ar-net.ru43. СКЗИ уничтожают (утилизируют) в соответствии с требованиями Положения ПКЗ-99 по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с лицензиатом ФАПСИ.
Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств.
44. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
45. Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах.
46. Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются пользователями этих СКЗИ самостоятельно под расписку в техническом (аппаратном) журнале.
Ключевые документы уничтожаются либо пользователями СКЗИ, либо сотрудниками органа криптографической защиты под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи. После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующий орган криптографической защиты для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документах. Орган криптографической защиты вправе устанавливать периодичность представления указанных отчетов чаще одного раза в год.
Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников органа криптографической защиты. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
47. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ. О выводе криптоключей из действия сообщают в соответствующий орган криптографической защиты. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению лицензиата ФАПСИ, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а передаваемая информация как можно менее ценной.
48. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием конфиденциальной информации, пользователи СКЗИ обязаны сообщать в соответствующий орган криптографической защиты. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
49. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет обладатель скомпрометированной конфиденциальной информации.
50. Порядок оповещения пользователей СКЗИ о предполагаемой компрометации криптоключей и их замене устанавливается соответствующим органом криптографической защиты или ФАПСИ.
IV. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним
51. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним*(11), должны обеспечивать сохранность конфиденциальной информации*(12), СКЗИ, ключевых документов.
При оборудовании спецпомещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.
Перечисленные в настоящей Инструкции требования к спецпомещениям могут не предъявляться, если это предусмотрено правилами пользования СКЗИ, согласованными с ФАПСИ.
52. Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
53. Размещение, специальное оборудование, охрана и организация режима в спецпомещениях органов криптографической защиты должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
54. Режим охраны спецпомещений органов криптографической защиты, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает лицензиат ФАПСИ по согласованию, при необходимости, с обладателем конфиденциальной информации, в помещениях которого располагается соответствующий орган криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции.
55. Двери спецпомещений органов криптографической защиты должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам органов криптографической защиты под расписку в журнале учета хранилищ. Дубликаты ключей от входных дверей таких спецпомещений следует хранить в сейфе руководителя органа криптографической защиты. Хранение дубликатов ключей вне помещений органа криптографической защиты не допускается.
56. Для предотвращения просмотра извне спецпомещений органов криптографической защиты их окна должны быть защищены.
57. Спецпомещения органов криптографической защиты, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять руководителю органа криптографической защиты или по его поручению другому сотруднику этого органа совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах.
58. Каждый орган криптографической защиты для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей должен иметь необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у сотрудника, ответственного за хранилище. Дубликаты ключей от хранилищ сотрудники хранят в сейфе руководителя органа криптографической защиты.
Дубликат ключа от хранилища руководителя органа криптографической защиты в опечатанной упаковке должен быть передан на хранение должностному лицу, назначаемому лицензиатом ФАПСИ, под расписку в соответствующем журнале.
59. По окончании рабочего дня спецпомещения органа криптографической защиты и установленные в них хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы под расписку в соответствующем журнале руководителю органа криптографической защиты или лицу, им уполномоченному (дежурному), которые хранят эти ключи в личном или специально выделенном хранилище.
Ключи от спецпомещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ органа криптографической защиты, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службе охраны или дежурному по организации одновременно с передачей под охрану самих спецпомещений. Печати, предназначенные для опечатывания хранилищ, должны находиться у сотрудников органа криптографической защиты, ответственных за эти хранилища.
60. При утрате ключа от хранилища или от входной двери в спецпомещение органа криптографической защиты замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает руководитель органа криптографической защиты.
61. В обычных условиях спецпомещения органа криптографической защиты, находящиеся в них опечатанные хранилища могут быть вскрыты только сотрудниками органа криптографической защиты.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти спецпомещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено руководителю органа криптографической защиты. Прибывшие сотрудники органа криптографической защиты должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.
62. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в спецпомещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.
На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае пользователи СКЗИ по согласованию с органом криптографической защиты обязаны предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в их отсутствие.
63. Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ.
64. В спецпомещениях пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ.
65. При утрате ключа от хранилища или от входной двери в спецпомещение пользователя СКЗИ замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает орган криптографической защиты.
66. В обычных условиях опечатанные хранилища пользователей СКЗИ могут быть вскрыты только самими пользователями.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти спецпомещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено руководству обладателя конфиденциальной информации и руководителю органа криптографической защиты. Прибывшие сотрудники органа криптографической защиты должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.
V. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации
67. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации - государственный контроль осуществляют федеральные органы правительственной связи и информации*(13). В ходе государственного контроля изучаются и оцениваются:
организация безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации;
достигнутый уровень криптографической защиты конфиденциальной информации;
условия использования СКЗИ.
68. При организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ подлежащей в соответствии с законодательством Российской Федерации обязательной защите конфиденциальной информации государственному контролю подлежит деятельность лицензиатов ФАПСИ, а также обладателей конфиденциальной информации, если необходимость криптографической защиты такой информации в соответствии с Положением ПКЗ-99 определяется государственными органами или государственными организациями.
При организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ не подлежащей обязательной защите конфиденциальной информации государственному контролю подлежит деятельность лицензиатов ФАПСИ. Обладатели конфиденциальной информации в этом случае могут быть проверены федеральными органами правительственной связи и информации лишь по их просьбе или с их согласия.
Возможность и форму доступа государственных контрольных органов к содержанию конфиденциальной информации определяет руководитель проверяемой организации.
Сроки и периодичность государственного контроля определяет ФАПСИ.
69. Лицензиаты ФАПСИ обязаны контролировать выполнение обладателями конфиденциальной информации данных им указаний по организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, а также соблюдение такими обладателями условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФАПСИ и настоящей Инструкцией.
70. В целях координации государственного контроля и контроля, проводимого лицензиатами ФАПСИ, федеральные органы правительственной связи и информации могут планировать и проводить проверки совместно с заинтересованными органами криптографической защиты, рекомендовать лицензиатам ФАПСИ объекты проверок.
71. Непосредственный допуск к проверке комиссии или уполномоченного федеральных органов правительственной связи и информации осуществляет руководство проверяемых лиц при предъявлении проверяющими удостоверения (предписания) на право проверки, заверенного печатью, и документов, удостоверяющих личность.
Удостоверения (предписания) на право проверки подписывают генеральный директор ФАПСИ, его заместители, а также по их указанию - руководители федеральных органов правительственной связи и информации. Допуск к проверке возможен на основании указаний этих лиц, переданных по техническим каналам связи.
72. По результатам государственного контроля составляется подробный или краткий акт, справка. С актом проверки (справкой) под расписку должно быть ознакомлено руководство проверяемых лиц. Акт (справку) высылают в соответствующий орган криптографической защиты, координирующий орган криптографической защиты (при его наличии) и федеральный орган правительственной связи и информации. Если в ходе проверки выявлены нарушения требований и условий лицензий и сертификатов ФАПСИ, то федеральные органы правительственной связи и информации сообщают в Лицензионный и сертификационный центр ФАПСИ об этих нарушениях и принятых мерах.
Если в использовании СКЗИ обнаружены недостатки, то лицензиаты ФАПСИ, обладатели конфиденциальной информации обязаны принять безотлагательные меры к устранению вскрытых проверкой недостатков и выполнению рекомендаций, изложенных в акте проверки. Сообщения о принятых мерах должны быть представлены в установленные проверяющими сроки. При необходимости может быть составлен план мероприятий, где предусматривается решение соответствующих вопросов.