Документи, які регламентують обробку пдн з використанням кріптосредств (ЗКЗІ)
Документи, які регламентують обробку ПДН з використанням кріптосредств (ЗКЗІ)
У продовження статті про документах, що регламентують обробку ПДН в інформаційних системах Компанії, розглянемо варіант застосування засобів криптографічного захисту інформації (СКЗИ).
У цьому випадку на додаток до перерахованих в попередній статті документів необхідно розробити додатковий пакет, який регламентує обробку ПДН з використанням кріптосредств.
Модель загроз безпеки персональних даних при їх обробці в інформаційній системі персональних даних.
Експлуатаційна та технічна документація на використовувані кріптосредства.
Висновок про можливість експлуатації кріптосредств.
Журнал обліку використовуваних кріптосредств.
Журнал обліку технічної документації до кріптосредствам.
Журнал обліку носіїв персональних даних.
Наказ про призначення осіб (користувачів кріптосредств), допущених до роботи з кріптосредствамі.
Документ, який встановлює порядок забезпечення безпеки ПДН за допомогою кріптосредств.
Документ, який встановлює порядок організації контролю за дотриманням умов використання кріптосредств.
Документ, який встановлює порядок зберігання носіїв персональних даних.
Документи, перераховані в пп.1-10, розробляються на підставі методичного документа ФСБ «Типові вимоги по організації і забезпеченню функціонування шифрувальних (криптографічних) коштів, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю в разі їх використання для забезпечення безпеки персональних даних при обробці в інформаційних системах персональних даних »:
п. 2.3. При розробці і реалізації заходів з організації та забезпечення безпеки персональних даних при їх обробці в інформаційній системі оператор або уповноважена оператором особа здійснює:
- розробку для кожної інформаційної системи персональних даних моделі загроз безпеки персональних даних при їх обробці;
- розробку на основі моделі загроз системи безпеки персональних даних, що забезпечує нейтралізацію всіх перерахованих в моделі загроз;
- визначення необхідності використання кріптосредств для забезпечення безпеки персональних даних і, в разі позитивного рішення, визначення на основі моделі загроз мети використання кріптосредств для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, поширення персональних даних і (або ) інших неправомірних дій при їх обробці;
- встановлення та введення в експлуатацію кріптосредств відповідно до експлуатаційної та технічної документації до цих коштів;
- перевірку готовності кріптосредств до використання з складанням висновків про можливість їх експлуатації;
- навчання осіб, які використовують кріптосредства, роботі з ними;
- поекземплярний облік використовуваних кріптосредств, експлуатаційної та технічної документації до них, носіїв персональних даних;
- облік осіб, допущених до роботи з кріптосредствамі, призначеними для забезпечення безпеки персональних даних в інформаційній системі (користувачі кріптосредств);
- контроль за дотриманням умов використання кріптосредств, передбачених експлуатаційної та технічної документації до них;
- розгляд та складання висновків за фактами порушення умов зберігання носіїв персональних даних, використання кріптосредств, які можуть привести до порушення конфіденційності персональних даних або інших порушень, що призводить до зниження рівня захищеності персональних даних, розробку і вживання заходів щодо запобігання можливих небезпечних наслідків подібних порушень;
- опис організаційних і технічних заходів, які оператор зобов'язується здійснювати при забезпеченні безпеки персональних даних з використанням кріптосредств при їх обробці в інформаційних системах.
Наказ про призначення відповідального користувача кріптосредств.
п. 2.6 Забезпечення функціонування та безпеки кріптосредств покладається на відповідального користувача кріптосредств, що має необхідний рівень кваліфікації, якого призначає наказом.
Функціональні обов'язки відповідального користувача кріптосредств.
п. 2.7 Відповідальні користувачі кріптосредств повинні мати функціональні обов'язки, розроблені відповідно до цих Вимог.
Особові рахунки на користувачів кріптосредств.
п. 3.5 Відповідальний користувач кріптосредств заводить і веде на кожного користувача кріптосредств особовий рахунок, в якому реєструє значаться за ними кріптосредства, експлуатаційну та технічну документацію до них, ключові документи.
Технічний (апаратний) журнал реєстрації разових ключових носіїв (при необхідності).
п. 3.6. Якщо експлуатаційної та технічної документації до кріптосредствам передбачено застосування разових ключових носіїв або кріптоключа вводять і зберігають (на весь термін їх дії) безпосередньо в кріптосредствах, то такий разовий ключовий носій або електронний запис відповідного кріптоключа повинні реєструватися в технічному (апаратному) журналі, що ведеться безпосередньо користувачем кріптосредств. У технічному (апаратному) журналі відображають також дані про експлуатацію кріптосредств і інші відомості, передбачені експлуатаційної та технічної документації. В інших випадках технічний (апаратний) журнал на кріптосредства не заводиться (якщо немає прямих вказівок про його веденні в експлуатаційній або технічної документації до кріптосредствам).
Наказ про призначення комісії по знищенню ключових документів.
п. 3.22. Знищення за актом проводить комісія в складі не менше двох осіб з числа осіб, допущених до користування кріптосредств. В акті вказується, що знищується і в якій кількості. В кінці акта робиться підсумковий запис (цифрами і прописом) про кількість найменувань і примірників знищуваних ключових документів, встановлюються кріптосредства носіїв, експлуатаційної та технічної документації.
Документ, який встановлює вимоги до режимних приміщень в яких експлуатуються кріптосредства.
п. 4.1 Розміщення, спеціальне обладнання, охорона і організація режиму в приміщеннях, де встановлені кріптосредства або зберігаються ключові документи до них (далі - режимні приміщення), повинні забезпечувати збереження персональних даних, кріптосредств і ключових документів до них.
Вимоги до режимних приміщень можуть не пред'являтися, якщо це передбачено правилами користування кріптосредствамі, узгодженими з ФСБУкаіни.
Журнал обліку сховищ.
п. 4.5. Двері спецприміщень повинні бути постійно закриті на замок і можуть відкриватися тільки для санкціонованого проходу співробітників і відвідувачів. Ключі від вхідних дверей нумерують, враховують і видають співробітникам, які мають право допуску в режимні приміщення, під розписку в журналі обліку сховищ. Дублікати ключів від вхідних дверей таких приміщень слід зберігати в сейфі оператора або відповідального користувача кріптосредствамі.
Журнал перевірок справності сигналізації.
п. 4.7. Режимні приміщення, як правило, повинні бути оснащені охоронною сигналізацією, пов'язаної зі службою охорони будівлі або черговим по організації. Справність сигналізації періодично необхідно перевіряти відповідальному користувачеві кріптосредств спільно з представником служби охорони або черговим по організації з відміткою у відповідних журналах.
Журнал обліку ключів від сховищ ключових документів і технічної документації.
п. 4.8. Для зберігання ключових документів, експлуатаційної та технічної документації, встановлюються кріптосредства носіїв має бути передбачено необхідну кількість надійних металевих сховищ, обладнаних внутрішніми замками з двома екземплярами ключів і кодовими замками або пристосуваннями для опечатування замкових щілин. Один екземпляр ключа від сховища повинен перебувати у співробітника, відповідального за сховище. Дублікати ключів від сховищ співробітники зберігають у сейфі відповідального користувача кріптосредств. Дублікат ключа від сховища відповідального користувача кріптосредств в опечатаних упаковці повинен бути переданий на зберігання оператору під розписку у відповідному журналі.
Журнал служби охорони.
п. 4.9. Після закінчення робочого дня режимне приміщення і встановлені в ньому сховища повинні бути закриті, сховища опечатані. Які перебувають у користуванні ключі від сховищ повинні бути здані під розписку у відповідному журналі відповідального користувачеві кріптосредств, або уповноваженому (черговому), які зберігають ці ключі в особистому, або спеціально виділеному сховищі.
Ключі від режимних приміщень, а також ключ від сховища, в якому знаходяться ключі від усіх інших сховищ режимного приміщення, в опечатаному вигляді мають бути здані під розписку у відповідному журналі служби охорони або черговому по організації одночасно з передачею під охорону самих режимних приміщень. Друку, призначені для опечатування сховищ, повинні перебувати у користувачів кріптосредств, відповідальних за ці сховища.
Слідкуйте за нашими публікаціями, задавайте додаткові питання!