ФГБУЗ КБ №85 ФМБА РОССИИ
Обучающая платформа для сотрудников
Внутренние документы
Регламент
по обращению со средствами криптографической защиты информации в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико-биологического агентства»
по обращению со средствами криптографической защиты информации в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико-биологического агентства»
Утверждено приказом ВРИО главного врача 24 октября 2025 года
1. Общие положения
Настоящий документ разработан в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (далее - СКЗИ) в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико- биологического агентства» (далее - Организация), которые осуществляют работы с применением СКЗИ.
Под работами с применением СКЗИ в настоящем Регламенте понимается защищенное подключение к информационным системам, подписание электронных
документов электронной подписью (далее - ЭП) и проверка подписи, шифрование файлов другие действия согласно технической документации на СКЗИ.
Под обращением с СКЗИ в настоящем Регламенте понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа. Данный документ регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящий Регламент в составе, терминах и определениях основывается на положениях
Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее - ФАПСИ) от 13 июня 2001 г. No152
(далее - Инструкция ФАПСИ от 13 июня 2001 г. No152), Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (далее - Положение ПК3-2005), утвержденного приказом ФСБ РФ от 9 февраля 2005 г. No 66, а также Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ от 10.07.2014 No 378.
Настоящий документ разработан в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (далее - СКЗИ) в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико- биологического агентства» (далее - Организация), которые осуществляют работы с применением СКЗИ.
Под работами с применением СКЗИ в настоящем Регламенте понимается защищенное подключение к информационным системам, подписание электронных
документов электронной подписью (далее - ЭП) и проверка подписи, шифрование файлов другие действия согласно технической документации на СКЗИ.
Под обращением с СКЗИ в настоящем Регламенте понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа. Данный документ регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящий Регламент в составе, терминах и определениях основывается на положениях
Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее - ФАПСИ) от 13 июня 2001 г. No152
(далее - Инструкция ФАПСИ от 13 июня 2001 г. No152), Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (далее - Положение ПК3-2005), утвержденного приказом ФСБ РФ от 9 февраля 2005 г. No 66, а также Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ от 10.07.2014 No 378.
2. Термины и определения
1.Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
2.Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
3.Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная д л я осуществления криптографической защиты информации в течение определенного срока.
4.Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
5.Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
6.Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
7.Криптографический ключ (далее - криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
8.Орган криптографической защиты (далее - ОК3) - структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
9.Ответственный за организацию работ по криптографической защите информации (далее - Ответственный) - сотрудник Организации, отвечающий за реализацию мероприятий, связанных с обеспечением Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
10.Персональный компьютер (далее - ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
11.Пользователи СКЗИ - работники Организации, непосредственно допущенные к работе с СКЗИ.
12.Средство криптографической защиты информации (далее - СКЗИ)
- совокупность аппаратных и(или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью,
шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении
13.Электронная подпись (далее -ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
1.Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
2.Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
3.Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная д л я осуществления криптографической защиты информации в течение определенного срока.
4.Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
5.Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
6.Компрометация - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
7.Криптографический ключ (далее - криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
8.Орган криптографической защиты (далее - ОК3) - структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
9.Ответственный за организацию работ по криптографической защите информации (далее - Ответственный) - сотрудник Организации, отвечающий за реализацию мероприятий, связанных с обеспечением Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
10.Персональный компьютер (далее - ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
11.Пользователи СКЗИ - работники Организации, непосредственно допущенные к работе с СКЗИ.
12.Средство криптографической защиты информации (далее - СКЗИ)
- совокупность аппаратных и(или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью,
шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении
13.Электронная подпись (далее -ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Порядок получения допуска пользователей к работе с СКЗИ
Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.
Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Организации. Контроль над реализацией данных мероприятий возлагается на Ответственного.
Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.
Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Организации. Контроль над реализацией данных мероприятий возлагается на Ответственного.
4. Работа с СКЗИ
Размещение и монтаж СКЗИ, а так же другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено. В организации должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.
Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть промаркированы должны использоваться, учитываться и храниться в общем порядке. Все копии учитываются за отдельным номером.
Каждый ключевой документ должен быть зарегистрировать в Журнале поэкземплярного учёта СКЗИ.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только с разрешения руководителя организации с соответствующей пометкой в журнале поэкземплярного учета.
При обнаружении на рабочей станции с установленным СКЗИ, программного обеспечения, не соответствующего объему и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.
5. Действия в случае компрометации ключей
О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному аз организацию работ по криптографической защите информации. Ккомпрометации ключей относятся следующие события:
1) утрата носителей ключа;
2) утрата иных носителей ключа с последующим обнаружением; возникновение подозрений на утечку ключевой информации или ее искажение;
4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
7) доступ посторонних лиц к ключевой информации;
8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.
В случае компрометации ключа пользователя незамедлительно должны быть
приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.
Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей иключевой документацией, осуществляет (обладатель компрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.
6. Ответственность лиц, допущенных к работе с СКЗИ
За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.