Требования к заявителю на право установки (инсталляции),
эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг
по шифрованию информации при защите информации по уровню "С"
Настоящие требования предъявляются к юридическим лицам -
предприятиям, учреждениям и организациям (далее - предприятия), независимо от
их организационно-правовой формы, подавшим заявление на получение лицензии на право
установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств
(средств криптографической защиты информации - СКЗИ) и предоставления услуг
по шифрованию информации.
Настоящие требования распространяются на СКЗИ,
предназначенные для защиты информации, не содержащей сведений,
составляющих государственную тайну, при обеспечении безопасности информации
по уровню "С".
"С"- криптографическая защита на уровне потребителя.
Информационно-телекоммуникационные системы создаются предприятием самостоятельно
на основе сертифицированных СКЗИ, встраивание которых в прикладные системы должно
происходить с выполнением интерфейсных и криптографических протоколов,
определенных технической документацией на СКЗИ.
I. Требования по организационному обеспечению безопасности СКЗИ.
1. На предприятии-заявителе руководством должны быть выделены должностные лица,
ответственные за разработку и практическое осуществление мероприятий по обеспечению
функционирования и безопасности СКЗИ.
2. Вопросы обеспечения функционирования и безопасности СКЗИ должны быть отражены
в специально разработанных документах, утвержденных руководством предприятия,
с учетом эксплуатационной документации на СКЗИ.
3. На предприятии должны быть созданы условия, обеспечивающие сохранность
конфиденциальной информации, доверенной предприятию юридическими и физическими лицами,
пользующимися его услугами.
II. Требования по размещению, специальному оборудованию,
охране и режиму в помещениях, в которых размещены СКЗИ.
4. Размещение, специальное оборудование, охрана и режим в помещениях,
в которых размещены СКЗИ (далее помещения), должны обеспечивать безопасность информации,
СКЗИ и шифрключей, сведение к минимуму возможности неконтролируемого доступа к СКЗИ,
просмотра процедур работы с СКЗИ посторонними лицами.
5. Порядок допуска в помещения определяется внутренней инструкцией,
которая разрабатывается с учетом специфики и условий функционирования
конкретной структуры предприятия.
6. При расположении помещений на первых и последних этажах зданий,
а также при наличии рядом с окнами балконов, пожарных лестниц и т.п.,
окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией
или другими средствами, препятствующими несанкционированному доступу в помещения.
Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки.
7. Для хранения шифрключей, нормативной и эксплуатационной документации,
инсталляционных дискет помещения обеспечиваются металлическими шкафами
(хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей.
Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного
лица, назначаемого руководством предприятия.
8. Устанавливаемый руководителем предприятия порядок охраны помещений должен
предусматривать периодический контроль технического состояния средств охранной и
пожарной сигнализации и соблюдения режима охраны.
9. Размещение и установка СКЗИ осуществляется в соответствии с требованиями
к документации на СКЗИ.
10. Системные блоки ЭВМ с СКЗИ должны быть оборудованы средствами контроля их вскрытия.
III. Требования по обеспечению безопасности шифрключей.
11. Все поступающие для использования шифрключи и инсталляционные дискеты должны
браться на предприятии на поэкземплярный учет в выделенных для этих целей журналах.
12. Учет и хранение носителей шифрключей и инсталляционных дискет,
непосредственная работа с ними поручается руководством предприятия специально
выделенным работникам предприятия. Эти работники несут персональную ответственность
за сохранность шифрключей.
13. Учет изготовленных для пользователей шифрключей, регистрация их выдачи для работы,
возврата от пользователей и уничтожения ведется на предприятии.
14. Хранение шифрключей, инсталляционных дискет допускается в одном хранилище с другими
документами при условиях, исключающих их непреднамеренное уничтожение или иное,
не предусмотренное правилами пользования СКЗИ, применение. Наряду с этим должна быть
предусмотрена возможность раздельного безопасного хранения рабочих и резервных шифрключей,
предназначенных для использования в случае компрометации рабочих шифрключей
в соответствии с правилами пользования СКЗИ.
15. При пересылке шифрключей клиентам предприятия должны быть обеспечены условия
транспортировки, исключающие возможность физических повреждений и внешнего
воздействия на записанную ключевую информацию.
16. В случае отсутствия у оператора СКЗИ индивидуального хранилища шифрключи
по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение.
17. Уполномоченными лицами периодически должен проводиться контроль сохранности
входящего в состав СКЗИ оборудования, а также всего используемого программного
обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов.
IV. Требования к сотрудникам,
осуществляющим эксплуатацию и установку (инсталляцию) СКЗИ.
18. К работе с СКЗИ допускаются решением руководства предприятия только сотрудники,
знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ,
изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе с СКЗИ.
19. Руководитель предприятия или лицо, уполномоченное на руководство заявленными
видами деятельности, должно иметь представление о возможных угрозах информации
при ее обработке, передаче, хранении, методах и средствах защиты информации.
|