ФЕДЕРАЛЬНАЯ МИГРАЦИОННАЯ СЛУЖБА

 

УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБЫ

ПО ОРЕНБУРГСКОЙ ОБЛАСТИ

(УФМС России по Оренбургской области)

тел. 34-22-06; тел./факс 77-05-58;

e-mail:oren-fms@yandex.ru

 

 

ПРИКАЗ

 

21 февраля 2014 г.                                                                                                № 32

 

Оренбург

 

Об утверждении Инструкции по работе со средствами криптографической защиты информации, предназначенными для защиты персональных данных в информационных системах персональных данных УФМС России по Оренбургской области

 

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных» с целью недопущения, либо значительного затруднения неправомерных технических, программных и иных воздействий в процессе обработки персональных данных на объектах информатизации УФМС России по Оренбургской области (далее Управление)

 

п р и к а з ы в а ю:

 

1.Утвердить Инструкцию по работе со средствами криптографической защиты информации, предназначенными для защиты персональных данных в информационных системах персональных данных УФМС России по Оренбургской области (Приложение).

2. Начальникам отделов, отделений, территориальных пунктов Управления:

2.1. Довести требования указанной инструкции до личного состава под роспись и организовать ее исполнение.

2.2. Ведомость ознакомления с вышеуказанной инструкцией направить  в отдел информационного обеспечения Управления в срок до 15 марта 2014 года.

3. Контроль за исполнением настоящего приказа возложить на начальника отдела информационного обеспечения Управления подполковника внутренней службы Рыбалко А.П.

 

 

Начальник Управления                                                                                К.Д. Духанин

 

 

 

 

 

 

 

 

Приложение

к приказу УФМС России

по Оренбургской области

от 21.02.2014 г. № 32

 

 

 

ИНСТРУКЦИЯ

по работе со средствами криптографической защиты информации, предназначенными для защиты персональных данных в информационных системах персональных данных УФМС России по Оренбургской области

 

1.                 ОБЩИЕ ПОЛОЖЕНИЯ

 

Настоящая Инструкция разработана в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных», Типовыми Требованиями ФСБ России от 21.02.2008 г. № 149/6/6-622 по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, приказом ФАПСИ от 13 июня 2001 года № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» и определяет порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных УФМС России по Оренбургской области (далее Управление).

 

2.                 ОРГАНИЗАЦИЯ РАБОТЫ С КРИПТОГРАФИЧЕСКИМИ СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ

 

Криптографические средства должны быть установлены и введены в эксплуатацию в соответствии с эксплуатационной и технической документацией к этим средствам.

Перед непосредственной эксплуатацией криптосредства проходят проверку готовности с составлением заключений о возможности их эксплуатации.

Список лиц (пользователей), допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе утверждается приказом начальника Управления.

Пользователи криптосредств обязаны:

·                    не разглашать информацию, к которой они допущены, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты;

·                    соблюдать требования к обеспечению безопасности персональных данных, требования к обеспечению безопасности криптосредств и ключевых документов к ним;

·                    сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним;

·                    немедленно уведомлять оператора о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.

·                    надежно хранить эксплуатационную и техническую документацию к криптосредствам, ключевые документы, носители информации ограниченного распространения;

·                    сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящей инструкцией, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.

 

Обеспечение функционирования и безопасности криптосредств возлагается на сотрудников отдела информационного обеспечения Управления, назначаемых приказом начальника Управления (далее – ответственные пользователи криптосредств).

Сотрудники Управления, назначенные пользователями  (ответственными пользователями) криптосредств, должны быть ознакомлены с настоящей Инструкцией и другими документами, регламентирующими организацию и обеспечение безопасности персональных данных при их обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.

 

Передача по техническим средствам связи служебных сообщений ограниченного доступа, касающихся организации и обеспечения функционирования криптосредств, осуществляется только с использованием криптосредств. Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами.

 

Используемые или хранимые криптосредства, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по форме, утвержденной приказом ФАПСИ от 13 июня 2001 года № 152.

Все полученные экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям криптосредств, несущим персональную ответственность за их сохранность.

Передача криптосредств, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями криптосредств должна быть санкционирована ответственным пользователем криптосредств.

Пользователи криптосредств хранят инсталлирующие криптосредства носители, эксплуатационную и техническую документацию к криптосредствам, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Пользователи криптосредств предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.

Аппаратные средства  с которыми осуществляется штатное функционирование криптосредств, а также аппаратные и аппаратно-программные криптосредства (ViPNet Coordinator, ПАК «Атликс-VPN», криптосервер и др.) должны быть опечатаны защитными голографическими знаками. Место опечатывания криптосредств, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей криптосредств указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.

Заявки на изготовление очередных ключевых документов, их изготовление и рассылку на места использования для своевременной замены действующих ключевых документов следует направлять в отдел информационного обеспечения Управления не позднее чем за 3 месяца до окончания срока действия.

Неиспользованные, вышедшие из строя или выведенные из действия ключевые документы подлежат возвращению в отделение технической защиты информации отдела информационного обеспечения Управления.

 

3.                 РАЗМЕЩЕНИЕ, СПЕЦИАЛЬНОЕ ОБОРУДОВАНИЕ, ОХРАНА И ОРГАНИЗАЦИЯ РЕЖИМА В ПОМЕЩЕНИЯХ, ГДЕ УСТАНОВЛЕНЫ КРИПТОСРЕДСТВА ИЛИ ХРАНЯТСЯ КЛЮЧЕВЫЕ ДОКУМЕНТЫ К НИМ

 

Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним (далее - режимные помещения), должны обеспечивать сохранность персональных данных, криптосредств и ключевых документов к ним.

Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

Для предотвращения просмотра извне режимных помещений их окна должны быть защищены.

Режимные помещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания.

Хранение конфиденциальных документов, носителей ключевой информации, нормативной и эксплуатационной документации разрешается только в металлических шкафах (хранилищах, сейфах). При вынужденных перерывах в работе электронные подписи и другие конфиденциальные документы должны быть помещены в сейф, а сейф опечатан личной печатью либо печатью начальника подразделения. Дубликаты ключей от хранилищ хранятся в сейфе начальника подразделения.

Допускается хранение ключевых носителей в одном хранилище с другими документами в условиях, исключающих их непреднамеренное уничтожение или иное не предусмотренное правилами пользования средствами криптографической защиты информации применение.

В случае отсутствия у Пользователя индивидуального хранилища, ключевые документы по окончании рабочего дня должны сдаваться начальнику подразделения.

          По окончании рабочего дня режимное помещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от режимных помещений и хранилищ должны быть сданы под расписку в соответствующем журнале уполномоченному сотруднику, который хранит эти ключи в личном или специально выделенном хранилище.