Интервал между буквами и строками: Стандартный Средний Большой

Свернуть настройки Шрифт: Arial Times New Roman

 

Документы, регламентирующие обработку ПДн с использованием криптосредств (СКЗИ)
 
Данные рекомендации нужно рассматривать как вариант применения средств криптографической защиты информации (СКЗИ).
 
Указанные документы принимаются как дополнительный пакет к основным документам по защите ПДн в ИСПДн, регламентирующий обработку ПДн с использованием криптосредств.
 
Нижеперечисленные документы разрабатываются на основании методического документа ФСБ «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.
 
1.           Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
 
2.           Эксплуатационная и техническая документация на используемые криптосредства.
 
3.           Заключение о возможности эксплуатации криптосредств.
 
4.           Журнал учета используемых криптосредств.
 
5.           Журнал учета технической документации к криптосредствам.
 
6.           Журнал учета носителей персональных данных.
 
7.           Приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами.
 
8.           Документ, устанавливающий порядок обеспечения безопасности ПДн при помощи криптосредств.
 
9.           Документ, устанавливающий порядок организации контроля за соблюдением условий использования криптосредств.
 
10.       Документ, устанавливающий порядок хранения носителей персональных данных.
 
Документы, перечисленные в пп.1-10, разрабатываются на основании методического документа ФСБ «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных»:
 
п. 2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
·             разработку для каждой информационной системы персональных данных модели угроз безопасности персональных данных при их обработке;
·             разработку на основе модели угроз системы безопасности персональных данных, обеспечивающей нейтрализацию всех перечисленных в модели угроз;
·             определение необходимости использования криптосредств для обеспечения безопасности персональных данных и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке;
·             установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам;
·             проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации;
·             обучение лиц, использующих криптосредства, работе с ними;
·             поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;
·             учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователи криптосредств);
·             контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;
·             разбирательство и составление заключений по фактам нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
·             описание организационных и технических мер, которые оператор обязуется осуществлять при обеспечении безопасности персональных данных с использованием криптосредств при их обработке в информационных системах.
 
Приказ о назначении ответственного пользователя криптосредств.
 
п. 2.6 Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом.
 
Функциональные обязанности ответственного пользователя криптосредств.
 
п. 2.7 Ответственные пользователи криптосредств должны иметь функциональные обязанности, разработанные в соответствии с настоящими Требованиями.
 
Лицевые счета на пользователей криптосредств.
 
п. 3.5 Ответственный пользователь криптосредств заводит и ведет на каждого пользователя криптосредств лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы.
 
Технический (аппаратный) журнал регистрации разовых ключевых носителей (при необходимости).
 
п. 3.6. Если эксплуатационной и технической документацией к криптосредствам предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в криптосредствах, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом (аппаратном) журнале, ведущемся непосредственно пользователем криптосредств. В техническом (аппаратном) журнале отражают также данные об эксплуатации криптосредств и другие сведения, предусмотренные эксплуатационной и технической документацией. В иных случаях технический (аппаратный) журнал на криптосредства не заводится (если нет прямых указаний о его ведении в эксплуатационной или технической документации к криптосредствам).
 
Приказ о назначении комиссии по уничтожению ключевых документов.
 
п. 3.22. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию криптосредств. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих криптосредства носителей, эксплуатационной и технической документации.
 
Документ, устанавливающий требования к режимным помещениям в которых эксплуатируются криптосредства.
 
п. 4.1 Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним (далее - режимные помещения), должны обеспечивать сохранность персональных данных, криптосредств и ключевых документов к ним.
 
Требования к режимным помещениям могут не предъявляться, если это предусмотрено правилами пользования криптосредствами, согласованными с ФСБ России.
 
Журнал учета хранилищ.
 
п. 4.5. Двери спецпомещений должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам, имеющим право допуска в режимные помещения, под расписку в журнале учета хранилищ. Дубликаты ключей от входных дверей таких помещений следует хранить в сейфе оператора или ответственного пользователя криптосредствами.
 
Журнал проверок исправности сигнализации.
 
п. 4.7. Режимные помещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять ответственному пользователю криптосредств совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах.
 
Журнал учета ключей от хранилищ ключевых документов и технической документации.
 
п. 4.8. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у сотрудника, ответственного за хранилище. Дубликаты ключей от хранилищ сотрудники хранят в сейфе ответственного пользователя криптосредств. Дубликат ключа от хранилища ответственного пользователя криптосредств в опечатанной упаковке должен быть передан на хранение оператору под расписку в соответствующем журнале.
 
Журнал службы охраны.
 
п. 4.9. По окончании рабочего дня режимное помещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы под расписку в соответствующем журнале ответственному пользователю криптосредств, или уполномоченному (дежурному), которые хранят эти ключи в личном, или специально выделенном хранилище.
 
Ключи от режимных помещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ режимного помещения, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службы охраны или дежурному по организации одновременно с передачей под охрану самих режимных помещений. Печати, предназначенные для опечатывания хранилищ, должны находиться у пользователей криптосредств, ответственных за эти хранилища.

Создано: 20.01.2010
Дата обновления: 28.05.2010
Источник: Главное управление специальных мероприятий Тюменской области