Администрация
Нижнедевицкого сельского поселения
Нижнедевицкого муниципального района
Воронежской области
РАСПОРЯЖЕНИЕ
от 03 октября 2023 г. № 52
О сотрудниках, осуществляющих
обработку защищаемой информации,
в государственной информационной
системе ГИС ВО «АС ДОУ»
В целях выполнения требований Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
утвердить перечень сотрудников, осуществляющих обработку защищаемой информации, не содержащей сведения, составляющие государственную тайну, и имеющих доступ к обрабатываемой защищаемой информации, не содержащей сведения, составляющие государственную тайну, содержащейся в государственной информационной системе Воронежской области «Автоматизированная система документационного обеспечения управления правительства Воронежской области» (Приложение № 1);
утвердить перечень сотрудников, осуществляющих обработку персональных данных и имеющих доступ к персональным данным, обрабатываемым в государственной информационной системе Воронежской области «Автоматизированная система документационного обеспечения управления правительства Воронежской области» (Приложение № 2);
утвердить инструкцию пользователя криптосредств (Приложение № 3).
Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава
Нижнедевицкого
сельского поселения С.И. Плотников
Приложение № 1
Перечень сотрудников, осуществляющих обработку защищаемой информации, не содержащей сведения, составляющие государственную тайну, и имеющих доступ к обрабатываемой защищаемой информации, не содержащей сведения, составляющие государственную тайну, содержащейся в государственной информационной системе ГИС ВО «АС ДОУ»
|
№ п/п |
ФИО сотрудника |
Должность |
|
1 |
Плотников Сергей Игоревич |
глава Нижнедевицкого сельского поселения |
Приложение № 2
Перечень сотрудников, осуществляющих обработку персональных данных и имеющих доступ к персональным данным, обрабатываемым в государственной информационной системе ПГС
|
№ п/п |
ФИО сотрудника |
Должность |
|
|
Плотников Сергей Игоревич |
глава Нижнедевицкого сельского поселения |
Приложение № 3
ИНСТРУКЦИЯ
ПО ОБРАЩЕНИЮ СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ
ЗАЩИТЫ ИНФОРМАЦИИ
1. Общие положения
Настоящая Инструкция разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (СКЗИ), которые осуществляют работы с применением СКЗИ.
Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов другие действия согласно технической документации на СКЗИ.
Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденной приказом ФАПСИ от 13 июня. 2001 г. N 152 (далее - Инструкция ФАПСИ от 13 июня 2001 г. N 152), "Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", утвержденного приказом ФСБ РФ от 9 февраля 2005 г. N 66, а также "Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", утвержденных приказом ФСБ от 10.07.2014 N 378.
2. Термины и определения
Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами;
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей;
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
Орган криптографической защиты (ОКЗ) - структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
Ответственный за организацию работ по криптографической защите информации (Ответственный) - сотрудник Организации, отвечающий за реализацию мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
Пользователи СКЗИ - работники Организации, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Порядок получения допуска пользователей к работе с СКЗИ
Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.
Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Организации.
Контроль над реализацией данных мероприятий возлагается на Ответственного.
4. Работа с СКЗИ
Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено. В организации должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.
Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть промаркированы и должны использоваться, учитываться и храниться в общем порядке. Все копии учитываются за отдельным номером.
Каждый ключевой документ должен быть зарегистрировать в Журнале поэкземплярного учета СКЗИ.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только с разрешения руководителя организации с соответствующей пометкой в журнале поэкземплярного учета.
При обнаружении на рабочей станции с установленным СКЗИ программного обеспечения, не соответствующего объему и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.
5. Действия в случае компрометации ключей
О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.
К компрометации ключей относятся следующие события:
1) утрата носителей ключа;
2) утрата иных носителей ключа с последующим обнаружением;
3) возникновение подозрений на утечку ключевой информации или ее искажение;
4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура, опечатывания сейфов;
5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
7) доступ посторонних лиц к ключевой информации;
8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.
В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.
Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.
6. Ответственность лиц, допущенных к работе с СКЗИ
За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.