( каталог )
( наша философия )
( Ozon )
( контакты )
( как пользоваться )
0
( Золотое Яблоко )
( wildberries )
Процедура безопасной передачи данных
Процедура безопасной передачи по каналам связи конфиденциальной информации

1. Общие положения

Настоящая процедура (далее – Процедура) определяет порядок организации и обеспечения безопасности в ООО «ВЕЙ БЬЮТИ» (далее – Общество или оператор) передачи по каналам связи с использованием сертифицированных средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

Процедура разработана для практического применения пользователями средств криптографической защиты информации (далее – СКЗИ) Общества, Приказа ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

В Обществе определяются работники, ответственные за обеспечение безопасности информации и эксплуатацию СКЗИ.

2. Термины и определения
·              Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
·              Пользователи СКЗИ – работники Общества, непосредственно допущенные к работе с СКЗИ.
·              Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.
·              Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
·              Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
·              Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости контрольную, служебную и технологическую информацию.
·              Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
·              Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
·              Компрометация криптоключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

3. Порядок обращения с конфиденциальной информацией
При работе с конфиденциальной информацией работники Общества, допущенные к самостоятельной работе с СКЗИ, обязаны соблюдать следующие правила:
·       Информация, полученная работниками при регистрации пользователя, является конфиденциальной и не подлежит разглашению третьим лицам.
·       Конфиденциальная информация, полученная работниками, в результате выполнения должностных обязанностей в процессе работы с СКЗИ, должна сохраняться в тайне.
·       Содержание закрытых ключей СКЗИ и ключевых документов должно сохраняться в тайне.
·       Ключевые документы и инсталлирующие СКЗИ носители должны храниться в шкафах (ящиках, хранилищах) индивидуального пользования, учтённых в соответствующем журнале в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Не допускается:
·              разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;
·              вставлять ключевой документ в ПЭВМ при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка электронной подписи и т.д.), а также в другие ПЭВМ;
·              записывать на ключевой документ постороннюю информацию; вносить какие-либо изменения в программное обеспечение СКЗИ и ключевую информацию;
·              модифицировать содержимое ключевых документов;
·              использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации путем переформатирования;
·              снимать несанкционированные копии с ключевых документов; знакомить кого-либо с содержанием ключевых документов или передавать кому-либо ключевые документы.

4. Требования по размещению СКЗИ и режиму охраны
Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются спецпомещениями и должны обеспечивать конфиденциальность проводимых работ.

Размещение спецпомещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств.

Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

Входные двери спецпомещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время.

Размещение технических средств в спецпомещениях должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна.

Системные блоки ПЭВМ с СКЗИ оборудуются средствами контроля вскрытия (опломбируются).

Ремонт и/или последующее использование системных блоков не в целях применения СКЗИ осуществляется после удаления с них программного обеспечения СКЗИ.

5. Требования по обеспечению безопасности СКЗИ и ключевой информации
Ключевые документы, инсталляционные носители с программным обеспечением СКЗИ, формуляры к ним берутся на поэкземплярный учет в выделенных для этих целей журналах.

Учет и хранение ключевых документов, инсталляционных носителей с программным обеспечением СКЗИ, формуляров к ним поручается специально выделенным работникам.

Для хранения ключевых документов выделяется сейф или иное хранилище, обеспечивающее их сохранность.

Хранение ключевых документов, инсталляционных носителей с программным обеспечением СКЗИ, формуляров к ним допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.

Рабочие (актуальные) и резервные ключевые документы хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.

6. Порядок допуска к самостоятельной работе с СКЗИ
К самостоятельной работе с СКЗИ допускаются лица, принятые на работу в Общество, на основании заключенных с ними трудовых договоров и назначенные на должности, выполнение обязанностей по которым связано с изготовлением, хранением и использованием СКЗИ.

Работники допускаются к самостоятельной работе со СКЗИ после их специальной подготовки, и подписания обязательства пользователя СКЗИ.

Программа подготовки к самостоятельной работе со СКЗИ содержит:
·              ознакомление с нормами действующего законодательства Российской Федерации, регулирующими отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации, защите информации, прав субъектов, участвующих в информационных процессах и информатизации, правила применения и использования электронной подписи в электронных документах, а также информацию об ответственности за нарушение указанных норм;
·              ознакомление с нормативными актами, определяющими порядок разработки, производства, реализации, использования СКЗИ, регламентирующими
·              вопросы взаимодействия участников и информационного обмена с использованием СКЗИ;
·              изучение должностных инструкций, положений, других локальных нормативных актов Общества по вопросам производственной деятельности, связанной с хранением и использованием СКЗИ;
·              изучение эксплуатационно-технической документации на СКЗИ;
·              приобретение практических навыков выполнения работ, предусмотренных обязанностями по занимаемой должности.