Типы документов

Реклама

Партнеры

Приказ комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию от 18.12.2013 N 220/01-07 о/д "Об утверждении Положения об учете, хранении и использовании носителей электронной подписи в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию"



КОМИТЕТ СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ

ПРИКАЗ
от 18 декабря 2013 г. № 220/01-07 о/д

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ УЧЕТЕ, ХРАНЕНИИ И ИСПОЛЬЗОВАНИИ
НОСИТЕЛЕЙ ЭЛЕКТРОННОЙ ПОДПИСИ В КОМИТЕТЕ СТАВРОПОЛЬСКОГО
КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ
И ЛИЦЕНЗИРОВАНИЮ

В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" приказываю:

1. Утвердить прилагаемое Положение об учете, хранении и использовании носителей электронной подписи в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
2. Общему отделу комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию довести настоящий приказ до сведения руководителей структурных подразделений комитета.
3. Контроль за выполнением настоящего приказа возложить на заместителя председателя комитета Видиневу И.И.
4. Настоящий приказ вступает в силу с 1 апреля 2014 года.

Исполняющая обязанности
председателя комитета
Г.П.МИРОНЫЧЕВА





Утверждено
приказом
комитета Ставропольского края
по пищевой и перерабатывающей
промышленности, торговле
и лицензированию
от 18 декабря 2013 г. № 220/01-07 о/д

ПОЛОЖЕНИЕ
ОБ УЧЕТЕ, ХРАНЕНИИ И ИСПОЛЬЗОВАНИИ НОСИТЕЛЕЙ ЭЛЕКТРОННОЙ
ПОДПИСИ В КОМИТЕТЕ СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ
И ПЕРЕРАБАТЫВАЮЩЕЙ ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ

I. Общие положения

1. Положение об учете, хранении и использовании носителей электронной подписи в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию (далее соответственно - Положение, комитет) устанавливает организационные мероприятия по работе с носителями электронных подписей (далее - НЭП), порядок изготовления, регистрации, предоставления доступа, учета, хранения и использования работниками комитета НЭП, контроля использования НЭП, порядок действий при компрометации НЭП, а также правила обеспечения режима безопасности при работе с НЭП.

2. Положение разработано в соответствии с нормативными правовыми актами Российской Федерации и Ставропольского края в области защиты информации, в том числе Федеральным законом от 06 апреля 2013 года № 63-ФЗ "Об электронной подписи".
3. Требования, установленные настоящим Положением, являются обязательными для всех работников комитета.
4. Работник, прежде чем приступить к работе с НЭП, обязан ознакомиться с настоящим положением лично, под роспись.

II. Основные термины, сокращения и определения

5. Носитель электронной подписи - дискета, флэш-память, рутокен и или прочие электронные носители, на которых хранятся ключи электронной подписи, предназначенные для защиты электронных взаимодействий.
6. Секретный (закрытый) ключ подписи - ключ, предназначенный для формирования электронной подписи электронных документов.
7. Открытый (публичный) ключ подписи - ключ, автоматически формируется при изготовлении секретного ключа подписи и однозначно зависящий от него. Открытый ключ предназначен для проверки корректности электронной подписи электронного документа. Открытый ключ считается принадлежащим участнику электронных взаимодействий, если он был сертифицирован (зарегистрирован) в установленном порядке.
8. Ключ шифрования - ключ, предназначенный для закрытия электронного документа при электронных взаимодействиях.
9. Шифрование - специализированный метод защиты информации от ознакомления с ней третьих лиц, основанный на кодировании информации по алгоритму ГОСТ 28147-89 с использованием соответствующих ключей.
10. Компрометация - утрата, хищение, несанкционированное копирование или подозрение на копирование НЭП или любые другие ситуации, при которых достоверно неизвестно, что произошло с НЭП. К компрометации также относится увольнение работников, имевших доступ к электронной подписи.
11. Сертификация ключа - процедура заверения (подписания) открытой части регистрируемого ключа электронной подписью.
12. Заявка на регистрацию ключа - служебное сообщение, содержащее новый открытый ключ, подписанное электронной подписью.
13. Администратор информационной безопасности - назначенное приказом комитета ответственное лицо за организацию обработки и обеспечение безопасности информации ограниченного распространения, имеющее базовое высшее образование в области защиты информации или прошедшее курс дополнительного профессионального образования в области защиты информации в объеме не менее 72 часов и получившее удостоверение государственного образца о краткосрочном повышении квалификации.
14. Информационная безопасность (далее - ИБ) - комплекс правовых, организационных и технических мер, обеспечивающих конфиденциальность, целостность и доступность информации.
15. Информационная инфраструктура (далее - ИИ) - информационные ресурсы, технологии и системы, базы данных, серверное, компьютерное, сетевое и периферийное оборудование, программное обеспечение, программные и аппаратно-программные средства защиты информации, информационно-телекоммуникационная сеть, находящиеся в ведении комитета, используемые для выполнения работниками комитета служебных обязанностей, доступа к ресурсам сети Интернет, а также информационного взаимодействия с органами государственной власти Ставропольского края.
16. Информационные технологии (далее - ИТ) - совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации комитета с использованием средств компьютерной техники и телекоммуникационного оборудования.
17. Сеть Интернет - глобальная информационно-телекоммуникационная сеть, обеспечивающая удаленный доступ к ресурсам различного содержания и направленности.
18. Пользователь - работник комитета, использующий ресурсы информационной инфраструктуры комитета при исполнении своих служебных обязанностей.
19. Автоматизированное рабочее место (далее - АРМ) - в составе персонального компьютера, периферийного оборудования и прикладного программного обеспечения, предназначенное для исполнения пользователем служебных обязанностей.
20. Паспорт АРМ - документ, содержащий полный перечень оборудования и программного обеспечения АРМ.

III. Организация работы с носителями ключевой информации

21. Пользователь НЭП, которому в соответствии с его должностными функциями предоставлено право постановки на электронных документах электронной подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его электронная подпись. Список лиц, имеющих доступ к НЭП, составляется администратором информационной безопасности и фиксируется в приказе комитета.
22. В целях обеспечения идентификации отправителей и получателей информации, защиты ее от несанкционированного доступа председатель комитета назначает ответственных работников за осуществление электронного взаимодействия и наделяет их правом установки электронной подписи отправляемых документов.
23. Администратор информационной безопасности устанавливает соответствующие средства криптозащиты информации на АРМ работников комитета для обеспечения электронного взаимодействия. Проводит обучение ответственных работников структурных подразделений комитета, участвующих в электронных взаимодействиях, работе со средствами обеспечения электронного документооборота и средствами криптозащиты информации.
24. Администратор информационной безопасности осуществляет выборочный контроль соблюдения ответственными работниками комитета правил обеспечения режима безопасности НЭП.

IV. Порядок изготовления, регистрации, предоставления
доступа, учета, хранения и использования носителей
электронных подписей

25. Генерация и запись на НЭП уникальной ключевой информации, необходимой для формирования электронной подписи, осуществляется администратором информационной безопасности с помощью программного обеспечения, выполняющего функции, регламентированные технологическим процессом формирования ключей электронной подписи.
26. Работник комитета, для которого изготавливалась электронная подпись, оформляет необходимую документацию для изготовления электронной подписи.
27. Электронная подпись изготавливается и записывается на НЭП в одном из аккредитованных Министерством связи и массовых коммуникаций Российской Федерации удостоверяющих центрах.
28. Работник комитета, для которого изготавливалась электронная подпись, по доверенности получает электронную подпись в аккредитованном удостоверяющем центре.
29. Для обеспечения возможности восстановления электронной подписи работника комитета, в случае выхода НЭП из строя, администратор информационной безопасности создает резервную копию электронной подписи.
30. Носители электронной подписи должны иметь соответствующие опознавательные ярлыки с регистрационными номерами. Администратор информационной безопасности вносит запись в журнал "Учет мобильных устройств и съемных носителей информации" и выдает НЭП работнику, для которого изготавливается электронная подпись. Вносимая запись отражает регистрационный номер НЭП, дату изготовления, подпись ответственного работника комитета, для которого изготавливалась электронная подпись, подпись администратора информационной безопасности, вид НЭП (оригинал, резервная копия), область применения электронной подписи.
31. НЭП ответственного работника комитета может быть использована другим работником комитета после регистрации факта временной передачи НЭП в журнале "Учет мобильных устройств и съемных носителей".
32. Резервная копия НЭП должна храниться в опечатываемом индивидуальном пенале в металлическом сейфе администратора информационной безопасности. Пеналы извлекаются из сейфа только для восстановления рабочей копии электронной подписи. Наличие резервных копий НЭП в пеналах проверяется администратором информационной безопасности при каждом вскрытии и опечатывании сейфа. Если печать на пенале нарушена, то НЭП считается скомпрометированной.
33. За хранение рабочей копии НЭП отвечает работник комитета, для которого изготавливалась электронная подпись. Рабочие копии НЭП хранятся индивидуально, в опечатываемом пенале в металлическом сейфе. Пеналы извлекаются ответственными работниками комитета за электронное взаимодействие из сейфа только на время электронного взаимодействия. Если печать на пенале нарушена, то дискета считается скомпрометированной.
34. В случае поломки рабочей копии НЭП работник комитета обязан передать ее администратору информационной безопасности для последующего уничтожения в установленным порядке и выдачи новой рабочей копии НЭП. Действия по замене НЭП фиксируются в журнале "Учет мобильных устройств и съемных носителей".
35. Пользователю НЭП запрещается:
1) оставлять НЭП без личного присмотра;
2) передавать НЭП другим лицам (кроме способа, описанного в пункте 32);
3) делать неучтенные копии электронной подписи;
4) использовать НЭП в качестве носителя электронных документов и файлов, не имеющих отношения к техническому процессу подписания электронных документов электронной подписью;
5) вносить изменения в файлы, находящиеся на НЭП;
6) использовать НЭП на заведомо неисправном АРМ;
7) подписывать своей электронной подписью любые электронные сообщения и документы, кроме тех видов документов, которые регламентированы технологическим процессом;
8) распространять информацию, что он является пользователем НЭП.

V. Порядок действий при компрометации НЭП

36. К событиям, связанным с компрометацией ключевой информации, должны быть отнесены следующие события:
1) утрата НЭП;
2) утрата НЭП с последующим обнаружением;
3) увольнение работников комитета, имевших доступ к НЭП;
4) возникновение подозрений на утечку информации или ее искажения в системе связи;
5) нерасшифровывание входящих или исходящих сообщений;
6) нарушение печати на сейфе или пенале с НЭП.
37. При компрометации электронной подписи участника электронного взаимодействия предусмотрены следующие мероприятия:
1) прекращение передачи информации с использованием скомпрометированной электронной подписи;
2) сообщение о факте компрометации администратору информационной безопасности;
3) на основании сообщения участника электронного взаимодействия администратор информационной безопасности исключает из средств криптографической защиты информации скомпрометированную электронную подпись;
4) участник обмена электронного взаимодействия подготавливает документы на отзыв скомпрометированной электронной подписи из аккредитованного удостоверяющего центра.

VI. Обеспечение информационной безопасности при работе с НЭП

38. Порядок допуска в помещения, в которых ведется обработка НЭП, определяется внутренней инструкцией.
39. Для хранения носителей электронных подписей, нормативной и эксплуатационной документации, инсталляционных файлов помещения должны быть обеспечены сейфами.
40. Установленный порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.
41. Размещение и установка средств криптографической защиты информации осуществляется в соответствии с требованиями документации на средства криптографической защиты.
42. Системные блоки АРМ со средствами криптографической защиты оборудованы средствами контроля их вскрытия.
43. Порядок обеспечения безопасности хранения НЭП:
1) электронные подписи и лицензии на средства криптографической защиты информации берутся администратором информационной безопасности на поэкземплярный учет в журнале "Учет мобильных устройств и съемных носителей" и "Паспорте автоматизированного рабочего места";
2) хранение электронных подписей, инсталляционных файлов и лицензий средств криптографической защиты информации допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение, или иное, непредусмотренное правилами пользования средствами криптозащиты информации, применение;
3) наряду с этим предусмотрена возможность безопасного совместного хранения рабочих и резервных копий электронных подписей;
4) действующие электронные подписи, записанные на носитель, должны храниться в пенале в опечатываемом сейфе ответственного лица за электронное взаимодействие. Возможность копирования и несанкционированного использования электронной подписи посторонним лицом должна быть исключена.
44. К работе со средствами криптографической защиты и носителям ключевой информации допускаются только работники комитета, знающие правила их эксплуатации, владеющие практическими навыками работы на АРМ, изучившие правила пользования и эксплуатационную документацию по средствам криптографической защиты, имеющие представления о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.
45. Уничтожение ключевой информации на НЭП должно производиться путем полного переформатирования носителя в количестве 7 раз.
46. Уничтожение НЭП, пришедшего в негодность, должно производиться путем расплавления на огне (сожжения) или измельчения микросхемы, извлеченной из корпуса.


------------------------------------------------------------------