Приложение к Приказу от 06.11.2015 г № 120-МПР
Инструкция по обращению с сертифицированными средствами криптографической защиты информации в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в Министерстве здравоохранения Иркутской области
Глава 1.Общие положения
1.Настоящая Инструкция содержит описание порядка обращения с сертифицированными средствами криптографической защиты информации (далее - СКЗИ) Федеральной службы безопасности России (далее - ФСБ), рекомендации по размещению и хранению технических средств, на которые установлены СКЗИ, по проверке целостности установленного программного обеспечения (далее - ПО) СКЗИ, по использованию СКЗИ в различных информационных системах.
2.СКЗИ эксплуатируются в соответствии с правилами пользования ими, указанными в эксплуатационно-технической документации. Изменения условий эксплуатации СКЗИ, указанных в правилах пользования ими, допускаются исключительно по согласованию с ФСБ России.
3.Настоящая Инструкция разработана в соответствии с документами:
а) Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное Приказом ФСБ России N 66 от 9 февраля 2005 года;
б) Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации N 152 от 13 июня 2001 года "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";
в) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года N 149/6/6-622.
Глава 2.Термины и сокращения
| Лицензиат | Организация, обладающая лицензиями ФСБ России на *** |
| НСД | Несанкционированный доступ |
| ОС | Операционная система |
| ПО | Программное обеспечение |
| ПЭВМ | Персональная электронная вычислительная машина |
| СКЗИ | Средство криптографической защиты информации |
| ТС | Технические средства |
| ФСБ | Федеральная служба безопасности России |
| ЭТД | Эксплуатационная и техническая документация |
Глава 3.Ответственные лица
4.В автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), эксплуатирующей сертифицированные СКЗИ, назначены и закреплены распоряжением следующие лица.
5.Ответственный за обеспечение безопасности информации (далее - Администратор СКЗИ), на которого возлагаются задачи организации работ по:
а) обеспечению корректного и безопасного функционирования СКЗИ;
б) обеспечению корректной и безопасной эксплуатации СКЗИ;
в) выработке соответствующих инструкций и ознакомлению с ними пользователей СКЗИ;
г) контролю работоспособности и соблюдению правил эксплуатации СКЗИ.
6.Пользователи СКЗИ Министерства, на которых возлагаются задачи по:
а) соблюдению правил корректной и безопасной эксплуатации СКЗИ;
б) обеспечению режима сохранности СКЗИ, ЭТД и ключевых документов, переданных им.
7.Администратор СКЗИ и Пользователи СКЗИ Министерства допускаются к работе с СКЗИ только после инструктажа и обучения правилам работы с СКЗИ.
8.Обучение Администратора СКЗИ Министерства правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты - Лицензиата. Документом, подтверждающим должную специальную подготовку Администратора СКЗИ Министерства и возможность его допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения.
9.Пользователей СКЗИ Министерства инструктирует и обучает Администратор СКЗИ Министерства.
10.Пользователи СКЗИ Министерства обязаны:
а) не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе сведения о криптоключах;
б) соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ;
в) сообщать в орган криптографической защиты о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
г) сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящей Инструкцией, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
д) немедленно уведомлять орган криптографической защиты о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
Глава 4.Размещение технических средств с скзи
11.Организация режима в помещениях, где располагаются ТС с СКЗИ и ведется работа с носителями с персональной ключевой информацией, описана в правилах пользования СКЗИ.
12.В общем случае в отношении помещений, где установлены ЭВМ, работающие с АИС, должен быть установлен режим, определяющий:
а) лицо, ответственное за помещение;
б) перечень лиц, допущенных к работе в помещении и обслуживанию помещения;
в) порядок доступа в помещение в рабочее и нерабочее время, в аварийных ситуациях (пожар, авария, стихийное бедствие и т.п.);
г) порядок нахождения в помещении посторонних лиц (при необходимости их нахождения).
13.Окна помещений должны быть защищены от НСД посторонних лиц (в случае, если окна на 1 этаже либо рядом с пожарными лестницами) металлическими решетками, а также от визуального просмотра ведущихся в помещениях работ (шторами или жалюзи).
14.Двери помещений должны быть оборудованы надежными замками, гарантирующими их надежное закрытие в нерабочее время.
15.Помещения должны быть оборудованы пожарной сигнализацией, для которых в (организации) установлен порядок периодической проверки их исправности.
16.Параметры сети электроснабжения помещений должны соответствовать требованиям инструкций по эксплуатации ТС и правилам техники безопасности.
17.Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать Администратору СКЗИ и Пользователям СКЗИ Министерства сохранность доверенных им СКЗИ, конфиденциальных документов и сведений, включая ключевую информацию, и свести к минимуму возможность неконтролируемого доступа к ним посторонних лиц.
18.Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища.
Глава 5.Хранение скзи, этд, ключевых документов,
ЭТАЛОННЫХ CD-ДИСКОВ
19.СКЗИ, ЭТД, ключевые документы, ключевые носители или аппаратные средства, к которым подключаются или в которые устанавливаются СКЗИ, эталонные CD-диски (диски, инсталлирующие программные СКЗИ), находящиеся у Администратора и Пользователей СКЗИ Министерства, должны храниться в месте, исключающем возможность НСД к ним (сейф, шкаф индивидуального пользования с замком и т.п.), с пометкой в Журнале учета хранилищ. За их сохранность Администратор и Пользователи СКЗИ Министерства несут персональную ответственность.
Глава 6.Установка скзи и программного обеспечения на пэвм
20.Установка и настройка общесистемного, прикладного ПО и дополнительных средств защиты на ПЭВМ с СКЗИ производится Лицензиатом в соответствии с правилами установки и настройки СКЗИ и ПО, изложенными в ЭТД.
21.К установке и настройке СКЗИ и ПО предъявляются следующие общие требования:
а) устанавливаемое ПО не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществить несанкционированный доступ к системным ресурсам;
б) устанавливаемое ПО должно быть лицензионным;
в) устанавливаемое ПО должно предусматривать организацию разрешительной системы доступа, при которой Администратор и Пользователи имеют свои атрибуты (учетную запись) для входа в систему и доступа к ресурсам;
г) устанавливаемое ПО и СКЗИ, а также диски для их инсталляции должны подвергаться периодическому контролю целостности в соответствии с ЭТД;
д) устанавливаемое ПО должно устанавливаться совместно с антивирусным ПО, базы которого должны своевременно и регулярно обновляться;
е) устанавливаемое ПО не должно содержать возможностей, позволяющих модифицировать системные ресурсы (области памяти, программный код), передавать управление несанкционированным подпрограммам, повышать предоставленные привилегии, использовать не документированные разработчиками возможности ОС).
Глава 7.Конфигурирование системного и прикладного программного обеспечения на пэвм с скзи
22.К ОС, в среде которой планируется использовать СКЗИ, предъявляются следующие общие требования:
а) на ПЭВМ должна быть установлена только одна лицензионная ОС, удовлетворяющая системным требованиям СКЗИ (запрещается использовать нестандартные, измененные или отладочные версии ОС);
б) удаленное управление ОС должно быть запрещено или ограничено путем отключения всех служб, реализующих данные механизмы, или путем настроек, запрещающих фильтров для протоколов и портов удаленного управления ОС для всех узлов, кроме специально выделенных для этих целей;
в) каждый пользователь Министерства должен иметь для входа в ОС свою учетную запись, длина пароля которой должна быть не менее 6 символов (см. п. 8 Инструкции);
г) учетная запись для гостевого входа (Guest) должна быть отключена;
д) правом установки и настройки ОС и СКЗИ должен обладать только Администратор информационной безопасности Министерства;
е) все неиспользуемые ресурсы ОС должны быть отключены (протоколы, сервисы и т.п.);
ж) режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень;
з) всем пользователям и группам, зарегистрированным в ОС, права доступа к ресурсам должны быть назначены в объеме, необходимом для выполнения ими своих обязанностей;
и) доступ должен быть максимально ограничен к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
системный реестр;
файлы и каталоги;
временные файлы;
журналы системы;
файлы подкачки;
кэшируемая информация (пароли и т.п.);
отладочная информация;
к) регулярно должны устанавливаться пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), антивирусных баз;
л) периодически должны исследоваться информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС;
м) должна быть исключена возможность открытия и исполнения файлов и скриптовых объектов (например, JavaScript, VBScript, ActiveX), полученных из сети Internet, без проведения соответствующих проверок на предмет содержания в них программных закладок и сетевых вирусов (при подключении к сети Internet);
н) на ПЭВМ с СКЗИ должны использоваться дополнительные методы и средства защиты (например, установка межсетевых экранов, организация VPN сетей и т.п.) при подключению к сети Internet. При этом предпочтение должно отдаваться сертифицированным средствам защиты;
о) должна быть реализована система аудита событий безопасности ОС, проводиться регулярный анализ результатов аудита;
п) Администратор СКЗИ Министерства должен осуществлять периодический контроль выполнения указанных требований, а также требований, приведенных в ЭТД.
23.Не допускается:
а) обрабатывать на ПЭВМ, оснащенной СКЗИ, информацию, содержащую государственную тайну;
б) осуществлять несанкционированное изменение аппаратной и программной конфигурации ПЭВМ (в том числе несанкционированное вскрытие), СКЗИ, ПО.
Глава 8.Защита скзи от несанкционированного доступа
24.Защита СКЗИ от НСД включает в себя выполнение следующих мероприятий:
а) на административном уровне (предпринимаемые руководством министерства здравоохранения Иркутской области по обеспечению процессов ИБ (в частности, по вопросам применения СКЗИ) ресурсами, управлением и контролем со стороны руководства);
б) на организационном уровне (регламентация процессов охраны и режима допуска в отношении СКЗИ, ТС с СКЗИ, помещений, процессов обеспечения информационной безопасности (в частности, при эксплуатации СКЗИ) и контроля эффективности, процессов обеспечения и поддержания компетентности персонала при работе с СКЗИ, распределение обязанностей и ответственности);
в) на техническом уровне (обеспечение соблюдения правил эксплуатации и работоспособности СКЗИ).
Защита СКЗИ от НСД должна удовлетворять следующим общим требованиям:
а) должна обеспечиваться на всех технологических этапах и во всех режимах функционирования СКЗИ, в том числе при проведении ремонтных и регламентных работ;
б) должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль должен периодически выполняться Администратором СКЗИ на основе требований документации на средства защиты от НСД;
в) должна исключать возможность несанкционированного необнаруживаемого доступа к СКЗИ, ТС с СКЗИ, инсталлирующих и ключевых носителей изменения аппаратной части ТС с СКЗИ (путем опечатывания (опломбирования) системного блока и разъемов ПЭВМ, опечатывания замочных скважин мест сейфов, шкафов, ящиков для хранения).
25.Перечень сотрудников, допущенных к работе в помещениях, на ТС с СКЗИ и непосредственно СКЗИ, закреплен распоряжением руководства организации. Все они должны иметь соответствующий уровень компетентности и допускаться к работе только после инструктажа по обеспечению информационной безопасности с использованием СКЗИ и обучения эксплуатации СКЗИ.
26.Для регламентации входа в ОС, BIOS, при осуществлении шифрования на пароле и т.д. Администратор СКЗИ Министерства основывается на Инструкции по организации парольной защиты в АИС.
27.Администратор СКЗИ, а также Пользователи СКЗИ Министерства несут персональную ответственность за обеспечение режима конфиденциальности в отношении паролей доступа. Запрещается записывать пароли на материальные носители и хранить их в легкодоступных местах, в том числе на мониторе, рабочем столе или ящиках стола.
28.Периодичность смены пароля не должна превышать 1 год. Пароль должен быть изменен раньше плановой замены в случае его компрометации. Ответственность за своевременную смену пароля несет Администратор СКЗИ Министерства.
29.Указанная политика обязательна для всех учетных записей, зарегистрированных в ОС. Средствами BIOS должна быть исключена возможность работы на ПЭВМ СКЗИ, если во время ее начальной загрузки не проходят встроенные тесты.
Глава 9.Криптографическая защита
30.Порядок хранения и использования носителей ключевой информации с ключами электронной подписи должен исключать возможность несанкционированного доступа к ним.
31.Пользователи и Администратор СКЗИ Министерства, имеющие доступ к носителям ключевой информации, несут персональную ответственность за безопасность ключевой информации на них и обязаны обеспечивать ее сохранность, неразглашение и нераспространение.
32.Во время работы с носителями ключевой информации доступ к ним посторонних лиц должен быть исключен.
33.При хранении ключевой информации СКЗИ в реестре Windows и на HDD ПЭВМ требования по хранению ключевых носителей распространяются на ПЭВМ.
34.В случае невозможности отчуждения ключевого носителя с ключевой информацией от ПЭВМ организационно-техническими мероприятиями должен быть исключен доступ нарушителей к ПЭВМ с ключами.
35.При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту.
36.Ключи должны обновляться с периодичностью, указанной в Правилах работы с СКЗИ.
37.Ключи на ключевых носителях (включая Touch Memory и смарт-карты), срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации.
38.Запрещается:
а) осуществлять несанкционированное копирование ключевых носителей;
б) разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным;
в) вставлять ключевой носитель в считывающее устройство в режимах, не предусмотренных штатным режимом использования ключевого носителя;
г) оставлять без контроля ТС, на которых эксплуатируется СКЗИ, после ввода ключевой информации;
д) использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.
39.Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в орган криптографической защиты или по его указанию должны быть уничтожены на месте.
40.Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
Глава 10.Учет скзи
41.Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленным формам в соответствии с требованиями Положения ПКЗ-2005.
42.Администратор информационной безопасности Министерства ведет учет поставки, установки и обслуживания в отношении следующих материалов:
а) СКЗИ (СКЗИ);
б) ЭТД (Э);
в) ключевые документы - физические носители определенной структуры, содержащие ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию (КД);
г) ключевые носители или аппаратные средства, к которым подключаются или в которые устанавливаются СКЗИ (А);
д) эталонные CD-диски (Д).
43.Учет ведется в Журнале поэкземплярного учета средств криптографической защиты информации (СКЗИ), эксплуатационной и технической документации к ним, ключевых документов.
44.Данный журнал должен храниться в месте, исключающем возможность несанкционированного доступа к нему (сейф, личный шкаф с замком и т.п.).
45.За ведение и хранение Журнала отвечает Администратор информационной безопасности Министерства.
Глава 11.Контроль соблюдения условий эксплуатации и работоспособности скзи
46.Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:
а) обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;
б) собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;
в) ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК