Носители ключевой информации


InsKeyDisk-5b


Инструкция по работе с носителями ключевой информации.


1. Общие положения

1.1 Настоящая инструкция устанавливает порядок работы с носителями ключевой информации (НКИ) в информационно-вычислительной сети (ИВС) организации.

1.2 Целью данной инструкции является реализация политики защиты от несанкционированного доступа (НСД) к информации конфиденциального характера, циркулирующей как внутри организации, так и между организации и другими юридическими и физическими лицами (далее — «абонент»), защиты от её разглашения, утечки, внесения несанкционированных изменений, отказа от авторства.

1.3 В ИВС организации в случае необходимости обеспечения целостности и конфиденциальности передаваемых по технологическим цепочкам электронных документов (ЭД), а также для подтверждения их подлинности и авторства, используются средства электронной цифровой подписи (ЭЦП) и средства криптографической защиты информации (СКЗИ).

1.4 Применение упомянутых средств подразумевает использование ключевой информации (КИ): ключей ЭЦП, ключей шифрования, а также, в некоторых случаях, персональных идентификаторов аппаратного обеспечения внешней защиты персональных электронно-вычислительных машин (ПЭВМ) от несанкционированного доступа (НСД), на которых функционируют такие средства.

1.5 Носитель ключевой информации (НКИ) может быть реализован в виде гибкого магнитного диска, CD-R диска, устройств Touch Memory, SmartCard, eToken, ruTokenи т.п.

1.6 Каждый сотрудник организации, в функциональные обязанности которого входит применение СКЗИ, (далее в документе такой сотрудник именуется «Исполнитель») получает персональный НКИ.

1.7 Персональный НКИ содержит уникальную секретную ключевую информацию, относящуюся к категории сведений ограниченного распространения.

1.8 Положения настоящей инструкции распространяются на всех Исполнителей организации.

1.9 Контроль выполнения требований данной инструкции возлагается на Администратора информационной безопасности (АИБ).

1.10 Нарушения настоящей инструкции могут привести к нарушению хода производственных и технологических процессов организации, материальному и моральному ущербу организации.

2. Общий порядок работы с носителями ключевой информации

2.1 Вопросы изготовления КИ, записи их на НКИ, учёта и уничтожения НКИ лежат в ведении ответственных лиц, которые назначаются приказом директора организации. Изготовителем КИ, в зависимости от типа КИ, может являться Управление автоматизации (УА) или уполномоченная на это структура абонента, в случае использования асимметричных алгоритмов шифрования.

2.2 В случае выполнения договорных обязательств по использованию ЭЦП со сторонними организациями, являющимися организаторами системы документооборота, для изготовления (перерегистрации, уничтожения) необходимо пользоваться документами, которые должна предоставить сторонняя организация.

2.3 Исполнителям запрещается снимать несанкционированные копии КИ, выводить содержимое ключевой информации на экран монитора, распечатывать на принтере. Запрещается передавать НКИ сотруднику или другому лицу, в обязанности которого не входить применение СКЗИ.

2.4 НКИ необходимо хранить в сейфе, доступ к которому строго ограничен знанием кода замка или наличием ключа. Исполнитель обязан по окончании работ с НКИ извлечь его из ПЭВМ и убрать на хранение в сейф.

2.5 Владельцу НКИ в случае выхода из строя, истечения срока действия, и руководителю соответствующего подразделения в случае прекращения полномочий сотрудника, смены владельца ЭЦП необходимо обязательно поставить в известность ответственного сотрудника УА. Ответственный сотрудник УА, обязан уведомить по электронной почте АИБ в тот же день.

2.6 Вывод НКИ из обращения или уничтожение НКИ осуществляет ответственный сотрудник УА, при необходимости руководствуясь инструкциями или документами, которые предоставляет сторонняя организация при выполнении договорных обязательств.

2.7 Владелец НКИ вправе передать НКИ только при наличии приказа директора организации (временно или постоянно) в следующих случаях:

  • болезни;
  • отпуска;
  • отсутствие возможности получения равноправного НКИ (ограничения системы или др.);
  • НКИ оформлено на первых лиц организации.

3. Осуществление контроля

3.1 Контроль исполнения изложенного комплекса мер осуществляется АИБ. О нарушениях, обнаруженных в ходе проверок АИБ, составляется акт. Руководитель подразделения, допустившего нарушение, в течении 3 (трех) рабочих дней, обязан уведомить директора организации.

3.2 Учет и передача НКИ осуществляется ответственным сотрудником, по каждой информационной системе, путём внесения соответствующих записей в журнал (Приложение 1).

4. Ответственность

4.1 Сотрудник, несет ответственность за:

  • утрату НКИ;
  • умышленную порчу НКИ;
  • передачу НКИ другому лицу, без ведома АИБ;
  • снятие несанкционированных копий КИ.

4.2 Сотрудник организации, нарушивший несет ответственность в соответствии с законодательством Российской Федерации.

5. Заключительные положения

5.1 Общий текущий контроль исполнения настоящей инструкции осуществляет АИБ.

5.2 АИБ поддерживает настоящую инструкцию в актуальном состоянии.

5.3 Изменения и дополнения в настоящую инструкцию утверждаются директором организации.

5.4 Инструкция вступает в силу с момента утверждения директором организации.


Скачать - кнопка

Скачать ZIP файл (21118)


Пригодились документы — поставь «лайк» или поддержи сайт материально:

2+

Добавить комментарий

Свернуть меню