ПРИЛОЖЕНИЕ № 5
к Постановлению местной администрации
внутригородского муниципального
образования г. Севастополя –
Верхнесадовский муниципальный округ
от 15.07.2020 № 51/2020 – МА
ПОРЯДОК
восстановления связи в случае компрометации действующих ключей к средствам криптографической защиты информации
1. Порядок обращения с ключами
1.1.Изготовление и выдача ключей осуществляются ответственным пользователем средств криптографической защиты информации (далее – СКЗИ).
1.2. Выработанные секретные криптоключи хранятся исключительно в электронном виде на цифровых носителях информации, которые получают статус носителя ключевой информации (далее – НКИ).
1.3. Владельцы ключей несут персональную ответственность за обеспечение конфиденциальности ключевой информации и защиту НКИ от несанкционированного использования.
1.4. Для хранения носителей ключевой информации Пользователь по окончании рабочего дня обязан сдавать НКИ ответственному пользователю СКЗИ. Допускается хранение НКИ Пользователем в индивидуальных сейфах, запирающихся шкафах и пр. запирающихся хранилищах.
1.5. Категорически запрещается:
- осуществлять несанкционированное копирование ключевых данных;
- хранить НКИ вне сейфов и помещений, гарантирующих их сохранность и конфиденциальность;
- передавать НКИ третьим лицам;
- во время работы оставлять НКИ без присмотра (например, на рабочем столе или в разъеме системного блока ПЭВМ);
- хранить на НКИ какую-либо информацию, кроме ключевой;
- использовать в помещениях, где применяются СКЗИ, личные технические средства, позволяющие осуществлять копирование ключевой информации.
1.6. После ввода в действие нового ключа Пользователь обязан предоставить ответственному пользователю СКЗИ носитель ключевой информации, выведенный из действия, для уничтожения ключевой информации с носителя.
1.7. Использование криптоключей, которые выведены из действия – запрещено.
2. Действия при компрометации действующих ключей и восстановлении конфиденциальной связи
2.1. Под компрометацией криптографического ключа понимается утрата доверия к тому, что данный ключ обеспечивает однозначную идентификацию Пользователя и конфиденциальность информации, обрабатываемой с его помощью. К событиям, связанным с компрометацией действующих криптографических ключей, относятся:
- утрата (хищение) НКИ, в том числе – с последующим их обнаружением;
- увольнение (переназначение) сотрудников, имевших доступ к ключевой информации;
- передача секретных ключей по линии связи в открытом виде;
- нарушение правил хранения крипто ключей;
- вскрытие фактов утечки передаваемой информации или её искажения (подмены, подделки);
- несанкционированное или без учётное копирование ключевой информации;
- все случаи, когда нельзя достоверно установить, что произошло с НКИ (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий).
2.2. При наступлении любого из перечисленных выше событий Пользователь должен немедленно прекратить связь с другими абонентами и сообщить о факте компрометации (или предполагаемом факте компрометации) сотруднику, ответственному за ИБ, лично, по телефону, электронной почте или другим доступным способом. В любом случае владелец ключа обязан убедиться, что его сообщение получено и прочтено адресатом.
2.3. При подтверждении факта компрометации действующих ключей Пользователь обязан обеспечить немедленное изъятие из обращения скомпрометированных криптографических ключей и сдачу их ответственному пользователю СКЗИ, в течение 3 рабочих дней.
2.4. Для восстановления конфиденциальной связи после компрометации действующих ключей Пользователь получает у ответственного пользователя СКЗИ, новый носитель с нескомпрометированной ключевой информацией на основании предоставленного Заявления.
3. Ответственность Пользователя
3.1. Пользователь несет персональную ответственность за:
- правильность эксплуатации и сохранность СКЗИ, носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;
- сохранение в тайне конфиденциальной информации, ставшей им известной в процессе работы с СКЗИ;
- сохранение в тайне содержания закрытых ключей СКЗИ и средств ЭП;
- утрату и некорректность эксплуатации СКЗИ и закрытых ключей;
- за то, чтобы на компьютере, на котором установлены СКЗИ и средства ЭП, не были установлены и не эксплуатировались программы (в том числе, - вирусы), которые могут нарушить функционирование программных СКЗИ и средств ЭП;
- в случае несвоевременного сообщения о факте компрометации ключей Пользователь, допустивший компрометацию ключей, несет ответственность в полном объеме за ущерб, причиненный им другим Пользователям Системы.
3.2 В случае неисполнения или ненадлежащего выполнения требований настоящей Инструкции Пользователь ключа может быть привлечен к дисциплинарной и/или административной ответственности в соответствии с действующим Законодательством Российской Федерации.