Процедура безопасной передачи по каналам связи конфиденциальной информации1. Общие положенияНастоящая процедура (далее – Процедура) определяет порядок организации и обеспечения безопасности в ООО «ВЕЙ БЬЮТИ» (далее – Общество или оператор) передачи по каналам связи с использованием сертифицированных средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих
государственную тайну.
Процедура разработана для практического применения пользователями средств криптографической защиты информации (далее – СКЗИ) Общества, Приказа ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
В Обществе определяются работники, ответственные за обеспечение безопасности информации и эксплуатацию СКЗИ.
2. Термины и определения· Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
· Пользователи СКЗИ – работники Общества, непосредственно допущенные к работе с СКЗИ.
· Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.
· Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
· Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
· Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости контрольную, служебную и технологическую информацию.
· Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
· Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
· Компрометация криптоключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
3. Порядок обращения с конфиденциальной информациейПри работе с конфиденциальной информацией работники Общества, допущенные к самостоятельной работе с СКЗИ, обязаны соблюдать следующие правила:
· Информация, полученная работниками при регистрации пользователя, является конфиденциальной и не подлежит разглашению третьим лицам.
· Конфиденциальная информация, полученная работниками, в результате выполнения должностных обязанностей в процессе работы с СКЗИ, должна сохраняться в тайне.
· Содержание закрытых ключей СКЗИ и ключевых документов должно сохраняться в тайне.
· Ключевые документы и инсталлирующие СКЗИ носители должны храниться в шкафах (ящиках, хранилищах) индивидуального пользования, учтённых в соответствующем журнале в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Не допускается:
· разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;
· вставлять ключевой документ в ПЭВМ при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка электронной подписи и т.д.), а также в другие ПЭВМ;
· записывать на ключевой документ постороннюю информацию; вносить какие-либо изменения в программное обеспечение СКЗИ и ключевую информацию;
· модифицировать содержимое ключевых документов;
· использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации путем переформатирования;
· снимать несанкционированные копии с ключевых документов; знакомить кого-либо с содержанием ключевых документов или передавать кому-либо ключевые документы.
4. Требования по размещению СКЗИ и режиму охраныПомещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются спецпомещениями и должны обеспечивать конфиденциальность проводимых работ.
Размещение спецпомещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств.
Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.
Входные двери спецпомещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время.
Размещение технических средств в спецпомещениях должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна.
Системные блоки ПЭВМ с СКЗИ оборудуются средствами контроля вскрытия (опломбируются).
Ремонт и/или последующее использование системных блоков не в целях применения СКЗИ осуществляется после удаления с них программного обеспечения СКЗИ.
5. Требования по обеспечению безопасности СКЗИ и ключевой информацииКлючевые документы, инсталляционные носители с программным обеспечением СКЗИ, формуляры к ним берутся на поэкземплярный учет в выделенных для этих целей журналах.
Учет и хранение ключевых документов, инсталляционных носителей с программным обеспечением СКЗИ, формуляров к ним поручается специально выделенным работникам.
Для хранения ключевых документов выделяется сейф или иное хранилище, обеспечивающее их сохранность.
Хранение ключевых документов, инсталляционных носителей с программным обеспечением СКЗИ, формуляров к ним допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.
Рабочие (актуальные) и резервные ключевые документы хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.
6. Порядок допуска к самостоятельной работе с СКЗИК самостоятельной работе с СКЗИ допускаются лица, принятые на работу в Общество, на основании заключенных с ними трудовых договоров и назначенные на должности, выполнение обязанностей по которым связано с изготовлением, хранением и использованием СКЗИ.
Работники допускаются к самостоятельной работе со СКЗИ после их специальной подготовки, и подписания обязательства пользователя СКЗИ.
Программа подготовки к самостоятельной работе со СКЗИ содержит:
· ознакомление с нормами действующего законодательства Российской Федерации, регулирующими отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации, защите информации, прав субъектов, участвующих в информационных процессах и информатизации, правила применения и использования электронной подписи в электронных документах, а также информацию об ответственности за нарушение указанных норм;
· ознакомление с нормативными актами, определяющими порядок разработки, производства, реализации, использования СКЗИ, регламентирующими
· вопросы взаимодействия участников и информационного обмена с использованием СКЗИ;
· изучение должностных инструкций, положений, других локальных нормативных актов Общества по вопросам производственной деятельности, связанной с хранением и использованием СКЗИ;
· изучение эксплуатационно-технической документации на СКЗИ;
· приобретение практических навыков выполнения работ, предусмотренных обязанностями по занимаемой должности.