Основная информация
Дата опубликования: | 27 июля 2020г. |
Номер документа: | RU90005318202000074 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Москва |
Принявший орган: | Администрация Горнозаводского городского округа |
Раздел на сайте: | Нормативные правовые акты муниципальных образований |
Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
1
АДМИНИСТРАЦИЯ ГОРНОЗАВОДСКОГО ГОРОДСКОГО ОКРУГА ПЕРМСКОГО КРАЯ
ПОСТАНОВЛЕНИЕ
27.07.2020 №750
Об утверждении нормативно-правовых актов, используемых в архивном отделе аппарата администрации Горнозаводского городского округа Пермского края
В целях исполнения требований Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденного приказом ФСБ России от 10 июля 2014 г. № 378, руководствуясь статьями 23, 29 Устава Горнозаводского городского округа Пермского края
администрация Горнозаводского городского округа Пермского края ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые:
1.1. Руководство ответственного пользователя средств криптографической защиты информации (далее – СКЗИ);
1.2. Руководство пользователя СКЗИ;
1.3. Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно - технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья».
2. Обнародовать настоящее постановление в зданиях, расположенных по адресам: г. Горнозаводск, ул. Кирова, 65, г. Горнозаводск, ул. Свердлова, 59,
р.п. Теплая Гора, ул. Советская, 5, р.п. Промысла, ул. Комсомольская, 1,
р.п. Кусье-Александровский, ул. Ленина, 2, р.п. Пашия, ул. Ленина, 4, п. Вильва, ул. Пионерская, 6, р.п. Медведка, ул. Октябрьская, 18, п. Средняя Усьва,
ул. Советская, 12, р.п. Бисер, ул. Советская, 23, р.п. Старый Бисер, ул. Ермакова, 1, р.п. Сараны, ул. Кирова, 2, а также на официальном сайте администрации Горнозаводского городского округа Пермского края (www.gornozavodskii.ru).
3. Контроль за исполнением настоящего постановления возложить на управляющего делами администрации Горнозаводского городского округа Пермского края.
Глава городского округа –
глава администрации Горнозаводского
городского округа Пермского края А.Н. Афанасьев
Подлинный экземпляр документа находится в администрации Горнозаводского городского округа Пермского края в деле № 01-07 за 2020 год
УТВЕРЖДЕНО
постановлением администрации Горнозаводского городского округа Пермского края
от 27.07.2020 № 750
РУКОВОДСТВО
ответственного пользователя средств криптографической
защиты информации
I. Общие положения
1.1. Настоящее Руководство определяет обязанности ответственного пользователя средств криптографической защиты информации (далее – СКЗИ) по вопросам функционирования и безопасности СКЗИ.
1.2. Настоящее Руководство доводится до ответственных пользователей СКЗИ под подпись.
II. Функциональные обязанности
2.1. На ответственного пользователя СКЗИ возлагаются следующие функциональные обязанности:
2.1.1. Общие обязанности:
2.1.1.1. соблюдение режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых документах к ним;
2.1.1.2. надежное хранение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, носителей конфиденциальной информации;
2.1.1.3. контроль целостности аппаратных средств, с которыми осуществляется штатное функционирование СКЗИ, посредством проверки наличия следов вскрытия (нарушена целостность пломбы);
2.1.1.4. не допущение ввода одного номера лицензии на право использования СКЗИ более чем на одном рабочем месте;
2.1.1.5. организация плановой смены криптографических ключей не менее, чем за две недели до истечения срока действия ключевых документов;
2.1.1.6. принятие задокументированных решений о дальнейших действиях с неиспользованными или выведенными из строя ключевыми документами, ключевыми носителями;
2.1.1.7. санкционирование и контроль процесса надежного уничтожения ключевых документов, ключевых носителей в соответствии с эксплуатационной и технической документацией к СКЗИ. Если срок уничтожения не установлен эксплуатационной и технической документацией, то он должен составлять не более 10 суток после окончания срока действия. Факт уничтожения оформляется в журнале поэкземплярного учета, составляется акт об уничтожении криптографических ключей. Форма акта приведена в приложении 2 к настоящему Руководству;
2.1.1.8. выявление и устранение причин нештатного функционирования СКЗИ.
2.1.2. Обязанности по обучению пользователей СКЗИ:
2.1.2.1. проводить в случае необходимости инструктажи по работе с СКЗИ;
2.1.2.2. консультировать пользователей СКЗИ по основным правилам работы с СКЗИ;
2.1.2.3. периодически проводить контроль над знаниями сотрудников правил работы с СКЗИ. Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Форма заключения о сдаче зачетов, составленного на основании принятых от пользователей СКЗИ зачетов по программе обучения, приведена в Приложении 4 к настоящему Руководству;
2.1.2.4. обращаться к руководителю или уполномоченному лицу с требованием прекращения работы пользователя, непрошедшего проверку знаний по работе с СКЗИ;
2.1.2.5. контролировать действия пользователей СКЗИ;
2.1.2.6. требовать от пользователей СКЗИ соблюдения положений документа «Руководство пользователя средств криптографической защиты информации»;
2.1.2.7. обращаться к руководителю или уполномоченному лицу с требованием прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ.
2.1.3. Обязанности по ведению журналов:
2.1.3.1. надлежащим образом вести журнал поэкземплярного учета средств криптографической защиты информации и ключевых документов к ним, форма которого приведена в Приложении 1 к настоящему Руководству;
2.1.3.2. надлежащим образом вести журнал учета хранилищ и ключей от них, форма которого приведена в Приложении 3 к настоящему Руководству;
2.1.3.3. предоставлять (организовывать) санкционированный доступ пользователю к СКЗИ исключительно под расписку в журнале учета СКЗИ;
2.1.3.4. выдавать пользователям ключевые носители исключительно под расписку в журнале учета криптографических ключей. Вести на каждого пользователя лицевой счет в журнале учета криптографических ключей;
2.1.3.5. при необходимости, санкционировать между пользователями СКЗИ передачу СКЗИ, эксплуатационной и технической документации к нему, ключевых документов под расписку в журналах учета;
2.1.3.6. не допускать передачу СКЗИ, эксплуатационной и технической документации к нему, ключевых документов между неучтенными пользователями;
2.1.3.7. вести учет полученных лицензий на право использования СКЗИ в журнале учета СКЗИ;
2.1.3.8. принимать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
2.1.3.9. осуществлять ежегодную проверку журналов поэкземплярного учета, перечня пользователей СКЗИ и иных документов и сообщать руководителю о результатах проверки;
2.1.3.10. сообщать руководителю или уполномоченному лицу о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним.
2.1.4. Обязанности при компрометации криптоключей:
2.1.4.1. немедленно выводить из действия криптоключи, в отношении которых возникло подозрение в компрометации;
2.1.4.2. принимать меры по внесению скомпрометированных криптоключей в специальные списки, содержащие скомпрометированные ключи (списки отзыва сертификатов и т. п.);
2.1.4.3. принимать меры по прекращению пользователями обмена электронными документами с использованием скомпрометированных закрытых криптографических ключей;
2.1.4.4. использование СКЗИ может быть возобновлено только после ввода в действие другого криптографического ключа взамен скомпрометированного.
В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, по согласованию с руководителем допускается использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а информация ограниченного доступа, не относящаяся к государственной тайне, как можно менее ценной;
2.1.4.5. уничтожать скомпрометированные ключевые документы;
2.1.4.6. осуществлять контроль работы пользователей с СКЗИ, принимать меры по недопущению нарушений, которые могут привести к компрометации криптоключей;
2.1.4.7. немедленно уведомлять руководителя или уполномоченное лицо о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации.
III. Ответственность
3.1. Ответственный пользователь СКЗИ несет персональную ответственность за:
3.1.1. сохранение в тайне закрытых ключей шифрования и иной ключевой информации;
3.1.2. соблюдение правил эксплуатации СКЗИ.
Лист ознакомления
к Руководству ответственного пользователя средств криптографической защиты информации
_________________ ______________________
Подпись ФИО
«___» ________________ 20___ г.
_________________ ______________________
Подпись ФИО
«___» ________________ 20___ г.
_________________ ______________________
Подпись ФИО
«___» ________________ 20___ г.
11
1
Приложение 1
к Руководству ответственного пользователя средств криптографической защиты информации
ЖУРНАЛ
поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
На __________ листах
Начат «___»__________20__ г.
Окончен «___»__________20__ г.
№
п/п
Наименование СКЗИ, эксплуатационной
и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной
и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера ключевых документов)
Отметка о получении
Отметка о выдаче
От кого получены
Дата и номер сопроводительного письма
Ф.И.О. пользователя СКЗИ
Дата и расписка в получении
1
2
3
4
5
6
7
8
Отметка о подключении (установке СКЗИ)
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номер аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших изъятие (уничтожение)
Номер акта или расписка об уничтожении
9
10
11
12
13
14
15
11
1
Приложение 2
к Руководству ответственного пользователя средств криптографической защиты информации
УТВЕРЖДАЮ
И.О. Фамилия
«_____» _______________20___г.
АКТ №___
об уничтожении криптографических ключей
«
»
20__ г
Место уничтожения Дата
Комиссия, в составе:
Председатель комиссии:
Должность
ФИО
Члены комиссии:
Должность
ФИО
Должность
ФИО
Должность
ФИО
Должность
ФИО
провела уничтожение криптографических ключей:
№ п/п
Дата
Тип носителя
Регистрационный номер носителя ключа
Наименование СКЗИ
Примечание
Всего носителей криптографических ключей ___________________________
На указанных носителях криптографические ключи уничтожены путем
(стирания на устройстве гарантированного уничтожения и т. п.)
Перечисленные носители криптографических ключей уничтожены путем
(разрезания, сжигания, механического уничтожения и т.п.)
Подписи членов комиссии:
Председатель комиссии:
« » 20 г.
Подпись
ФИО
Дата
Члены комиссии:
« » 20 г.
Подпись
ФИО
Дата
« » 20 г.
Подпись
ФИО
Дата
« » 20 г.
Подпись
ФИО
Дата
« » 20 г.
Подпись
ФИО
Дата
11
1
Приложение 3
к Руководству ответственного пользователя средств криптографической защиты информации
Образец журнала учета хранилищ и ключей от них
№ п/п
Наименование хранилища (сейфа, металлического шкафа)
Заводской (инвентарный) номер хранилища
Местонахождение хранилища (подразделение, № комнаты, корпуса, здания)
Что хранится (документы, изделия)
Фамилия ответственного за хранилище
Кол-во комплектов ключей и их номера
Расписка ответственного за хранилище в получении ключа и дата
Расписка в обратном приеме ключа и дата
Примечание
1
Приложение 4
к Руководству ответственного пользователя средств криптографической защиты информации
Заключение о сдаче зачетов, составленного на основании принятых от пользователей СКЗИ зачетов по программе обучения
№
п/п
Наименование организации
ФИО обучающегося
Состав проверяющей комиссии:
Подписи членов комиссии:
Председатель комиссии:
« » 20 г.
Подпись
ФИО, Должность
Дата
Члены комиссии:
« » 20 г.
Подпись
ФИО, Должность
Дата
« » 20 г.
Подпись
ФИО, Должность
Дата
УТВЕРЖДЕНО
постановлением администрации Горнозаводского городского округа Пермского края
от 27.07.2020 № 750
РУКОВОДСТВО
пользователя средств криптографической защиты информации
I. Общие положения
1.1. Настоящее Руководство определяет обязанности пользователя средства криптографической защиты информации (далее – СКЗИ).
1.2. Пользователи, имеющие необходимые знания по СКЗИ, допускаются к работе с ними на основании включения их в утверждаемые перечни пользователей СКЗИ.
1.3. При наличии двух и более пользователей одного экземпляра СКЗИ обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
1.4. Настоящее Руководство доводится до пользователей СКЗИ под подпись.
II. Функциональные обязанности
2.1. Пользователи СКЗИ обязаны:
2.1.1. не разглашать информацию, к которой они допущены, в том числе сведения о СКЗИ, ключевых документах к ним и других мерах защиты;
2.1.2. соблюдать требования к обеспечению безопасности СКЗИ и ключевых документов к ним;
2.1.3. сообщать ответственному пользователю СКЗИ о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
2.1.4. немедленно уведомлять ответственного пользователя СКЗИ о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемой информации;
2.1.5. сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
2.1.6. надежно хранить эксплуатационную и техническую документацию к СКЗИ;
2.1.7. не допускать снятие копий с ключевых документов;
2.1.8. не допускать записи на ключевой носитель посторонней информации;
2.1.9. не допускать установки ключевых документов на другие электронно-вычислительные машины;
2.1.10. возвращать неиспользуемые или выведенные из действия ключевые документы ответственному пользователю СКЗИ;
2.1.11. производить надежное уничтожение электронных записей ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах.
III. Случаи компрометации криптоключей
3.1. Под компрометацией понимается факт доступа постороннего лица к защищаемой информации или подозрение на такой факт.
3.2. Случаи компрометации криптоключей:
3.2.1. физическая утеря носителя информации;
3.2.2. несанкционированный доступ постороннего лица в место физического хранения носителя информации (срабатывание сигнализации, повреждение устройств контроля НСД (слепков печатей), повреждение замков, взлом учетной записи пользователя и т. п.);
3.2.3. перехват ключа при распределении ключей;
3.2.4. сознательная передача информации постороннему лицу.
3.3. Действия при компрометации ключа:
3.3.1. пользователи СКЗИ обязаны немедленно выводить из действия криптоключи, в отношении которых возникло подозрение в компрометации, взамен его вводится запасной или новый ключ;
3.3.2. пользователи СКЗИ обязаны немедленно сообщать ответственному пользователю СКЗИ о нарушениях, которые могут привести к компрометации криптоключей;
3.3.3. о компрометации немедленно оповещаются все участники обмена информацией. Криптоключи вносятся в специальные списки, содержащие скомпрометированные ключи.
Лист ознакомления
к Руководству пользователя средства криптографической защиты информации
С Руководством ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
С Руководством ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
С Руководством ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
УТВЕРЖДЕН
постановлением администрации Горнозаводского городского округа Пермского края
от 27.07.2020 № 750
РЕГЛАМЕНТ
защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья»
Принятые сокращения
АРМ – автоматизированное рабочее место.
ЕАИС Архивы – Единая архивная информационная система Пермского края «Архивы Прикамья»
ИС – информационная система.
НДВ – недекларированные возможности.
НСД – несанкционированный доступ.
СМЭ – средство межсетевого экранирования.
Оператор – архивный отдел аппарата администрации Горнозаводского городского округа
ОС – операционная система.
ПДн – персональные данные.
ПО – программное обеспечение.
Сегмент – сегмент непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
СЗИ – средство защиты информации.
СКЗИ – средство криптографической защиты информации.
ТС – технические средства.
NAT (с англ. NetworkAddressTranslation) – трансляция сетевых адресов – технология подмены в сетевых пакетах адресов и портов:
источника – для доступа во внешнюю сеть нескольких компьютеров посредством одного или нескольких внешних IP-адресов;
приемника – для доступа внешней сети к конкретным компьютерам извнутренней локальной сети через один или несколько внешних IP-адресов.
VPN (с анг. VirtualPrivateNetwork) – виртуальная частная сеть – технология криптографического преобразования сетевого пакета и передачи такого сетевого пакета вовнешнюю сеть получателю, который способен расшифровать содержимое полученного сетевого пакета и передать его маршрутизатору для отправки конечному получателю из внутренней сети.
I. Общие положения
1.1. Настоящий Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей ЕАИС Архивы (далее – Сегмент) с ЕАИС Архивы разработан в целях реализации Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» и Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» на основании:
1.1.1. Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
1.1.2. постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
1.1.3. приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
1.2. Сегмент располагается по адресу: 618820, Пермский край,
г. Горнозаводск, ул. Октябрьская, д. 14.
1.3. Сегмент представляет собой АРМ. Набор технических и программных средств, средств защиты информации Сегмента представлен в документе «Технический паспорт Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
1.4. Целью создания Сегмента является участие оператора в процессе автоматизации деятельности государственных и муниципальных архивов Пермского края.
1.5. Настоящим Регламентом определяются правила подключения к защищенной сети передачи данных, обеспечивающей информационно-технологическое взаимодействие Сегмента с ЕАИС Архивы (далее – защищенная сеть передачи данных), требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации.
II. Правила подключения Сегмента к ЕАИС Архивы
2.1. Перечень мероприятий по подключению Сегмента
2.1.1. регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы;
2.1.2. подключение Сегмента к защищенной сети передачи данных.
2.1.3. Регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы.
Оператор подает заявку в службу поддержки пользователей ViPNet-сети
№ 13099 на подключение по защищенной сети передачи данных к ЕАИС Архивы.
2.1.4. Подключение Сегмента к защищенной сети передачи данных.
После получения согласования на подключение Оператора к защищенной сети передачи данных, организация, обслуживающая ViPNet-сеть № 13099 (далее – Организация), настраивает правила межсетевого экранирования ПО «ViPNetClient» на взаимодействие с защищенной сетью передачи данных.
2.2. Эксплуатация Сегмента
2.2.1.За эксплуатацию и обслуживание Сегмента, а также установленного в ней ПО отвечают системные администраторы Сегмента.
В случае выхода Сегмента из строя (отказ программного или аппаратного обеспечения) настройка его аппаратного или программного обеспечения производится силами системных администраторов.
2.3. Техническое сопровождение ПО «ViPNetClient»
2.3.1. Сопровождение и консультации ответственных лиц по вопросам, связанным с эксплуатацией ПО «ViPNetClient», при наличии сертификата или договора технической поддержки, обеспечивают специалисты Организации.
2.3.2. Специалисты Организации предоставляют следующие услуги по сопровождению:
2.3.2.1. обновление ПО «ViPNetClient» при выходе новых версий, прошедших сертификацию;
2.3.2.2. консультационная поддержка пользователей ПО «ViPNetClient».
Услуги предоставляются с 09:00 до 18:00 часов по местному времени в рабочие дни. Ответы на вопросы Организация осуществляет по электронной почте и по телефону.
III. Требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации в Сегменте
3.1. Политика безопасности защищенной связи:
3.1.1. Необходимо назначить лицо, ответственное за эксплуатацию СКЗИ.
3.1.2. Для хранения носителей с ключевой информацией, установочного комплекта, эксплуатационной и технической документации, полученных для установки и настройки ПО «ViPNetClient», должно быть предусмотрено надежное металлическое хранилище, оборудованное внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.
3.1.3. Необходимо наличие журнала учета хранилищ, в которых будут хранится носители, перечисленные в пункте 3.1.2, и журнала учета средств криптографической защиты информации и ключевых документов к ним.
3.1.4. В Сегменте должен быть определен перечень ПО, реализующий информационную технологию ввода, обработки и передачи текстовой и графической информации по сети информационного обмена: веб-обозреватель, ПО «ViPNetClient», программа для работы с текстовыми документами, программа для чтения и редактирования файлов графических форматов, программы для печати и сканирования электронных документов.
На все установленные в Сегменте программные продукты имеются документы (лицензионное соглашение, договор поставки, товарные накладные), однозначно подтверждающие права на их использование.
3.1.5. Все используемые программные и программно-аппаратные СЗИ в Сегменте должны иметь действующие сертификаты соответствия требованиям безопасности информации ФСТЭК России или ФСБ России.
3.1.6. СЗИ от НСД должны иметь формуляр, эксплуатационную документацию, действующий сертификат ФСТЭК России и (или) ФСБ России по требованиям безопасности информации и соответствующий голографический знак, однозначно определяющий его в реестре сертифицированных СЗИ.
3.1.7. СЗИ должны быть настроены и эксплуатироваться строго в соответствии с эксплуатационной документацией на них.
3.1.8. Лицо, ответственное за обеспечение безопасности ПДн (далее – администратор безопасности информации) Сегмента, должно быть ознакомлен под подпись с документом «Руководство администратора на систему защиты информации в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
3.1.9. Правом настройки СЗИ должен обладать только администратор безопасности информации или системный администратор.
3.1.10. Пользователям запрещается менять настройки СЗИ, а также передавать защищаемую информацию при отключенных СЗИ и работать в Сегменте с отключенными средствами антивирусной защиты.
3.2. Требования к организации подключения Сегмента к ЕАИС Архивы
3.2.1. Для подключения Сегмента к ЕАИС Архивы необходимо включить Сегмент в состав ViPNet-сети № 13099 (далее –ViPNet-сеть).
3.2.2. Для обеспечения защищенного взаимодействия Сегмента с ViPNet-сетью в Сегменте должно функционировать СЗИ, выполняющее функции криптографической защиты данных и СМЭ.
3.2.3. В качестве такого СЗИ необходимо использовать ПО «ViPNetClient», сертифицированное ФСБ России как шифровальное (криптографическое) средство защиты по классу КС1 и выше, и ФСТЭК России – как СМЭ четвертого класса защиты.
3.2.4. Схема подключения Сегмента к ЕАИС Архивы представлена на Рисунке 1.
Рисунок 1 – Схема подключения Сегмента к ЕАИС Архивы
3.3. Требования к АРМ, на котором реализовано СКЗИ и среда функционирования СКЗИ
3.3.1. Требования к составу ТС и ОС:
x86-совместимый процессор с 2 и более ядрами;
не менее 2 Гбайт оперативной памяти;
не менее 500 Мбайт свободное места на жестком диске;
сетевой адаптер;
ОС семейства «Windows»версии 7 или более новая.
3.3.2. Установку должен выполнять пользователь, обладающий правами администратора в ОС «Windows».
3.3.3. ВОС АРМ должно быть установлено средство антивирусной защиты, прошедшие оценку соответствия во ФСТЭК России, не ниже четвертого класса защищенности согласно информационному сообщению ФСТЭК России
от 30 июля 2012 г. № 240/24/3095 «Об утверждении требований к средствам антивирусной защиты».
3.3.4. СЗИ АРМ должны соответствовать шестому или выше уровню доверия согласно информационному сообщению ФСТЭК России
от 29 марта 2019 г. № 240/24/1525 «О требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
3.3.5. В BIOS/UEFI АРМ должен быть установлен один вариант загрузки ОС – с жесткого диска, все альтернативные варианты загрузки должны быть отключены, в том числе сетевая загрузка.
3.3.6. В ОС АРМ должны быть выполнены корректные настройки часового пояса, даты и времени.
3.3.7. Если на АРМ установлена ОС семейства «Windows», локализация которой отличается от русской, то для правильного отображения кириллицы в интерфейсе ПО «ViPNetClient» необходимо установить поддержку кириллицы для программ, не поддерживающих Unicode.
3.3.8. Запрещается пользоваться отладочными версиями ОС, а также устанавливать средства отладки и трассировки ПО.
3.3.9. В Сегменте должны быть отключены сторонние СМЭ и приложения, обеспечивающие преобразование сетевых адресов (NAT).
3.4. Требования к каналам связи
3.4.1. Для передачи данных в ЕАИС Архивы АРМ должен быть подключен к каналам сети связи общего пользования и (или) международного информационного обмена.
3.4.2. Пропускная способность канала связи должна быть не менее 128 Кбит/c.
3.4.3. При наличии внешнего СМЭ необходимо обеспечить прохождение пакетов протокола UDPv4 с портом источника 55777 из внутренней (локальной сети) во внешнюю (Интернет) с подменой IP-адреса локальной сети на IP-адрес сети Интернет без смены портов и ответный трафик (NAT).
3.5. Требования к протоколам передачи данных
3.5.1. VPN-туннель, созданный сертифицированным СКЗИ ПО «ViPNetClient», должен передавать зашифрованные сетевые пакеты в ViPNet-сеть по протоколу UDPv4:55777.
3.5.2. Внутри защищенного VPN-туннеля сетевые пакеты передаются по протоколу TCPv4 на 80, 443 порты получателя.
3.5.3. Не допускается использование других протоколов и узлов для передачи защищаемой информации.
Лист ознакомления
к Регламенту защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья»
С Регламентом ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
11
1
АДМИНИСТРАЦИЯ ГОРНОЗАВОДСКОГО ГОРОДСКОГО ОКРУГА ПЕРМСКОГО КРАЯ
ПОСТАНОВЛЕНИЕ
27.07.2020 №750
Об утверждении нормативно-правовых актов, используемых в архивном отделе аппарата администрации Горнозаводского городского округа Пермского края
В целях исполнения требований Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденного приказом ФСБ России от 10 июля 2014 г. № 378, руководствуясь статьями 23, 29 Устава Горнозаводского городского округа Пермского края
администрация Горнозаводского городского округа Пермского края ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые:
1.1. Руководство ответственного пользователя средств криптографической защиты информации (далее – СКЗИ);
1.2. Руководство пользователя СКЗИ;
1.3. Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно - технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья».
2. Обнародовать настоящее постановление в зданиях, расположенных по адресам: г. Горнозаводск, ул. Кирова, 65, г. Горнозаводск, ул. Свердлова, 59,
р.п. Теплая Гора, ул. Советская, 5, р.п. Промысла, ул. Комсомольская, 1,
р.п. Кусье-Александровский, ул. Ленина, 2, р.п. Пашия, ул. Ленина, 4, п. Вильва, ул. Пионерская, 6, р.п. Медведка, ул. Октябрьская, 18, п. Средняя Усьва,
ул. Советская, 12, р.п. Бисер, ул. Советская, 23, р.п. Старый Бисер, ул. Ермакова, 1, р.п. Сараны, ул. Кирова, 2, а также на официальном сайте администрации Горнозаводского городского округа Пермского края (www.gornozavodskii.ru).
3. Контроль за исполнением настоящего постановления возложить на управляющего делами администрации Горнозаводского городского округа Пермского края.
Глава городского округа –
глава администрации Горнозаводского
городского округа Пермского края А.Н. Афанасьев
Подлинный экземпляр документа находится в администрации Горнозаводского городского округа Пермского края в деле № 01-07 за 2020 год
УТВЕРЖДЕНО
постановлением администрации Горнозаводского городского округа Пермского края
от 27.07.2020 № 750
РУКОВОДСТВО
ответственного пользователя средств криптографической
защиты информации
I. Общие положения
1.1. Настоящее Руководство определяет обязанности ответственного пользователя средств криптографической защиты информации (далее – СКЗИ) по вопросам функционирования и безопасности СКЗИ.
1.2. Настоящее Руководство доводится до ответственных пользователей СКЗИ под подпись.
II. Функциональные обязанности
2.1. На ответственного пользователя СКЗИ возлагаются следующие функциональные обязанности:
2.1.1. Общие обязанности:
2.1.1.1. соблюдение режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых документах к ним;
2.1.1.2. надежное хранение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, носителей конфиденциальной информации;
2.1.1.3. контроль целостности аппаратных средств, с которыми осуществляется штатное функционирование СКЗИ, посредством проверки наличия следов вскрытия (нарушена целостность пломбы);
2.1.1.4. не допущение ввода одного номера лицензии на право использования СКЗИ более чем на одном рабочем месте;
2.1.1.5. организация плановой смены криптографических ключей не менее, чем за две недели до истечения срока действия ключевых документов;
2.1.1.6. принятие задокументированных решений о дальнейших действиях с неиспользованными или выведенными из строя ключевыми документами, ключевыми носителями;
2.1.1.7. санкционирование и контроль процесса надежного уничтожения ключевых документов, ключевых носителей в соответствии с эксплуатационной и технической документацией к СКЗИ. Если срок уничтожения не установлен эксплуатационной и технической документацией, то он должен составлять не более 10 суток после окончания срока действия. Факт уничтожения оформляется в журнале поэкземплярного учета, составляется акт об уничтожении криптографических ключей. Форма акта приведена в приложении 2 к настоящему Руководству;
2.1.1.8. выявление и устранение причин нештатного функционирования СКЗИ.
2.1.2. Обязанности по обучению пользователей СКЗИ:
2.1.2.1. проводить в случае необходимости инструктажи по работе с СКЗИ;
2.1.2.2. консультировать пользователей СКЗИ по основным правилам работы с СКЗИ;
2.1.2.3. периодически проводить контроль над знаниями сотрудников правил работы с СКЗИ. Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Форма заключения о сдаче зачетов, составленного на основании принятых от пользователей СКЗИ зачетов по программе обучения, приведена в Приложении 4 к настоящему Руководству;
2.1.2.4. обращаться к руководителю или уполномоченному лицу с требованием прекращения работы пользователя, непрошедшего проверку знаний по работе с СКЗИ;
2.1.2.5. контролировать действия пользователей СКЗИ;
2.1.2.6. требовать от пользователей СКЗИ соблюдения положений документа «Руководство пользователя средств криптографической защиты информации»;
2.1.2.7. обращаться к руководителю или уполномоченному лицу с требованием прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ.
2.1.3. Обязанности по ведению журналов:
2.1.3.1. надлежащим образом вести журнал поэкземплярного учета средств криптографической защиты информации и ключевых документов к ним, форма которого приведена в Приложении 1 к настоящему Руководству;
2.1.3.2. надлежащим образом вести журнал учета хранилищ и ключей от них, форма которого приведена в Приложении 3 к настоящему Руководству;
2.1.3.3. предоставлять (организовывать) санкционированный доступ пользователю к СКЗИ исключительно под расписку в журнале учета СКЗИ;
2.1.3.4. выдавать пользователям ключевые носители исключительно под расписку в журнале учета криптографических ключей. Вести на каждого пользователя лицевой счет в журнале учета криптографических ключей;
2.1.3.5. при необходимости, санкционировать между пользователями СКЗИ передачу СКЗИ, эксплуатационной и технической документации к нему, ключевых документов под расписку в журналах учета;
2.1.3.6. не допускать передачу СКЗИ, эксплуатационной и технической документации к нему, ключевых документов между неучтенными пользователями;
2.1.3.7. вести учет полученных лицензий на право использования СКЗИ в журнале учета СКЗИ;
2.1.3.8. принимать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
2.1.3.9. осуществлять ежегодную проверку журналов поэкземплярного учета, перечня пользователей СКЗИ и иных документов и сообщать руководителю о результатах проверки;
2.1.3.10. сообщать руководителю или уполномоченному лицу о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним.
2.1.4. Обязанности при компрометации криптоключей:
2.1.4.1. немедленно выводить из действия криптоключи, в отношении которых возникло подозрение в компрометации;
2.1.4.2. принимать меры по внесению скомпрометированных криптоключей в специальные списки, содержащие скомпрометированные ключи (списки отзыва сертификатов и т. п.);
2.1.4.3. принимать меры по прекращению пользователями обмена электронными документами с использованием скомпрометированных закрытых криптографических ключей;
2.1.4.4. использование СКЗИ может быть возобновлено только после ввода в действие другого криптографического ключа взамен скомпрометированного.
В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, по согласованию с руководителем допускается использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а информация ограниченного доступа, не относящаяся к государственной тайне, как можно менее ценной;
2.1.4.5. уничтожать скомпрометированные ключевые документы;
2.1.4.6. осуществлять контроль работы пользователей с СКЗИ, принимать меры по недопущению нарушений, которые могут привести к компрометации криптоключей;
2.1.4.7. немедленно уведомлять руководителя или уполномоченное лицо о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации.
III. Ответственность
3.1. Ответственный пользователь СКЗИ несет персональную ответственность за:
3.1.1. сохранение в тайне закрытых ключей шифрования и иной ключевой информации;
3.1.2. соблюдение правил эксплуатации СКЗИ.
Лист ознакомления
к Руководству ответственного пользователя средств криптографической защиты информации
_________________ ______________________
Подпись ФИО
«___» ________________ 20___ г.
_________________ ______________________
Подпись ФИО
«___» ________________ 20___ г.
_________________ ______________________
Подпись ФИО
«___» ________________ 20___ г.
11
1
Приложение 1
к Руководству ответственного пользователя средств криптографической защиты информации
ЖУРНАЛ
поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
На __________ листах
Начат «___»__________20__ г.
Окончен «___»__________20__ г.
№
п/п
Наименование СКЗИ, эксплуатационной
и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной
и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера ключевых документов)
Отметка о получении
Отметка о выдаче
От кого получены
Дата и номер сопроводительного письма
Ф.И.О. пользователя СКЗИ
Дата и расписка в получении
1
2
3
4
5
6
7
8
Отметка о подключении (установке СКЗИ)
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номер аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших изъятие (уничтожение)
Номер акта или расписка об уничтожении
9
10
11
12
13
14
15
11
1
Приложение 2
к Руководству ответственного пользователя средств криптографической защиты информации
УТВЕРЖДАЮ
И.О. Фамилия
«_____» _______________20___г.
АКТ №___
об уничтожении криптографических ключей
«
»
20__ г
Место уничтожения Дата
Комиссия, в составе:
Председатель комиссии:
Должность
ФИО
Члены комиссии:
Должность
ФИО
Должность
ФИО
Должность
ФИО
Должность
ФИО
провела уничтожение криптографических ключей:
№ п/п
Дата
Тип носителя
Регистрационный номер носителя ключа
Наименование СКЗИ
Примечание
Всего носителей криптографических ключей ___________________________
На указанных носителях криптографические ключи уничтожены путем
(стирания на устройстве гарантированного уничтожения и т. п.)
Перечисленные носители криптографических ключей уничтожены путем
(разрезания, сжигания, механического уничтожения и т.п.)
Подписи членов комиссии:
Председатель комиссии:
« » 20 г.
Подпись
ФИО
Дата
Члены комиссии:
« » 20 г.
Подпись
ФИО
Дата
« » 20 г.
Подпись
ФИО
Дата
« » 20 г.
Подпись
ФИО
Дата
« » 20 г.
Подпись
ФИО
Дата
11
1
Приложение 3
к Руководству ответственного пользователя средств криптографической защиты информации
Образец журнала учета хранилищ и ключей от них
№ п/п
Наименование хранилища (сейфа, металлического шкафа)
Заводской (инвентарный) номер хранилища
Местонахождение хранилища (подразделение, № комнаты, корпуса, здания)
Что хранится (документы, изделия)
Фамилия ответственного за хранилище
Кол-во комплектов ключей и их номера
Расписка ответственного за хранилище в получении ключа и дата
Расписка в обратном приеме ключа и дата
Примечание
1
Приложение 4
к Руководству ответственного пользователя средств криптографической защиты информации
Заключение о сдаче зачетов, составленного на основании принятых от пользователей СКЗИ зачетов по программе обучения
№
п/п
Наименование организации
ФИО обучающегося
Состав проверяющей комиссии:
Подписи членов комиссии:
Председатель комиссии:
« » 20 г.
Подпись
ФИО, Должность
Дата
Члены комиссии:
« » 20 г.
Подпись
ФИО, Должность
Дата
« » 20 г.
Подпись
ФИО, Должность
Дата
УТВЕРЖДЕНО
постановлением администрации Горнозаводского городского округа Пермского края
от 27.07.2020 № 750
РУКОВОДСТВО
пользователя средств криптографической защиты информации
I. Общие положения
1.1. Настоящее Руководство определяет обязанности пользователя средства криптографической защиты информации (далее – СКЗИ).
1.2. Пользователи, имеющие необходимые знания по СКЗИ, допускаются к работе с ними на основании включения их в утверждаемые перечни пользователей СКЗИ.
1.3. При наличии двух и более пользователей одного экземпляра СКЗИ обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
1.4. Настоящее Руководство доводится до пользователей СКЗИ под подпись.
II. Функциональные обязанности
2.1. Пользователи СКЗИ обязаны:
2.1.1. не разглашать информацию, к которой они допущены, в том числе сведения о СКЗИ, ключевых документах к ним и других мерах защиты;
2.1.2. соблюдать требования к обеспечению безопасности СКЗИ и ключевых документов к ним;
2.1.3. сообщать ответственному пользователю СКЗИ о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
2.1.4. немедленно уведомлять ответственного пользователя СКЗИ о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемой информации;
2.1.5. сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
2.1.6. надежно хранить эксплуатационную и техническую документацию к СКЗИ;
2.1.7. не допускать снятие копий с ключевых документов;
2.1.8. не допускать записи на ключевой носитель посторонней информации;
2.1.9. не допускать установки ключевых документов на другие электронно-вычислительные машины;
2.1.10. возвращать неиспользуемые или выведенные из действия ключевые документы ответственному пользователю СКЗИ;
2.1.11. производить надежное уничтожение электронных записей ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах.
III. Случаи компрометации криптоключей
3.1. Под компрометацией понимается факт доступа постороннего лица к защищаемой информации или подозрение на такой факт.
3.2. Случаи компрометации криптоключей:
3.2.1. физическая утеря носителя информации;
3.2.2. несанкционированный доступ постороннего лица в место физического хранения носителя информации (срабатывание сигнализации, повреждение устройств контроля НСД (слепков печатей), повреждение замков, взлом учетной записи пользователя и т. п.);
3.2.3. перехват ключа при распределении ключей;
3.2.4. сознательная передача информации постороннему лицу.
3.3. Действия при компрометации ключа:
3.3.1. пользователи СКЗИ обязаны немедленно выводить из действия криптоключи, в отношении которых возникло подозрение в компрометации, взамен его вводится запасной или новый ключ;
3.3.2. пользователи СКЗИ обязаны немедленно сообщать ответственному пользователю СКЗИ о нарушениях, которые могут привести к компрометации криптоключей;
3.3.3. о компрометации немедленно оповещаются все участники обмена информацией. Криптоключи вносятся в специальные списки, содержащие скомпрометированные ключи.
Лист ознакомления
к Руководству пользователя средства криптографической защиты информации
С Руководством ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
С Руководством ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
С Руководством ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
УТВЕРЖДЕН
постановлением администрации Горнозаводского городского округа Пермского края
от 27.07.2020 № 750
РЕГЛАМЕНТ
защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья»
Принятые сокращения
АРМ – автоматизированное рабочее место.
ЕАИС Архивы – Единая архивная информационная система Пермского края «Архивы Прикамья»
ИС – информационная система.
НДВ – недекларированные возможности.
НСД – несанкционированный доступ.
СМЭ – средство межсетевого экранирования.
Оператор – архивный отдел аппарата администрации Горнозаводского городского округа
ОС – операционная система.
ПДн – персональные данные.
ПО – программное обеспечение.
Сегмент – сегмент непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
СЗИ – средство защиты информации.
СКЗИ – средство криптографической защиты информации.
ТС – технические средства.
NAT (с англ. NetworkAddressTranslation) – трансляция сетевых адресов – технология подмены в сетевых пакетах адресов и портов:
источника – для доступа во внешнюю сеть нескольких компьютеров посредством одного или нескольких внешних IP-адресов;
приемника – для доступа внешней сети к конкретным компьютерам извнутренней локальной сети через один или несколько внешних IP-адресов.
VPN (с анг. VirtualPrivateNetwork) – виртуальная частная сеть – технология криптографического преобразования сетевого пакета и передачи такого сетевого пакета вовнешнюю сеть получателю, который способен расшифровать содержимое полученного сетевого пакета и передать его маршрутизатору для отправки конечному получателю из внутренней сети.
I. Общие положения
1.1. Настоящий Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей ЕАИС Архивы (далее – Сегмент) с ЕАИС Архивы разработан в целях реализации Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» и Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» на основании:
1.1.1. Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
1.1.2. постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
1.1.3. приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
1.2. Сегмент располагается по адресу: 618820, Пермский край,
г. Горнозаводск, ул. Октябрьская, д. 14.
1.3. Сегмент представляет собой АРМ. Набор технических и программных средств, средств защиты информации Сегмента представлен в документе «Технический паспорт Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
1.4. Целью создания Сегмента является участие оператора в процессе автоматизации деятельности государственных и муниципальных архивов Пермского края.
1.5. Настоящим Регламентом определяются правила подключения к защищенной сети передачи данных, обеспечивающей информационно-технологическое взаимодействие Сегмента с ЕАИС Архивы (далее – защищенная сеть передачи данных), требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации.
II. Правила подключения Сегмента к ЕАИС Архивы
2.1. Перечень мероприятий по подключению Сегмента
2.1.1. регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы;
2.1.2. подключение Сегмента к защищенной сети передачи данных.
2.1.3. Регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы.
Оператор подает заявку в службу поддержки пользователей ViPNet-сети
№ 13099 на подключение по защищенной сети передачи данных к ЕАИС Архивы.
2.1.4. Подключение Сегмента к защищенной сети передачи данных.
После получения согласования на подключение Оператора к защищенной сети передачи данных, организация, обслуживающая ViPNet-сеть № 13099 (далее – Организация), настраивает правила межсетевого экранирования ПО «ViPNetClient» на взаимодействие с защищенной сетью передачи данных.
2.2. Эксплуатация Сегмента
2.2.1.За эксплуатацию и обслуживание Сегмента, а также установленного в ней ПО отвечают системные администраторы Сегмента.
В случае выхода Сегмента из строя (отказ программного или аппаратного обеспечения) настройка его аппаратного или программного обеспечения производится силами системных администраторов.
2.3. Техническое сопровождение ПО «ViPNetClient»
2.3.1. Сопровождение и консультации ответственных лиц по вопросам, связанным с эксплуатацией ПО «ViPNetClient», при наличии сертификата или договора технической поддержки, обеспечивают специалисты Организации.
2.3.2. Специалисты Организации предоставляют следующие услуги по сопровождению:
2.3.2.1. обновление ПО «ViPNetClient» при выходе новых версий, прошедших сертификацию;
2.3.2.2. консультационная поддержка пользователей ПО «ViPNetClient».
Услуги предоставляются с 09:00 до 18:00 часов по местному времени в рабочие дни. Ответы на вопросы Организация осуществляет по электронной почте и по телефону.
III. Требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации в Сегменте
3.1. Политика безопасности защищенной связи:
3.1.1. Необходимо назначить лицо, ответственное за эксплуатацию СКЗИ.
3.1.2. Для хранения носителей с ключевой информацией, установочного комплекта, эксплуатационной и технической документации, полученных для установки и настройки ПО «ViPNetClient», должно быть предусмотрено надежное металлическое хранилище, оборудованное внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.
3.1.3. Необходимо наличие журнала учета хранилищ, в которых будут хранится носители, перечисленные в пункте 3.1.2, и журнала учета средств криптографической защиты информации и ключевых документов к ним.
3.1.4. В Сегменте должен быть определен перечень ПО, реализующий информационную технологию ввода, обработки и передачи текстовой и графической информации по сети информационного обмена: веб-обозреватель, ПО «ViPNetClient», программа для работы с текстовыми документами, программа для чтения и редактирования файлов графических форматов, программы для печати и сканирования электронных документов.
На все установленные в Сегменте программные продукты имеются документы (лицензионное соглашение, договор поставки, товарные накладные), однозначно подтверждающие права на их использование.
3.1.5. Все используемые программные и программно-аппаратные СЗИ в Сегменте должны иметь действующие сертификаты соответствия требованиям безопасности информации ФСТЭК России или ФСБ России.
3.1.6. СЗИ от НСД должны иметь формуляр, эксплуатационную документацию, действующий сертификат ФСТЭК России и (или) ФСБ России по требованиям безопасности информации и соответствующий голографический знак, однозначно определяющий его в реестре сертифицированных СЗИ.
3.1.7. СЗИ должны быть настроены и эксплуатироваться строго в соответствии с эксплуатационной документацией на них.
3.1.8. Лицо, ответственное за обеспечение безопасности ПДн (далее – администратор безопасности информации) Сегмента, должно быть ознакомлен под подпись с документом «Руководство администратора на систему защиты информации в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
3.1.9. Правом настройки СЗИ должен обладать только администратор безопасности информации или системный администратор.
3.1.10. Пользователям запрещается менять настройки СЗИ, а также передавать защищаемую информацию при отключенных СЗИ и работать в Сегменте с отключенными средствами антивирусной защиты.
3.2. Требования к организации подключения Сегмента к ЕАИС Архивы
3.2.1. Для подключения Сегмента к ЕАИС Архивы необходимо включить Сегмент в состав ViPNet-сети № 13099 (далее –ViPNet-сеть).
3.2.2. Для обеспечения защищенного взаимодействия Сегмента с ViPNet-сетью в Сегменте должно функционировать СЗИ, выполняющее функции криптографической защиты данных и СМЭ.
3.2.3. В качестве такого СЗИ необходимо использовать ПО «ViPNetClient», сертифицированное ФСБ России как шифровальное (криптографическое) средство защиты по классу КС1 и выше, и ФСТЭК России – как СМЭ четвертого класса защиты.
3.2.4. Схема подключения Сегмента к ЕАИС Архивы представлена на Рисунке 1.
Рисунок 1 – Схема подключения Сегмента к ЕАИС Архивы
3.3. Требования к АРМ, на котором реализовано СКЗИ и среда функционирования СКЗИ
3.3.1. Требования к составу ТС и ОС:
x86-совместимый процессор с 2 и более ядрами;
не менее 2 Гбайт оперативной памяти;
не менее 500 Мбайт свободное места на жестком диске;
сетевой адаптер;
ОС семейства «Windows»версии 7 или более новая.
3.3.2. Установку должен выполнять пользователь, обладающий правами администратора в ОС «Windows».
3.3.3. ВОС АРМ должно быть установлено средство антивирусной защиты, прошедшие оценку соответствия во ФСТЭК России, не ниже четвертого класса защищенности согласно информационному сообщению ФСТЭК России
от 30 июля 2012 г. № 240/24/3095 «Об утверждении требований к средствам антивирусной защиты».
3.3.4. СЗИ АРМ должны соответствовать шестому или выше уровню доверия согласно информационному сообщению ФСТЭК России
от 29 марта 2019 г. № 240/24/1525 «О требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
3.3.5. В BIOS/UEFI АРМ должен быть установлен один вариант загрузки ОС – с жесткого диска, все альтернативные варианты загрузки должны быть отключены, в том числе сетевая загрузка.
3.3.6. В ОС АРМ должны быть выполнены корректные настройки часового пояса, даты и времени.
3.3.7. Если на АРМ установлена ОС семейства «Windows», локализация которой отличается от русской, то для правильного отображения кириллицы в интерфейсе ПО «ViPNetClient» необходимо установить поддержку кириллицы для программ, не поддерживающих Unicode.
3.3.8. Запрещается пользоваться отладочными версиями ОС, а также устанавливать средства отладки и трассировки ПО.
3.3.9. В Сегменте должны быть отключены сторонние СМЭ и приложения, обеспечивающие преобразование сетевых адресов (NAT).
3.4. Требования к каналам связи
3.4.1. Для передачи данных в ЕАИС Архивы АРМ должен быть подключен к каналам сети связи общего пользования и (или) международного информационного обмена.
3.4.2. Пропускная способность канала связи должна быть не менее 128 Кбит/c.
3.4.3. При наличии внешнего СМЭ необходимо обеспечить прохождение пакетов протокола UDPv4 с портом источника 55777 из внутренней (локальной сети) во внешнюю (Интернет) с подменой IP-адреса локальной сети на IP-адрес сети Интернет без смены портов и ответный трафик (NAT).
3.5. Требования к протоколам передачи данных
3.5.1. VPN-туннель, созданный сертифицированным СКЗИ ПО «ViPNetClient», должен передавать зашифрованные сетевые пакеты в ViPNet-сеть по протоколу UDPv4:55777.
3.5.2. Внутри защищенного VPN-туннеля сетевые пакеты передаются по протоколу TCPv4 на 80, 443 порты получателя.
3.5.3. Не допускается использование других протоколов и узлов для передачи защищаемой информации.
Лист ознакомления
к Регламенту защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья»
С Регламентом ознакомлен(а):
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
___________________ ____________________________
Подпись ФИО
«___» ________________ 20___ г.
11
Вопрос юристу
Поделитесь ссылкой на эту страницу: