Распоряжение № 45 от 12.08.2022 года Об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты, в Администрации Недвиговского сельского поселения
РОСТОВСКАЯ ОБЛАСТЬ
МУНИЦИПАЛЬНОЕ ОБРАЗОВАНИЕ «МЯСНИКОВСКИЙ РАЙОН»
АДМИНИСТРАЦИЯ НЕДВИГОВСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ
|
12 августа 2022 года х.Недвиговка № 45
РАСПОРЯЖЕНИЕ
Об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты,
в Администрации Недвиговского сельского поселения
В целях выполнения требований законодательства Российской Федерации в области защиты информации при ее передаче по открытым каналам связи с использованием средств криптографической защиты, приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», в соответствии с постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», руководствуясь Приказом ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»:
- Назначить ответственным пользователем криптосредств Администрации Недвиговского сельского поселения ведущего специалиста по кадрам, обращение граждан, СМИ Администрации Недвиговского сельского поселения Стенько И.Е.
- Утвердить Инструкцию ответственного пользователя криптосредств Администрации Недвиговского сельского поселения (приложение № 1).
- Утвердить Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных (пользователи криптосредств) Администрации Недвиговского сельского поселения (приложение № 2).
- Утвердить Инструкцию пользователя криптосредств Администрации Недвиговского сельского поселения (приложение № 3).
- Утвердить Перечень помещений, в которых размещены используемые криптосредства, хранятся криптосредства и (или) носители ключевой, аутентифицирующей и парольной информации (приложение № 4).
- Утвердить Перечень лиц, имеющих доступ в помещения, где размещены используемые криптосредства, хранятся криптосредства и (или) носители ключевой, аутентифицирующей и парольной информации криптосредств (приложение № 5).
- Утвердить Порядок доступа в помещения, где размещены используемые криптосредства, хранятся криптосредства и (или) носители ключевой, аутентифицирующей и парольной информации криптосредств (приложение № 6).
- Утвердить форму Журнала поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (приложение № 7).
- Настоящее распоряжение вступает в силу с даты подписания.
- Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава Администрации
Недвиговского сельского поселения Е.Е.Харахашян
Приложение №1
к распоряжению
Администрации
Недвиговского
сельского поселения
от 12.08.2022 г. № 45
Инструкция ответственного пользователя криптосредств
Администрации Недвиговского сельского поселения
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция ответственного пользователя криптосредств Администрации Недвиговского сельского поселения (далее - Инструкция) определяет основные обязанности и права ответственного пользователя криптосредств.
1.2. Ответственный пользователь криптосредств назначается распоряжением Администрации Недвиговского сельского поселения (далее — Администрация) и отвечает за организацию, обеспечение функционирования и безопасности криптосредств. предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).
1.3. Ответственный пользователь криптосредств должен знать нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности персональных данных, а также в области защиты информации при ее передаче по открытым каналам связи с использованием средств криптографической защиты.
1.4. В своей деятельности, связанной с обработкой персональных данных, ответственный пользователь криптосредств руководствуется настоящей Инструкцией.
- ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ
КРИПТОСРЕДСТВ
Ответственный пользователь криптосредств обязан:
2.1. Соблюдать требования нормативных актов Администрации, устанавливающих порядок работы с персональными данными.
2.2. Осуществлять контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных:
- контролировать соблюдение условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
- обеспечивать надежное хранение эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;
- вносить предложения по режиму охраны помещений, в которых установлены криптосредства или хранятся ключевые документы к ним;
- вести Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал);
- выдавать пользователям криптосредств экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов под расписку в соответствующем Журнале;
- контролировать передачу криптосредств, эксплуатационной и технической документации к ним, ключевых документов между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующем Журнале;
- пломбировать (опечатывать) и контролировать сохранность печатей (пломб) на аппаратных средствах, с которыми осуществляется штатное функционирование криптосредств, а также аппаратных и аппаратно-программных криптосредствах;
- контролировать получение и доставку криптосредств, эксплуатационной и технической документации к ним;
- заблаговременно делать заказы на изготовление очередных ключевых документов и рассылку на места использования для своевременной замены действующих ключевых документов;
- контролировать уничтожение неиспользованных или выведенных из действия ключевых документов в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам или если срок уничтожения эксплуатационной и технической документацией не установлен, не позднее 10 суток после вывода их из действия (окончания срока действия) под расписку в соответствующем Журнале;
- выводить из действия носители ключевой информации (далее — НКИ), в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие НКИ;
- принимать решение в чрезвычайных случаях, когда отсутствуют НКИ для замены скомпрометированных, об использовании скомпрометированных НКИ;
- инструктаж пользователей криптосредств по правилам работы с криптосредствами и ключевыми документами.
2.3. Требовать прекращения обработки персональных данных в случае нарушения установленного порядка работ с криптосредствами или нарушения функционирования криптосредств.
2.4. Участвовать в анализе ситуаций, касающихся нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
2.5. Контролировать исполнение пользователями криптосредств требований Инструкции пользователя криптосредств Администрации и прочих нормативных актов муниципального органа в части обеспечения защиты персональных данных с помощью криптосредств.
2.6. Принимать все необходимые меры для обеспечения безопасности персональных данных, в случае получения от пользователей информации о фактах утраты, компрометации ключевой информации, в частности, обеспечить выполнение следующих мероприятий:
- в каждом случае, по факту (или предполагаемой) компрометации ключевых документов, проводится служебное расследование; результатом расследования является квалификация или не квалификация данного события как компрометация;
- о факте компрометации ключевой информации пользователями криптосредств совместно с ответственным пользователем криптосредств производится информирование всех заинтересованных участников информационного обмена;
- выведенные из действия скомпрометированные ключевые документы после проведения расследования уничтожаются, о чем делается соответствующая запись в Журнале;
- для своевременного восстановления связи пользователю криптосредств выдается новый НКИ; для этого создаётся резервный запас НКИ, использование которых осуществляется в случаях крайней необходимости по решению ответственного пользователя криптосредств.
2.7. Подготавливать копии НКИ, которые подлежат основному учету и хранятся в сейфе ответственного пользователя криптосредств. Данные копии применяются с разрешения Главы администрации Недвиговского сельского поселения, если по результатам расследования не было установлено факта компрометации.
2.8. Хранить резервные НКИ отдельно от рабочих (актуальных) НКИ, с целью обеспечения невозможности их одновременной компрометации.
2.9. Своевременно информировать руководство о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.
- ПРАВА ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ
КРИПТОСРЕДСТВ
Ответственный пользователь криптосредств имеет право:
3.1. Знакомиться с нормативными актами муниципального органа, регламентирующими процессы обработки персональных данных.
3.2. Требовать от пользователей ИСПДн соблюдения требований нормативных актов муниципального органа в части обеспечения защиты информации с помощью криптосредств.
3.3. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей криптосредств, в случае выявления нарушений требований по работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных, или в связи с нарушением функционирования криптосредств.
Приложение №2
к распоряжению
Администрации
Недвиговского
сельского поселения
от 12.08.2012 г.№ 45
Перечень сотрудников, допущенных к работе с криптосредствами,
предназначенными для обеспечения безопасности персональных данных в
информационных системах персональных данных (пользователи
криптосредств) Администрации Недвиговского сельского поселения
№ п/п |
ФИО |
Отдел, должность |
|
Харахашян Елена Ервантовна |
глава Администрации Недвиговского сельского поселения |
|
Даглдиян Джульетта Эдуардовна |
Начальник сектора экономики и финансов Администрации Недвиговского сельского поселения |
|
Беляева Ольга Сергеевна |
Ведущий специалист по земельным и имущественным отношениям Администрации Недвиговского сельского поселения |
|
Минькина Татьяна Викторовна |
Ведущий специалист по ЖКХ, благоустройству, ГО ЧС Администрации Недвиговского сельского поселения |
|
Чуднова Юлия Юрьевна |
Ведущий специалист бухгалтер Администрации Недвиговского сельского поселения |
|
Стенько Ирина Евгеньевна |
Ведущий специалист по кадрам, обращение граждан, СМИ Администрации Недвиговского сельского поселения |
|
Железняк Светлана Николаевна |
Инспектор по делопроизводству Администрации Недвиговского сельского поселения |
|
Пудеян Кристина Саркисовна |
Инспектор по закупкам Администрации Недвиговского сельского поселения |
Приложение №3
к распоряжению
Администрации
Недвиговского
сельского поселения
от 12.08.2022 г. № 45
Инструкция пользователя криптосредств
Администрации Недвиговского сельского поселения
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция пользователя криптосредств Администрации Недвиговского сельского поселения (далее - Инструкция) определяет права и обязанности пользователей криптосредств, порядок обращения с криптосредствами, а также определяет порядок восстановления связи в случае компрометации действующих ключей к криптосредствам.
1.2. Пользователем криптосредств является сотрудник Администрации Недвиговского сельского поселения (далее — Администрация), включенный в перечень сотрудников, допущенных к работе с криптосредствами. предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных, утвержденный нормативным актом муниципального органа.
1.3. Пользователь криптосредств должен знать нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности персональных данных, а также в области защиты информации при ее передаче по открытым каналам связи с использованием средств криптографической защиты.
1.4. В своей деятельности, связанной с обработкой персональных данных. пользователь криптосредств руководствуется настоящей Инструкцией.
1.5. Пользователи криптосредств несут персональную ответственность за обеспечение конфиденциальности ключевой информации и защиту криптосредств от несанкционированного использования.
- ОБЯЗАННОСТИ И ПРАВА ПОЛЬЗОВАТЕЛЯ
КРИПТОСРЕДСТВ
2.1. Пользователь криптосредств обязан:
- соблюдать требования по обеспечению безопасности функционирования криптосредств;
- обеспечить конфиденциальность всей информации ограниченного распространения, доступной по роду выполняемых функциональных обязанностей;
- сдать ответственному пользователю криптосредств Администарции (далее - Ответственный) носители ключевой информации (далее - НКИ) при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств;
- сдать Ответственному НКИ по окончании срока действия сертификата ключа, а также в случае компрометации ключа;
- немедленно уведомлять руководителя структурного подразделения или Ответственного о компрометации НКИ о фактах утраты или недостачи криптосредств;
- в пределах своей компетенции предоставлять информацию комиссии, проводящей служебные расследования по фактам компрометации, а также выявлению причин нарушения требований безопасности функционирования криптосредств.
2.2. Пользователю криптосредств запрещается:
- осуществлять несанкционированное и безучётное копирование ключевых данных;
- хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;
- передавать НКИ каким бы то ни было лицам, кроме Ответственного;
- во время работы оставлять НКИ без присмотра (например, на рабочем столе или в разъеме системного блока ПЭВМ);
- хранить на НКИ какую-либо информацию, кроме ключевой;
- использовать в помещениях, где применяются криптосредства, личные технические средства, позволяющие осуществлять копирование ключевой информации;
- использовать НКИ, выведенные из действия.
- ПОРЯДОК ОБРАЩЕНИЯ С КРИПТОСРЕДСТВАМИ
3.1. Монтаж и установка криптосредства осуществляются органом криптографической защиты.
3.2. Служебные помещения, в которых размещаются криптосредства, должны отвечать всем требованиям по оборудованию и охране, предъявляемым к помещениям, выделенным для работы с конфиденциальной информацией. Для хранения НКИ помещения обеспечиваются сейфами (металлическими или запирающимися шкафами), оборудуются охранной сигнализацией (по возможности) и по убытии сотрудников закрываются.
3.3. Для хранения НКИ пользователь криптосредств должен быть обеспечен сейфом (металлическим или запирающимся шкафом). В случае отсутствия индивидуального сейфа по окончании рабочего дня пользователь криптосредств обязан сдавать НКИ Ответственному.
3.4. К эксплуатации криптосредств допускаются лица, прошедшие соответствующую подготовку и изучившие правила пользования данным криптосредством.
3.5. Все программное обеспечение ПЭВМ, предназначенное для установки криптосредств, должно иметь соответствующие лицензии. Установка средств разработки и отладки программ на рабочую станцию, использующую криптосредства, не допускается.
- ВОССТАНОВЛЕНИЕ СВЯЗИ В СЛУЧАЕ КОМПРОМЕТАЦИИ ДЕЙСТВУЮЩИХ КЛЮЧЕЙ К КРИПТОСРЕДСТВАМ
4.1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию владельца НКИ и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
- утрата (хищение) НКИ, в том числе - с последующим их обнаружением;
- увольнение (переназначение) сотрудников, имевших доступ к НКИ;
- передача секретных ключей по линии связи в открытом виде;
- нарушение правил хранения НКИ;
- вскрытие фактов утечки передаваемой информации или её искажения (подмены, подделки);
- ошибки при совершении криптографических операций;
- несанкционированное или безучётное копирование ключевой информации;
- все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда НКИ вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
4.2. При наступлении любого из перечисленных выше событий пользователь криптосредств или владелец НКИ должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) Ответственному лично, по телефону, электронной почте или другим доступным способом. В любом случае пользователь криптосредств или владелец НКИ обязан убедиться, что его сообщение получено и прочтено.
4.3. При подтверждении факта компрометации действующих ключей пользователь криптосредств обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу Ответственному в течение 3 рабочих дней.
4.4. Для восстановления конфиденциальной связи после компрометации действующих ключей пользователь криптосредств получает у Ответственного новые ключи.
Приложение №4
к распоряжению
Администрации
Недвиговского
сельского поселения
от 12.08.2022 г. № 45
Перечень помещений, где размещены используемые криптосредства, хранятся криптосредства и (или) носители
ключевой, аутентифицируюшей и парольной информации
№ пп |
Адрес месторасположения |
Наименование структурного подразделения |
Наименование помещения |
1. |
Ростовская область, Неклиновский район, х.Недвиговка, ул.Ченцова, 7, |
Администрация Недвиговского сельского поселения |
Кабинет № |
Приложение №5
к распоряжению
Администрации
Недвиговского
сельского поселения
от 12.08.2022г. № 45
Перечень лиц, имеющих доступ в помещения, где размещены используемые
криптосредства, хранятся криптосредства и (или) носители ключевой,
аутентифицирующей и парольной информации криптосредств
№ п/п |
ФИО |
отдел, должность |
|
Харахашян Е.Е. |
глава Администрации Недвиговского сельского поселения |
|
Стенько И.Е. |
Ведущий специалист по кадрам, обращение граждан, СМИ Администрации Недвиговского сельского поселения |
|
Даглдиян Д.Э. |
Начальник сектора экономики и финансов Администрации Недвиговского сельского поселения |
Приложение №6
к распоряжению
Администрации
Недвиговского
сельского поселения
от 12.08.2022 г. № 45
Порядок доступа в помещения, где размешены используемые криптосредства, хранятся криптосредства и (или) носители ключевой, аутентифицируюшей и парольной информации криптосредств
- Настоящий Порядок регламентирует условия и порядок осуществления доступа в помещения Администрации Недвиговского сельского поселения (далее — Администрация), где размещены используемые криптосредства, хранятся криптосредства и (или) носители ключевой, аутентифицируюшей и парольной информации криптосредств (далее - Помещения) в целях организации режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих прав доступа в Помещения.
- Настоящий Порядок разработан в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСБ России от 10 июля 2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
- Для Помещений организуется режим, препятствующий возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих прав доступа в Помещения.
- Помещения, где размещены используемые криптосредства, хранятся криптосредства, оснащены входными дверьми с замками, обеспечивается постоянное закрытие дверей таких помещений на замок и их открытие только для санкционированного прохода.
- Доступ в Помещения в рабочее (служебное) время имеют сотрудники, включенные в Перечень лиц, имеющих доступ в Помещения, утвержденный нормативным актом Администрации.
- В нерабочее (неслужебное) время пребывание вышеуказанных сотрудников разрешается на основании служебных записок (или иных видов разрешающих документов), подписанных главой администрации.
- Нахождение в Помещениях посторонних лиц в рабочее (служебное) и нерабочее (неслужебное) время запрещается.
- Уборка и техническое обслуживание Помещений допускаются только в присутствии Сотрудников Администрации.
- Руководитель и лица, его замещающие, могут находиться в Помещениях в любое время, в том числе в нерабочие и праздничные дни.
- О попытках неконтролируемого проникновения посторонних лиц в Помещения необходимо незамедлительно сообщать руководителю структурного подразделения муниципального органа или главе администрации района.
- В случае возникновения нештатной ситуации необходимо незамедлительно сообщать руководителю структурного подразделения муниципального органа или главе администрации района.
- Сотрудники органов МЧС и аварийных служб, врачи «скорой помощи» допускаются в Помещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя структурного подразделения муниципального органа или сотрудников, имеющих доступ в Помещения.
Приложение № 7
к распоряжению Администрации
Недвиговского сельского поселения
от 12.08.2022 г. № 45
Журнал поэкземплярного учета криптосредств, эксплуатационной
и технической документации к ним, ключевых документов
№ пп |
Наименова- ние СКЗИ, эксплуата- ционоой и техничес- кой доку- ментации к ним, ключевых документов |
Серийные номера СКЗИ, эксплуата- ционной и техничес- кой доку- ментации к ним, номера серий ключевых документов |
Номера экземпля- ров (крипто- графичес- кие номера) ключевых докумен-тов |
Отметка о получении |
Отметка о выдаче |
Отметка о подключении (установки) СКЗИ |
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов |
При- меча- ние |
||||||
От кого полу-чены |
Дата и номер сопро- води- тель- ного письма |
Ф.И.О. пользо- вателя СКЗИ |
Дата и распис- ка в получе- нии |
ФИО сотруд- ников органа крипто- графи- ческой защиты, пользо- вателя СКЗИ, произ- ведших подклюю- чение (уставку) |
Дата подклюю- чения (устано-вки) и подписи лиц, произвед- ших под- кд.чение (установ- ку) |
Номера аппарат- ных средств, в которые установ- лены или к кото- рым подклюю- чены СКЗИ |
Дата изъя- тия (унич- тоже- ния) |
ФИО сотруд- ников органа крипто- графи- ческой защиты пользо- вателя СКЗИ, произ- водив- ших изъя- тие (унич- тоже- ние) |
Номер акта или рас- писка об унич- тоже- нии |
|||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|