Документы



Положение о защите конфиденциальной информации icon

Положение о защите конфиденциальной информации

НазваниеПоложение о защите конфиденциальной информации
Дата19.05.2013
Размер173.05 Kb.
ТипДокументы
скачать

N 157 : 2006







ПОЛОЖЕНИЕ

О ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ЦЕНТРОВ РЕГИСТРАЦИИ КЛЮЧЕЙ

ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ


Узбекское агентство связи и информатизации

Ташкент

Предисловие




1 РАЗРАБОТАНО Центром научно-технических и маркетинговых исследований Узбекского агентства связи и информатизации


ВНЕСЕНО Отделом информационной безопасности Узбекского агентства связи и информатизации


2 УТВЕРЖДЕНО Первым заместителем генерального директора Узбекского агентства связи и информатизации 24.08.2006


3 ВВЕДЕНО В ДЕЙСТВИЕ Приказом Узбекского агентства связи и информатизации от 31.08.2006 № 276


^ 4 ВВЕДЕНО ВПЕРВЫЕ


Настоящий нормативный документ не может быть полностью или частично воспроизведен, тиражирован и распространен без разрешения Узбекского агентства связи и информатизации


Содержание














1

Область применения. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1










2

Термины и определения. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1










3

Общие положения. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3










4

Типы информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


4









5

Система защиты конфиденциальной информации . . . . . . . . . . . . . .

5

6

Основные режимные и организационно-технические мероприятия

5

7

Защита ключевой информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8

8

^

Ответственность в области защиты конфиденциальной

информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

10

Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11




^ ЭЛЕКТРОН РАŠАМЛИ ИМЗОЛАР КАЛИТЛАРИНИ

РŒЙХАТГА ОЛИШ МАРКАЗЛАРИНИНГ

КОНФИДЕНЦИАЛ АХБОРОТИНИ МУЌОФАЗА

ŠИЛИШ ТŒЂРИСИДА

НИЗОМ

ПОЛОЖЕНИЕ

О ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ЦЕНТРОВ РЕГИСТРАЦИИ КЛЮЧЕЙ

ЭЛЕКТРОННЫХ ЦИФРОВЫХ ПОДПИСЕЙ

________________________________________________________________
^

Дата введения 31.08.2006




1 Область применения




Настоящий документ определяет основные требования в области защиты конфиденциальной информации центров регистрации ключей электронной цифровой подписи (далее - Центры регистрации), состав систем обеспечения информационной безопасности Центров регистрации, основные режимные и организационно-технические мероприятия, а также ответственность в области защиты конфиденциальной информации.

Настоящий документ предназначен для применения Центрами регистрации.

^

2 Термины и определения




В настоящем документе применены следующие термины с соответствующими определениями:

2.1 владелец закрытого ключа электронной цифровой подписи (владелец ЭЦП): Физическое лицо, создавшее электронную цифровую подпись (подписывающее электронный документ) и на имя которого Центром регистрации выдан сертификат ключа электронной цифровой подписи.

^ 2.2 закрытый ключ электронной цифровой подписи (закрытый ключ ЭЦП): Последовательность символов, полученная с использованием средств электронной цифровой подписи, известная только подписывающему лицу и предназначенная для создания электронной цифровой подписи в электронном документе.

^ 2.3 защита информации (данных): Комплекс правовых, организационных и технических (программно-аппаратных) мероприятий, направленных на предотвращение или затруднение нанесения ущерба интересам собственника информации (данных).

^ 2.4 компрометация ключа: Хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых ключ может стать доступным несанкционированным лицам и/или процессам.

^ 2.5 конфиденциальная информация: Документированная информация, не содержащая сведений, составляющих государственные секреты, доступ к которым ограничивается в соответствии с законодательством.

^ 2.6 конфиденциальность информации: Состояние информации и носителя, при котором обеспечиваются предотвращение несанкционированного ознакомления с ней или несанкционированного документирования (снятия копий).

^ 2.7 ключевая информация: Совокупность криптографических ключей, специальным образом организованная и предназначенная для осуществления криптографической защиты информации в течение определенного срока.

^ 2.8 ключевой носитель: Физическое устройство (дискета, e-Token, смарт-карта и т.д.), содержащее один или несколько ключей для выполнения криптографических процедур шифрования и расшифрования, формирования электронной цифровой подписи, а также необходимую служебную информацию.

2.9 несанкционированный доступ (НСД), несанкционированный доступ к информации: Доступ субъекта к объекту или информации в нарушение установленных в системе правил разграничения доступа.

^ 2.10 открытый ключ электронной цифровой подписи (открытый ключ ЭЦП): Последовательность символов, полученная с использованием средств электронной цифровой подписи, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения подлинности электронной цифровой подписи в электронном документе.

^ 2.11 персональные данные: Информация о гражданах страны или организациях, затрагивающая их интересы, распространение которой возможно лишь в случае согласия на это соответствующих лиц или организаций.

2.12 пользователь открытого ключа электронной цифровой подписи (пользователь ЭЦП): Юридическое или физическое лицо, использующее открытый ключ электронной цифровой подписи для подтверждения подлинности электронной цифровой подписи.


2.13 сертификат ключа ЭЦП: Документ как в электронной форме, так и на бумажном носителе, подтверждающий принадлежность открытого

ключа ЭЦП владельцу сертификата ключа подписи, выданный и заверенный Центром регистрации.

2.14 средства криптографической защиты информации (СКЗИ): Комплекс отдельных программных модулей, посредством которых осуществляются операции, связанные с криптографической защитой данных.

2.15 центр регистрации ключей электронной цифровой подписи (центр регистрации): Юридическое лицо, прошедшее государственную регистрацию в специально уполномоченном органе и выполняющее функции, предусмотренные законодательством.
^

3 Общие положения




3.1 Настоящее положение разработано в соответствии с Законом Республики Узбекистан «Об электронной цифровой подписи», «Положением о порядке деятельности центров регистрации ключей электронных цифровых подписей», утвержденным постановлением Кабинета Министров Республики Узбекистан [1].


3.2 Конфиденциальная информация является информацией ограниченного распространения. Документы, содержащие конфиденциальную информацию, должны иметь гриф «Для служебного пользования».


3.3 Центр регистрации должен обеспечивать сохранность и контроль доступа к конфиденциальной информации, руководствуясь «Инструкцией о порядке учета, обращения и хранения документов, дел и изданий, содержащих несекретные сведения ограниченного распространения» [2].


3.4 Защита конфиденциальной информации является одной из основных задач в области обеспечения информационной безопасности Центра регистрации и осуществляется режимными и организационно-техническими мероприятиями в комплексе с Системой защиты конфиденциальной информации.


3.5 Центр регистрации не должен раскрывать конфиденциальную информацию третьим лицам за исключением случаев, требующих ее раскрытия в соответствии с действующим законодательством или при наличии решения суда.


4 Типы информации


4.1 Конфиденциальной информацией Центра регистрации является:

- ключевая информация СКЗИ;

- персональные данные владельцев ЭЦП, хранящиеся в Центре регистрации и не подлежащие непосредственной рассылке в качестве части сертификата ключа ЭЦП или списков выданных, приостановленных, возобновленных и аннулированных сертификатов. Данная информация не подлежит публикации;

- закрытый ключ уполномоченного лица Центра регистрации;

- парольная информация Центра регистрации;

- информация, хранящаяся в журналах аудита;

- отчетные материалы по выполненным проверкам деятельности Центра регистрации (за исключением заключения по результатам проверок);

- сведения, связанные с коммерческой деятельностью (коммерческая тайна).


4.2 Конфиденциальная информация Центра регистрации может храниться в электронной форме и/или на бумажных носителях.


4.3 Информация, не являющаяся конфиденциальной информацией, является открытой информацией и может публиковаться Центром регистрации. Место, способ и время публикации также определяется Центром регистрации.


4.4 Не считается конфиденциальной информация:

- включаемая в сертификаты ключей ЭЦП;

- включаемая в списки выданных, приостановленных, возобновленных и аннулированных сертификатов ключей ЭЦП, издаваемых Центром регистрации;

- публикуемого заключения по результатам проверок деятельности Центра регистрации.


4.5 Закрытые ключи владельцев ЭЦП, соответствующие сертификату ключа ЭЦП, являются конфиденциальной информацией этих пользователей.

Владельцы ЭЦП обязаны обеспечить контроль за использованием закрытых ключей ЭЦП, защищать свои закрытые ключи ЭЦП и принимать все возможные меры для предотвращения их компрометации.

Центр регистрации не депонирует и не архивирует закрытые ключи ЭЦП, а также не создает их дубликаты.


^ 5 Система защиты конфиденциальной информации


Система защиты конфиденциальной информации информационной системы Центра регистрации должна включать в себя следующие подсистемы:

- криптографической защиты информации, включающей в себя программные и/или программно-аппаратные СКЗИ;

- защиты информации от НСД, включающей в себя программные и/или программно-аппаратные средства аутентификации и идентификации, разграничения доступа, межсетевые экраны;

- активного аудита информационной безопасности Центра регистрации;

- обнаружения вторжений;

- резервного копирования и архивирования данных;

- обеспечения целостности информации, программных и аппаратных средств, в том числе криптографическими методами;

- обеспечения безотказной работы, включающая в себя антивирусные средства;

- защиты оборудования от утечки информации по техническим и побочным каналам;

- обеспечения защиты информации от НСД режимными и организационно-техническими мероприятиями.


^ 6 Основные режимные и организационно-технические мероприятия


6.1 К основным режимным мероприятиям в области защиты конфиденциальной информации Центра регистрации относятся следующие мероприятия:

- исключение возможности бесконтрольного проникновения в помещения, в которых размещаются технические средства Центра регистрации со встроенными СКЗИ (далее – режимные помещения), посторонних лиц;

- исключение возможности визуального просмотра документов с конфиденциальной информацией, в том числе и с экранов мониторов, на которых она отражается, через окна (путем соответствующего размещения технических средств в режимном помещении);

- обеспечение сохранности находящихся в режимных помещениях документов с конфиденциальной информацией и технических средств;

- оборудование входных дверей режимных помещений замками, обеспечивающими надежное закрытие помещений в нерабочее время;

- оборудование окон и дверей охранной сигнализацией, а режимных помещений - средствами видеонаблюдения, связанными с пультом централизованной охраны;

- ограничение допуска в режимные помещения. Допуск в эти помещения могут иметь только руководитель Центра регистрации, сотрудники подразделения безопасности и персонал, имеющий прямое отношение к обработке, передаче, приему и хранению конфиденциальной информации;

- оборудование средствами контроля вскрытия системных блоков компьютеров с СКЗИ;

- осуществление ремонта и/или последующего использования системных блоков только после гарантированного удаления с них программного обеспечения СКЗИ и конфиденциальной информации;

- обновление оборудования Центра регистрации должно производиться доверенным и подготовленным персоналом;

- обеспечение соответствия вышеуказанных режимных помещений требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.


6.2 К основным организационно-техническим мероприятиям в области защиты конфиденциальной информации Центра регистрации относятся:

- определение должностных лиц, ответственных за обеспечение информационной безопасности и эксплуатацию СКЗИ;

- поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, а также ключевых носителей;

- определение степени конфиденциальности обрабатываемой и хранимой информации;

- разработка модели нарушителя;

- сертификация Системы защиты конфиденциальной информации уполномоченным органом Республики Узбекистан по защите информации;

- аттестация Центра регистрации для подтверждения его соответствия требованиям безопасности Органом по аттестации в соответствии с «Положением по аттестации объектов информатизации по требованиям безопасности информации», утвержденным приказом Узбекского агентства связи и информатизации [3];

- разработка нормативных документов, регламентирующих вопросы защиты конфиденциальной информации и эксплуатации СКЗИ, а также инструкций по соблюдению правил обеспечения защиты конфиденциальной информации как для персонала Центра регистрации, так и для владельцев и пользователей ЭЦП;

- допуск к работе с СКЗИ персонала Центра регистрации, имеющего навыки работы на персональном компьютере и ознакомленного с правилами эксплуатации СКЗИ;

- предоставление прав доступа к обработке конфиденциальной информации только персоналу, имеющему допуск к работе с указанной информацией;

- контроль и обеспечение соблюдения требований использования СКЗИ, установленных в их эксплуатационной и технической документации;

- расследование и составление заключений по фактам нарушения требований использования СКЗИ; разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

- организация выдачи ключей механических замков рабочих помещений Центра регистрации его сотрудникам по распоряжению руководства на основании схемы организации рабочих мест персонала;

- регистрация прихода/ухода персонала Центра регистрации в соответствующем журнале или с помощью автоматизированной системы.

6.3 Защита архивируемой конфиденциальной информации должна осуществляться методами физического обеспечения безопасности или комбинацией методов физической и криптографической защиты.


Все резервные файлы архивируемой конфиденциальной информации должны храниться в защищенном и, при возможности, в географически удаленном месте.


6.4 Персонал Центра регистрации, имеющий по роду своей деятельности прямое отношение к обработке, передаче, приему и хранению конфиденциальной информацией, допускается к работе с СКЗИ только после подписания обязательства о неразглашении конфиденциальной (служебной и/или личной) информации (далее – Обязательство). Ответственность за разглашение конфиденциальной информации должна быть определена в тексте Обязательства.


6.5 В случае нарушения требований вышеуказанного Обязательства руководство Центра регистрации может приостановить допуск соответствующего сотрудника к СКЗИ и конфиденциальной информации.


6.6 Обязанности между сотрудниками Центра регистрации должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевых носителей и документов, а также за порученные участки работы.


6.7 При определении обязанностей сотрудников Центра регистрации должно быть учтено, что безопасность хранения, обработки и передачи конфиденциальной информации с использованием СКЗИ обеспечивается:

- соблюдением режима конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых носителей;


- точным выполнением требований по обеспечению безопасности конфиденциальной информации;

- надежным хранением СКЗИ, эксплуатационной и технической документации к ним, ключевых носителей и носителей конфиденциальной информации;

- своевременным выявлением попыток посторонних лиц получить сведения о защищаемой конфиденциальной информации, об используе-мых СКЗИ или ключевых носителях;

- немедленным принятием мер по предупреждению разглашения защищаемых сведений конфиденциального характера, а также возможной утечки таких сведений при выявлении фактов утраты или недостачи СКЗИ, ключевых носителей, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.


^ 7 Защита ключевой информации


7.1 К ключевой информации, формируемой и/или хранимой в Центре регистрации, относятся следующие пары закрытых и открытых ключей ЭЦП:

- ключ уполномоченного лица Центра регистрации, используемый для подписи сертификатов и списков выданных, приостановленных, возобновленных и аннулированных сертификатов;

- ключи шифрования сервера Центра регистрации.


7.2 В целях защиты конфиденциальной ключевой информации руководством и ответственным персоналом Центра регистрации должно обеспечиваться выполнение следующих мероприятий:

- поэкземплярный учет в журналах:

а) носителей с секретными ключами шифрования;

b) инсталляционных дискет с программным обеспечением СКЗИ;

- определение сотрудников, ответственных за учет и хранение закрытых (секретных) ключей ЭЦП;

- выделение сейфа или иного хранилища, обеспечивающего сохранность ключевой информации, для хранения носителей с закрытыми (секретными) ключами ЭЦП и шифрования;

- исключение непреднамеренного уничтожения или иного, не предусмотренного правилами пользования СКЗИ, применения ключей и инсталляционных дискет с программным обеспечением СКЗИ в случае их хранения в одном хранилище с другими документами;

- изготовление одного дубликата ключевого носителя, предназначенного для использования в случае физического выхода из строя основного (рабочего) носителя;

- раздельное хранение рабочего и резервного ключевых носителей; создание условий, при которых будет невозможна их одновременная компрометация;

- создание условий при транспортировке ключевых носителей с закрытой (секретной) ключевой информацией, обеспечивающих их защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.


7.3 ^ Категорически запрещается:

- вносить несанкционированные изменения в Систему защиты конфиденциальной информации;

- осуществлять несанкционированное копирование ключевой информации;

- хранить ключевые носители вне специально для этого установленных мест;

- выдавать ключевые носители лицам, не допущенным к работе с ними;

- во время перерывов в работе оставлять ключевые носители без присмотра в устройствах считывания ПЭВМ, на рабочем месте, шкафах и ящиках, для этого не предназначенных;

- производить уничтожение ключей на ключевых носителях после окончания срока их действия или хранения, а также после их выведения из действия способами, отличными от определенных в эксплуатационной документации на СКЗИ;

- проносить и использовать в помещениях, где размещены СКЗИ, сотовые телефоны, радиотелефоны и другую излучающую радиоэлектронную аппаратуру.


^ 8 Ответственность в области защиты конфиденциальной

информации


8.1 Центр регистрации несет ответственность за разглашение конфиденциальной информации в установленном законодательством порядке.


8.2 Распределение ответственности в области защиты конфиденциальной информации между Центром регистрации, владельцами и пользователями ЭЦП закрепляется через заключаемые договоры.


8.3 При выдаче сертификата ключа ЭЦП владельцу ЭЦП Центром регистрации должна быть дана полная информация о правилах пользования и хранения ключей ЭЦП, а также об обязанностях и ответственности владельца ЭЦП.


8.4 Запрет на разглашение персональных данных владельца ЭЦП после прекращения действия договора между Центром регистрации и владельцем ЭЦП действует в течение срока, оговоренного в вышеуказанном договоре.


8.5 При компрометации закрытого ключа владельца ЭЦП по вине Центра регистрации последний несет ответственность за понесенный владельцем ЭЦП материальный ущерб, а также бесплатно изготавливает и выдает ему новый сертификат ключа ЭЦП.


8.6 Центр регистрации не несет ответственность за последствия компрометации владельцем ЭЦП своего закрытого ключа ЭЦП.


8.7 Центр регистрации не несет ответственность за неисполнение своих обязательств в области защиты конфиденциальной информации, если оно явилось следствием неодолимой силы, а именно: стихийных бедствий, массовых беспорядков, террористических актов, военных действий, противоправных действий третьих лиц и т.д. При этом срок выполнения обязательств отодвигается соразмерно времени, в течение которого действовали такие обстоятельства и их последствия.


Библиография



[1]

Постановление Кабинета Министров Республики Узбекистан от 26.09.05 № 215 «О совершенствовании нормативно-правовой базы в области использования электронной цифровой подписи»

[2]

«Инструкция о порядке учета, обращения и хранения документов, дел и изданий, содержащих несекретные сведения ограниченного распространения», утвержденная Председателем Межведомственной комиссии по вопросам защиты государственных секретов при Кабинете Министров Республики Узбекистан 2.02.95.

[3]

Приказ Узбекского агентства связи и информатизации от 14.01.05 № 8 «О введении в действие ведомственных нормативных документов».



УДК ОКС 35.040


Ключевые слова: конфиденциальность информации, защита информации, несанкционированный доступ, Центр регистрации, электронная цифровая подпись.




Похожие:

Положение о защите конфиденциальной информации iconПостановление Президент а республики узбекистан 03. 04. 2007 г. N пп-614 о мерах по организации криптографической защиты информации в республике узбекистан (В извлечениях)
О защите государственных секретов, а также в целях упорядочивания деятельности по защите информации, являющейся конфиденциальной...
Положение о защите конфиденциальной информации iconЗакон республики узбекистан 04. 04. 2006 г. N зру-30 о защите информации в автоматизированной банковской системе принят Законодательной палатой 16 ноября 2005 года
Целью настоящего Закона является регулирование отношений в области защиты информации в автоматизированной банковской системе
Положение о защите конфиденциальной информации iconЗакон республики узбекистан о защите информации в автоматизированной банковской системе (Собрание законодательства Республики Узбекистан, 2006 г., №14, ст. 112) Принят Законодательной палатой
Целью настоящего Закона является регулирование отношений в области защиты информации в автоматизированной банковской системе
Положение о защите конфиденциальной информации iconПоложение о порядке формирования государственных информационных ресурсов
Настоящее Положение определяет основные требования к документированию информации в государственных органах, формированию и использованию...
Положение о защите конфиденциальной информации icon7-й класс (по часу в неделю, всего 17 часа, из них 1 час для контроля)
Знать виды и свойства информации. Знать о взглядах и работах великих соотечественников в сфере информации. Иметь представление о...
Положение о защите конфиденциальной информации iconЗакон республики узбекистан 24. 04. 1997 г. N 402-i о защите профессиональной деятельности журналиста статья Цель Закона Статья Законодательство о защите профессиональной
Настоящий Закон регулирует отношения, возникающие в связи с профессиональной деятельностью журналиста, определяет его права и обязанности,...
Положение о защите конфиденциальной информации iconПрограмма по курсу оивт (по новому стандарту)
Информатика. Понятие информации. Свойства информации и формы представления информации. Информационные процессы. Роль информатики...
Положение о защите конфиденциальной информации iconИ информации
Мониторинг за безусловным выполнением конституционных прав и законодательства в области независимой деятельности средств массовой...
Положение о защите конфиденциальной информации icon8 декабря День Конституции Республики Узбекистан
«Средства массовой информации свободны и действуют в соответствии с законом. Они несут в установленном порядке ответственность за...
Положение о защите конфиденциальной информации iconПостановление Кабинета министров республики узбекистан 23. 11. 2006 г. N 243 о совершенствовании порядка аккредитации представителей средств массовой информации республики узбекистан при органах государственной власти
В соответствии с законами Республики Узбекистан "О средствах массовой информации", "О принципах и гарантиях свободы информации",...
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©uz.denemetr.com 2000-2015
При копировании материала укажите ссылку.
обратиться к администрации