ЦЕНТРАЛЬНАЯ ИЗБИРАТЕЛЬНАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 26 декабря 2005 г. N 163/1080-4
О КОНЦЕПЦИИ РАЗВИТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ
РОССИЙСКОЙ ФЕДЕРАЦИИ "ВЫБОРЫ"
Заслушав и обсудив сообщение члена Центральной избирательной
комиссии Российской Федерации В.А. Крюкова, а также руководствуясь
подпунктом "в" пункта 9 статьи 21 Федерального закона "Об основных
гарантиях избирательных прав и права на участие в референдуме
граждан Российской Федерации" и подпунктами 4, 6 пункта 2 статьи
6, статьей 21 Федерального закона "О Государственной
автоматизированной системе Российской Федерации "Выборы",
Центральная избирательная комиссия Российской Федерации
постановляет:
1. Одобрить Концепцию развития безопасности информации в
Государственной автоматизированной системе Российской Федерации
"Выборы" (прилагается).
2. Федеральному центру информатизации при Центральной
избирательной комиссии Российской Федерации (В.В. Ященко),
Аппарату Центральной избирательной комиссии Российской Федерации
(А.Н. Адров) и избирательным комиссиям субъектов Российской
Федерации обеспечить реализацию этапов Концепции развития
безопасности информации в Государственной автоматизированной
системе Российской Федерации "Выборы".
3. Возложить контроль за исполнением настоящего Постановления
на члена Центральной избирательной комиссии Российской Федерации
В.А. Крюкова.
Председатель Центральной
избирательной комиссии
Российской Федерации
А.А.ВЕШНЯКОВ
Исполняющий обязанности
секретаря Центральной
избирательной комиссии
Российской Федерации
В.П.ВОЛКОВ
Приложение
к Постановлению Центральной
избирательной комиссии
Российской Федерации
от 26 декабря 2005 г. N 163/1080-4
КОНЦЕПЦИЯ
РАЗВИТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОЙ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ "ВЫБОРЫ"
Предметом данной Концепции являются вопросы анализа текущего
состояния и адекватного обеспечения безопасности информации в
условиях дальнейшего развития Государственной автоматизированной
системы Российской Федерации "Выборы" (далее - ГАС "Выборы").
В связи с дополнительно возложенными на ГАС "Выборы" функциями
продолжение работ в сфере обеспечения безопасности информации в
ГАС "Выборы" должно осуществляться по следующим направлениям:
создания правовых и технических условий для внедрения
юридически значимого электронного документооборота, в первую
очередь для обмена электронными документами с электронной цифровой
подписью в целях обеспечения текущей деятельности избирательных
комиссий, за исключением подведения итогов голосования;
обеспечения необходимого уровня безопасности информации в ГАС
"Выборы" при использовании ее ресурсов органами государственной
власти, государственными органами, органами местного
самоуправления и другими организациями для решения задач, не
связанных с выборами и референдумом, в период между выборами;
совершенствования механизмов своевременного выявления,
прогнозирования, локализации и блокирования угроз безопасности
информации, оперативного реагирования на проявления негативных
тенденций в использовании информационных ресурсов и подсистем ГАС
"Выборы", мониторинга состояний безопасности информации;
создания комплексной системы обеспечения безопасности
информации, консолидирующей правовые, технологические,
организационные, технические меры и способы противодействия
угрозам безопасности информации.
1. ЦЕЛЬ И ЗАДАЧИ КОНЦЕПЦИИ РАЗВИТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ГАС "ВЫБОРЫ"
Цель данной Концепции - сформировать интегрированную систему
взглядов на цели, задачи и направления деятельности в области
обеспечения безопасности информации в ГАС "Выборы" в условиях ее
развития на основе действующего законодательства Российской
Федерации, с учетом требований Федерального конституционного
закона от 28 июня 2004 г. N 5-ФКЗ "О референдуме Российской
Федерации", Федеральных законов от 10 января 2003 г. N 20-ФЗ "О
Государственной автоматизированной системе Российской Федерации
"Выборы", от 12 июня 2002 г. N 67-ФЗ "Об основных гарантиях
избирательных прав и права на участие в референдуме граждан
Российской Федерации", от 10 января 2003 г. N 19-ФЗ "О выборах
Президента Российской Федерации", от 18 мая 2005 г. N 51-ФЗ "О
выборах депутатов Государственной Думы Федерального Собрания
Российской Федерации", а также требований руководящих и
нормативных документов уполномоченных государственных органов по
вопросам безопасности информации и защиты информации.
Положения Концепции распространяются на всех пользователей ГАС
"Выборы", включая Центральную избирательную комиссию Российской
Федерации, избирательные комиссии субъектов Российской Федерации
(далее - ИКСРФ), территориальные избирательные комиссии (далее -
ТИК), а также участковые избирательные комиссии (далее - УИК) по
мере их оснащения средствами автоматизации и подключения к ГАС
"Выборы".
Разработка данной Концепции вызвана необходимостью определения
путей для реализации в развиваемой ГАС "Выборы" положений
Федерального закона "О Государственной автоматизированной системе
Российской Федерации "Выборы" в части придания юридической силы
электронным документам и сохранения необходимого уровня
обеспечения безопасности информации в ГАС "Выборы" при
использовании ее ресурсов местными администрациями и
взаимодействующими автоматизированными системами органов
государственной власти в период между выборами.
Основными задачами Концепции являются:
формирование обоснованной, интегрированной системы взглядов на
обеспечение безопасности информации в ГАС "Выборы" в условиях
выполнения ею новых функций;
определение стратегии развития подсистемы обеспечения
безопасности информации (далее - ПОБИ) в ГАС "Выборы";
разработка концептуальных подходов к использованию программно-
технических средств и систем защиты информации для организации
юридически значимого электронного документооборота;
определение взаимоувязанных решений по технической и
криптографической защите информации;
определение основных путей реализации Концепции.
В соответствии с Федеральным законом "О Государственной
автоматизированной системе Российской Федерации "Выборы"
использование, эксплуатация и развитие ГАС "Выборы" осуществляются
на основе следующих принципов обеспечения безопасности информации:
обеспечение безопасности информации в ГАС "Выборы" в сочетании
с открытостью системы и доступностью информации, содержащейся в
информационных ресурсах "ГАС Выборы", в соответствии с
федеральными законами;
обеспечение достоверности информации, получаемой с
использованием ГАС "Выборы";
применение лицензионных программных средств общего назначения,
сертифицированных специализированных программно-технических
средств и средств связи ГАС "Выборы";
недопустимость подключения ГАС "Выборы" к сети "Интернет";
недопустимость подключения ГАС "Выборы" при ее использовании
при проведении выборов и референдума к иным информационным
системам и сетям связи, не применяемым в ГАС "Выборы".
Основные нормативно-правовые акты, которыми необходимо
руководствоваться при проведении работ по развитию безопасности
информации в ГАС "Выборы":
Конституция Российской Федерации;
Федеральный конституционный закон "О референдуме Российской
Федерации";
Гражданский кодекс Российской Федерации;
Уголовный кодекс Российской Федерации;
Кодекс Российской Федерации об административных
правонарушениях;
Закон Российской Федерации "О безопасности";
Федеральный закон "Об информации, информатизации и защите
информации";
Федеральный закон "О Государственной автоматизированной системе
Российской Федерации "Выборы";
Федеральный закон "Об электронной цифровой подписи";
Федеральный закон "Об основных гарантиях избирательных прав и
права на участие в референдуме граждан Российской Федерации";
Федеральный закон "О выборах депутатов Государственной Думы
Федерального Собрания Российской Федерации";
Федеральный закон "О выборах Президента Российской Федерации";
Федеральный закон "О техническом регулировании";
Федеральный закон "О коммерческой тайне";
Указ Президента Российской Федерации от 6 марта 1997 г. N 188
"Об утверждении перечня сведений конфиденциального характера";
Указ Президента Российской Федерации от 12 мая 2004 г. N 611 "О
мерах по обеспечению информационной безопасности в сфере
международного обмена";
Доктрина информационной безопасности Российской Федерации, 2000
год;
Постановление ЦИК России от 17 декабря 2004 г. N 133/929-4 "О
развитии Государственной автоматизированной системы Российской
Федерации "Выборы" в 2005 - 2008 годах";
Постановление ЦИК России от 23 июля 2003 г. N 19/137-4 "О
Положении об обеспечении безопасности информации в Государственной
автоматизированной системе Российской Федерации "Выборы";
Постановление ЦИК России от 3 ноября 2003 г. N 49/463-4 "О
Перечне персональных данных и иной конфиденциальной информации,
обрабатываемой в комплексах средств автоматизации Государственной
автоматизированной системы Российской Федерации "Выборы" и
организации доступа к этим сведениям";
ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов
на автоматизированные системы. Виды, комплектность и обозначение
документов при создании автоматизированных систем";
рабочая документация Гостехкомиссии России "Безопасность
информационных технологий. Критерии оценки безопасности
информационных технологий". ГОСТ Р ИСО/МЭК 15408-02
"Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных
технологий";
рабочая документация Гостехкомиссии России "Специальные
требования и рекомендации по технической защите конфиденциальной
информации (СТР-К)";
Положение о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005), зарегистрированное в Минюсте России 3 марта
2005 года (N 6382);
Государственная автоматизированная система Российской Федерации
"Выборы". Модель нарушителя;
Временные требования к информационной безопасности
удостоверяющих центров, 2003 год;
Требования к криптографической защите конфиденциальной
информации, 2000 год;
рабочая документация Гостехкомиссии России "Средства
вычислительной техники. Защита от несанкционированного доступа к
информации. Классификация автоматизированных систем и требований
по защите информации";
рабочая документация Гостехкомиссии России "Автоматизированные
системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите
информации";
рабочая документация Гостехкомиссии России "Временные
требования к межсетевым экранам";
рабочая документация Гостехкомиссии России "Защита от
несанкционированного доступа к информации. Классификация по уровню
контроля отсутствия недекларированных возможностей".
2. ВЫВОДЫ ИЗ АНАЛИЗА ГАС "ВЫБОРЫ" КАК ОБЪЕКТА ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Функциональные подсистемы ГАС "Выборы", созданные в
соответствии с техническим заданием на развитие ГАС "Выборы" от 23
декабря 2001 года с учетом Основных направлений развития
Государственной автоматизированной системы Российской Федерации
"Выборы" на 2001 - 2004 годы, утвержденных Постановлением ЦИК
России от 21 февраля 2001 г. N 122/1221-3, в основном обеспечивают
выполнение положений Федерального закона "О Государственной
автоматизированной системе Российской Федерации "Выборы". Система
прошла межведомственные приемочные испытания и в июле 2004 года
принята в постоянную эксплуатацию (Постановление ЦИК России от 23
июля 2004 г. N 111/846-4 "О вводе усовершенствованной ГАС "Выборы"
и входящих в нее изделий в постоянную эксплуатацию").
Однако в связи с тем, что проектные решения по
совершенствованию системы были приняты до вступления в силу
Федерального закона "О Государственной автоматизированной системе
Российской Федерации "Выборы", в настоящий момент в ГАС "Выборы"
не реализованы технология использования электронной цифровой
подписи (далее - ЭЦП) и инфраструктура открытых ключей, а также не
определен порядок использования комплексов средств автоматизации
(далее - КСА), средств связи, других средств обеспечения ГАС
"Выборы" для решения задач, не связанных с выборами и референдумом
в период между выборами.
Созданная подсистема обеспечения безопасности информации ГАС
"Выборы" в основном соответствует своему назначению и
обеспечивает:
защиту информации от несанкционированного доступа (далее -
НСД);
криптографическую защиту информации при ее передаче по каналам
связи;
безопасность межсетевого взаимодействия путем использования
межсетевого экрана и системы обнаружения атак;
антивирусную защиту;
контроль функционирования средств защиты.
Это подтверждается проведенными испытаниями и Актом
межведомственных приемочных испытаний Государственной
автоматизированной системы Российской Федерации "Выборы" от 1 июля
2004 года.
Анализ показывает, что существующая подсистема обеспечения
безопасности информации ГАС "Выборы" может совершенствоваться по
следующим направлениям:
разработка единой политики обеспечения безопасности информации
в ГАС "Выборы";
оптимизация организационно-штатной структуры ПОБИ;
выполнение рекомендаций Инструкции об организации и обеспечении
безопасности хранения, обработки и передачи по каналам связи с
использованием средств криптографической защиты информации с
ограниченным доступом, не содержащей сведений, составляющих
государственную тайну, зарегистрированной 6 августа 2001 года в
Минюсте России (N 2848);
усиление технологического обеспечения ПОБИ за счет комплексного
применения существующих средств защиты информации ГАС "Выборы" и
средств аудита и мониторинга безопасности информации в ГАС
"Выборы".
Развитие ГАС "Выборы" вызывает необходимость решения новых
задач по обеспечению безопасности ресурсов ГАС "Выборы".
Главным направлением дальнейшей работы по обеспечению
безопасности информации в ГАС "Выборы" является создание
необходимых правовых, технических и организационных условий,
необходимых для:
обеспечения обмена документами между избирательными комиссиями
в виде электронных документов, имеющих юридическую силу наравне с
бумажными документами;
использования технических средств ГАС "Выборы" органами
государственной власти и органами местного самоуправления для
решения задач, не связанных с выборами и референдумом, в период
между выборами в соответствии с федеральными законами,
нормативными правовыми актами ЦИК России;
создания комплексной системы безопасности информации,
консолидирующей правовые, технологические, организационные,
технические меры и способы противодействия угрозам безопасности
информации.
3. УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, ВОЗНИКАЮЩИЕ ПРИ РАЗВИТИИ
ГАС "ВЫБОРЫ"
Существующая подсистема обеспечения безопасности информации ГАС
"Выборы" обеспечивает нейтрализацию имеющихся угроз.
Развитие ГАС "Выборы" в части внедрения юридически значимого
электронного документооборота и совместного использования с
местными администрациями сетевого и коммуникационного оборудования
подсистемы связи и передачи данных (далее - ПСПД) ГАС "Выборы"
приводит к возникновению новых угроз, перечисленных в пунктах 3.1
и 3.2.
3.1. Угрозы безопасности информации в ГАС "Выборы",
связанные с электронным документооборотом
Одной из главных проблем обеспечения доверия пользователей к
электронным документам при организации электронного
документооборота является организация надлежащей защиты от
возможных угроз нарушения достоверности электронного документа.
Основными угрозами для электронного документооборота являются:
отказ от авторства электронного документа;
отрицание подлинности электронного документа;
отказ от факта передачи электронного документа;
отказ от факта приема электронного документа;
отправка электронного документа от имени другого лица;
утверждение о факте передачи электронного документа;
утверждение о факте приема электронного документа;
модификация (изменение, искажение, уничтожение) электронного
документа;
безуликовое внедрение средств скрытого программного
воздействия;
несанкционированный доступ к средствам ЭЦП.
Основные направления защиты электронных документов от этих
угроз включают:
использование механизмов электронной цифровой подписи,
обеспечивающих контроль (доказательство) авторства и контроль
целостности электронных документов;
квитирование приема электронных документов;
применение средств защиты от НСД к средствам ЭЦП;
регистрация фактов отправки/приема электронных документов в
регистрационных журналах.
3.2. Угрозы безопасности информации в ГАС "Выборы"
при ее использовании в период между выборами
Подключение к ПСПД ГАС "Выборы" локальных вычислительных сетей
(далее - ЛВС) сторонних организаций соответственно вызывает
появление новых угроз безопасности информации.
Организация подключения комплексов средств автоматизации (далее
- КСА) ТИК через сети региональных и местных провайдеров связи,
неподконтрольных ФЦИ при ЦИК России, не исключает возможности НСД
со стороны объектов информатизации, подключенных к этим сетям. К
этим сетям возможно подключение ЛВС различных организаций и
учреждений, удаленных пользователей, а также использование ими
услуг различных операторов связи для доступа в Интернет.
Возникают следующие угрозы, направленные на технологические
ресурсы (сетевое и коммуникационное оборудование) ГАС "Выборы" со
стороны внешних объектов информатизации через сети региональных и
местных провайдеров связи:
НСД к активному сетевому оборудованию ПСПД ГАС "Выборы" с целью
изменения конфигурационных файлов;
нарушение штатного режима функционирования сетевого
оборудования ГАС "Выборы" посредством агрессивного потребления его
ресурсов;
снижение скорости функционирования ГАС "Выборы" посредством
агрессивного потребления пропускной способности каналов.
Основным способом нейтрализации указанных угроз является
отключение ЛВС сторонних организаций от ресурсов ГАС "Выборы" на
период подготовки и проведения выборов и референдумов.
3.3. Основные категории пользователей ГАС "Выборы"
и возможности их влияния на обеспечение
безопасности информации
В ГАС "Выборы" существуют следующие категории пользователей:
члены избирательных комиссий, действующих на постоянной основе;
члены избирательных комиссий, формируемых в период
избирательной кампании, кампании референдума в сроки,
установленные законом;
системные администраторы;
администраторы безопасности информации;
работники аппаратов избирательных комиссий;
операторы и администраторы, привлекаемые территориальными
избирательными комиссиями на период выборов.
Все эти категории пользователей проходят обучение. Все их
действия строго регламентированы соответствующими инструкциями.
Непосредственно вводом информации о результатах выборов,
референдума в автоматизированную систему занимаются системные
администраторы, операторы и, при необходимости, члены групп
контроля за использованием ГАС "Выборы", образуемых из членов
избирательных комиссий с правом решающего и совещательного голоса.
Должности администраторов безопасности информации введены только в
ФЦИ при ЦИК России. Доступ остальных категорий пользователей к
ресурсам ГАС "Выборы" регламентирован.
Наибольшими правами и возможностями по доступу к системе
обладает системный администратор. В соответствии с Федеральным
законом "О Государственной автоматизированной системе Российской
Федерации "Выборы" системный администратор организует и
осуществляет работы по эксплуатации комплекса средств
автоматизации в соответствующей избирательной комиссии, комиссии
референдума.
Системные администраторы КСА ИКСРФ, ТИК совмещают свои
обязанности с обязанностями администраторов сети, администраторов
баз данных (далее - БД), администраторов ПСПД, администраторов
безопасности информации, а также проводят регламентные работы.
Системный администратор КСА ИКСРФ осуществляет настройку
фрагментов системы на проведение региональных выборов, системный
администратор КСА ТИК обеспечивает также проведение местных
выборов.
Для снижения информационных рисков, связанных с потенциальной
возможностью совершения неумышленных ошибок или злонамеренных
действий этими категориями пользователей, ЦИК России в
соответствии с Федеральным законом "О Государственной
автоматизированной системе Российской Федерации "Выборы" проводит
соответствующие организационные мероприятия, обеспечивающие защиту
от этих рисков. Члены избирательных комиссий всех уровней в
соответствии со статьями 6 и 7 Федерального закона "О
Государственной автоматизированной системе Российской Федерации
"Выборы" обеспечивают безопасность информации на соответствующих
КСА. Системный администратор проходит подготовку и переподготовку
на право эксплуатации КСА, получает сертификат в порядке,
установленном ФЦИ при ЦИК России.
Организационные меры по обеспечению доверительности
пользователей ГАС "Выборы", имеющих непосредственный доступ к
информационным системам и средствам автоматизации, должны
постоянно развиваться и совершенствоваться.
4. ТРЕБОВАНИЯ К ЗАЩИЩЕННОСТИ ГАС "ВЫБОРЫ"
В ГАС "Выборы" в настоящее время обрабатывается:
открытая (общедоступная) информация;
персональные данные (данные об избирателях, участниках
референдума, данные о кандидатах, данные о членах избирательных
комиссий и др.);
технологическая конфиденциальная информация (ключи, пароли и
т.д.);
предметная конфиденциальная информация (конфиденциальная
информация, содержащая сведения, составляющие служебную тайну
избирательной комиссии, имеющая гриф "для служебного пользования"
- ДСП).
Информация ограниченного доступа, содержащая сведения,
составляющие государственную тайну, в ГАС "Выборы" не
обрабатывается.
5. ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ГАС "ВЫБОРЫ"
Требования к средствам защиты, которые могут быть использованы
в КСА ГАС "Выборы", определяются исходя из уровня
конфиденциальности обрабатываемой в ГАС "Выборы" информации и
принятой модели нарушителя.
Защищенность ГАС "Выборы" от НСД к информации должна
удовлетворять требованиям класса 1Г в соответствии с руководящим
документом "Автоматизированные системы защиты от
несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации".
Средства защиты от НСД должны иметь сертификат соответствия
необходимому классу защищенности.
Учитывая необходимость в передаче между КСА избирательных
комиссий электронных документов, подписанных электронной цифровой
подписью и содержащих конфиденциальную информацию, которая при
передаче по каналам связи зашифровывается, в ГАС "Выборы"
предъявляются требования к следующим средствам защиты информации:
к техническим средствам защиты информации (далее - ТСЗИ);
к средствам криптографической защиты информации (далее - СКЗИ);
к инфраструктуре открытых ключей (далее - ИОК).
Требования к ТСЗИ и порядку их использования определяются на
основании руководящих документов Федеральной службы по
техническому и экспортному контролю.
Требования к удостоверяющим центрам и инфраструктуре открытых
ключей в целом определяются положениями Федерального закона "Об
электронной цифровой подписи" и принятым в 2003 году руководящим
документом "Временные требования к информационной безопасности
удостоверяющих центров".
Модель нарушителя для используемых в ГАС "Выборы" СКЗИ и
удостоверяющего центра соответствует типу Н2, которой
соответствует класс защищенности - КС2.
Реализация положений, изложенных в подпунктах 2, 3 пункта 1
статьи 18 Федерального закона "О Государственной
автоматизированной системе Российской Федерации "Выборы", в части
соблюдения мер обеспечения безопасности персональных данных при
обращении к ним граждан и должностных лиц органов государственной
власти, органов местного самоуправления должна обеспечиваться в
строгом соответствии с порядком, установленным ЦИК России.
6. ОСНОВНЫЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГАС "ВЫБОРЫ"
Дальнейшее развитие подсистемы обеспечения безопасности
информации ГАС "Выборы" должно идти по пути внедрения новых
информационных технологий и средств защиты информации, постепенной
замены устаревших, не отвечающих предъявляемым требованиям
информационных технологий и средств защиты информации на более
совершенные, надежные и производительные.
При выборе и модернизации информационных технологий и средств
защиты предпочтение должно отдаваться "доверенным" средам,
обладающим повышенными свойствами защищенности, например
технологиям на базе "доверенных" операционных систем (далее - ОС),
автоматизированных рабочих мест (далее - АРМ) на базе
централизованно-администрируемых аппаратных комплексов,
абонентских криптографических средств, сетям VPN, применению
специального программного обеспечения (далее - СПО), прошедшего
сертификационные испытания и имеющего соответствующие сертификаты,
в том числе на отсутствие в используемых программных продуктах
недекларированных возможностей (например, ОС МС-ВС,
сертифицированная ОС Windows XP, сертифицированная ОС Windows 2003
Server и другие сертифицированные ОС).
Развитие подсистемы обеспечения безопасности информации ГАС
"Выборы" в комплексную систему обеспечения безопасности информации
должно вестись с учетом требований законодательных и нормативных
актов Российской Федерации в области безопасности информации и
защиты информации.
Основным направлением совершенствования подсистемы обеспечения
безопасности информации ГАС "Выборы" является использование
современных высокоэффективных средств и мер по защите информации,
позволяющих адекватно и эффективно противодействовать как угрозам
безопасности информации в ГАС "Выборы", исходящим от внешних и
внутренних нарушителей, так и различным техногенным угрозам.
Дальнейшее развитие подсистемы безопасности информации ГАС
"Выборы" в первую очередь основывается на необходимости внедрения
средств криптографической защиты информации, обеспечивающих
использование ЭЦП, контроля целостности электронных документов,
техническое подтверждение их подлинности и неотказуемости от
авторства.
Основными задачами при этом являются:
совершенствование нормативной правовой базы с целью возможности
внедрения в ГАС "Выборы" полноценной системы защищенного
электронного документооборота, основанного на применении
инфраструктуры открытых ключей и сертифицированных средств ЭЦП;
обеспечение юридической значимости электронных документов, их
целостности и подлинности, в первую очередь, за счет создания в
каждом КСА ГАС "Выборы" (начиная с уровня ТИК) контура обработки
юридически значимых документов;
разграничение доступа и организация безопасного использования
технических и коммуникационных средств ГАС "Выборы" в период между
выборами;
совершенствование механизмов своевременного выявления,
прогнозирования, локализации и блокирования угроз безопасности,
оперативного реагирования на проявления негативных тенденций в
использовании информационных ресурсов и подсистем ГАС "Выборы";
создание комплексной подсистемы безопасности информации ГАС
"Выборы", консолидирующей правовые, технологические,
организационные и технические меры и способы обеспечения защиты
информационных ресурсов.
К основным задачам обеспечения безопасности информации в ГАС
"Выборы" относится также периодическое проведение в соответствии с
установленным ЦИК России порядком проверок состояния реальной
защищенности ГАС "Выборы" (в том числе проведение и
инструментальных проверок программно-технических средств ГАС
"Выборы") с привлечением к проведению таких проверок при
необходимости специалистов из других организаций. При этом такие
проверки состояния защищенности ГАС "Выборы" в рамках реализации
указанной функции контроля (аудита) должны проводиться после
выполнения работ по модернизации программно-аппаратных средств ГАС
"Выборы", а также в случае перевода системы из одного режима
функционирования в другой. Кроме того, целесообразно реализовать в
подсистеме обеспечения безопасности информации ГАС "Выборы"
функцию контроля (аудита) защищенности ресурсов данной системы.
Это должно существенно повысить эффективность проверки надежности
функционирования компонентов подсистемы безопасности информации
ГАС "Выборы".
6.1. Юридическая сила и достоверность электронных
документов, подготовленных с использованием ГАС "Выборы"
6.1.1. Нормативно-правовое обеспечение использования
электронных документов в ГАС "Выборы"
В настоящее время законодательная база по использованию
электронных документов в системе общего документооборота полностью
не сформирована. Федеральный законодатель не урегулировал порядок
формирования и обмена электронными документами, процедуру перевода
бумажного документа в электронный вид и наоборот. Федеральный
закон "Об электронной цифровой подписи" содержит только общие
положения по использованию ЭЦП и системы удостоверяющих центров,
но в нем нет правовых норм, касающихся организации и использования
электронного документооборота в системе общего документооборота. В
нем сформулированы правовые условия использования электронной
цифровой подписи в электронных документах, при соблюдении которых
ЭЦП в электронном документе признается равнозначной собственной
подписи в документе на бумажном носителе.
Вместе с тем Федеральный закон "О Государственной
автоматизированной системе Российской Федерации "Выборы"
регламентирует порядок придания юридической силы и обеспечения
достоверности документов на бумажном носителе, электронных
документов, подготовленных с использованием ГАС "Выборы",
формирования электронного документа и его передачу в вышестоящую
избирательную комиссию, комиссию референдума, регламентирует права
Центральной избирательной комиссии Российской Федерации по
установлению перечня и формы документов, подлежащих вводу в ГАС
"Выборы", обработке в ГАС "Выборы" и выводу из ГАС "Выборы",
порядка применения ЭЦП.
Федеральные законы "О выборах Президента Российской Федерации"
(пункт 3.1 статьи 38, подпункт 3 пункта 11 статьи 38), "О выборах
депутатов Государственной Думы Федерального Собрания Российской
Федерации" (пункт 8 и подпункт 2 пункта 12 статьи 43, которые
вступают в силу с 7 декабря 2006 года) предусматривают
использование ЭЦП при установлении достоверности содержащихся в
подписных листах сведений, признании недействительными подписей
избирателей.
Таким образом, нормативно-правовое регулирование по
использованию электронных документов в ГАС "Выборы" определяется
вышеперечисленными Федеральными законами, что позволяет решить
вопросы организации электронного документооборота в отдельно
взятой корпоративной автоматизированной системе.
Вместе с тем необходимо отметить, что в настоящее время
федеральным избирательным законодательством не предусмотрена
процедура подписания электронной цифровой подписью протоколов об
итогах голосования.
В качестве области, где будут использоваться электронные
документы, закреплена область обмена электронными документами
между избирательными комиссиями, комиссиями референдума. При этом
устанавливается, что электронный документ должен быть подписан ЭЦП
в установленном порядке, при образовании электронной цифровой
подписи должны использоваться только сертифицированные средства
ЭЦП.
Подготовка и обработка электронных документов с использованием
ГАС "Выборы", которые приобретают юридическую силу,
регламентируются статьей 13 Федерального закона "О Государственной
автоматизированной системе Российской Федерации "Выборы".
Кроме того, указанным Федеральным законом определены условия
придания юридической силы документам, подготовленным с
использованием ГАС "Выборы":
документ на бумажном носителе, подготовленный с использованием
ГАС "Выборы" в соответствии с федеральными законами, приобретает
юридическую силу после его подписания соответствующими
должностными лицами;
электронный документ, подготовленный с использованием ГАС
"Выборы", приобретает юридическую силу после его подписания ЭЦП
соответствующих должностных лиц, выработанными с помощью
сертифицированных средств ЭЦП;
сводные документы, подготовленные в электронном виде с
использованием ГАС "Выборы", приобретают юридическую силу в
порядке, установленном предыдущим пунктом, после обязательной
проверки в установленном порядке с помощью открытых ключей ЭЦП
подлинности всех исходных электронных документов, на основе
которых готовится сводный электронный документ.
Таким образом, изложенные выше положения определяют формальные
правила подготовки, контроля и передачи юридически значимых
электронных документов для реализации основных функций ГАС
"Выборы".
Порядок подготовки, контроля и подписания конкретных
электронных документов должен быть детализирован и внесен в
соответствующие инструкции и регламенты по организации единого
порядка передачи и обработки информации с использованием ГАС
"Выборы".
6.1.2. Программно-техническое обеспечение юридически значимого
электронного документооборота
В соответствии с Федеральным законом "Об электронной цифровой
подписи" для подтверждения принадлежности ЭЦП конкретному
физическому лицу используются сертификаты открытых ключей ЭЦП,
издаваемые удостоверяющим центром. Удостоверяющий центр
обеспечивает применение ЭЦП в ГАС "Выборы". В соответствии с
Федеральным законом "Об электронной цифровой подписи"
удостоверяющий центр:
изготавливает сертификаты ключей подписей;
создает ключи ЭЦП по обращению участников информационной
системы с гарантией сохранения в тайне закрытого ключа электронной
цифровой подписи;
приостанавливает и возобновляет действие сертификатов ключей
подписей, а также аннулирует их; ведет реестр сертификатов ключей
подписей, обеспечивает его актуальность и возможность свободного
доступа к нему участников информационных систем;
проверяет уникальность открытых ключей ЭЦП в реестре
сертификатов ключей подписей и архиве удостоверяющего центра;
выдает сертификаты ключей подписей в форме документов на
бумажных носителях и (или) в форме электронных документов с
информацией об их действии;
осуществляет по обращениям пользователей сертификатов ключей
подписей подтверждение подлинности ЭЦП в электронном документе в
отношении выданных им сертификатов ключей подписей;
может предоставлять участникам информационных систем иные
услуги, связанные с использованием ЭЦП.
Учитывая, что ГАС "Выборы" является федеральной корпоративной
территориально-распределенной информационной системой ЦИК России,
охватывающей все субъекты Российской Федерации, для обеспечения
юридической значимости электронных документов и использования ЭЦП
в ГАС "Выборы" должен быть развернут корпоративный удостоверяющий
центр в составе центра сертификации КСА ЦИК России, центра
регистрации КСА ЦИК России, АРМ администратора службы обеспечения
безопасности информации по средствам ЭЦП, с которым
взаимодействует пользователь, имеющий право на ЭЦП, и
распределенной системы центров регистрации.
В состав инфраструктуры открытых ключей ГАС "Выборы" должны
входить следующие программно-технические компоненты:
компонент, реализующий функциональное назначение центра
сертификации;
компонент, реализующий функциональное назначение центра
регистрации;
компонент, реализующий функциональное назначение сетевого
справочника;
компонент, реализующий взаимодействие владельца сертификата
ключа подписи с удостоверяющим центром;
компонент, реализующий простановку меток времени подписания
электронного документа;
компонент, реализующий администрирование и управление
компонентами удостоверяющего центра;
компонент, реализующий архивное хранение выпущенных и
аннулированных сертификатов;
компонент, реализующий разбор конфликтных ситуаций.
Центр сертификации - компонент удостоверяющего центра, который
выполняет все функции, требующие использования закрытого ключа
уполномоченного лица удостоверяющего центра. Центр сертификации
должен обеспечивать:
изготовление сертификата ключа подписи;
аннулирование сертификата на основании запроса, подписанного
секретным ключом, в том числе и скомпрометированным, субъекта или,
от его имени, секретным ключом уполномоченного лица центра
регистрации;
выпуск списков аннулированных сертификатов;
публикацию сертификатов или списков аннулированных сертификатов
в реестре сертификатов;
издание сертификатов ключей подписей для уполномоченных лиц
подчиненных удостоверяющих центров.
Центр регистрации должен обеспечивать:
идентификацию и аутентификацию субъекта, обращающегося в
удостоверяющий центр с запросом на выпуск или аннулирование
сертификата;
проверку и/или подтверждение достоверности персональных данных,
предоставленных пользователем, а также дополнительных сведений,
включаемых в состав запрашиваемого сертификата;
проверку и/или подтверждение того, что субъект действительно
обладает закрытым ключом, соответствующим открытому ключу подписи,
сертификат которого запрашивается или аннулируется.
Сетевой справочник должен обеспечивать сетевой доступ клиентов
информационной системы к реестру сертификатов и списку
аннулированных сертификатов.
АРМ пользователей и оперативно-диспетчерского персонала,
обладающих правом создания и утверждения электронных документов с
использованием средств формирования и контроля ЭЦП, должны
обеспечивать:
формирование ЭЦП под электронным документом;
просмотр электронного документа перед формированием его ЭЦП;
проверку предыдущих ЭЦП в случаях использования вложенных ЭЦП;
фиксацию периода времени проставления ЭЦП;
проверку корректности ЭЦП электронного документа;
подтверждение получения электронного документа, подписанного
ЭЦП получателя с фиксацией времени получения;
хранение сертификатов пользователей, списков аннулированных
сертификатов.
6.2. Особенности режимов функционирования ГАС "Выборы"
6.2.1. Особенности основного режима функционирования ГАС
"Выборы"
Основной режим функционирования ГАС "Выборы" - это обеспечение
информационных процессов в ходе подготовки и проведения выборов и
референдума в Российской Федерации. Особенностями основного режима
являются:
периодичность его использования (смена основного режима на
использование в период между выборами и в тренировочном режиме);
возможность использования ГАС "Выборы" не только в полном
объеме, но и фрагментов ГАС "Выборы" при проведении выборов в
субъектах Российской Федерации, округах, территориях и городах;
использование системы или ее фрагментов при проведении
повторного голосования, дополнительных и повторных выборов через
определенный период времени, в которых система также может
использоваться в отличном от основного режиме;
использование системы для сбора, уточнения и
регламентированного по датам представления сведений об
избирателях, участниках референдума и кандидатах в вышестоящие
избирательные комиссии;
основной режим функционирования имеет высший приоритет по
отношению к другим режимам функционирования. Перевод системы в
этот режим не может сдерживаться какими-либо внешними факторами,
не относящимися к избирательной кампании.
С точки зрения обеспечения конфиденциальности, целостности и
доступности информационных ресурсов и системы в целом эти
особенности обусловливают следующие дополнительные требования:
наличие развитой системы контроля функционирования ГАС "Выборы"
в целом и ее фрагментов с отображением готовности к проведению
избирательной кампании на КСА в избирательной комиссии,
организующей избирательную кампанию;
наличие соответствующих программных и технических средств, а
также регламентированных формализованных процедур, обеспечивающих
функционирование программно-технического обеспечения, а также
настраивание их механизмов защиты на КСА избирательных комиссий
для перевода системы в основной режим функционирования и
проведения избирательной кампании;
наличие соответствующих средств и процедур, обеспечивающих
архивирование информационных ресурсов по окончании избирательной
кампании и подготовку системы для ее использования в период между
выборами;
наличие системы хранения и сопровождения актуального
программного и информационного обеспечения ГАС "Выборы", его
оперативного тиражирования и доставки на КСА избирательных
комиссий при подготовке и проведении избирательной кампании;
наличие системы хранения и сопровождения предметной архивной и
парольно-ключевой информации о проведенных избирательных кампаниях
в течение установленного периода времени;
необходимость наличия системы обучения и подготовки кадров для
обеспечения функционирования КСА избирательных комиссий, в том
числе и их подготовке по вопросам обеспечения безопасности
информации.
Порядок выполнения этих требований должен быть определен в
политике обеспечения безопасности информации в ГАС "Выборы".
Особое внимание при переводе системы из основного режима
функционирования в другие режимы должно уделяться следующим
вопросам:
контроль полноты съема и архивирования предметной, справочной,
парольно-ключевой и технологической информации об избирательной
кампании;
контроль очистки системы от информации ограниченного доступа.
6.2.2. Особенности тренировочного режима функционирования ГАС
"Выборы"
Тренировочный режим функционирования ГАС "Выборы" предназначен
для тренировки обслуживающего персонала и пользователей КСА перед
каждыми выборами или референдумом. По отношению к основному режиму
функционирования тренировочный режим имеет следующие особенности:
для обеспечения этого режима создается тренировочная БД,
логическая схема которой идентична логической схеме
интегрированной БД, используемой в основном режиме;
в этом режиме используются все технические, программные
средства и информационные ресурсы ГАС "Выборы", используемые и в
основном режиме, кроме БД с реальными сведениями о ходе
избирательной кампании, и дополнительно тренировочная база данных.
С точки зрения обеспечения безопасности информации в ГАС
"Выборы" эти особенности накладывают следующие дополнительные
требования:
наличие программных и технических средств, информационного
обеспечения, а также регламентированных формализованных процедур,
обеспечивающих развертывание необходимого программного и
информационного обеспечения, а также настраивания средств защиты
на КСА избирательных комиссий для перевода системы в тренировочный
режим функционирования;
наличие средств, обеспечивающих разделение полномочий доступа к
ресурсам ГАС "Выборы" при ее использовании в тренировочном режиме;
наличие соответствующих средств и процедур, обеспечивающих
архивирование тренировочной базы данных по окончании
тренировочного режима.
Особое внимание при переводе системы из тренировочного режима
функционирования в основной режим должно уделяться контролю
восстановления всех настроек и исходных данных, необходимых для
функционирования системы в основном режиме.
Для уменьшения риска путаницы использования основного и
тренировочного режимов работы целесообразно обеспечить
использование разных паролей для входа, а система меню должна
выводить на экран соответствующие идентификационные сообщения этих
режимов.
6.2.3. Особенности функционирования ГАС "Выборы" в период между
выборами
В период между выборами в соответствии с федеральными законами
и нормативными правовыми актами ЦИК России ГАС "Выборы" или ее
фрагменты могут использоваться для решения задач, не связанных с
выборами и референдумом. При этом возникает необходимость
подключения внешних пользователей к ресурсам системы и,
следовательно, разработки и выполнения требований по обеспечению
безопасности информации в ГАС "Выборы" при конкретном подключении.
Использование ГАС "Выборы" должно осуществляться при строгом
соблюдении приоритетности выполнения функций, обеспечивающих
подготовку и проведение выборов и референдумов, и следующих
основных условий:
обеспечение сохранности и достоверности содержащейся в ГАС
"Выборы" информации;
сохранение целостности ГАС "Выборы", работоспособности ее
фрагментов и средств обеспечения;
поддержание КСА и средств обеспечения безопасности информации в
установленной конфигурации.
При этом ФЦИ при ЦИК России обеспечивает выполнение единого
порядка использования и эксплуатации ГАС "Выборы", регламента
перевода системы в режим подготовки и проведения выборов и
референдумов.
Информационные центры ИКСРФ организуют эксплуатацию КСА в
период между выборами в соответствии с соглашениями и договорами
по информационному обеспечению органов государственной власти
субъекта Российской Федерации и органов местного самоуправления.
В соответствии с Федеральным законом "О Государственной
автоматизированной системе Российской Федерации "Выборы" контроль
за работой комплексов средств автоматизации в период между
выборами осуществляют соответствующие избирательные комиссии.
6.2.3.1. Меры противодействия угрозам безопасности информации
при использовании ГАС "Выборы" в период между выборами
Для обеспечения безопасности информации КСА ТИК и ПСПД ГАС
"Выборы" целесообразно использовать типовые технические решения,
обеспечивающие защиту КСА ТИК и технологических ресурсов ГАС
"Выборы".
В целях защиты передаваемых данных и информационных ресурсов
ГАС "Выборы" в КСА ТИК и ИКСРФ при их подключении к локальным
вычислительным сетям администраций необходимо:
осуществить межсетевое экранирование между локальными
вычислительными сетями (далее - ЛВС) КСА ТИК, ИКСРФ и ЛВС местных
администраций;
задействовать криптографическую защиту информации ГАС "Выборы"
для обеспечения конфиденциальности и целостности передаваемых
данных;
применить системы анализа защищенности фрагментов ГАС "Выборы"
и средств обнаружения вторжений.
Для обеспечения безопасности информации на основе применения
технических средств ПСПД ГАС "Выборы" предполагается, помимо
дооснащения КСА сертифицированными средствами защиты,
задействовать штатные механизмы защиты граничных маршрутизаторов
Cisco 1751 в КСА ТИК и Cisco 2620 в КСА ИКСРФ, обеспечивающих
функционирование каналов связи с КСА ИКСРФ.
6.2.3.2. Контроль состояния ресурсов ГАС "Выборы" при ее
переводе из режима функционирования в период между выборами в
основной или тренировочный режимы
Особое внимание при переводе системы из режима функционирования
в период между выборами в основной или тренировочный режимы должно
уделяться следующим вопросам:
контроль целостности технических, программных и информационных
ресурсов ГАС "Выборы" в соответствии с установленным перечнем;
контроль восстановления исходных данных и программных настроек,
в том числе и средств защиты, необходимых для развертывания
программного и информационного обеспечения КСА для реализации
функций основного и тренировочного режимов работы;
контроль необходимого резерва дискового пространства, адресного
пространства и других характеристик вычислительного процесса,
требующих соответствующих ресурсов, которые могли быть
использованы при функционировании системы в период между выборами;
контроль отсутствия технических, программных и информационных
средств в КСА избирательных комиссий, которые не предусмотрены для
функционирования КСА в основном или тренировочном режимах.
Целесообразно разработать методику контроля состояния ресурсов
ГАС "Выборы" при ее переводе из режима функционирования в период
между выборами в основной и тренировочный режимы работы,
проведения аудита безопасности информации в ГАС "Выборы" перед
проведением выборов или референдума, подготовки контрольных задач
для проверки работоспособности и функционирования системы в целом,
отдельных подсистем, включая средства защиты информации.
6.3. Комплексная система обеспечения безопасности
информации в ГАС "Выборы"
Комплексная система обеспечения безопасности информации (далее
- КСОБИ) в ГАС "Выборы", которая должна быть создана после
завершения решения всех задач по модернизации, должна
консолидировать правовые, технологические, организационные,
технические меры и способы обеспечения безопасности информации. В
части использования технических и криптографических средств защиты
информации она должна базироваться на существующей подсистеме
обеспечения безопасности информации ГАС "Выборы" и предусматривать
ее комплексное развитие в соответствии с реализацией новых
функций, возложенных на ГАС "Выборы", и развитием современных
средств и технологий противодействия угрозам безопасности
информации.
КСОБИ должна предусматривать возможность прогнозирования и
отражения атак в реальном масштабе времени, обеспечивать быстрое
восстановление защищаемых ресурсов и поддержание уровня
обеспечения безопасности информации, адекватного новым источникам,
средствам и способам реализации угроз.
КСОБИ должна предусматривать механизмы оперативного
взаимодействия с правоохранительными органами в необходимых
случаях в установленном законом порядке.
На каждом КСА ГАС "Выборы" необходимо обеспечить постоянный
контроль безопасности информации, прогнозирование проблемных
ситуаций и адекватную реакцию на выявленные нарушения безопасности
информации. Для оперативной реакции на указанные нарушения
назначается соответствующий работник.
В политике безопасности информации должны быть определены
формальные процедуры уведомления, а также процедура реагирования
на события, описывающая меры, которые надлежит принять при
получении сообщения об инциденте.
КСОБИ должна включать следующие основные элементы:
документационное обеспечение КСОБИ - единую политику
обеспечения безопасности информации в ГАС "Выборы", организационно-
распорядительные и нормативные документы, регламентирующие порядок
применения средств защиты информации и безопасное использование
информационных технологий;
организационно-штатную структуру КСОБИ, включающую штатное
подразделение и отдельных специалистов ГАС "Выборы",
обеспечивающих безопасность информации системы, с разделением
полномочий и ответственности между ними;
технологическое обеспечение КСОБИ ГАС "Выборы", включающее
программно-аппаратные средства защиты и технологические системы
безопасности, средства аудита и мониторинга состояния безопасности
информации;
процедуры планирования и контроля эффективности принимаемых мер
защиты;
резервное копирование наиболее важных информационных ресурсов
ГАС "Выборы".
Реализация положения пункта 7 статьи 17 Федерального закона "О
Государственной автоматизированной системе Российской Федерации
"Выборы" в части восстановления информационных ресурсов в случае
нарушения их целостности или утраты, а также проведение резервного
копирования наиболее важных информационных ресурсов ГАС "Выборы"
должны обеспечиваться путем дублирования программных и
информационных ресурсов КСА ТИК, ИКСРФ и ЦИК России. Порядок
дублирования информации, хранимой на АРМ, серверах и в БД, и
периодичность проведения такого дублирования должны быть приведены
в руководстве соответствующего системного администратора. Для
повышения надежности хранения информационных ресурсов в ГАС
"Выборы" должно обеспечиваться дублирование ведения баз данных КСА
нижестоящего уровня на КСА вышестоящего уровня.
В КСА ЦИК России сохранность информационных ресурсов
обеспечивается также применением кластера БД и кластера хранилища
данных. Безопасность и сохранность персональных данных Регистра
избирателей России в КСА ЦИК России должна обеспечиваться
программно-техническим комплексом (далее - ПТК) "Регистр
избирателей", функционирующим как отдельный сегмент КСА ЦИК России
и взаимодействующий с остальными сегментами через
сертифицированный межсетевой экран. Для обеспечения бесперебойного
функционирования в ПТК "Регистр избирателей" используется
технология "горячего" резервирования, обеспечивающая при выходе из
строя основного сервера быстрое восстановление работоспособности
ПТК, а также возможность полного резервного копирования БД на
внешние носители. Порядок восстановления информационных ресурсов в
ГАС "Выборы" на базе вышеуказанных технических решений должен быть
отражен в эксплуатационной документации системных администраторов
всех уровней.
6.3.1. Документационное обеспечение КСОБИ ГАС "Выборы"
Документационное обеспечение КСОБИ предполагает создание пакета
нормативных, организационно-распорядительных и эксплуатационных
документов, регламентирующих все вопросы организации, управления и
контроля деятельности по обеспечению безопасности информации, а
также использования средств и систем защиты.
В данный пакет документов должны входить:
настоящая Концепция;
политика обеспечения безопасности информации в ГАС "Выборы" -
документ, определяющий цели и задачи, корпоративные требования и
практические правила управления работами по обеспечению
безопасности информации, перечень и состав необходимых документов,
регламентирующих вопросы безопасности информации;
нормативные и организационно-распорядительные документы,
регламентирующие вопросы организации и проведения работ по защите
информации, разрешительной системе допуска исполнителей к
документам, сведениям по порядку учета, обращения и хранения
информации ограниченного доступа, типовые инструкции должностных
лиц и так далее;
эксплуатационные документы для используемых средств защиты
информации и механизмов обеспечения безопасности информации,
включая контроль эффективности средств защиты.
Разработка документационного обеспечения КСОБИ и ввод его в
действие является одним из первоочередных направлений деятельности
по реализации настоящей Концепции.
6.3.2. Организационно-штатная структура КСОБИ ГАС "Выборы"
В соответствии с руководящим документом Гостехкомиссии России
"Специальные требования и рекомендации по технической защите
конфиденциальной информации (СТР-К)" ответственность за
обеспечение требований по технической защите конфиденциальной
информации возлагается на руководителей организаций,
эксплуатирующих объекты информатизации. Организация работ по
защите информации возлагается на руководителей организаций,
руководителей подразделений, осуществляющих разработку проектов
объектов информатизации и их эксплуатацию, а методическое
руководство и контроль за эффективностью предусмотренных мер
защиты информации - на руководителей подразделений по защите
информации (служб безопасности) организации. Научно-техническое
руководство и непосредственную организацию работ по созданию
(модернизации) системы защиты информации объекта информатизации
осуществляет его главный конструктор или другое должностное лицо,
обеспечивающее научно-техническое руководство созданием объекта
информатизации.
Функции по обеспечению безопасности информации в ГАС "Выборы"
регламентируются нормативными актами. Так, организация
эксплуатации и обеспечение безопасности информации во всей ГАС
"Выборы" Указом Президента Российской Федерации от 18 августа 1995
г. N 861 "Об обеспечении деятельности Государственной
автоматизированной системы Российской Федерации "Выборы" возложены
на Федеральный центр информатизации при Центральной избирательной
комиссии Российской Федерации; обеспечение безопасности информации
в субъектах Российской Федерации и, в частности, непосредственно в
КСА ИКСРФ и ТИК, Постановлением ЦИК России от 12 июля 2002 г. N
156/1375-3 "О формировании информационных центров в аппаратах
ИКСРФ" возложено на информационные центры ИКСРФ; организация и
осуществление работ по эксплуатации комплекса средств
автоматизации в соответствующей избирательной комиссии, комиссии
референдума Федеральным законом "О Государственной
автоматизированной системе Российской Федерации "Выборы" возложены
на системного администратора, а контроль за использованием КСА, в
соответствии с требованиями закона и инструкциями ЦИК России,
осуществляет группа контроля, создаваемая в рамках соответствующей
избирательной комиссии.
Таким образом, обеспечение единого управления деятельностью по
защите ГАС "Выборы" осуществляется на трех иерархических уровнях:
уровень стратегического планирования и управления безопасностью
информации в ГАС "Выборы";
уровень текущего планирования, организации и контроля
обеспечения безопасности информации;
исполнительский уровень, на котором осуществляется
администрирование средств защиты информации и мониторинга, а также
эксплуатация встроенных в ПО механизмов безопасности и
информационных технологий.
К первому уровню относятся:
руководитель ФЦИ при ЦИК России и его заместители;
начальник управления ФЦИ при ЦИК России;
начальник отдела защиты информации ФЦИ при ЦИК России;
главный конструктор ГАС "Выборы".
На первом уровне решаются стратегические вопросы обеспечения
безопасности информации в ГАС "Выборы", вопросы технической
политики в области средств защиты информации, разрабатываются
политика и корпоративные стандарты безопасности, координируются
действия избирательных комиссий по обеспечению безопасности
информации и оценивается эффективность принимаемых мер защиты в
ГАС "Выборы" в целом.
Ко второму уровню относятся работники, которые отвечают за
безопасность информации на КСА ЦИК России, КСА ИКСРФ и
обеспечивают разграничительную систему доступа к защищаемым
ресурсам ГАС "Выборы", руководители информационных центров ИКСРФ.
На втором уровне решаются практические вопросы текущего
планирования и управления работами по обеспечению безопасности
информации на местах; координируются действия избирательных
комиссий, действующих на территории субъекта Российской Федерации,
по обеспечению безопасности информации в соответствующем фрагменте
ГАС "Выборы", анализируются угрозы безопасности информации и
оцениваются информационные риски для защищаемых ресурсов;
осуществляется организация и контроль проведения в жизнь принятой
политики обеспечения безопасности информации и решений, принятых
на первом уровне; проводится повседневный контроль принимаемых
защитных мер и разбор случаев нарушения безопасности информации;
проводятся другие необходимые технические и организационные
мероприятия.
К третьему уровню относятся системные администраторы и члены
группы контроля, имеющие доступ к защищаемым ресурсам. На третьем
уровне решаются две большие группы вопросов: практические вопросы
администрирования и технического обслуживания конкретных
технических средств и механизмов защиты информации, входящих в
КСОБИ, и вопросы реализации и контроля выполнения установленных
порядка и правил обеспечения безопасности информации, определенных
в политике и должностных инструкциях.
Подсистемой обеспечения безопасности информации управляет отдел
защиты информации ФЦИ при ЦИК России в соответствии с Инструкцией
по организации доступа к персональным данным и иной
конфиденциальной информации, обрабатываемой в ГАС "Выборы",
утвержденной Постановлением ЦИК России от 3 ноября 2003 г. N
49/463-4.
Документы, определяющие политику обеспечения безопасности
информации, должны четко регламентировать обязанности и порядок
взаимодействия всех сил инфраструктуры ГАС "Выборы" по целям,
задачам и функциям обеспечения безопасности информации.
6.3.3. Технологическое обеспечение КСОБИ ГАС "Выборы"
Технологическое обеспечение КСОБИ ГАС "Выборы" включает
следующие основные элементы:
подсистему обеспечения безопасности информации (в том виде, в
котором она существует на текущий момент);
инфраструктуру открытых ключей ГАС "Выборы" для обеспечения
юридически значимого электронного документооборота;
инженерные и инженерно-технические системы обеспечения
безопасности объектов информатизации.
6.3.3.1. Подсистема обеспечения безопасности информации
В существующей подсистеме обеспечения безопасности информации в
настоящий момент не реализованы функции использования ЭЦП и
обеспечения юридически значимого электронного документооборота.
Инфраструктура открытых ключей, которая должна обеспечивать
управление криптографическими ключами в автоматизированной
системе, также не развернута. В связи с этим ближайшей задачей
является реализация этих функций.
На КСА ЦИК России должно быть предусмотрено АРМ для средств
ЭЦП. На этом АРМ должны решаться следующие основные задачи:
управление центром регистрации КСА ЦИК России;
регистрация и удаление пользователей КСА ЦИК России;
ведение архива списка отозванных сертификатов, заявок на
получение и отзыв сертификатов;
представление данных для разбора конфликтных ситуаций;
отзыв сертификатов.
Функция контроля целостности и подлинности электронных
документов должна реализовываться на АРМ пользователей и
оперативно-диспетчерского персонала, обладающих правом создания и
утверждения электронных документов, с использованием средств
формирования и контроля ЭЦП. Технология использования ЭЦП должна
обеспечивать:
формирование ЭЦП электронного документа;
просмотр электронного документа перед формированием его ЭЦП;
проверку предыдущих ЭЦП в случаях использования вложенных ЭЦП;
фиксацию периода времени проставления ЭЦП;
проверку корректности ЭЦП электронного документа, подлинности и
целостности самого электронного документа;
подтверждение получения электронного документа, в котором
проставлена ЭЦП получателя, с фиксацией времени получения.
6.3.3.2. Инфраструктура удостоверяющего центра ГАС "Выборы"
Для обеспечения использования ЭЦП в ГАС "Выборы" создается
инфраструктура, предусматривающая наличие следующих компонентов:
центра сертификации в КСА ЦИК России;
центров регистрации в КСА ЦИК России и КСА ИКСРФ;
АРМ администратора средств ЭЦП, с которым взаимодействует
пользователь, имеющий право на ЭЦП.
Указанные компоненты должны реализовываться на базе
сертифицированных технических средств и средств, реализующих
функциональное назначение удостоверяющего центра.
Для реализации требований Федерального закона "Об электронной
цифровой подписи" должно быть организовано взаимодействие с
уполномоченным федеральным органом в области применения ЭЦП.
6.3.3.3. Инженерно-технические системы обеспечения безопасности
объектов информатизации ГАС "Выборы"
Для реализации мероприятий по обеспечению защиты от
несанкционированного физического доступа к КСА и ПСПД и их
живучести должны применяться следующие основные системы:
системы пожарной сигнализации и пожаротушения;
системы вентиляции и кондиционирования;
системы резервного питания;
системы контроля доступа и видеонаблюдения.
Решения по их применению должны приниматься на основе анализа
степени безопасности конкретных объектов информатизации ГАС
"Выборы".
Системы пожарной сигнализации предназначены для круглосуточного
автоматического контроля пожароопасных зон и автоматического
реагирования в случае возникновения пожара (включение системы
оповещения, передача сообщения в пожарную службу, индикация пожара
на пульте контроля). Система самостоятельно принимает и
обрабатывает информацию о состоянии контролируемых объектов
информатизации ГАС "Выборы" и выполняет запрограммированные
действия в случае возгорания.
Для обеспечения эффективности работы системы пожаротушения в
целом и постоянного контроля за состоянием каждого извещателя в
отдельности на крупных объектах ГАС "Выборы" должны использоваться
адресные системы.
Для управления средствами пожаротушения должна использоваться
система централизованного контроля и управления, в задачи которой
входят:
- управление разрешением/запретом автоматического пуска;
- принудительный пуск системы пожаротушения в выбранной зоне;
- сигнализация, оповещающая обо всех неисправностях в системе с
расшифровкой по направлениям.
Для выполнения требований по эксплуатации (температура,
относительная влажность воздуха) аппаратных средств КСА и ПСПД в
помещениях, где они установлены, должны применяться системы
вентиляции и кондиционирования воздуха.
Для предотвращения потерь информации при кратковременном
отключении электроэнергии все критичные ресурсы, сетевое и
коммуникационное оборудование КСА и ПСПД должно подключаться к
сети электропитания через источники бесперебойного питания.
В зависимости от необходимого времени работы ресурсов после
потери питания должны применяться следующие средства резервного
электропитания:
локальные источники бесперебойного электропитания с различным
временем питания для защиты отдельных компьютеров;
источники бесперебойного питания с дополнительной функцией
защиты от скачков напряжения;
дублированные системы электропитания в устройствах (серверы,
концентраторы, мосты и т.д.);
резервные линии электропитания в пределах комплекса зданий;
аварийные электрогенераторы.
Необходимое время работы ресурсов определяется в зависимости от
времени, достаточного для восстановления подачи напряжения,
выключения компьютера или сохранения информации на различных
носителях, и от времени, в течение которого отсутствие
электропитания не нанесет ущерб решению задач ГАС "Выборы".
Немаловажным методом обеспечения непрерывности работы КСА и
ПСПД ГАС "Выборы" является ограничение физического доступа к ним.
Необходимо ограничивать доступ:
в помещения, в которых размещаются КСА и ПСПД, обрабатываются и
хранятся информационные ресурсы ГАС "Выборы";
к коммутационным шкафам.
Помещения, в которых размещаются КСА и ПСПД, обрабатываются и
хранятся информационные ресурсы ГАС "Выборы", должны быть
оборудованы в зависимости от степени критичности:
замками (механическими или электронными);
решетками на окнах или системами охранной сигнализации.
6.3.4. Планирование и контроль обеспечения безопасности
информации в ГАС "Выборы"
Управление безопасностью информации в ГАС "Выборы" должно
осуществляться путем планирования мероприятий для КСА ЦИК России и
КСА ИКСРФ. Планы ИКСРФ должны учитывать мероприятия по обеспечению
безопасности информации, которые необходимо реализовать на КСА
подчиненных им территориальных избирательных комиссий.
В документационном обеспечении КСОБИ должны быть разработаны
документы, содержащие общие требования и рекомендации по структуре
планов обеспечения безопасности информации, периодам планирования
и формам отчетности для всех уровней системы.
После завершения работ по созданию КСОБИ и модернизации ГАС
"Выборы" должны быть проведены работы по аттестации объектов
информатизации ГАС "Выборы" по требованиям безопасности
информации. Учитывая большое количество объектов информатизации,
целесообразно провести их аттестацию в следующем порядке: сначала,
в соответствии с Положением по аттестации объектов информатизации
по требованиям безопасности информации, проводится аттестация
объекта информатизации ЦИК России и выборочная аттестация 1 - 2
ИКСРФ, 1 - 2 ТИК и 4 - 5 УИК (в случае автоматизации УИК). Затем
по результатам этих работ на основе протоколов аттестации
разрабатываются и согласовываются в установленном порядке
методические материалы по проведению аттестации всей ГАС "Выборы"
в целом с участием организаций, имеющих лицензии на право
проведения аттестации объектов информатизации.
При подготовке и в ходе аттестационных испытаний также
принимается решение о необходимости проведения правовой экспертизы
нормативных правовых документов для обеспечения правовой
значимости документов ГАС "Выборы" (с учетом возможных изменений в
правовом поле на дату проведения экспертизы).
6.4. Концептуальные решения по развитию механизмов защиты
информации в ГАС "Выборы"
Исходя из требований законодательства и в соответствии с
тенденциями развития технологий обеспечения безопасности
информации в ГАС "Выборы" необходимо учитывать следующие
направления деятельности.
В части организационно-нормативного обеспечения:
совершенствование законодательной базы использования ГАС
"Выборы" в период проведения выборов, референдумов и в период
между ними;
разработка и утверждение модели угроз и нарушителя для ГАС
"Выборы" (на начальном этапе технического проектирования комплекса
средств обеспечения безопасности информации);
повышение уровня технической культуры пользователей и
обслуживающего персонала ГАС "Выборы";
создание регламентов в области управления персоналом с целью
обеспечения безопасности обрабатываемой в ГАС "Выборы" информации;
модернизация эксплуатационной документации с учетом развития
программно-аппаратных средств ГАС "Выборы";
разработка и совершенствование организационно-распорядительных
документов в части использования ЭЦП и придания юридической
значимости электронным документам в ГАС "Выборы";
разработка требований по обеспечению безопасности информации
при реализации технологии электронного голосования;
разработка и совершенствование планов (инструкций) по
обеспечению непрерывной работы ГАС "Выборы" и восстановления ее
работоспособности в случае возникновения кризисной ситуации;
регулярное проведение аудита безопасности информации, включая
анализ рисков с учетом развивающихся технологий;
накопление и документирование опыта по расследованию инцидентов
в области безопасности;
сертификация программно-технической среды ГАС "Выборы" в
соответствии с национальными стандартами и техническими
регламентами, принятие которых планируется в России.
В части технического и технологического обеспечения:
совершенствование и модернизация программно-аппаратных средств
ГАС "Выборы" с учетом внедряемых избирательных технологий;
реализация технологии обеспечения юридической силы и
достоверности документов, подготовленных с использованием ГАС
"Выборы", создание и совершенствование инфраструктуры открытых
ключей на основе использования стандарта Х.509;
создание и внедрение средств защиты, способных адекватно
противостоять появляющимся угрозам безопасности информации;
модернизация внедренных средств защиты информации;
модернизация активной сетевой защиты и системы связи между КСА
ГАС "Выборы" всех уровней;
разработка и реализация технических решений по повышению
надежности функционирования КСА (всех уровней) и ПСПД ГАС
"Выборы";
обновление и пополнение антивирусных баз и баз уязвимостей
систем.
Для предотвращения угрозы безуликового внедрения средств
скрытого программного воздействия во всех КСА ГАС "Выборы" должны
применяться:
контуры обработки юридически значимых электронных документов;
средства защиты, существующие средства контроля целостности ПО;
средства защиты от НСД (в первую очередь на АРМ
администраторов), а также обеспечение средств контроля замкнутости
программной среды.
В части безопасности межсетевого взаимодействия:
реализация в подсистеме обеспечения безопасности информации
функции постоянного мониторинга состояния безопасности информации
в ГАС "Выборы" (с использованием сертифицированных средств защиты
информации) с целью своевременного выявления и предотвращения
нарушений конфиденциальности, целостности или доступности
информации, а также документирования информации, необходимой для
расследования инцидентов, связанных с нарушениями безопасности
информации;
реализация в подсистеме обеспечения безопасности информации
функции контроля (аудита) защищенности ресурсов ГАС "Выборы".
Также целесообразно предусмотреть механизмы контроля за
защищенностью информации в транзитных и региональных узлах
коммутации, размещенных на площадях предприятий электросвязи.
7. ЭТАПЫ РЕАЛИЗАЦИИ КОНЦЕПЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ГАС "ВЫБОРЫ"
Положения Концепции должны реализовываться в рамках мероприятий
по развитию ГАС "Выборы", проводимых ЦИК России, и государственных
программ, утверждаемых Правительством Российской Федерации.
Реализация заключается в разработке, установлении и обеспечении
условий и порядка выполнения положений Концепции.
Основными направлениями реализации Концепции являются:
создание КСОБИ;
определение головного исполнителя по реализации положений
Концепции, определяемого на конкурсной основе;
формирование технологической инфраструктуры КСОБИ в
соответствии с новыми функциями ГАС "Выборы";
реализация функции постоянного мониторинга состояния
безопасности информации в ГАС "Выборы" и контроля (аудита)
защищенности ресурсов ГАС "Выборы";
планирование, координация деятельности и контроль в области
обеспечения безопасности информации в ГАС "Выборы";
разработка норм и требований, регламентирующих обеспечение
безопасности информации в системе и позволяющих осуществлять
контроль ее эффективности;
проведение опытно-конструкторских работ по разработке
эффективных средств, методов и способов обеспечения безопасности
информации в ГАС "Выборы".
Должны быть предусмотрены следующие этапы реализации Концепции:
Этап 1. Проведение опытно-конструкторской работы по разработке
технического проекта на развитие безопасности информации в ГАС
"Выборы"
декабрь 2005 года - август 2006 года.
Этап 2. Проведение опытно-конструкторской работы по отработке
разработанных технических решений на стенде разработчика и в
опытном районе
август - декабрь 2006 года.
Этап 3. Полномасштабное внедрение разработанных технических
решений в ГАС "Выборы"
январь - июль 2007 года.
В соответствии с данной Концепцией должны быть проведены опытно-
конструкторские работы по разработке конкретных технических
решений. В связи с этим в настоящий момент может быть проведена
только ориентировочная технико-экономическая оценка работ по
реализации Концепции. Из основных мероприятий по реализации
Концепции к настоящему моменту наиболее полно и достаточно
подробно проработаны технические решения по реализации юридической
значимости электронных документов. Для ее реализации необходимо
развернуть инфраструктуру открытых ключей ГАС "Выборы" и
собственно средства ЭЦП.
Оценка затрат на внедрение средств ЭЦП и доработку СПО ГАС
"Выборы" будет сделана на этапе технического проектирования в
рамках проведения работ по оценке реализации требований Концепции.
Технико-экономическое обоснование работ по обеспечению
безопасности информации при автоматизации уровня КСА УИК и
переходу к безбумажной технологии голосования планируется провести
в рамках соответствующих научно-исследовательских и опытно-
конструкторских работ.
Проект технического задания на реализацию требований Концепции
должен быть оформлен как техническое задание на опытно-
конструкторскую работу в соответствии с требованиями ГОСТ 34.602-
89, в данном техническом задании должен быть предусмотрен этап
технического проектирования, а также экспертиза отчетных
материалов по этапу технического проектирования и опытно-
конструкторской работы в целом специалистами уполномоченного
государственного органа по вопросам криптографической защиты
информации.
|