ФГБУЗ КБ №85 ФМБА РОССИИ
Обучающая платформа для сотрудников
Внутренние документы
ИНСТРУКЦИЯ
пользователей средств криптографической защиты информации в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико-биологического
агентства»
пользователей средств криптографической защиты информации в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико-биологического
агентства»
Утверждено приказом ВРИО главного врача 24 октября 2025 года
1. Общие положения
Настоящая Инструкция разработана в целях регламентации действий работников, допущенных кработам сиспользованием средств криптографической защиты информации (далее - Пользователей) в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико-биологического агентства» (далее - Организация).
Под работами с применением СКЗИ в настоящей Инструкции понимаются
защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.
Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее - ФАПСИ) от 13 июня 2001 г. No152
(далее - Инструкция ФАПСИ от 13 июня 2001 .г No152), Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (далее - Положение ПК3-2005), утвержденного приказом Федеральной службы безопасности (далее - ФСБ РФ) от 9 февраля 2005г. No 66, а также Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ от 10 июля 2014 года No 378.
Настоящая Инструкция разработана в целях регламентации действий работников, допущенных кработам сиспользованием средств криптографической защиты информации (далее - Пользователей) в Федеральном государственном бюджетном учреждении здравоохранения «Клиническая больница No 85 Федерального медико-биологического агентства» (далее - Организация).
Под работами с применением СКЗИ в настоящей Инструкции понимаются
защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.
Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее - ФАПСИ) от 13 июня 2001 г. No152
(далее - Инструкция ФАПСИ от 13 июня 2001 .г No152), Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (далее - Положение ПК3-2005), утвержденного приказом Федеральной службы безопасности (далее - ФСБ РФ) от 9 февраля 2005г. No 66, а также Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ от 10 июля 2014 года No 378.
2. Термины и определения
1. Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
2. Исходная ключевая информация - совокупность данных , предназначенных для выработки по определенным правилам криптоключей.
3.Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
4.Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
5. Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
6. Компрометация - хищение, утрата, несанкционированное копирование и другие происшествия, разглашение, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
7.Криптографический ключ (далее - криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
8.Орган криптографической защиты (далее - ОК3) - структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлениимероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
9. Ответственный за организацию работ по криптографической защите информации (далее - Ответственный) - сотрудник Организации, отвечающий за реализацию мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
10. Персональный компьютер (далее - ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
11. Пользователи СКЗИ - работники Организации, непосредственно допущенные к работе с СКЗИ.
12. Средство криптографической защиты информации (далее - СКЗИ) - совокупность аппаратных и(или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью,
шифрования этих документов при передаче по открытым каналам, защиты информации при передаче каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
13. Электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
1. Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.
2. Исходная ключевая информация - совокупность данных , предназначенных для выработки по определенным правилам криптоключей.
3.Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
4.Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
5. Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
6. Компрометация - хищение, утрата, несанкционированное копирование и другие происшествия, разглашение, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
7.Криптографический ключ (далее - криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
8.Орган криптографической защиты (далее - ОК3) - структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлениимероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
9. Ответственный за организацию работ по криптографической защите информации (далее - Ответственный) - сотрудник Организации, отвечающий за реализацию мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
10. Персональный компьютер (далее - ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
11. Пользователи СКЗИ - работники Организации, непосредственно допущенные к работе с СКЗИ.
12. Средство криптографической защиты информации (далее - СКЗИ) - совокупность аппаратных и(или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью,
шифрования этих документов при передаче по открытым каналам, защиты информации при передаче каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
13. Электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Обязанности пользователей СКЗИ
Пользователи СКЗИ обязаны:
1) соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;
2) обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;
3) соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;
4) незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;
5) при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;
б) при подозрении на компрометацию ключевой документации, атакже при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.
Пользователям СКЗИ запрещается:
1) выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы ит.п.);
2) оставлять ключевые носители с ключевой документацией без присмотра; 3) записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);
4) вносить любые изменения в программное обеспечение СКЗИ
Пользователи СКЗИ обязаны:
1) соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;
2) обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;
3) соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;
4) незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;
5) при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;
б) при подозрении на компрометацию ключевой документации, атакже при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.
Пользователям СКЗИ запрещается:
1) выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы ит.п.);
2) оставлять ключевые носители с ключевой документацией без присмотра; 3) записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);
4) вносить любые изменения в программное обеспечение СКЗИ
4. Ответственность пользователей СКЗИ
За нарушение установленных требований по эксплуатации криптосредств пользователь СКЗИ несет ответственность в соответствии с действующим законодательством Российской Федерации.
5. Действия в случае компрометации ключей
О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному аз организацию работ по криптографической защите информации. Ккомпрометации ключей относятся следующие события:
1) утрата носителей ключа;
2) утрата иных носителей ключа с последующим обнаружением; возникновение подозрений на утечку ключевой информации или ее искажение;
4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
7) доступ посторонних лиц к ключевой информации;
8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.
В случае компрометации ключа пользователя незамедлительно должны быть
приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.
Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей иключевой документацией, осуществляет (обладатель компрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.
6. Ответственность лиц, допущенных к работе с СКЗИ
За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.