Организация защиты информации с использованием средств криптографической защиты информации.
Выполнение инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну утвержденной приказом Федерального агентства Правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 № 152 (далее – Инструкция ФАПСИ).
№
п/п
|
Пункт в Инструкции ФАПСИ
|
Требование нормативного документа
|
Рекомендации по возможной реализации требования
|
|
п. 21
|
Обучение пользователей правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения.
|
Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией.
В случае если ПУ является органом криптографической защиты информации
|
|
п. 26
|
Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленным формам. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно– программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также совместно с соответствующими аппаратными средствами.
|
Наличие журнала учета
|
|
п. 27
|
Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность
|
Журнал учета должен быть заполнен
|
|
п. 30
|
Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Пользователи СКЗИ предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей
|
Запираемые (а желательно и опечатываемые) ящики, шкафы, сейфы
|
|
п. 51
|
Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним (далее – спецпомещения), должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов
|
Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения. В случае если ПУ является органом криптографической защиты информации
|
|
п. 62
|
Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в спецпомещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ
|
Реализация требования режимными мерами. В случае если ПУ является органом криптографической защиты информации
|
|
п. 63
|
Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты
|
Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ. В случае если ПУ является органом криптографической защиты информации
|
|
п. 64, п. 66
|
В спецпомещениях пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ
|
У каждого пользователя должен быть свой (индивидуальный) опечатываемый шкаф. В обычных условиях опечатанные хранилища пользователей СКЗИ могут быть вскрыты только самими пользователями. В случае если ПУ является органом криптографической защиты информации
|
Требования, предъявляемые к организациям, в которых вырабатываются ключи шифрования (подписи). В случае если ПУ является органом криптографической защиты информации
|
|
пп. 52– 59
|
Проверка выполнения требований к помещениям, в которых генерируются ключи шифрования (подписи)
|
Режим, двери, окна, порядок сдачи под охрану, наличие металлических хранилищ
|
|
п. 6
|
Назначение лица ответственного за криптографическую защиту информации (орган криптографической защиты информации)
|
Приказ
|
|
п. 13
|
Проверка соответствия подготовки специалиста, назначенного ответственным за криптографическую защиту информации требованиям по уровню подготовки.
|
Наличие сведений об обучении
|
Выполнение состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ России от 10.07.2014 г. № 378 (далее – приказ ФСБ № 378).
Приказ ФСБ № 378 предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах и определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах ПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
Применение организационных и технических мер, определенных в настоящем документе, обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах.
№
п/п
|
Пункты в приказе ФСБ № 378
|
Требование нормативного документа
|
Рекомендации по возможной реализации требования
|
Для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований
|
|
п. 5
|
Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
|
Необходимо обеспечение режима, которое достигается путем:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
в) утверждения перечня лиц, имеющих право доступа в Помещения.
|
|
п. 5
|
Обеспечение сохранности носителей персональных данных
|
Осуществление хранения съемных машинных носителей ПДн в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками.
Осуществление поэкземплярного учета машинных носителей ПДн, который достигается путем ведения журнала учета носителей ПДн с использованием регистрационных (заводских) номеров
|
|
п. 5
|
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
|
Необходимо разработать и утвердить документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
Поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
|
|
п. 5
|
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
|
Использование для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше
|
Для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований для предыдущего уровня защищенности необходимо выполнение следующих требований
|
|
п. 16
|
Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе
|
Назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе
|
|
п. 18
|
Использование СКЗИ класса КВ и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.
Использование СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа
|
Данная мера выполняется вместо данной в п. 4 таблицы
|
Для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований для предыдущего уровня защищенности необходимо выполнение следующих требований
|
|
п. 19
|
Необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей
|
а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;
б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;
в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;
г) обеспечение периодического контроля работоспособности указанных в подпунктах "б" и "в" настоящего пункта автоматизированных средств (не реже 1 раза в полгода)
|
|
п. 21
|
Использование СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;
Использование СКЗИ класса КВ и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
Использование СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа
|
Данная мера выполняется вместо указанной в п. 4 настоящей таблицы
|
Для обеспечения 1 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований для предыдущего уровня защищенности необходимо выполнение следующих требований
|
|
п. 22
|
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе
|
а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия, отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц)
|
|
п. 22
|
Создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функций на одно из существующих структурных подразделений
|
а) проведение анализа целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе;
б) создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функции на одно из существующих структурных подразделений
|
|
п. 25
|
Дополнительные требования по организации режима обеспечения безопасности помещений, в которых размещена информационная система
|
а) оборудование окон Помещений, расположенные на первых и (или) последних этажах зданий, а также окон Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудование окон и дверей Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
|
|
п. 25
|
Использование СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;
Использование СКЗИ класса КВ и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.
|
Данная мера выполняется вместо указанной в п. 4 таблицы
|
|
Скачать 149.79 Kb.