На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:
о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждении и организации перечня сведений, подлежащих засекречиванию;
об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя;
о регистрационном номере;
о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.
При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель.
Если носитель содержит составные части с различными степенями секретности, каждой из этих составных частей присваивается соответствующий гриф секретности, а носителю в целом присваивается гриф секретности, соответствующий тому грифу секретности, который присваивается его составной части, имеющей высшую для данного носителя степень секретности сведений.
Помимо перечисленных в настоящей статье реквизитов на носителе и (или) в сопроводительной документации к нему могут проставляться дополнительные отметки, определяющие полномочия должностных лиц по ознакомлению с содержащимися в этом носителе сведениями. Вид и порядок проставления дополнительных отметок и других реквизитов определяются нормативными документами, утверждаемыми Правительством Российской Федерации.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством (Указ президента РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188 с изм. и доп.), в том числе, – персональные данные; сведения, составляющие тайну следствия и судопроизводства; служебная тайна; профессиональная тайна; коммерческая тайна; интеллектуальная собственность.
Конфиденциальные документы
Конфиденциальные документы – документированная конфиденциальная информация. Может быть представлена в виде документов на бумажном носителе и/или в электронном виде (электронный документ, электронные образы документов).
Система внутреннего документооборота, как объект защиты документированной конфиденциальной информации, представляет собой совокупность каналов санкционированного распространения конфиденциальной документированной информации в процессе деятельности организации пользователями этой информации.
Основной характеристикой движения информации является технологическая комплексность, а также защищенность.
Порядок и маршруты потоков конфиденциальных документов на бумажном носителе и электронных документов в инфраструктуре организации, включая информационную инфраструктуру организации, должны быть документированы и регламентированы для того, чтобы процесс восстановления работоспособности системы документооборота, включая электронный, производился максимально быстро.
Комплекс мер, необходимый для защиты информации
Для организации работы по охране документированной конфиденциальной информации необходимо осуществление комплекса мер, включающих в себя:
- Организационные меры защиты документированной конфиденциальной информации:
- разработка и внедрение юридической документации, связанной с систематизацией работы с конфиденциальной информацией (например, положение и приказы о коммерческой тайне, политика конфиденциальности, правила работы с ПДн, согласие на обработку ПДн, обязательство о неразглашении ПДн, правила получения и использования информации (товары/услуги);
- мероприятия по обеспечению достаточного уровня физической защиты всех компонентов конфиденциальной информации (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности носителей информации и т.п.);
- мероприятия по непрерывной поддержке функционирования и управлению используемых средств защиты;
- ознакомление, обучение и повышение осведомленности персонала в направлении защиты конфиденциальной информации;
- контроль за работой персонала системы;
- постоянно, силами службы информационной безопасности, и периодически, с привлечением сторонних организаций, осуществляемый анализ состояния и оценка эффективности мер и применяемых мер защиты информации.
- Технические меры защиты документированной конфиденциальной информации:
- технические средства зашиты от утечек информации, включая средства защиты от несанкционированного доступа;
- применение СКЗИ при обработке и защите конфиденциальной информации;
- идентификации и аутентификации пользователей информационной системы;
- протоколирование и аудит.
Защита документированной информации в документопотоках обеспечивается комплексом разнообразных мер юридического, режимного, технологического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры его обработки и/или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации.
Технологический процесс учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.
«Об утверждении Положения о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности в Правительстве Хабаровского края»
В целях приведения нормативных правовых актов Хабаровского края в сфере обращения и защиты конфиденциальной информации в соответствие с требованиями действующего законодательства Российской Федерации постановляю:
1. Утвердить прилагаемое Положение о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности в Правительстве Хабаровского края.
2. Министерствам края, имеющим статус юридического лица, иным органам исполнительной власти края в течение месяца со дня подписания настоящего постановления разработать и утвердить свои положения о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности, не противоречащие основным требованиям настоящего постановления.
3. Министерствам края, иным органам исполнительной власти края, структурным подразделениям аппарата Губернатора и Правительства края определить и утвердить перечень обрабатываемой конфиденциальной информации и списочный состав должностных лиц, уполномоченных на работу с конфиденциальной информацией, закрепив данные обязанности в должностных регламентах.
4. Признать утратившими силу:
- постановление главы администрации Хабаровского края от 30 мая 2000 г. №175 «О Перечне сведений конфиденциального характера администрации Хабаровского края и порядке обращения с ними»;
- постановление Губернатора Хабаровского края от 14 мая 2003 г. №153 «Об утверждении Перечня сведений конфиденциального характера Правительства Хабаровского края».
5. Контроль за выполнением настоящего постановления возложить на заместителя Председателя Правительства края – руководителя аппарата Губернатора и Правительства края Кондратова
Г.А. Губернатор
В.И. Шпорт
Положение о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности в Правительстве Хабаровского края
Утверждено
постановлением
Губернатора Хабаровского края
от 27 января 2011 года №5
1. Общие положения
1.1. Настоящее Положение определяет общие требования по защите конфиденциальной информации, обрабатываемой в аппарате Губернатора и Правительства края, министерствах края, иных органах исполнительной власти края (далее – органы исполнительной власти края), и порядок организации работы по обеспечению ее защиты.
1.2. Отнесение информации к конфиденциальной осуществляется в порядке, установленном Конституцией Российской Федерации, законодательством Российской Федерации.
1.3. К конфиденциальной информации в органах исполнительной власти края относится служебная информация, не являющаяся сведениями, составляющими государственную тайну, используемая в повседневной деятельности Правительства края, к которой нет свободного доступа на основании требований федеральных законов, обладающая действительной или потенциальной ценностью в силу ее неизвестности лицам, не имеющим права доступа к ней, и по отношению к которой в органах исполнительной власти края принимаются правовые, организационные, технические и иные меры защиты.
1.4. Конфиденциальная служебная информация фиксируется на бумажных (документы, издания, книги, брошюры, буклеты и др.), магнитных (дискеты, магнитные диски, цифровые запоминающие устройства, аудио-, видеопленки и др.), оптических (лазерные диски и др.) и других носителях информации.
1.5. Электронный документ, электронное сообщение, подписанные электронной цифровой подписью или иным аналогом собственноручной подписи, признаются равнозначными документу, подписанному собственноручной подписью, в случаях, если иное не установлено федеральными законами.
1.6. В настоящем Положении используются основные понятия, равнозначные по смыслу понятиям, установленным федеральным законодательством.
2. Порядок работы со сведениями, отнесенными к конфиденциальной информации
2.1. Доступ государственных гражданских служащих органов исполнительной власти края к работе с конфиденциальной информацией предусматривает оформленные в служебном контракте обязательства в соответствии с требованиями Федерального закона от 27 июля 2004 г. №79-ФЗ «О государственной гражданской службе Российской Федерации» (далее – Федеральный закон от 27 июля 2004 г. №79-ФЗ).
2.2. Отнесение сведений к категории конфиденциальной информации осуществляется в соответствии с законодательством Российской Федерации.
2.3. Носителям конфиденциальной информации присваивается гриф «Для служебного пользования», соответствующий содержимому носителя с указанием вида конфиденциальной информации. Указанный гриф проставляется как на самом документе, так и на его электронном аналоге.
2.4. Создание, обработка, пересылка, хранение и уничтожение конфиденциальных документов в автоматизированной системе, то есть системе, состоящей из персонала и комплекса средств автоматизации его деятельности, реализующей информационную технологию выполнения установленных функций (далее – АС) органов исполнительной власти края, разрешается только при наличии установленных на них средств защиты информации и заключения, выдаваемого комитетом по информационным технологиям и связи Правительства края.
Порядок обработки конфиденциальной информации в электронном виде устанавливается эксплуатационной документацией на АС.
2.5. Необходимость проставления грифа «Для служебного пользования» на документах, изданиях и машинных носителях информации, содержащих информацию конфиденциального характера, определяется исполнителем или должностным лицом, подписывающим или утверждающим документ в соответствии с утвержденным перечнем обрабатываемой конфиденциальной информации (далее – Перечень). При этом необходимо учитывать следующее:
- не составляют ли сведения государственную тайну;
- не входят ли сведения в перечень сведений, которые в соответствии с законодательством Российской Федерации не могут составлять конфиденциальную информацию.
Опубликование (распространение) документов, содержащих информацию конфиденциального характера, не является основанием для снятия грифа «Для служебного пользования».
2.6. В том случае, если сведения, помещаемые в документ, по мнению исполнителя, носят конфиденциальный характер, но их невозможно идентифицировать со сведениями, содержащимися в Перечне, исполнитель обязан проставить на нем гриф «Для служебного пользования» и представить руководителю органа исполнительной власти края, структурного подразделения аппарата Губернатора и Правительства края обоснованные предложения по соответствующему дополнению (изменению) Перечня.
2.7. Распечатывание конфиденциальных документов производится самим исполнителем. Отпечатанный документ, содержащий сведения конфиденциального характера, должен отвечать следующим требованиям:
- первая страница основного документа и первая страница каждого из его приложений должна иметь в правом верхнем углу гриф «Для служебного пользования», а под ним номер экземпляра;
- при наличии приложений к основному документу после текста основного документа должны быть указаны: номер приложения, его наименование, номера прилагаемых экземпляров и количество листов в них;
- на обороте последнего листа каждого экземпляра основного документа либо в электронном документе и на обороте последнего листа каждого экземпляра каждого из его приложений (между центром и нижней частью листа, ближе к левому краю) указываются по порядку в каждой отдельной строке: количество отпечатанных экземпляров, адрес рассылки каждого экземпляра, фамилия исполнителя, фамилия работника, отпечатавшего документ, номер телефона исполнителя и дата печатания документа.
Если в сопроводительном письме к документу с грифом «Для служебного пользования» нет конфиденциальной информации, то сопроводительное письмо оформляется в соответствии с требованиями настоящего пункта, но под грифом «Для служебного пользования» делается надпись «(с приложением)». Регистрация сопроводительного письма осуществляется в соответствии с требованиями пунктов 3.8, 3.9 раздела 3 настоящего Положения. При этом в журналах учета в графе делается отметка о том, что без приложения сопроводительное письмо не содержит конфиденциальной информации.
При большом количестве адресатов составляется список рассылки документа и подписывается исполнителем этого документа.
После распечатывания или сканирования конфиденциального документа исполнитель должен убедиться в невозможности получения повторных несанкционированных копий.
2.8. Все конфиденциальные документы подлежат регистрации. Распечатанные документы регистрируются в установленном порядке в соответствующих журналах учета или электронной базе данных.
2.9. Прием поступающей и отправка исходящей конфиденциальной корреспонденции осуществляется в:
- аппарате Губернатора и Правительства края – управлением по организации работы с документами Губернатора и Правительства края;
- органах исполнительной власти края – структурными подразделениями, ведущими общее делопроизводство.
При регистрации конфиденциальных документов с грифом «Для служебного пользования» добавляется индекс в порядковом номере документа в соответствии с утвержденной номенклатурой дел и пометка «Для служебного пользования».
2.10. Отправка документов, содержащих конфиденциальную информацию, средствами факсимильной связи не допускается.
2.11. Рассылка, отправка и передача конфиденциальных документов осуществляется только уполномоченным работником на основании перечней списков для рассылки приказов, распоряжений и иной документации.
2.12. При необходимости направления документации нескольким адресатам составляется указатель рассылки, в котором поадресно проставляются номера экземпляров. Указатель рассылки подписывается исполнителем и руководителем структурного подразделения органа исполнительной власти края и подшивается в дело вместе с основным документом.
2.13. Пересылка конфиденциальных документов может осуществляться только заказными почтовыми отправлениями, спецсвязью и фельдсвязью.
2.14. При обнаружении недостачи вложений поступившего документа составляется акт, в котором перечисляются все вложения, оказавшиеся в наличии, а также недостающие, их тематика, наличие или отсутствие повреждений на конверте, другие необходимые, по мнению составителей акта, сведения.
2.15. Конфиденциальный документ, поступивший в орган исполнительной власти края, минуя уполномоченного работника, должен быть передан ему для регистрации и оформления в соответствии с настоящим Положением.
2.16. Государственный гражданский служащий, получивший конфиденциальный документ, обязан принимать меры для обеспечения его сохранности и не разглашать содержащиеся в нем сведения в беседах с посторонними лицами, а также с сотрудниками органа исполнительной власти края, если этого не требуется для исполнения им своих служебных обязанностей. В нерабочее время конфиденциальные документы и электронные носители, содержащие конфиденциальную информацию, должны находиться в запирающихся на ключ шкафах (сейфах).
2.17. Государственные гражданские служащие края не могут использовать в личных целях сведения конфиденциального характера, ставшие им известными вследствие выполнения служебных обязанностей.
2.18. Выдача конфиденциальных документов или их копий сотрудникам, которым они предназначены, а также передача их в другие структурные подразделения органов исполнительной власти края осуществляются под роспись в реестре выдачи – приема конфиденциальных документов.
2.19. Государственный гражданский служащий, получивший для работы конфиденциальный документ на бумажном носителе, обязан располагать его так, чтобы исключить возможность ознакомления с ним других лиц.
2.20. При обработке конфиденциальных документов на средствах вычислительной техники, то есть совокупности программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее – СВТ), они должны располагаться таким образом, чтобы исключить возможность ознакомления с электронными документами посторонних лиц. При отлучении с рабочего места государственный гражданский служащий обязан закрывать все электронные документы, содержащие конфиденциальную информацию.
2.21. При увольнении, переводе в другое подразделение государственный гражданский служащий обязан сдать все числящиеся за ним конфиденциальные документы, а также обязан сдать электронную документацию, содержащую конфиденциальную информацию и находящуюся в его распоряжении, начальнику своего структурного подразделения. Указанные действия должны быть произведены до наступления дня увольнения (перевода).
2.22. Копирование (размножение) конфиденциальных документов осуществляется уполномоченным работником с разрешения руководителя структурного подразделения на основании бланка – заказа установленной формы с указанием количества экземпляров (копий) (приложение №1). Новые экземпляры (копии) документов регистрируются в установленном порядке с присвоением копиям очередных номеров экземпляров основного документа. Копирование (размножение) производится на специально предназначенных для этих целей СВТ.
2.23. Копирование (размножение) конфиденциальных документов для сторонних организаций производится только при наличии от них обоснованного (мотивированного) письма, регистрационный номер которого указывается в бланке – заказе в соответствующей графе, и разрешения руководителя органа исполнительной власти края. Копия письма с разрешением прилагается к бланку – заказу.
2.24. Конфиденциальные документы группируются для хранения согласно номенклатуре дел по функциональному направлению. На обложке каждого дела (тома), в котором подшит хотя бы один документ, содержащий конфиденциальную информацию, проставляется гриф «Для служебного пользования».
2.25. Уничтожение конфиденциальных документов, утративших практическую ценность, производится по акту уполномоченным работником органа исполнительной власти края в присутствии двух других государственных гражданских служащих. При этом в регистрационных документах делается соответствующая ссылка на акт уничтожения, который хранится по правилам, применяемым к документам с грифом «Для служебного пользования». Письменное разрешение на уничтожение по представляемому списку документов дает руководитель органа исполнительной власти края. Уничтожение конфиденциальных документов на бумажных носителях производится путем их резки на бумагорезательной машине.
3. Особенности обработки персональных данных
3.1. Обработка персональных данных кадровыми и финансовыми подразделениями органов исполнительной власти края осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия государственному гражданскому служащему в прохождении государственной гражданской службы Хабаровского края, в обучении и должностном росте, обеспечения личной безопасности государственного гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества органа исполнительной власти края, учета исполнения им должностных обязанностей, а также содействия исполнения служебных обязанностей работников и лиц, замещающих государственные должности Хабаровского края.
В случае обработки конфиденциальных документов, содержащих персональные данные, в пределах структурного подразделения органа исполнительной власти края допускается не проставлять гриф «Для служебного пользования» на бумажных носителях. При этом руководитель структурного подразделения обязан обеспечить учет и сохранность дел с подобными документами. Конфиденциальные документы на бумажных носителях, изготовленные до вступления в силу настоящего Положения, допускается обрабатывать в первоначальном виде.
3.2. При необходимости направления конфиденциальных документов, содержащих персональные данные, или выписок из них за пределы структурного подразделения, а также в пределах органа исполнительной власти края необходимо выполнить требования к оформлению, изготовлению и учету конфиденциальных документов, предусмотренные разделом 2 настоящего Положения.
3.3. Особенности обработки конфиденциальных документов, содержащих персональные данные, в кадровых и финансовых структурных подразделениях органов исполнительной власти края определяются Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2004 г. №79-ФЗ, указами Президента Российской Федерации от 07 сентября 2010 г. №1099 «О мерах по совершенствованию государственной наградной системы Российской Федерации», от 30 мая 2005 г. №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
Обработка конфиденциальных документов, содержащих персональные данные, при рассмотрении обращений граждан осуществляется в соответствии с требованиями Федерального закона от 02 мая 2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных, то есть в информационной системе, представляющей собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (далее – ИСПДн), производится в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. №781.
Используемые для обеспечения безопасности персональных данных средства защиты информации должны иметь действующие сертификаты соответствия, подтверждающие возможность их использования в ИСПДн. В целях обеспечения функционирования данных средств защиты информации в органе исполнительной власти края назначается администратор безопасности ИСПДн.
Неавтоматизированная обработка содержащихся в ИСПДн персональных данных производится в соответствии с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687.
3.5. При обработке конфиденциальных документов, содержащих персональные данные, должен быть определен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, а также реализованы меры по раздельному хранению персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3.6. Доступ ко всем персональным данным, обрабатываемым в органах исполнительной власти края, имеют лица, замещающие должности, а также исполняющие их обязанности:
- Губернатора края;
- вице-губернатора края;
- помощников Губернатора края, вице-губернатора края – в отношении персональных данных, необходимых Губернатору края, вице-губернатору края;
- заместителей Председателя Правительства края, министров края, руководителей иных органов исполнительной власти края и их заместителей – в отношении персональных данных государственных гражданских служащих и работников возглавляемых ими органов исполнительной власти края и граждан, участвующих в конкурсе на замещение вакантных должностей государственной гражданской службы Хабаровского края в соответствующие органы исполнительной власти края, а также на включение в кадровый резерв;
- руководителей структурных подразделений органов исполнительной власти края – в отношении персональных данных гражданских служащих и работников возглавляемых ими структурных подразделений органов исполнительной власти края и граждан, участвующих в конкурсе на замещение вакантных должностей государственной гражданской службы Хабаровского края в соответствующие структурные подразделения органов исполнительной власти края, а также на включение в кадровый резерв;
- государственных гражданских служащих кадровых подразделений и финансовых служб органов исполнительной власти края – в отношении персональных данных, которые необходимы им для выполнения конкретных функций, определенных должностным регламентом;
- государственных гражданских служащих в соответствии с Федеральным законом от 02 мая 2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» – в отношении персональных данных, содержащихся в обращениях граждан, поступающих в органы исполнительной власти края, необходимых для объективного и своевременного их рассмотрения;
- лиц, входящих в состав комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 г. №79-ФЗ, – в отношении рассматриваемых на соответствующих комиссиях субъектов персональных данных.
3.7. Государственные гражданские служащие или работники, замещающие должности, не являющиеся должностями государственной гражданской службы Хабаровского края (далее – работники), уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями федеральных законов, Трудового кодекса Российской Федерации, других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
3.8. Государственные гражданские служащие или работники, уполномоченные на обработку персональных данных, обязаны соблюдать следующие требования:
персональные данные следует получать лично у государственного гражданского служащего и работника. В случае возникновения необходимости получения персональных данных у третьей стороны (за исключением случаев, предусмотренных федеральными законами) следует известить об этом государственного гражданского служащего или работника заранее, получить его письменное согласие, сообщив о целях, предлагаемых источниках и способах получения персональных данных;
запрещается получать, обрабатывать и приобщать к личному делу государственного гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
при принятии решений, затрагивающих интересы государственного гражданского служащего, работника, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей.
3.9. Хранение документов, содержащих персональные данные, должно быть организовано так, чтобы был исключен доступ и ознакомление с ними посторонних лиц.
3.10. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств органов исполнительной власти края в порядке, установленном федеральными законами от 27 июля 2004 г. №79-ФЗ, от 27 июля 2006 г. №152-ФЗ «О персональных данных», иными нормативными правовыми актами Российской Федерации.
4. Передача конфиденциальной информации третьим лицам
4.1. Передача конфиденциальной информации третьим лицам (юридическим лицам и физическим лицам, не являющимся сотрудниками органов исполнительной власти края) запрещается, за исключением случаев, когда она представляется:
- органам законодательной и исполнительной власти, контролирующим органам, имеющим право на получение такой информации в соответствии с законодательством Российской Федерации, – на основании письменного запроса;
- физическим лицам – только информация в части, их касающейся, или их личные персональные данные.
4.2. Использование конфиденциальной информации в документах открытого доступа, на выступлениях, конференциях, презентациях, проходящих вне помещений, предназначенных для обсуждения конфиденциальной информации, в интервью, публикациях и т.п. без разрешения руководителя соответствующего органа исполнительной власти края не разрешается.
4.3. В случае наличия разрешения руководителя соответствующего органа исполнительной власти края на передачу конфиденциальной информации для публикации (оглашения) в открытых источниках гриф конфиденциальности снимается, а о факте их передачи ставится в известность управление по организации работы с документами Губернатора и Правительства края.
5. Требования к помещениям, в которых обрабатываются и хранятся сведения конфиденциального характера
5.1. Размещение помещений, в которых обрабатываются и хранятся сведения конфиденциального характера, и их оборудование должны исключать возможность бесконтрольного проникновения в эти помещения посторонних лиц и гарантировать сохранность находящихся в них носителей сведений конфиденциального характера.
5.2. Помещения должны отвечать правилам техники безопасности, санитарным нормам, требованиям пожарной безопасности.
5.3. Входные двери оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время.
5.4. В помещения допускаются руководитель органа исполнительной власти края, а также работники, которые имеют прямое отношение к ведущимся в этих помещениях работам. Остальные должностные лица допускаются с разрешения руководителя структурного подразделения.
5.5. По окончании работ помещения закрываются, опечатываются и сдаются службе охраны или ответственному дежурному органа исполнительной власти края с указанием времени приема (сдачи) под охрану помещений (приложение №2).
6. Особенности обращения и учета машинных носителей информации, содержащих электронные документы конфиденциального характера
6.1. Машинные носители информации (дискеты, магнитооптические диски, CD- и DVD-диски, жесткие магнитные диски, флеш-накопители и т.д.), содержащие электронные документы конфиденциального характера, регистрируются в подразделении, которому поручен учет документов с грифом «Для служебного пользования», с проставлением учетных реквизитов по журналу учета машинных носителей информации. Учетные реквизиты (учетный номер, дата регистрации, гриф «Для служебного пользования» и т.д.) проставляются на машинных носителях информации в удобном для просмотра месте.
6.2. Порядок рассылки, проверки наличия машинных носителей информации, проведения расследований по фактам утраты машинных носителей информации, снятия грифа «Для служебного пользования» с машинных носителей информации и т.д. является таким же, как и для документов конфиденциального характера, подготовленных на бумажных носителях.
6.3. При осуществлении ремонта или передачи СВТ в другое подразделение (иной орган исполнительной власти края) с машинных носителей необходимо произвести стирание конфиденциальной информации. Стирание информации производится таким образом, чтобы ее невозможно было восстановить.
6.4. Уничтожение машинных носителей или стирание конфиденциальной информации производится с составлением акта (приложение №3).
7. Порядок передачи конфиденциальной информации в электронном виде
7.1. Передача электронной конфиденциальной информации (файлов) осуществляется с использованием носителей, учтенных в несекретном делопроизводстве органа исполнительной власти края и имеющих гриф, соответствующий грифу передаваемой информации.
7.2. Передача электронной информации с использованием накопителей на магнитных дисках (дискетах, флеш – носителях и т.д.) между пользователями одного структурного подразделения и между пользователями структурных подразделений органа исполнительной власти края осуществляется с письменного разрешения руководителя структурного подразделения или руководителя органа исполнительной власти края с записью в журнале передачи информации (файлов) (приложение №4).
7.3. Передача информации между органами исполнительной власти края осуществляется путем пересылки учтенных носителей информации через службы документационного обеспечения в порядке, установленном для отправки документов конфиденциального характера.
8. Контроль за соблюдением установленного порядка обращения со сведениями и документами, содержащими конфиденциальную информацию
8.1. Осуществление систематического контроля за соблюдением в Правительстве края установленного порядка обращения со служебными сведениями и документами, содержащими конфиденциальную информацию, возлагается:
8.1.1. В аппарате Губернатора и Правительства края:
- на управление по организации работы с документами Губернатора и Правительства края – в части получения, отправки, учета и хранения конфиденциальных документов в аппарате Губернатора и Правительства края;
- на комитет по информационным технологиям и связи Правительства края – в части обработки конфиденциальной информации специально предназначенными для этих целей объектами информатизации, в том числе с применением средств обеспечения электронного документооборота, проверки работоспособности установленных на них средств защиты информации.
8.1.2. В органах исполнительной власти края – на структурные подразделения, ведущие общее делопроизводство.
8.2. Проверки по соблюдению требований обращения с документами, содержащими конфиденциальную информацию, проводятся в соответствии с утвержденными планами работы и при выявлении случаев нарушения установленного порядка обработки конфиденциальной информации.
8.3. О результатах проведенных мероприятий по контролю сообщается заместителю Председателя Правительства края – руководителю аппарата Губернатора и Правительства края, при этом отражается состояние дел в области выполнения установленного порядка обращения со сведениями, содержащими конфиденциальную информацию, выявленные недостатки и нарушения, а также вносятся предложения по их устранению.
8.4. В случае утраты конфиденциального документа или установленного факта утечки сведений, содержащих конфиденциальную информацию, ставится в известность руководитель органа исполнительной власти края, а в случае нарушения правил эксплуатации объектов информатизации и установленных на них технических средств – дополнительно комитет по информационным технологиям и связи Правительства края.
8.5. Для расследования обстоятельств утраты (утечки) сведений, содержащих конфиденциальную информацию, и определения возможного ущерба руководителем органа исполнительной власти края назначается служебная проверка, результаты работы которой докладываются руководителю, назначившему комиссию.
9. Ответственность
9.1. Требования настоящего Положения обязательны для исполнения всеми государственными гражданскими служащими органов исполнительной власти края, которые несут персональную ответственность за сохранность сведений, содержащих конфиденциальную информацию.
9.2. Руководители органов исполнительной власти края, структурных подразделений аппарата Губернатора и Правительства края несут ответственность за организацию работы с документами, содержащими конфиденциальную информацию, в подчиненных им подразделениях, в том числе за обоснованность проставления (непроставления) исполнителями – разработчиками документов грифа «Для служебного пользования».
9.3. Государственные гражданские служащие органов исполнительной власти края, допустившие разглашение сведений, содержащих конфиденциальную информацию, либо нарушившие требования настоящего Положения и других распорядительных документов, устанавливающих порядок обращения со сведениями, содержащими конфиденциальную информацию, а также по вине которых произошла утрата носителей конфиденциальной информации, несут ответственность, предусмотренную законодательством Российской Федерации.
Приложение
1. Введение
Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.
2. Основные понятия
Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.
Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.
Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.
Ключ ЭП — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.
Ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.
Сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.
Владелец сертификата ключа проверки ЭП — лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.
Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.
Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.
Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:
- Потеря ключевых носителей.
- Потеря ключевых носителей с их последующим обнаружением.
- Увольнение сотрудников, имевших доступ к ключевой информации.
- Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
- Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
- Нарушение печати на сейфе с ключевыми носителями.
- Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).
3. Риски использования электронной подписи
При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:
- Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
- Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
- Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
- Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
- Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.
Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.
4. Общие принципы организации информационной безопасности в Системе
Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.
Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.
Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:
- выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
- выдает пользователям средства электронной подписи;
- создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
- получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
- ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
- проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
- осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
- определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.
Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.
Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.
Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:
- обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
- подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
- обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
- обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
- аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.
Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.
В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.
5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя
Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.
5.1 Персонал
Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.
К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.
К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.
Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.
Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.
В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.
5.2 Размещение технических средств АРМ с установленным СКЗИ
Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.
Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.
Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.
Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.
Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).
Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.
Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.
5.3 Установка программного обеспечения на АРМ
На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.
На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.
Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.
Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.
Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.
Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.
5.4 Настройка операционной системы АРМ
Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:
- Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
- Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
- У группы Everyone должны быть удалены все привилегии.
- Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
- Рекомендуется переименовать стандартную учетную запись Administrator.
- Должна быть отключена учетная запись для гостевого входа Guest.
- Исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators.
- Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
- Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
- Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
- Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
- На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца (Creator/Owner) и Системы (System).
- Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
- Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
- Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.
Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
- личный пароль пользователь не имеет права сообщать никому;
- не допускается хранить записанные пароли в легкодоступных местах;
- периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
- указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.
5.5 Установка и настройка СКЗИ
Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.
Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.
Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.
При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.
Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.
По завершении инициализации осуществляются настройка и контроль работоспособности ПО.
Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.
5.6 Подключение АРМ к сетям общего пользования
При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.
В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.
5.7 Обращение с ключевыми носителями
В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.
Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.
Запрещается:
- Снимать несанкционированные администратором безопасности копии с ключевых носителей.
- Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
- Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
- Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.
5.8 Обращение с ключевой информацией
Владелец сертификата ключа проверки ЭП обязан:
- Хранить в тайне ключ ЭП (закрытый ключ).
- Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
- Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
- Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.
5.9 Учет и контроль
Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.
В журнале может отражаться следующая информация:
- дата, время;
- запись о компрометации ключа;
- запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
- запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
- запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
- запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
- записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
- события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.
Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.
В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.
Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.
6. Заключение
Настоящие правила составлены на основе:
- Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
- приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
- эксплуатационной документации на СКЗИ, которое используется в Системе.