АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ ВОСТОЧНОЕ ГОРОДСКОЕ ПОСЕЛЕНИЕ ОМУТНИНСКОРГО РАЙОНА КИРОВСКОЙ ОБЛАСТИ
Р А С П О Р Я Ж Е Н И Е
03.05.2013 № 73 пгт Восточный
Об утверждении Инструкции по обращению с сертифицированными шифровальными средствами (средствами криптографической защиты информации) в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области
В соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное Приказом ФСБ России от 9 февраля 2005 года №66 (в редакции от 12.04.2010), Приказом ФАПСИ при Президенте РФ от 13.06.2001 года №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 центра ФСБ России 21 февраля 2008 года №149/6/6-622, с пп. 2.3.1 Протокола оценки соответствия объекта требованиям безопасности информации в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области, утвержденного постановлением администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области от 01.04.2013 № 31 «О комиссии по оценке соответствия объекта требованиям информационной безопасности в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области»: 1. Утвердить Инструкцию по обращению с сертифицированными шифровальными средствами (средствами криптографической защиты информации) в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области. Прилагается. 2. Опубликовать настоящее распоряжение в Сборнике основных муниципальных правовых актов органов местного самоуправления муниципального образования Восточное городское поселение Омутнинского района Кировской области. 3. Контроль за выполнением настоящего распоряжения возложить на специалиста по муниципальным услугам администрации Волоскову Е.С.
Глава администрации Восточного городского поселения А.А.Дубинин
ПОДГОТОВЛЕНО:
Специалист по муниципальным услугам Е.С.Волоскова 03.05.2013
УТВЕРЖДЕНА
распоряжением администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области от 03.05.2013 № 73
ИНСТРУКЦИЯ по обращению с сертифицированными шифровальными средствами (средствами криптографической защиты информации) в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области
Оглавление
1. Аннотация………………………………………………………………………. 2. Список сокращений 3. Ответственные лица 4. Размещение технических средств с СКЗИ 5. Хранение СКЗИ, ЭТД, ключевых документов, эталонных CD дисков 6. Установка СКЗИ и программного обеспечения на ПЭВМ 7. Конфигурирование системного и прикладного программного обеспечения на ПЭВМ с СКЗИ 8. Защита СКЗИ от несанкционированного доступа 9. Криптографическая защита 10. Учет СКЗИ 11.Контроль соблюдения условий эксплуатации и работоспособности СКЗИ Приложение №1 – Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключей КЭППриложение №2 – Журнал контроля соблюдения условий эксплуатации и работоспособности СКЗИ………………………………………………………..18 Приложение №3 – Журнал замечаний по результатам контроля……………..19 1.Аннотация
Настоящая Инструкция содержит описание порядка обращения с сертифицированными средствами криптографической защиты информации ФСБ России (далее – СКЗИ), рекомендации по размещению и хранению технических средств, на которые установлены СКЗИ, по проверке целостности установленного программного обеспечения ( далее –ПО) СКЗИ, по использованию СКЗИ в различных автоматизированных системах. СКЗИ эксплуатируются в соответствии с правилами пользования ими. Изменения условий эксплуатации СКЗИ, указанных в правилах пользования ими, допускаются исключительно по согласованию с ФСБ России. Настоящая Инструкция разработана в соответствии с документами: 1.Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное Приказом ФСБ России №66 от 9 февраля 2005 года; 2.Приказ ФАПСИ при Президенте РФ №152 от 13 июня 2001 года «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»; 3.Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 центра ФСБ России 21 февраля 2008 года №149/6/6-622. 2. Список сокращений
3. Ответственные лица
В администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области ( далее – администрация Восточного городского поселения), эксплуатирующей сертифицированные СКЗИ, должны быть назначены и закреплены распоряжением следующие лица: Администратор СКЗИ, на которого возлагаются задачи организации работ по:
Пользователи СКЗИ, на которых возлагаются задачи по:
Администратор и Пользователи СКЗИ допускаются к работе с СКЗИ только после инструктажа и обучения правилам работы с СКЗИ. Для Администратора инструктаж и обучение проводит Лицензиат. Пользователей инструктирует и обучает Администратор СКЗИ.
4. Размещение технических средств с СКЗИОрганизация режима в помещениях, где располагаются ТС с СКЗИ и ведется работа с носителями с персональной ключевой информацией, описана в правилах пользования СКЗИ. В общем случае в отношении помещений администрацией Восточного городского поселения должен быть установлен режим, определяющий: - лицо, ответственное за помещение; - перечень лиц, допущенных к работе в помещении и обслуживанию помещения; - порядок доступа в помещение в рабочее и нерабочее время, в аварийных ситуациях (пожар, авария, стихийное бедствие и т.п.); - порядок нахождения в помещении посторонних лиц (при необходимости их нахождения); - порядок хранения основного и резервного ключей от помещения. Окна помещений должны быть защищены от НСД посторонних лиц (в случае, если окна на 1 этаже, либо рядом с пожарными лестницами) металлическими решетками, а также от визуально просмотра ведущихся в помещениях работ (шторами или жалюзи). Двери помещений должны быть оборудованы надежными замками, гарантирующими их надежное закрытие в нерабочее время. Помещения должны быть оборудованы пожарной сигнализацией, для которых администрацией Восточного городского поселения установлен порядок периодической проверки их исправности. Параметры сети электроснабжения помещений должны соответствовать требованиям инструкций по эксплуатации ТС и правилам техники безопасности. Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать Администратору и Пользователям СКЗИ сохранность доверенных им СКЗИ, конфиденциальных документов и сведений, включая ключевую информацию, и свести к минимуму возможность неконтролируемого доступа к ним посторонних лиц. 5. Хранение СКЗИ, ЭТД, ключевых документов, эталонных CD дисковСКЗИ, ЭТД, ключевые документы, ключевые носители или аппаратные средства, к которым подключаются или в которые устанавливаются СКЗИ, эталонные CD-диски (диски, инсталлирующие программные СКЗИ), находящиеся у Администратора и Пользователей СКЗИ должны храниться в месте, исключающем возможность НСД к ним (сейф, шкаф индивидуального пользования с замком и т.п.). За их сохранность Администратор и Пользователей СКЗИ несут персональную ответственность. Администрацией Восточного городского поселения должен быть определен порядок доступа в места хранения перечисленных материалов, а также порядок хранения основных и резервных ключей от них. 6. Установка СКЗИ и программного обеспечения на ПЭВМУстановка и настройка общесистемного, прикладного ПО и дополнительных средств защиты на ПЭВМ с СКЗИ производится в соответствии с правилами установки и настройки СКЗИ и ПО, изложенными в ЭТД. К установке и настройке СКЗИ и ПО предъявляются следующие общие требования:
7. Конфигурирование системного и прикладного программного обеспечения на ПЭВМ с СКЗИК ОС, в среде, которой планируется использовать СКЗИ, предъявляются следующие общие требования:
ü системный реестр; ü файлы и каталоги; ü временные файлы; ü журналы системы; ü файлы подкачки; ü кэшируемая информация (пароли и т.п.); ü отладочная информация.
Администратор СКЗИ должен осуществлять периодический контроль выполнения указанных требований, а также требований, приведенных в ЭТД . Не допускается:
8. Защита СКЗИ от несанкционированного доступаЗащита СКЗИ от НСД включают в себя выполнение следующих мероприятий:
Защита СКЗИ от НСД должна удовлетворять следующим общим требованиям:
Перечень сотрудников, допущенных к работе в помещениях, на ТС с СКЗИ и непосредственно СКЗИ, должен быть закреплен распоряжением по администрации Восточного городского поселения. Все они должны иметь соответствующий уровень компетентности и допускаться к работе только после инструктажа по обеспечению информационной безопасности с использованием СКЗИ и обучения эксплуатации СКЗИ. Для регламентации входа в ОС, BIOS, при осуществления шифрования на пароле и т.д. Администратором СКЗИ разрабатывается и применяется политика назначения и смены паролей. Пароли должны формироваться в соответствии со следующими правилами:
Администратор СКЗИ, а также Пользователи СКЗИ несут персональную ответственность за обеспечение режима конфиденциальности в отношении паролей доступа. Запрещается записывать пароли на материальные носители и хранить их в легкодоступных местах, в том числе на мониторе, рабочем столе или ящиках стола. Периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 1 год. Пароль должен быть изменен раньше плановой замены в случае его компрометации. Ответственность за своевременную смену пароля несет Администратор СКЗИ. Указанная политика обязательна для всех учетных записей, зарегистрированных в ОС. Средствами BIOS должна быть исключена возможность работы на ПЭВМ СКЗИ, если во время её начальной загрузки не проходят встроенные тесты. 9. Криптографическая защитаПорядок хранения и использования носителей ключевой информации с ключами электронной подписи должен исключать возможность несанкционированного доступа к ним. Пользователи и Администратор СКЗИ, имеющие доступ к носителям ключевой информации, несут персональную ответственность за безопасность ключевой информации на них и обязаны обеспечивать её сохранность, неразглашение и нераспространение. Во время работы с носителями ключевой информации доступ к ним посторонних лиц должен быть исключен. При хранении ключевой информации СКЗИ в реестре Windows и на HDD ПЭВМ требования по хранению ключевых носителей распространяются на ПЭВМ. В случае невозможности отчуждения ключевого носителя с ключевой информацией от ПЭВМ организационно-техническими мероприятиями должен быть исключен доступ нарушителей к ПЭВМ с ключами. При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту. Ключи должны обновляться с периодичностью, указанной в Правилах работы с СКЗИ. Ключи на ключевых носителях (включая Touch Memory и смарт-карты), срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации. Запрещается:
10. Учет СКЗИАдминистратор безопасности ведет учет поставки, установки и обслуживания в отношении следующих материалов:
Учет ведется в Журнале учета (Приложение №1). Журнал учета СКЗИ должен храниться в месте, исключающем возможность несанкционированного доступа к нему (сейф, личный шкаф с замком и т.п.). За ведение и хранение Журнала отвечает Администратор безопасности. 11. Контроль соблюдения условий эксплуатации и работоспособности СКЗИЛицензиат осуществляет контроль соблюдения администрацией Восточного городского поселения условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, настоящей Инструкцией, а также иными нормативно-методическими документами по эксплуатации. Лицензиат также осуществляет контроль выполнения администрацией Восточного городского поселения данных ей указаний по администрации Восточного городского поселения и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации. Контроль может быть плановым и внеплановым. Плановый контроль осуществляется с установленной периодичностью, но не реже 1 раза в год. Внеплановый контроль осуществляется в случае установления фактов нарушения администрацией Восточного городского поселения условий эксплуатации или работоспособности СКЗИ. В ходе контроля оцениваются:
По результатам контроля Лицензиатом оформляется Протокол проверки в двух экземплярах (один для администрации Восточного городского поселения, другой для Лицензиата. С протоколом проверки должно быть ознакомлено руководство администрации Восточного городского поселения под расписку на экземпляре администрации Восточного городского поселения. Сведения о контроле заносятся Администратором СКЗИ в Журнал контроля соблюдения условий эксплуатации и работоспособности СКЗИ (Приложение №2). Если при контроле обнаружены недостатки, то Лицензиат делает записи в Журнал замечаний по результатам контроля (Приложение №3). На каждое замечание назначается лицо, ответственное за его устранение, а также срок устранения. По результатам работы над замечанием в Журнале замечаний по результатам контроля делается запись о статусе устранения замечания, которая заверяется подписью лица, ответственного за устранение замечания и Администратора СКЗИ. Администрация Восточного городского поселения обязана принять меры по устранению вскрытых недостатков и выполнению рекомендаций Лицензиата, изложенных в Журнале замечаний по результатам контроля. Если в ходе контроля выявлены серьезные нарушения в эксплуатации СКЗИ, из-за чего становится реальной утечка конфиденциальной информации, Лицензиат вправе дать указание о прекращении использования СКЗИ до устранения причин выявленных нарушений.
__________________
Приложение №1
к Инструкции по обращению с сертифицированными шифровальными средствами (средствами криптографической защиты информации) в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключей КЭП
Приложение №2
К инструкции по обращению с сертифицированными шифровальными средствами (средствами криптографической защиты информации) в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области
Журнал контроля соблюдения условий эксплуатации и работоспособности СКЗИ
Приложение №3
К инструкции по обращению с сертифицированными шифровальными средствами (средствами криптографической защиты информации) в администрации муниципального образования Восточное городское поселение Омутнинского района Кировской области
Журнал замечаний по результатам контроля (Лист 1)
ЛИСТ регистрации изменений (Лист 2)
|
© 2011-2013 Администрация муниципального образования Восточное городское поселение Омутнинского района Кировской области. Все права защищены.