Администрация муниципального образования городского округа «Воркута»
Муниципальное бюджетное дошкольное образовательное учреждение
«Детский сад № 35 «Метелица» г. Воркуты
|
УТВЕРЖДЕНО
приказом заведующего
МБДОУ «Детский сад № 35» г.Воркуты
№ _______ от «_____»__________20__г.
|
Инструкция
Ответственного за организацию работ по криптографической защите
информации в МБДОУ «Детский сад № 35» г. Воркуты
І. Общие положения
Настоящая Инструкция разработана в целях регламентации действий лиц, ответственных за организацию работ по криптографической Защите информации (далее Ответственный) в организациях, которые осуществляют работы с применением средств криптографической защиты информации (СКЗИ) (далее - Организация).
Под Организацией в настоящей Инструкции понимаются органы государственной власти Республики Коми, подведомственные им организации, органы местного самоуправления Республики Коми, подведомственные им организации.
Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и т.д.
Ответственный назначается приказом руководителя Организации из числа её работников. СКЗИ должны использоваться для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Функции органа криптографической защиты информации для проведения мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации ограниченного доступа возложены на Государственное бюджетное учреждение Республики Коми "Центр безопасности информации". Данные мероприятия выполняются в соответствии с Постановлением Правительства Республики Коми от 31 декабря 2010 г. № 506 «О региональном операторе безопасности инфраструктуры электронного правительства в Республике Коми» и на основании Лицензии ФСБ России на осуществление деятельности по предоставлению услуг в области шифрования информации.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утверждённой приказом ФАПСИ от 13 июня 2001 г. №152 (далее - Инструкция ФАПСИ от 13 июня 2001 г. №152) и «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утверждённого приказом ФСБ РФ от 9 февраля 2005 г. № 66.
ІІ. Термины и определения
Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Орган криптографической зашиты (ОКЗ) - организация, разрабатывающая и осуществляющая мероприятия по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
Пользователи СКЗИ - работники Организации, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) – совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
ІІІ. Порядок получения допуска пользователей к работе с СКЗИ
Для работы пользователей с СКЗИ в Организации необходимо реализовать ряд мероприятий:
- утвердить Инструкцию по обращению с СКЗИ (в Приказе об обращении с СКЗИ);
- пользователям, которым необходимо получить доступ к работе с СКЗИ, пройти самостоятельное обучение правилам работы с СКЗИ и тестирование на знание этих правил на официальном сайте ГБУ Республики Коми «ЦБИ» (httр://www.cbikomi.ru); получить по электронной почте бланк Заключения о допуске пользователя к самостоятельной работе с СКЗИ, подписать и скрепить оттиском печати Организации данные Заключения (в двух экземплярах);
- на основании Заключений издать Приказ об утверждении перечня пользователей СКЗИ;
- по факту подготовки незамедлительно направить в ГБУ Республики Коми «ЦБИ» экземпляр Приказа об обращении с СКЗИ, экземпляр Приказа об утверждении перечня пользователей СКЗИ, два экземпляра Заключений о допуске к самостоятельной работе с СКЗИ.
Контроль над реализацией данных мероприятий возлагается на Ответственного.
По завершении указанных мероприятий и по факту получения и проверки органом криптозащиты всех требуемых документов, сотрудниками ГБУ Республики Коми «ЦБИ» будут произведены установка и настройка СКЗИ на рабочих местах пользователей, а также предоставлен доступ к информационной системе.
Проведение сотрудниками ГБУ Республики Коми «ЦБИ» работ по установке и настройке СКЗИ возможно осуществить и до получения требуемого пакета документов от Организации. В таком случае доступ к работе с СКЗИ, а, следовательно, и доступ к информационной системе будет заблокирован до момента выполнения Организацией мероприятий согласно требованиям пп. 7, 19, 21 и 26 Инструкция ФАПСИ от 13 июня 2001 г. №152.
ІV. Обязанности Ответственного
При решении всех вопросов, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться Инструкцией по обращению с СКЗИ, которая утверждается Приказом об обращении с СКЗИ.
На Ответственного возлагается проведение следующих мероприятий:
- вести Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
- вести учет переданных от ОКЗ актов об установке и настройке СЗИ;
- вести учет переданных от ОКЗ лицензий на право использования СКЗИ и соответствующих им актов приема-передачи;
- принять СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
- письменно уведомлять ГБУ Республики Коми «ЦБИ» в течение трех рабочих дней об изменениях или увольнениях пользователей СКЗИ;
- осуществлять ежегодную проверку журнала учета СКЗИ, перечня пользователей СКЗИ и иных документов и письменно уведомлять ГБУ Республики Коми «ЦБИ» о результатах проверки в срок не позднее «01» февраля года, следующего за отчетным;
- сообщать в ОКЗ о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним.
Ответственный обязан:
- не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;
- сохранять носители ключевой информации и другие документы о ключах, выдаваемых с ключевыми носителями;
- соблюдать требования к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;
- контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;
- немедленно уведомлять ОКЗ о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;
- незамедлительно принимать меры по локализации последствий компрометации защищаемых сведений конфиденциального характера.
V. Права Ответственного
В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:
- требовать от пользователей СКЗИ соблюдения положений Инструкции по обращению с СКЗИ и Инструкции пользователя СКЗИ;
- обращаться к руководителю Организации с требованием прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;
- инициировать проведение служебных расследований по фактам нарушения в Организации порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
VІ. Порядок передачи обязанностей при смене Ответственного
При смене Ответственного должны быть внесены соответствующие изменения в Приказ об обращении с СКЗИ. Вновь назначенный Ответственный должен быть ознакомлен под роспись с настоящей Инструкцией и приступить к исполнению возложенных на него обязанностей.
VІІ. Заключительные положения
Ознакомление с нормативными документами в области СКЗИ, включая Инструкцию пользователя СКЗИ, возможно на официальном сайте ГБУ Республики Коми «ЦБИ» (httр://www.cbikomi.ru).
Прохождение тестирование пользователей СКЗИ доступно по ссылке httр://www.cbikomi.ru/test/test_na_znaniya_pravil_raboty_so_skzi_kriptopro_csp_vipnet
Отправку всех необходимых документов осуществлять на адрес ГБУ Республики Коми "ЦБИ": 167000, г. Сыктывкар, ул. Интернациональная, д. 108, оф. 227.
Телефон: (8212) 30-12-11.
Лист ознакомления
с Инструкцией Ответственного за организацию работ
по криптографической защите информации
(утверждена приказом от «______»_____________ 20___г. №_______)
№ п/п
|
Фамилия, имя, отчество
|
Должность
|
Дата
|
Подпись
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
