Приказ скзи

Содержание:

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Приказ ФСБ России от 10 июля 2014 г. N 378
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»* приказываю

утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

* Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038.

Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности.

Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц. Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса.

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Текст приказа опубликован в «Российской газете» от 17 сентября 2014 г. N 211

Приказ ФСБ России № 66 от 9 февраля 2005 г.

  • 22.08.2018
  • | Документы
  • | 384

Приказ состоит из пяти основных частей, включающих в себя общие положения, порядок разработки СКЗИ, порядок производства СКЗИ, порядок их реализации и эксплуатации.

В общих положениях приводится перечень используемых обозначений и их определение.
В частности, речь идет о средствах шифрования, средствах имитозащиты, электронной цифровой подписи и средствах кодирования. В этой же части указываются случаи, при которых следует руководствоваться данным положением, а также требования рекомендательного характера по работе с СКЗИ.

Пункт «порядок разработки СКЗИ» утверждает методы разработки средств криптографической защиты информации и перечень сведений, которые требуется вносить в тактико-техническое задание на проведение опытно-конструкторских работ.

В 3 и 4 частях оговаривается порядок производства и реализации СКЗИ, а именно требования и условия изготовления и распространения, установленные ФСБ России.

Пункт «Порядок эксплуатации СКЗИ» ссылается на инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ, а также утверждает порядок их эксплуатации, учета и планирования размещения.

Ознакомиться с полным содержанием приказа вы можете по ссылке.

Комплект документов по СКЗИ предназначен для обладателей конфиденциальной информации, которые приняли решение о необходимости криптографической защиты такой информации.
Документы подготовлены с учетом требований
— Приказа ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
— Приказа Федеральной службы безопасности Российской Федерации от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

Порядок применения документов:
1. Приказом утверждаются:
Ответственный за эксплуатацию СКЗИ в организации;
Перечень сотрудников, допущенных к работе с СКЗИ;
Инструкция пользователя СКЗИ.
2. Заводится журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов. В нем учитываются все СКЗИ организации: дистрибутивы СКЗИ, установленные программные и программно-аппаратные СКЗИ, ключевые дистрибутивы СКЗИ и т.д.
Для установленных программных и программно-аппаратных СКЗИ отметки о подключении (установке) проставляет орган криптографической защиты, имеющий лицензию ФСБ РФ на данный вид деятельности. Либо вписываются реквизиты акта ввода в эксплуатацию СКЗИ органа криптографической защиты.
3. Заводится журнал учета лиц, допущенных к работе с СКЗИ в организации. При заполнении вносится перечень СКЗИ, к которым допущен пользователь.
4. Заводится журнал учета ключей от помещений, где размещены СКЗИ.
5. При установке программных и программно-аппаратных СКЗИ помимо акта ввода в эксплуатацию СКЗИ органом криптографической защиты оформляется заключение о допуске пользователя СКЗИ к самостоятельной работе.

Ниже приведены формы указанных документов.

1. Приказ о назначении ответственного за эксплуатацию СКЗИ

«36 Приказ Минтранса» или «720 Постановление», какой тахограф установить?

Почитав в интернете статьи о тахографах, о законах и их применении я обратил внимание, что нет единого понятия по ним. Каждый трактует так как хочет. Сегодня в статье я попытаюсь разобраться в законодательстве по применению цифровых тахографов на территории России, тем более статью о якобы отмене тахографов я уже написал и эти темы обе щекотливые. Теперь давайте определимся какой тахограф ставить.

Основные законы по Тахографам

Итак, на сегодняшний день существует 4 основных законодательных акта которые касаются тахографа и его установки:

  • Первенец в нашем списке это Федеральный закон «О безопасности дорожного движения» номер 196-ФЗ от 10.12.95 года. В нем введено требование непрерывной и некорректируемой фиксации о маршруте передвижения, скоростном режиме, о режиме труда и отдыха водителя. Как таковых требований к аппаратной части оборудования в нем нет. Сам закон можете прочитать, но нас там касается 1 абзац.
  • Следующий Федеральный закон от 30.12.2001 года за номером 197-ФЗ, он же именуемы «Трудовой кодекс» РФ. По сути он указывает на правила работы сотрудника, но не как не требования к функциональной части, поэтому заострять особое внимание не стоит, на днях я опубликую статью в которой распишу основные требования к режиму труда и отдыха водителя.
  • А теперь камни преткновения, 720 Постановление Правительства РФ «Об утверждении технического регламента о безопасности колесных транспортных средств». До недавнего времени это был единственный законодательный акт в котором были прописаны требования к самой железяки, а именно:
    • подключение к работоспособному спидометру или одометру, с последующим опломбированием;
    • требование к опломбировке и метрологической поверке тахографа;
    • тахограф должен обеспечивать регистрацию: скоростного режима, пройденного расстояния, времени работы водителя и времени других работ, времени перерывов в работе и отдыха, случаев доступа к данным регистрации, перерывов в электропитании длительностью более 100 миллисекунд, перерывов в подаче импульсов от датчика движения.

    Под это постановление подходят любые цифровые тахографы, в том числе и тахографы ЕСТР, т.е. для соблюдения этих требований достаточно установить тахограф в Сервисном Центре (который есть в списке допущенных до установки естественно).

  • И последний в нашем списке, но далеко не последний в списке самых обсуждаемых Приказ Министерства транспорта №36 от 13.02.2013 года, который вступил в силу с 1 апреля 2013. В это приказе прописаны требования к оборудованию всех транспортных средств тахографами со встроенным средством криптографической защиты информации (оно же СКЗИ), остальные пункты особой значимости не имеют. Сказать, что страна не было готова к такому закону, это ничего не сказать. По факту на 1 апреля не было ни блоков СКЗИ, ни чип-карт, ни самих тахографов. Более того в списке допущенный сервисных центров была 1 организация расположенная в Санкт-Петербурге и являющейся просто производителем. По понятным причинам люди не могли получить лицензии и выписывались штрафы сотрудниками ГИБДД.

Вот пожалуй все законы касающиеся тахографов. Теперь попробуем разобраться, какой же нужен тахограф сегодня. 273 Приказ Минтранса я пока не описываю, т.к. он еще не принят.

«36 Приказ» или «720 Постановление» — какой тахограф ставить?

Какой ставить цифровой тахограф? – вот наиболее часто возникающий вопрос у перевозчиков. Однозначного ответа нет, точнее он есть, если бы не но. По факту на сегодняшний день можно ставить тахографы с СКЗИ и тахографы ЕСТР (для предприятий имеющих лицензию международного перевозчика). Стоимость данных устройств примерно одинакова. Но, установив тахограф с СКЗИ вы столкнётесь с проблемой покупки чип-карт для этих устройств. Компания «Инкотекст» внедрила совместимость старых и новых карт, но согласно отзывам в интернете тахографы просто зависают и можно получить штраф за езду без карты. Можно конечно получить сертификат международного перевозчика, установить тахограф ЕСТР и работать, но сколько позволят работать с ним на территории РФ по таким сертификатам неизвестно, по сути это лишь уловка.

Вы спросите, а как же сейчас ставят обычные русские тахографы без СКЗИ? А очень просто, по факту 36 Приказ в работе, но и 720 Постановление никто не отменял, а значит можно руководствоваться одним из законов, а обычный цифровой тахограф полностью удовлетворяет требованиям 720. Тем более, что «Инкотекс» и «Штрих» внедрила расширения, что позволит установить СКЗИ в эти тахографы в будущем, если 720 все таки отменят (потребуется ли демонтаж устройства для отправки на завод пока не известно, производители утверждают, что нет). Некоторые мастерские идут на хитрость, и активируют обычные тахографы 30-31 марта 2013, как будто тахограф установлен до вступления в силу 36 Приказа.

Есть еще одна так называемая юридическая особенность, все документы имеют четкую иерархию, на первом месте стоит конституция, дальне, в нашем случае, 720 Постановление правительства, а уже потом ведомственный приказ. Это еще один плюс в сторону применения Постановления, а не приказа.

Но тут стоит вспомнить про Приказ №273 Минтранса «Об утверждении Порядка оснащения транспортных средств тахографами» который регламентирует порядок установки тахографа сервисным центром, его вот-вот утвердят и уловки с 720 уже не пройдут. Поэтому, если работать по честному, то ставьте тахограф с СКЗИ. Ведь вероятность того, что заставят переустанавливать тахографы (кто ставил под 720) почти 100%.

Поступила свежая информация, 273 Приказ Минтранса передан в Министерство Юстиций на государственную регистрацию. Т.е. теперь это уже не проект! Будьте внимательны при установке устройств!

Замена блока СКЗИ и поверка (Приказ Минтранса №55)

Согласно Приказу Минтранса РФ от 20 февраля 2017 г. №55 при замене блока НКМ (СКЗИ) в ранее установленных тахографах поверка становится обязательной.

При этом тахографы, у которых срок замены СКЗИ ещё не подошёл, могут эксплуатироваться неповеренными до наступления момента замены блока СКЗИ.

Согласно Правилам использования тахографов, установленных на транспортные средства, утвержденным Приказом №36 Минтранса РФ от 13 февраля 2013 г. (п. 10.3), водителям запрещается использование тахографа с блоком СКЗИ тахографа, у которого закончился срок эксплуатации.

Согласно п.90 Требований к тахографам, устанавливаемым на транспортные средства (Приложение №1 к Приказу №36 Минтранса) срок действия ключей квалифицированной электронной подписи и квалифицированных сертификатов блока СКЗИ тахографа не превышает трех лет. То есть срок эксплуатации блока НКМ – 3 года с момента активации и плановая замена блока СКЗИ должна происходить каждые 3 года в связи с истечением срока действия ключей криптошифрования в самом блоке.

Замена блока СКЗИ тахографа в связи с неисправностью или окончанием срока эксплуатации осуществляются согласно технической документации организации — изготовителей тахографов и блоков СКЗИ тахографов.

При замене блока СКЗИ тахографа в связи с окончанием срока эксплуатации мастерские должны:

  1. демонтировать из тахографа блок СКЗИ тахографа;
  2. уничтожить ключевую информацию, содержащуюся в блоке СКЗИ тахографа, при этом сертификат открытого ключа должен быть сохранен в составе блока СКЗИ тахографа;
  3. направить информацию об уничтожении ключевой информации в ФБУ «Росавтотранс»;
  4. передать демонтированный блок СКЗИ тахографа с сохраненным сертификатом открытого ключа на хранение в транспортное предприятие.
  5. осуществить поверку тахографа.

Мастерская Тахограф-33 предлагает услугу замены блока СКЗИ в тахографах, установленных на транспортные средства в 2014 году, с его активацией и проведением последующей поверки тахографа.

Все необходимые документы оформляются в соответвии с законодательством.

Мы имеем лицензию ФСБ на проведение работ по замене блоков СКЗИ.

Мастерская обладает клеймом РФ 1056 ФБУ «Росавтотранс».

Закажите замену СКЗИ сейчас по тел. +7(4922) 666-502

Согласно Правилам обслуживания тахографов, установленных на транспортные средства Приказа №36 п 2.1 для активации блока НКМ необходимо внести следующие данные:

  • Наименование организации, эксплуатирующей ТС
  • ОГРН(П)
  • ИНН
  • Код региона (по классификатору)
  • Населённый пункт
  • Адрес

Информацию о транспортном средстве:

  • Марка
  • Модель
  • Год выпуска
  • Цвет
  • Регистрационный номер
  • VIN
  • ПТС

Следовательно, при изменении данных в любом из этих пунктов необходимо проводить процедуру замены блока НКМ.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
(МИНОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ)

от 07 мая 2018 года N 1093
г. Новосибирск

Об утверждении инструкций и журналов, касающихся использования средств криптографической защиты информации

(с изменениями на 13 декабря 2018 года)

__________________________________
Документ с изменениями, внесенными:
приказом Минобразования от 13.12.2018 N 3236
____________________________________

В связи с использованием средств криптографической защиты информации (далее — СКЗИ или криптосредства) в информационных системах министерства образования Новосибирской области,

п р и к а з ы в а ю:

2. Утвердить Инструкцию ответственного за эксплуатацию средств криптографической защиты информации в информационных системах министерства образования Новосибирской области (Приложение N 1).

3. Утвердить Инструкцию по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключам к ним (Приложение N 2).

4. Утвердить перечень работников, допущенных к работе с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области (Приложение N 3*).

5. Утвердить форму Журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (Приложение N 4).

6. Утвердить Инструкцию по восстановлению связи в случае компрометации действующих ключей криптосредствам в информационных системах министерства образования Новосибирской области (Приложение N 5) и ознакомить с ней всех пользователей криптосредств из перечня работников, допущенных к работе с сертифицированными СКЗИ (Приложение N 5).

7. Утвердить перечень помещений, в которых эксплуатируются СКЗИ (Приложение N 6*).

8. Утвердить форму Журнала учёта ключей от помещений, в которых осуществляется эксплуатация и хранение СКЗИ (Приложение N 7).

9. Назначить Исакову Светлану Владимировну, ведущего эксперта, отдела организации управления и кадровой работы организационно-правового управления за ведение Журнала учёта ключей от помещений, в которых осуществляется эксплуатация и хранение СКЗИ.

10. Утвердить типовую форму заявления на выдачу (перевыпуск) ключевых документов (Приложение N 8).

11. Утвердить типовую форму акта об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов (Приложение N 9).

12. Признать утратившими силу:
приказ министерства образования, науки и инновационной политики Новосибирской области от 26.04.2013 N 1167 «Об эксплуатации средств криптографической защиты информации»;
приказ министерства образования, науки и инновационной политики Новосибирской области от 18.12.2013 N 2867/5;
приказ министерства образования, науки и инновационной политики Новосибирской области от 27.11.2013 N 2760;
приказ министерства образования, науки и инновационной политики Новосибирской области от 21.10.2015 N 3045;
приказ министерства образования, науки и инновационной политики Новосибирской области от 06.11.2015 N 3354;
приказ министерства образования, науки и инновационной политики Новосибирской области от 04.12.2015 N 3673.

10. Контроль за исполнением требований настоящего приказа оставляю за собой.

* Приложения 3, 6 в официальной рассылке не предоставлены. — Примечание «КОДЕКС».

Исполняющий обязанности министра
А.А. Флек

Приложение 1. ИНСТРУКЦИЯ ответственного за эксплуатацию средств криптографической защиты информации в информационных системах министерства образования Новосибирской области

ПРИЛОЖЕНИЕ N 1
к приказу
министерства образования
Новосибирской области
от 07.05.2018 N 1093

1. Общие положения

1.1. Настоящий документ определяет основные права и обязанности ответственного за эксплуатацию средств криптографической защиты информации (далее — СКЗИ) в информационных системах министерства образования Новосибирской области(далее -ИС Министерства).
1.2. Ответственныйза эксплуатацию СКЗИ назначается приказом министерстваобразования Новосибирской области из числа работниковминистерства.
1.3. Ответственный за эксплуатацию СКЗИполучает указания непосредственно от министра образования Новосибирской областиили иного уполномоченного министром лица, и подотчетно ему.

2. Обязанности ответственногоза эксплуатацию СКЗИ

2.1. Вести поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним в соответствующем журнале.
2.2. Вести учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности информации в ИС Министерства(пользователи криптосредств) в соответствующем журнале.
2.3. Организовывать установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам.
2.4. Осуществлять контроль за соблюдением условий использования криптосредств, установленных в эксплуатационной и технической документации на СКЗИ.
2.5. Не разглашать информацию, к которой он допущен, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты.
2.6. Соблюдать требования к обеспечению безопасности информации в ИС Министерства, требования к обеспечению безопасности криптосредств и ключевых документов к ним.
2.7. Сообщать о ставших ему известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним министру образования Новосибирской областиили иному уполномоченному лицу.
2.8. Немедленно уведомлять министра образования Новосибирской областиили иное уполномоченное им лицо о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению информации ограниченного доступа.
2.9. Сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.
2.10. Осуществлять ведение журнала поэкземплярного учёта средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов и журнала учёта хранилищ с ключевыми документами, а также ведение личных карточек (лицевых счетов) на каждого пользователя криптосредств.

3. Права ответственного за эксплуатацию СКЗИ

3.1. Инициировать разбирательство и составление заключений по фактам нарушения условий использования криптосредств, которые могут привести к нарушению безопасности информации или другим нарушениям, приводящим к снижению уровня защищенности ИС Министерства.
3.2. Инициировать разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.1. Ответственный за эксплуатацию СКЗИ несет материальную, дисциплинарную, административную и уголовную ответственность:
— за неисполнение либо ненадлежащее исполнение должностных обязанностей;
— за нарушение федерального законодательства, приказовминистерствапо защите информации;
— за превышение должностных полномочий и злоупотребление ими;
— за разглашение информации, к которой он допущен в рамках выполнения своих функциональных обязанностей, посторонним лицам.

Лист ознакомления
с Инструкцией ответственного за эксплуатацию средств криптографической защиты информации в информационных системах министерства образования Новосибирской области

Приложение 2. ИНСТРУКЦИЯ по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, .

ПРИЛОЖЕНИЕ N 2
к приказу
министерства образования
Новосибирской области
от 07.05.2018 N 1093

ИНСТРУКЦИЯ
по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области,и криптоключами к ним

1. Общие положения

1.1 Инструкция по порядку обращения с сертифицированными средствами криптографической защиты информации (далее — СКЗИ), предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее — Информация), обрабатываемой в информационных системах министерства образования Новосибирской области (далее — ИС Министерства), и криптоключами к ним регламентирует порядок обращения с криптосредствами в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты Информации.
1.2 Под криптосредствомв настоящей Инструкции понимается шифровальное (криптографическое) средство, предназначенное для защиты информации.
1.3 К криптосредствам(шифровальным, криптографическим средствам) относятся:
1.3.1 Средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
1.3.2 Средства имитозащиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.
1.3.3 Средства электронной подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи.
1.3.4 Средства кодирования-средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.
1.3.5 Средства изготовления ключевых документов (независимо от вида носителя ключевой информации).
1.3.6 Ключевые документы (независимо от вида носителя ключевой информации).
1.4 В настоящей Инструкции используются следующие понятия и определения:
1.4.1 Доступ к информации— возможность получения информации и ее использования.
1.4.2 Закрытый ключ — криптоключ, который хранится пользователем системы в тайне.
1.4.3 Ключевой документ— физический носитель определенной структуры, содержащий криптоключи.
1.4.4 Компрометация криптоключа— утрата доверия к тому, что используемые криптоключи обеспечивают безопасность информации.
1.4.5 Контролируемая зона— пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
1.4.6 Криптографический ключ (криптоключ)— совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
1.4.7 Модель нарушителя— предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
1.4.8 Модель угроз— перечень возможных угроз.
1.4.9 Пользователь криптосредства— лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
1.4.10 Средство защиты информации— техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
1.5 Для обеспечения безопасности Информации при её обработке в ИС Министерствадолжны использоваться сертифицированные в системе сертификации ФСБ Россиикриптосредства (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).
1.6 Класс криптосредства определяется в соответствии сПриказом Федеральной службы безопасности Российской Федерации (ФСБ России) от 10.07.2014 N378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

2. Организационная структура

Безопасность обработки Информации в ИС Министерствас использованием криптосредств организует и обеспечивает Ответственный за эксплуатациюСКЗИ в ИС Министерства.

3. Обязанности пользователей криптосредств

3.1 Пользователи криптосредств допускаются к работе с ними только после получения заключения о подготовке и допуске к самостоятельной работе со средствами криптографической защиты информации и ознакомления под роспись с настоящей Инструкцией, другими документами, регламентирующими организацию и обеспечение безопасности Информации при ее обработке в ИС Министерства.
3.2 При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
3.3 Пользователи криптосредств обязаны:
3.3.1 Не нарушать конфиденциальность закрытых ключей.
3.3.2 Не допускать снятие копий с ключевых документов, содержащих закрытые ключи.
3.3.3 Не допускать вывод закрытых ключей на дисплей (монитор) автоматизированного рабочего места(далее — АРМ) или принтер.
3.3.4 Не допускать записи на ключевой документ посторонней информации.
3.3.5 Не допускать установки ключевых документовна другие АРМ.
3.3.6 Обеспечить конфиденциальность информации о криптосредствах, других мерах защиты.
3.3.7 Точно соблюдать требования к обеспечению безопасности Информации, требования к обеспечению безопасности криптосредств и ключевых документов к ним.
3.3.8 Хранить ключевые документы к криптосредствам в защищаемых хранилищах.
3.3.9 Сдавать ключевые документы к криптосредствам при увольнении или отстранении от исполнения обязанностей.
3.3.10 Своевременно выявлять и сообщатьОтветственному за эксплуатацию СКЗИ в минобразовании Новосибирской областио ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним.
3.3.11 Немедленно уведомлятьОтветственногоза эксплуатацию СКЗИ в минобразовании Новосибирской областии принимать меры по предупреждению нарушения конфиденциальности Информации при утрате или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей, удостоверений, пропусков, при других фактах, которые могут привести к компрометации закрытых ключей, снижению уровня защищенности обрабатываемой Информации.

4. Учет ключевых документов

4.1 Ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель информации.
4.2 Все экземпляры ключевых документов выдаются пользователям криптосредств под роспись в соответствующем журнале поэкземплярного учета.
4.3 Передача ключевых документов допускается только между пользователями криптосредств и Ответственным за эксплуатацию СКЗИ под роспись в соответствующем Журнале поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. Аналогичная передача между пользователями криптосредств осуществляется с письменного разрешенияОтветственногоза эксплуатацию СКЗИ.
4.4 Для исключения компрометации ключевых документов на период отсутствия пользователя и в нерабочее время, ключевые документы убираются в защищенные хранилища (ящики, шкафы) индивидуального пользования, которые, в свою очередь, закрываются на ключ и опечатываются.
4.5 Учет эксплуатационной и технической документации к криптосредствам:
4.5.1 Эксплуатационная и техническая документация к криптосредствам подлежит поэкземплярному учету.
4.5.2 Все экземпляры эксплуатационной и технической документации к криптосредствам выдаются пользователям криптосредств под роспись.
4.5.3 Передача эксплуатационной и технической документации к криптосредствам допускается только между пользователями криптосредств и Ответственным пользователем за эксплуатацию СКЗИ под роспись. Аналогичная передача между пользователями криптосредств осуществляется с санкции Ответственного за эксплуатацию СКЗИ.
4.6 Плановая смена ключевых документов:
4.6.1 Заказ на изготовление очередных ключевых документов, их изготовление и получение пользователем производится заблаговременно для своевременной замены действующих ключевых документов.
4.7 Внеплановая смена ключевых документов:
4.7.1 Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи немедленно выводятся из действия, если иной порядок не оговорен в эксплуатационной и технической документации к криптосредствам.
4.8 Уничтожение ключевых документов:
4.8.1 Ключевые документы с неиспользованными или выведенными из действия криптоключами (исходной ключевой информацией) возвращаются Ответственному за эксплуатацию СКЗИ, или по его указанию уничтожаются на месте пользователями криптосредств.
4.8.2 Уничтожение ключевых документов производится путем стирания (разрушения) криптоключей без повреждения ключевого документа.
4.8.3 Бумажные и прочие сгораемые ключевые документы уничтожаются путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта.
4.8.4 Ключевые документы уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы уничтожаются не позднее 10 (десяти) суток после вывода их из действия (окончания срока действия).
4.8.5 Пользователям криптосредств разрешается уничтожать только использованные непосредственно ими (предназначенные для них) ключевые документы. После уничтожения пользователи криптосредств уведомляют об этом Ответственного за эксплуатацию СКЗИ.
4.9 Уничтожение эксплуатационной и технической документации к криптосредствам:
4.9.1 Эксплуатационная и техническая документация к криптосредствам уничтожается путем сжигания или с помощью любых бумагорезательных машин с составлением соответствующего акта.

5. Техническое обслуживание криптосредств

5.1 Техническое обслуживание криптосредств, а также другого оборудования, функционирующего с криптосредствами, смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами.
5.2 На время отсутствия пользователей криптосредства, а также другое оборудование, функционирующее с криптосредствами, при наличии технической возможности, выключается, отключается от линии связи и убирается в опечатываемые хранилища. В противном случае необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами.

6. Опечатывание аппаратных средств

6.1 Системные блокиАРМ, на которых установлены криптосредства, должны оборудоваться средствами контроля за их вскрытием (опечатываются, опломбируются). Место опечатывания (опломбирования) системного блока должно быть таким, чтобы его можно было визуально контролировать.

7. Порядок доступа к хранилищам

7.1 Эксплуатация хранилищ:
7.1.1 Пользователи криптосредств хранят эксплуатационную и техническую документацию к криптосредствам, ключевые документы в хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
7.1.2 Должно быть предусмотрено раздельное безопасное хранение пользователями криптосредств действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.
7.2 При необходимости доступа к содержимому хранилища работник, ответственный за данное хранилище, проверяет целостность хранилища, открывает механический замок хранилища с использованием ключа.
7.3 По окончании работы работникзакрывает и опечатывает хранилище, за которое он ответственен.
7.4 Печати, предназначенные для опечатывания хранилищ, должны находиться у работников, ответственных за данные хранилища.

8. Контроль безопасности криптосредств

Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на ответственного за эксплуатацию СКЗИ в пределах его полномочий.

9. Ответственность за нарушение требований

9.1 Пользователи криптосредств несут персональную ответственность за сохранность полученных криптосредств, эксплуатационной и технической документации к криптосредствам, ключевых документов, за соблюдение положений настоящей Инструкции.
9.2 Ответственный за эксплуатацию СКЗИ несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки Информации с использованием криптосредств лицензионным требованиям и условиям эксплуатационной и технической документации к криптосредствам, а также настоящей Инструкции.

Лист ознакомления
с Инструкцией по порядку обращения с сертифицированными средствами криптографической защиты информации, предназначенными для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах министерства образования Новосибирской области, и криптоключами к ним

Законодательная база Российской Федерации

Бесплатная консультация
Федеральное законодательство

  • Главная
  • ПРИКАЗ ФАПСИ от 23.09.99 N 158 «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПОРЯДКЕ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ, НЕ СОДЕРЖАЩЕЙ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ»
  • «Бюллетень нормативных актов федеральных органов исполнительной власти», N 3, 17.01.2000,
  • «Российская газета», N 18, 26.01.2000

IV. Порядок реализации (распространения) СКЗИ

31. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФАПСИ.

32. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется лицом на основании соответствующей лицензии ФАПСИ.

Операторы связи, предоставляющие на основании лицензии ФАПСИ услуги конфиденциальной связи с использованием СКЗИ (далее — операторы конфиденциальной связи), могут реализовывать (распространять) СКЗИ абонентам своих сетей конфиденциальной связи без получения последними лицензии ФАПСИ.

33. Лицо, реализующее СКЗИ и (или) РКД на них, письменно уведомляет об этом ФАПСИ с указанием реквизитов контрагентов по договору.

34. Приобретение РКД на СКЗИ (включая тиражирование программных СКЗИ) осуществляют юридические лица, являющиеся разработчиками и (или) изготовителями СКЗИ.

Читайте так же:  Компенсация по денежным вкладам до 1991 года