УТВЕРЖДАЮ ВрИД начальника Центра специальной связи и информации ФСО России в Архангельской области М.Л. Мошин "____" июля 2014 г. ПАМЯТКА пользователям об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации с использованием средств криптографической защиты информации Настоящая памятка разработана на основании Федерального закона "Об информации, информационных технологиях и защите информации" от 27 июля 2006 г. №149-ФЗ, "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденной приказом ФАПСИ при Президенте Российской Федерации от 13 июня 2001 г. №1521 (далее – Инструкция) и нормативных правовых актов ФСО России. 1. В настоящей памятке используются следующие основные понятия: "конфиденциальная информация" – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну; "средства криптографической защиты информации (СКЗИ)" – специально разработанные шифровальные (криптографические) средства для обеспечения безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации; "ключевая информация" – специальным образом организованная совокупность ключей, предназначенная для осуществления криптографической защиты информации в течении определенного срока; "ключевой носитель" – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (например, дискета, компакт-диск, флеш-накопитель и т.п.); "ключевой документ" – ключевой носитель, содержащий ключевую информацию, а при необходимости – контрольную, служебную и технологическую информацию (например, файл с расширением "dst"); Несмотря на реорганизацию ФАПСИ, данная инструкция действует в настоящее время на территории Российской Федерации и определяет единый порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. 1 1 "криптографический ключ", "криптоключ" – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе; "компрометация криптоключей" – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам; "организация (потребитель услуг конфиденциальной связи)" – орган государственной власти Российской Федерации, орган государственной власти субъекта РФ, объединение, организация, учреждение или предприятие независимо от их организационно-правовой формы и формы собственности, которым в установленном порядке предоставляются услуги конфиденциальной связи или услуги защиты конфиденциальной информации; "орган криптозащиты" – подразделение, осуществляющее разработку и проведение мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации (Центр специальной связи и информации Федеральной службы охраны Российской Федерации в Архангельской области); "пользователи" – это физические лица, непосредственно работающие с СКЗИ, либо их полномочные представители. 2. Для организации и обеспечения безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации следует использовать СКЗИ, позволяющие реализовать принцип абонентского шифрования и предусматривающие запись криптоключей на электронные ключевые носители многократного (долговременного) использования (дискеты, компакт-диски, флеш-накопители и т.п.). Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий, органы криптозащиты организуют и обеспечивают либо по указанию вышестоящей организации, либо на основании договоров на оказание услуг по криптографической защите конфиденциальной информации (соглашений по взаимодействию). Орган криптозащиты может осуществлять проверку готовности организаций (потребителей услуг конфиденциальной связи). Организации (потребители услуг конфиденциальной связи) составляют заключение о готовности к эксплуатации СКЗИ (актов готовности). Организации (потребители услуг конфиденциальной связи) обязаны выполнять указания соответствующих органов криптозащиты по всем вопросам организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации. 3. Физические лица допускаются к работе с СКЗИ согласно перечню (списку) пользователей, утверждаемому руководителем организации (потребителя услуг конфиденциальной связи). 2 4. Непосредственно к работе с СКЗИ пользователи допускаются только после ознакомления с правилами работы с СКЗИ и (или) данной Памяткой. 5. Пользователи обязаны: - не разглашать конфиденциальную информацию, к которой они допущены, рубежи (требования) ее защиты, в том числе сведения о СКЗИ, ключевых документах и криптоключах; - соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ; - сообщать в орган криптозащиты (тел.: (8182)41-15-51, (8182)41-15-55) о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним; - сдать в орган криптозащиты либо с санкции органа криптозащиты другим пользователям СКЗИ, документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ; - немедленно уведомлять орган криптозащиты о фактах утраты или недостачи СКЗИ, ключевых документов (ключевых носителей) к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению конфиденциальной информации, а также о причинах и условиях возможной утечки таких сведений. 6. В федеральных органах исполнительной власти ключевые документы, СКЗИ с введенными криптоключами относятся к материальным носителям, содержащим служебную информацию ограниченного распространения. При этом должны выполняться требования Инструкции и иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти2. Иным организациям при обращении с ключевыми документами, СКЗИ с введенными криптоключами необходимо руководствоваться Инструкцией. 7. Используемые или хранимые СКЗИ, документация к ним, ключевые документы подлежат поэкземплярному учету по установленным формам. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно. В организациях (потребителях услуг конфиденциальной связи) должны вестись журналы учета СКЗИ, документации к ним, ключевых документов. 8. СКЗИ и документация к ним, ключевые документы выдаются пользователям, несущим персональную ответственность за их сохранность, под роспись в журнале учета либо по акту приема-передачи. "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии", утвержденное Постановлением Правительства Российской Федерации от 3 ноября 1994 г. №1233. 3 2 Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и (или) сотрудниками органа криптозащиты под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями СКЗИ должна быть санкционирована соответствующим органом криптозащиты. Организация (потребитель услуг конфиденциальной связи) с согласия органа криптозащиты может разрешить передачу СКЗИ, документации к ним, ключевых документов между допущенными к СКЗИ лицами по актам без обязательной отметки в журнале поэкземплярного учета. 9. Пользователи хранят инсталлирующие СКЗИ носители, документацию к СКЗИ, ключевые документы в надежно запираемых шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним либо их непреднамеренное уничтожение. Пользователи СКЗИ предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей. 10. Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ по возможности должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы и т.п.). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища. 11. СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптозащиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки. Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями. 12. Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в орган криптозащиты или по его указанию должны быть уничтожены на месте путем стирания криптоключей с ключевого носителя (например, удаления файлов с расширением "dst"). Ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется актом уничтожения ключевой документации. После уничтожения пользователи СКЗИ должны уведомить об этом соответствующий орган криптозащиты и передать один экземпляр акта об уничтожении. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптозащиты письменные отчеты об уничтоженных ключевых документах. 4 13. Размещение, специальное оборудование, охрана и организация обеспечения безопасности помещений, в которых установлены СКЗИ или хранятся ключевые документы к ним (далее – помещения), должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов. Помещения пользователей должны иметь прочные входные двери с замками, гарантирующими надежное закрытие этих помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, либо другими средствами, препятствующими неконтролируемому проникновению в помещения. 14. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, должны свести к минимуму возможность неконтролируемого доступа к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. На время отсутствия пользователей СКЗИ и функционирующее с этими средствами оборудование, при наличии технической возможности, должны быть выключены, отключены от линии связи и убраны в опечатываемые хранилища. В ином случае пользователи по согласованию с органом криптозащиты обязаны предусмотреть меры, исключающие возможность использования СКЗИ посторонними лицами в их отсутствие. 15. Режим охраны помещений пользователей, в том числе порядок допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает руководитель организации (потребителя услуг конфиденциальной связи) по согласованию с соответствующим органом криптозащиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать специфику и условия работы конкретных пользователей. 16. В помещениях пользователей для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей. При утрате ключа от хранилища или от входной двери в помещение пользователя замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от 5 которого утрачен ключ, до изменения секрета замка устанавливает орган криптозащиты. В обычных условиях опечатанные хранилища пользователей СКЗИ могут быть вскрыты только самими пользователями. 17. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено руководству организации (потребителя услуг конфиденциальной связи) и руководителю органа криптозащиты (тел.: (8182)41-15-51). Прибывшие сотрудники органа криптозащиты должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей. В случаях недостачи (неопределенности местонахождения) СКЗИ, ключевых документов или документации к СКЗИ принимаются срочные меры к их розыску. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, передававшейся (хранящейся) с использованием СКЗИ, организуются и осуществляются организацией (потребителем услуг конфиденциальной связи) совместно с органом криптозащиты. 18. Контроль за обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации осуществляет орган криптозащиты. Сроки и периодичность такого контроля определяет орган криптозащиты. Если в использовании СКЗИ обнаружены недостатки, то организация (потребитель услуг конфиденциальной связи) обязана принять безотлагательные меры к устранению вскрытых проверкой недостатков и выполнению рекомендаций, изложенных в акте проверки. Сообщения о принятых мерах должны быть представлены в установленные проверяющими сроки. При необходимости может быть составлен план мероприятий, где предусматривается решение соответствующих вопросов. Если в использовании СКЗИ выявлены нарушения, из-за чего становится возможной утечка конфиденциальной информации, безопасность которой обеспечивается с использованием СКЗИ, то орган криптозащиты, выявивший указанные нарушения, вправе дать указание о прекращении использования СКЗИ до устранения причин выявленных нарушений. Сотрудник Центра специальной связи и информации ФСО России в Архангельской области М.Е. Шабанов "____" июля 2014 г. 6