Обращение

Уважаемые посетители сайта УСЗН! Здесь Вы можете получить информацию о структуре и функциях УСЗН,  получить ответы на интересующие вопросы. Новостная лента позволит Вам быть в курсе событий, происходящих в сфере социальной защиты населения. Надеемся что сайт станет Вашим надежным помощником и источником полезной информации.

Новое на сайте

Добавлен баннер "Соц газификация"
02.07.2021

Соц газификация
02.07.2021

Отчет по программе Соц поддержка за 2020г
02.07.2021

Добавлен баннер "моя россия"
15.06.2021

Сведения за 2020 год
31.05.2021

Приложение 17

Утверждено приказом Руководителя УСЗН Брединского муниципального района от « 01 » декабря 2014 г. № 85

Перечень помещений размещения средств криптографической защиты

Требования по организации и обеспечению функционирования криптографических средств, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах Управления социальной защиты населения Брединского муниципального района Челябинской области

1. Основные термины и определения

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания

Крипто-средство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к крипто-средствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Персональные дан ные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Распространение персональных данных- действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Режимные помещения - помещения, где установлены крипто-средства или хранятся ключевые документы к ним.

Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

2. Организация и обеспечение безопасности обработки с использованием криптографических средств персональных данных

2.1.   Безопасность обработки персональных данных с использованием криптосредств организуют и обеспечивает лица, которым поручена обработка персональных данных в информационной системе персональных данных с использованием крипто-средств.

2.2.  Пользователи криптосредств обязаны:

-   не разглашать информацию, к которой они допущены, в том числе сведения о крипто-средствах, ключевых документах к ним и других мерах защиты;

-   соблюдать требования к обеспечению безопасности персональных данных, требования к обеспечению безопасности крипто-средств и ключевых документов к ним;

-   сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых крипто-средствах или ключевых документах к ним;

-   немедленно уведомлять оператора о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.

-   сдать крипто-средства, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящими Требованиями, при увольнении или отстранении от исполнения обязанностей, связанных с использованием крипто-средств.

2.3.   Лица, назначенные приказом Управления в качестве пользователей (ответственных пользователей) крипто-средств, должны быть ознакомлены письменно с настоящим приказом и другими документами, регламентирующими организацию и обеспечение безопасности персональных данных при их обработке в информационных системах, и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.

2.4. Текущий контроль за организацией и обеспечением функционирования крипто- средств возлагается на ответственного пользователя крипто-средств в пределах их служебных полномочий.

3. Порядок обращения с крипто-средствами и крипто-ключами к ним

3.1.  Пользователи крипто-средств обязаны:

-   не разглашать информацию о ключевых документах;

-   не допускать снятие копий с ключевых документов;

-   не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ или принтер;

-   не допускать записи на ключевой носитель посторонней информации;

-   не допускать установки ключевых документов в другие ПЭВМ.

3.2.   При необходимости передачи по техническим средствам связи служебных сообщений ограниченного доступа, касающихся Управления и обеспечения функционирования крипто-средств, указанные сообщения необходимо передавать только с использованием крипто-средств. Передача по техническим средствам связи крипто-ключей не допускается, за исключением специально организованных систем с децентрализованным снабжением крипто-ключами.

3.3.   Крипто-средства, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету в журнале учета средств защиты информации, эксплуатационной и технической документации к ним.

3.4.   Ответственный пользователь крипто-средств заводит и ведет на каждого пользователя крипто-средств лицевой счет, в котором регистрирует числящиеся за ними крипто-средства, эксплуатационную и техническую документацию к ним, ключевые документы.

3.5 Передача крипто-средств, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями крипто- средств и (или) ответственным пользователем крипто-средств под расписку в журнале по-экземплярного учета крипто-средств, эксплуатационной и технической документацйи к ним, ключевых -документов (приложение). Передача между пользователями крипто-средств должна быть санкционирована ответственным пользователем крипто-средств.

3.6.     Пользователи крипто-средств хранят инсталлирующие крипто-средства носители, эксплуатационную и техническую документацию к крипто-средствам, ключевые документы в металлических шкафах (сейфах) в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

3.7.   Неиспользованные или выведенные из действия ключевые документы подлежат возвращению ответственному пользователю крипто-средств или по его указанию должны быть уничтожены на месте.

3.8.   Крипто-средства уничтожают (утилизируют) по решению заседания постоянно действующей технической комиссии Управления Федеральной службы государственной регистрации, кадастра и картографии по Челябинской области, с уведомлением организации, ответственной за организацию по-экземплярного учета крипто-средств.

3.9.  Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим крипто- средствам. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в журналах поэкземплярного учета. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в криптосредствах или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия крипто-ключам.

3.10.  Крипто-ключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие крипто-ключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к крипто-средствам. В чрезвычайных случаях, когда отсутствуют крипто-ключи для замены скомпрометированных, допускается, по решению ответственного пользователя крипто-средств, согласованного с оператором, использование скомпрометированных крипто-ключей. В этом случае период использования скомпрометированных крипто-ключей должен быть максимально коротким, а защищаемая информация как можно менее ценной.

3.11.  О нарушениях, которые могут привести к компрометации крипто-ключей, их составных частей или передававшихся (хранящихся) с их использованием персональных данных, пользователи крипто-средств обязаны сообщать администратору объектов информатизации.

Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации крипто-ключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, не предъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.

4. Организация режима в помещениях, где установлены крипто-средства

или хранятся ключевые документы к ним

\

4.1 Организация режима в помещениях, где установлены крипто-средства или хранятся ключевые документы к ним (далее - режимные помещения), должны обеспечивать сохранность персональных данных, крипто-средств и ключевых документов к ним.

4.3. Организация режима в помещениях должна исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

4.7.  Режимные помещения должны быть оснащены охранно-пожарной сигнализацией.

4.8.          Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих крипто-средства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. 4.9. По окончании рабочего дня режимное помещение и установленные в нем хранилища должны быть закрыты, опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы уполномоченному (дежурному) под расписку в соответствующем журнале службы охраны.

5. Перечень помещений.

В перечень помещений с установленными средствами крипто-защиты входят:

                     Отдел бухгалтерского учета и правового контроля;

                    Отдел опеки и попечительства;

                    Отдел семьи по назначению и выплате государственных пособий.

                    Отдел субсидий

                    Отдел льгот

                    Приемная

                    Серверная

6. Ответственность за нарушение норм, регулирующих обработку и защиту

персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Обнаружив в тексте ошибку, выделите её и нажмите Ctrl+Enter, чтобы сообщить нам.
Дата публикации: 10 августа, 2016 [09:31]
Дата изменения: 10 августа, 2016 [09:31]