инструкцией;
• расследованию и составлению заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации и разработке, и принятию мер по предотвращению возможных негативных последствий подобных нарушений.

1. Пользователи СКЗИ, на которых возлагаются задачи по:

• обеспечению сохранности СКЗИ и ключевых документов, переданных им;
• соблюдению условий использования и хранения СКЗИ в соответствии с эксплуатационной и технической документацией на СКЗИ и настоящей Инструкцией.

4. Организация допуска пользователей к работе с СКЗИ

1. Обучение пользователей правилам работы с СКЗИ осуществляет Ответственный за обеспечение безопасности ПДн в ИСПДн. Непосредственно к работе с СКЗИ пользователи допускаются после обучения и выдачи «Заключения о подготовке и допуске к самостоятельной работе со средствами криптографической защиты информации», форма которого приведена в Приложении 1 к настоящей Инструкции.

5. Учет СКЗИ

1. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат учету с использованием индексов или условных наименований и регистрационных номеров в «Журнале поэкземплярного учета средств криптографической защиты информации, используемых в Исполнительном комитете Алексеевского муниципального района Республики Татарстан, эксплуатационной и технической документации к ним, ключевых документов» (далее – Журнал учета СКЗИ), форма которого приведена в Приложении 2 к настоящей Инструкции.
2. Программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.
3. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
4. Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в Журнале учета СКЗИ Пользователям СКЗИ, несущим персональную ответственность за их сохранность.
5. При необходимости Пользователю СКЗИ выдается документация по эксплуатации СКЗИ с последующим возвратом Ответственному за обеспечение безопасности ПДн в ИСПДн.
6. Если эксплуатационной и технической документацией к СКЗИ предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в «Техническом (аппаратном) журнале учета средств криптографической защиты информации», форма которого приведена в Приложении 3 к настоящей Инструкции, ведущемся непосредственно Пользователем СКЗИ. В техническом (аппаратном) журнале СКЗИ отражают также данные об эксплуатации СКЗИ и другие сведения, предусмотренные эксплуатационной и технической документацией. В иных случаях технический (аппаратный) журнал на СКЗИ не заводится (если нет прямых указаний о его ведении в эксплуатационной или технической документации к СКЗИ).
7. Ответственный за обеспечение безопасности ПДн в ИСПДн заводит и ведет на каждого Пользователя СКЗИ лицевой счет, в котором регистрирует числящиеся за ними СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы. Форма лицевого счета пользователя СКЗИ приведена в Приложении 4 к настоящей Инструкции.

6. Хранение СКЗИ

1. Пользователи СКЗИ должны хранить инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
2. Пользователи СКЗИ должны предусмотреть раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.
3. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующие СКЗИ носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у сотрудника, ответственного за хранилище. Дубликаты ключей от хранилищ Пользователи СКЗИ хранят в сейфе Ответственного за обеспечение безопасности ПДн в ИСПДн под расписку в «Журнале учета ключей от режимных помещений, карт для доступа в режимные помещения, хранилищ, личных печатей от хранилищ», форма которого приведена в Приложении 5 к настоящей Инструкции.
4. Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы).
5. Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.

7. Передача и выдача СКЗИ

1. При необходимости передачи по техническим средствам связи сведений конфиденциального характера, касающихся организации и обеспечения функционирования СКЗИ, указанные сообщения необходимо передавать только с использованием СКЗИ.
2. Передача криптоключей по техническим средствам связи не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами.
3. Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между Пользователями СКЗИ и (или) Ответственным за обеспечение безопасности ПДн в ИСПДн под расписку в соответствующих Журналах учета СКЗИ. Такая передача между Пользователями СКЗИ должна быть санкционирована Ответственным за обеспечение безопасности ПДн в ИСПДн.
4. Выдача ключевых носителей, ключевых документов, СКЗИ, эксплуатационных и технических документов к СКЗИ Пользователям СКЗИ осуществляется Ответственным за обеспечение безопасности ПДн в ИСПДн на основании Журнала учета СКЗИ.
5. Факт выдачи пользователю ключевого документа, СКЗИ, эксплуатационного и технического документа к СКЗИ регистрируется в Журнала учета СКЗИ.

8. Пересылка и получение СКЗИ

1. СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными работниками Комитета из числа Пользователей СКЗИ или Ответственного за обеспечение безопасности ПДн в ИСПДн при соблюдении мер, исключающих бесконтрольный доступ к СКЗИ и ключевым документам во время доставки.
2. Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.
3. Для пересылки СКЗИ и ключевых документов они должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. СКЗИ пересылают отдельно от ключевых документов к ним. На упаковках указывают Пользователя СКЗИ, для которого эти упаковки предназначены. На таких упаковках делают пометку «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати. До первоначальной высылки (или возвращения) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны.
4. Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать: что посылается и в каком количестве, учетные номера изделий или документов, а также при необходимости назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
5. Полученные упаковки вскрывает только Пользователь СКЗИ, для которого они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать – их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями СКЗИ и ключевые документы до получения указаний от отправителя применять не разрешается.
6. При обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия следует возвратить изготовителю для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранить до поступления дополнительных указаний от изготовителя.
7. Получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.
8. Заказ на изготовление очередных ключевых документов, их изготовление и рассылку на места использования для своевременной замены действующих ключевых документов следует производить заблаговременно. Указание о вводе в действие очередных ключевых документов может быть дано Ответственным за обеспечение безопасности ПДн в ИСПДн только после поступления от всех заинтересованных Пользователей СКЗИ подтверждения о получении ими очередных ключевых документов.
9. Неиспользованные или выведенные из действия ключевые документы подлежат возвращению Ответственному за обеспечение безопасности ПДн в ИСПДн или по его указанию должны быть уничтожены на месте.

9. Уничтожение СКЗИ

1. Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
2. Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
3. Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
4. Бумажные и прочие сгораемые ключевые носители, а также эксплуатационную и техническую документацию к СКЗИ уничтожают путем сжигания или с помощью любых бумагорезательных машин.
5. СКЗИ уничтожают (утилизируют) по решению Руководителя Комитета, владеющего СКЗИ, и с уведомлением организации, ответственной в соответствии с Положением ПКЗ-2005 за организацию поэкземплярного учета СКЗИ.
6. Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ, и они полностью отсоединены от аппаратных средств.
7. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
8. Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в Журнале учета СКЗИ. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная, и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам, хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах.
9. Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются Пользователями СКЗИ самостоятельно под расписку в техническом (аппаратном) журнале.
10. Ключевые документы уничтожаются либо Пользователями СКЗИ, либо Ответственным за обеспечение безопасности ПДн в ИСПДн под расписку в Журнале учета СКЗИ, а уничтожение большого объема ключевых документов может быть оформлено «Актом уничтожения шифровальных (криптографических) средств», форма которого приведена в Приложении 6 к настоящей Инструкции. При этом Пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) СКЗИ. После уничтожения Пользователи СКЗИ должны уведомить об этом письменно или устно Ответственного за обеспечение безопасности ПДн в ИСПДн.
11. Уничтожение по акту производит комиссия в составе не менее двух человек из числа Пользователей СКЗИ. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, дистрибутивов СКЗИ, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки Журнале учета СКЗИ.

10. Компрометация действующих ключей к СКЗИ

1. К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь, следующие:

• явная компрометация ключей:

• потеря ключевых носителей;
• потеря ключевых носителей с их последующим обнаружением;
• увольнение сотрудников, имевших доступ к ключевой информации;
• нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;

• неявная компрометация ключей:

• возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
• нарушение печати на сейфе с ключевыми носителями;
• случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

1. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшихся (хранящихся) с их использованием сведений конфиденциального характера, Пользователи СКЗИ обязаны сообщать Ответственному за обеспечение безопасности ПДн в ИСПДн.

11. Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ

1. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ.
2. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается по решению Ответственного за обеспечение безопасности ПДн в ИСПДн, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а защищаемая информация как можно менее ценной.
3. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием конфиденциальной информации, Пользователи СКЗИ обязаны сообщать Ответственному за обеспечение безопасности ПДн в ИСПДн.
4. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
5. В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
6. Мероприятия по розыску и локализации последствий компрометации ключевых документов организует и осуществляет Ответственный за обеспечение безопасности ПДн в ИСПДн.
7. Порядок оповещения Пользователей СКЗИ о предполагаемой компрометации криптоключей и их замене устанавливается Ответственным за обеспечение безопасности ПДн в ИСПДн или ФСБ России.

12. Режимные помещения

1. Размещение, специальное оборудование, охрана и организация режима в режимных помещениях (далее – РП) должны обеспечивать сохранность СКЗИ и ключевых документов к ним. При оборудовании РП должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.
2. Перечень РП, выделенных для установки СКЗИ и хранения ключевых документов к ним утверждается приказом Руководителя Комитета.
3. РП выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. РП должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна РП, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в РП посторонних лиц, необходимо оборудовать металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению в РП.
4. Размещение, специальное оборудование, охрана и организация режима в РП должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
5. Режим охраны РП, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает Ответственный за обеспечение безопасности ПДн в ИСПДн по согласованию с Руководителем Комитета. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются.
6. Двери РП должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода работников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают работникам, имеющим право допуска в РП, под расписку в «Журнале учета ключей от режимных помещений, карт для доступа в режимные помещения, хранилищ, личных печатей от хранилищ». Дубликаты ключей от входных дверей таких РП следует хранить в сейфе Ответственного за обеспечение безопасности ПДн в ИСПДн.
7. Дубликат ключа от сейфа Ответственного за обеспечение безопасности ПДн в ИСПДн в опечатанной упаковке должен быть передан на хранение Руководителю Комитета под расписку в «Журнале учета ключей от режимных помещений, карт для доступа в режимные помещения, хранилищ, личных печатей от хранилищ».
8. Для предотвращения просмотра извне РП их окна должны быть защищены ставнями, жалюзи, шторами и т.п.
9. РП по возможности должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах.
10. По окончании рабочего дня РП и установленные в нем хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы под расписку в соответствующем журнале уполномоченному (дежурному), которые хранят эти ключи в личном или специально выделенном хранилище.
11. Ключи от РП, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ РП, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службы охраны или дежурному по организации одновременно с передачей под охрану самих РП. Печати, предназначенные для опечатывания хранилищ, должны находиться у Пользователей СКЗИ, ответственных за эти хранилища.
12. При утрате ключа от хранилища или от входной двери в РП замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает Ответственный за обеспечение безопасности ПДн в ИСПДн.
13. В обычных условиях РП, находящиеся в них опечатанные хранилища могут быть вскрыты только Пользователями СКЗИ или Ответственным за обеспечение безопасности ПДн в ИСПДн.
14. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти РП или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено Ответственному за обеспечение безопасности ПДн в ИСПДн, который должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять при необходимости меры к локализации последствий компрометации информации и к замене скомпрометированных криптоключей.
15. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в РП должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.
16. На время отсутствия Пользователей СКЗИ указанное оборудование при наличии технической возможности должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с Ответственным за обеспечение безопасности ПДн в ИСПДн необходимо предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами.

13. Регламент проведения контроля соответствия использования СКЗИ

1. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ сведений конфиденциального характера в Комитете осуществляют уполномоченные федеральные органы исполнительной власти или организация-лицензиат. В ходе контроля изучаются и оцениваются:

• организация безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации конфиденциального характера;
• достигнутый уровень криптографической защиты информации конфиденциального характера;
• условия использования СКЗИ.

1. По результатам государственного контроля составляется подробный или краткий акт, справка. С актом проверки (справкой) под расписку должен быть ознакомлен Руководитель Комитета.
2. Если в использовании СКЗИ обнаружены недостатки, то Ответственный за обеспечение безопасности ПДн в ИСПДн обязан принять безотлагательные меры по их устранению.
3. Ответственный за обеспечение безопасности ПДн в ИСПДн обязан контролировать выполнение Пользователями СКЗИ требований по организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ сведений конфиденциального характера, а также условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФСБ России и Инструкцией.
4. Внутренний контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ сведений конфиденциального характера производится в Комитете 1 раз в год.
5. В ходе контроля изучаются и оцениваются:

• организация безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ сведений конфиденциального характера;
• выполнение Инструкции.

1. С целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера, Комитет вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ.

14. Ответственность

1. Пользователи СКЗИ и Ответственный за обеспечение безопасности ПДн в ИСПДн несут личную ответственность за сохранность выданной им ключевой информации, носителей и паролей доступа к ним.
2. Пользователи СКЗИ, осуществляющие обработку и защиту персональных данных на, обязаны ознакомиться с данной Инструкцией под подпись.
3. Пользователи СКЗИ и Ответственный за обеспечение безопасности ПДн в ИСПДн несут персональную ответственность за выполнение требований настоящей Инструкции.

15. Срок действия и порядок внесения изменений

1. Настоящая Инструкция вступает в силу с момента её утверждения и действует бессрочно.
2. Настоящая инструкция подлежит пересмотру не реже одного раза в три года.
3. Изменения и дополнения в настоящую Инструкцию вносятся постановлением Руководителя Комитета.

Управляющий делами

Исполнительного комитета                                                          Г.А. Юсупова
Приложение №1

к Инструкции по обращению с шифровальными (криптографическими) средствами защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан

ФОРМА

ЗАКЛЮЧЕНИЕ

о подготовке и допуске к самостоятельной работе

со средствами криптографической защиты

Пользователи средств криптографической защиты информации (далее – СКЗИ):

Дата проведения подготовки «___» __________ 20__ г.

Подготовка проводилась в соответствии с требованиями:

• эксплуатационной и технической документации к                            

                                                                                                                             ;

(наименование криптосредства, по которому осуществлялась подготовка)

• инструкции по обращению со средствами криптографической защиты информации, утверждённой приказом от «__» _____ 20__ г. №______.

Заключение:

Допустить пользователей СКЗИ к самостоятельной работе с (наименование криптосредства, по которому осуществлялась подготовка).

С заключением ознакомлен (а):

Ответственный за обеспечение безопасности персональных данных:

____________________________________

(ФИО, должность, подпись, дата)

Приложение №2

к Инструкции по обращению с шифровальными (криптографическими) средствами защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан

ФОРМА

Журнал поэкземплярного учета средств криптографической защиты информации используемых

в Исполнительном комитете Алексеевского муниципального района Республики Татарстан, эксплуатационной и технической документации к ним, ключевых документов

Приложение №3

к Инструкции по обращению с шифровальными (криптографическими) средствами защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан

ФОРМА

Технический (аппаратный) журнал

учета средств криптографической защиты информации

Приложение №4

к Инструкции по обращению с шифровальными (криптографическими) средствами защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан

ФОРМА

Лицевой счет пользователя СКЗИ

Приложение №5

к Инструкции по обращению с шифровальными (криптографическими) средствами защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан

ФОРМА

Журнал учета ключей от режимных помещений, карт для доступа в режимные помещения, ключей хранилищ, личных печатей от хранилищ

Приложение №6

к Инструкции по обращению с шифровальными (криптографическими) средствами защиты информации

ФОРМА

АКТ

уничтожения шифровальных

(криптографических) средств

Комиссия в составе:

Председатель:

Члены комиссии:

составила настоящий акт о том, что перечисленные в таблице 1 средства криптографической защиты информации (далее – СКЗИ) уничтожены с предварительным стиранием программного обеспечения СКЗИ и произведено стирание информации (которая может оставаться в устройствах памяти оборудования, в принтерах, сканерах)

Таблица 1

Регистрационные данные на СКЗИ сверены с записями в настоящем Акте, уничтожение СКЗИ выполнено способом их стирания (разрушения) по технологии в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.

Узлы и детали аппаратных средств общего назначения

________________________________________________________________________________________________________________________________

(не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций шифровальных (криптографических) средств мониторы, принтеры, сканеры, клавиатура и т.п.)

передать в__________________________________________________________________________.

Отметку об уничтожении ключевых носителей, ключевых документов в «Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов» произвел

____________________________________________________________________________________.

(должность, фамилия, инициалы подпись, дата)

Председатель:

Члены комиссии:

Приложение №2

к постановлению Исполнительного комитета Алексеевского муниципального района Республики Татарстан

от _23.07.2020_  № _288_

ПЕРЕЧЕНЬ

режимных помещений Исполнительного комитета Алексеевского муниципального района Республики Татарстан, выделенных для установки средств криптографической защиты информации и хранения ключевых документов к ним

Приложение №3

к постановлению Исполнительного комитета Алексеевского муниципального района Республики Татарстан

от _23.07.2020_ №_288__

ПЕРЕЧЕНЬ

защищенных хранилищ, предназначенных для хранения средств криптографической защиты информации, ключевых документов, эксплуатационной и технической документации к средствам криптографической защиты информации