ЦЕНТРАЛЬНАЯ ИЗБИРАТЕЛЬНАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 23 июля 2003 г. N 19/137-4
О ПОЛОЖЕНИИ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ "ВЫБОРЫ"
В соответствии с подпунктами 4, 5 пункта 2 статьи 6, пунктом 4 статьи 6, статьей 21 Федерального закона "О Государственной автоматизированной системе Российской Федерации "Выборы" и в целях обеспечения безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы" Центральная избирательная комиссия Российской Федерации постановляет:
1. Утвердить Положение об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы" (прилагается).
2. Федеральному центру информатизации при Центральной избирательной комиссии Российской Федерации (В.В. Ященко) до 15 августа 2003 года разработать, согласовать со структурными подразделениями Аппарата и представить на утверждение Центральной избирательной комиссии Российской Федерации перечень персональных данных и конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации "Выборы", доступ к которым должен быть ограничен, с указанием прав и обязанностей пользователей.
3. Считать утратившим силу Постановление Центральной избирательной комиссии Российской Федерации от 9 июля 1999 г. N 7/41-III "Об утверждении Положения об обеспечении информационной безопасности Государственной автоматизированной системы Российской Федерации "Выборы".
4. Контроль за исполнением настоящего Постановления возложить на члена Центральной избирательной комиссии Российской Федерации В.А. Крюкова.
5. Опубликовать настоящее Постановление в журнале "Вестник Центральной избирательной комиссии Российской Федерации".
Председатель Центральной
избирательной комиссии
Российской Федерации
А.А.ВЕШНЯКОВ
Секретарь Центральной
избирательной комиссии
Российской Федерации
О.К.ЗАСТРОЖНАЯ
УТВЕРЖДЕНО
Постановлением
Центральной избирательной
комиссии Российской Федерации
от 23 июля 2003 г. N 19/137-4
ПОЛОЖЕНИЕ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ "ВЫБОРЫ"
1. Общие положения
1.1. Положение об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы" (далее - Положение) разработано с целью определения единого порядка организации и обеспечения безопасности конфиденциальной информации, не содержащей сведений, составляющих государственную тайну, и информации, содержащей персональные данные, при ее сборе, обработке, накоплении, хранении, поиске и передаче в Государственной автоматизированной системе Российской Федерации "Выборы" (далее - ГАС "Выборы") с учетом задач, стоящих перед избирательными комиссиями, комиссиями референдума в связи с проведением федеральных выборов, выборов в органы государственной власти субъектов Российской Федерации, в органы местного самоуправления, а также референдумов.
1.2. Положение регламентирует перечень мероприятий по обеспечению безопасности информации в ГАС "Выборы", реализуемых на базе комплекса организационных, технических и правовых мер защиты.
1.3. Положение является обязательным для организаций, разрабатывающих, эксплуатирующих и обслуживающих ГАС "Выборы". Положение распространяется на все режимы использования ГАС "Выборы" и регламентирует права и обязанности пользователей и обслуживающего персонала ГАС "Выборы" по соблюдению требований безопасности информации.
1.4. Правовой основой обеспечения безопасности информации в ГАС "Выборы" являются Конституция Российской Федерации, Федеральные законы "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", "О выборах Президента Российской Федерации", "О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации", "О Государственной автоматизированной системе Российской Федерации "Выборы", "Об информации, информатизации и защите информации", а также международные договоры Российской Федерации и другие нормативные правовые акты, которые определяют права и обязанности граждан, общества и государства в сфере информационных отношений.
1.5. Центральная избирательная комиссия Российской Федерации организует и осуществляет контроль за соблюдением требований безопасности информации в ГАС "Выборы".
Избирательные комиссии субъектов Российской Федерации обеспечивают безопасность информации и осуществляют контроль за соблюдением требований безопасности информации в соответствующих фрагментах ГАС "Выборы".
Избирательные комиссии муниципальных образований, окружные, территориальные избирательные комиссии, комиссии референдума обеспечивают безопасность информации в соответствующих комплексах средств автоматизации (далее - КСА).
Обеспечение безопасности информации в ГАС "Выборы" осуществляется Федеральным центром информатизации при Центральной избирательной комиссии Российской Федерации (далее - ФЦИ).
1.6. Функциональные возможности средств защиты информации и технологической поддержки безопасности информации используются избирательными комиссиями, обслуживающим персоналом КСА в соответствии с нормативными правовыми актами, эксплуатационной документацией и утвержденными инструкциями.
1.7. Информационные ресурсы ГАС "Выборы", содержащие персональные данные, независимо от уровня и способа их формирования являются федеральными информационными ресурсами. Такие ресурсы собираются, обрабатываются, накапливаются, хранятся и передаются в условиях конфиденциальности.
2. Основные термины, используемые в настоящем Положении
В Положении используются следующие термины:
автоматизированное рабочее место - рабочее место пользователя в составе комплекса средств автоматизации;
несанкционированный доступ к информации - доступ к информации, нарушающий установленные правила ограничения доступа;
безопасность информации - защищенность информации от ее перехвата, утечки по техническим и иным каналам, от модификации, блокирования, уничтожения, несанкционированного доступа к ней, а также защищенность технических и программных средств сбора, обработки, накопления, хранения, поиска и передачи информации, информационных и телекоммуникационных систем от нарушения их функционирования или от вывода их из строя;
обслуживающий персонал - персонал, обеспечивающий эксплуатацию ГАС "Выборы", включающий в себя диспетчеров, администраторов и операторов различного функционального уровня, персонал, обеспечивающий обслуживание и ремонт технических средств, персонал службы обеспечения безопасности информации;
пользователь системы - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации либо вводящий в систему данные в соответствии со своими должностными или служебными обязанностями;
средства защиты информации - программные, технические, программно-технические средства, предназначенные для предотвращения или существенного затруднения попыток нарушения безопасности информации.
3. Цели обеспечения безопасности информации и мероприятия по защите информации
3.1. Целью обеспечения безопасности информации в ГАС "Выборы" является достижение такого уровня ее защищенности, который позволит:
осуществлять достоверное, оперативное обслуживание проведения выборов и референдумов в условиях возможного случайного или преднамеренного воздействия на информацию, собираемую, обрабатываемую, накапливаемую, хранимую и передаваемую в ГАС "Выборы", либо при попытках несанкционированного доступа к ней;
обеспечить права граждан на неразглашение их персональных данных.
3.2. Безопасность информации в ГАС "Выборы" обеспечивается средствами защиты информации, поддерживаемыми комплексом организационных, технических и правовых мер. Выбор средств защиты информации и реализуемых ими функций осуществляется в соответствии с классом защищенности по классификации Государственной технической комиссии при Президенте Российской Федерации, установленным в техническом задании на каждый типовой КСА.
3.3. Основная цель обеспечения безопасности информации достигается посредством организационных, технических и правовых мер по защите информации.
К организационным мерам относятся:
сертификация ГАС "Выборы", а также средств ее защиты в порядке, установленном федеральным законодательством;
исключение несанкционированного доступа к ГАС "Выборы";
проверка готовности ГАС "Выборы" и ее фрагментов перед подготовкой и проведением выборов и референдума;
применение утвержденной в установленном порядке эксплуатационной документации;
организация и проведение работ по обеспечению сохранности и работоспособности комплексов средств автоматизации;
подготовка работников, подтвержденная сертификатом о праве эксплуатации комплекса средств автоматизации;
установление ответственности за нарушение правил использования и эксплуатации ГАС "Выборы" и ее фрагментов.
К техническим мерам относятся:
применение сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи;
обеспечение подлинности и целостности информации в ГАС "Выборы";
защита информации при ее передаче по сетям связи.
Правовые меры защиты реализуются на базе действующего законодательства Российской Федерации.
3.4. Средства защиты информации используются в ГАС "Выборы" с соблюдением следующих условий:
каждый пользователь и работник из числа обслуживающего персонала наделяются полномочиями по доступу к ресурсам ГАС "Выборы" в соответствии со своими функциональными обязанностями;
использование программного обеспечения осуществляется и контролируется в соответствии с документацией на КСА по установленному регламенту;
исключается возможность использования КСА для работ, не предусмотренных документацией на КСА;
не допускается подключение КСА ГАС "Выборы" к сети Интернет;
изменение конфигурации КСА производится только на основании решения ФЦИ, принятого в установленном порядке;
физическая целостность технических средств и защита персонала обеспечивается комплексом технических, организационных и правовых мер защиты.
4. Мероприятия по обеспечению безопасности информации
Для реализации комплекса мер по обеспечению безопасности информации предусматриваются следующие мероприятия.
4.1. Контроль за применением сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи.
4.1.1. Проверка состава программных и технических средств каждого КСА на соответствие утвержденной документации на КСА в порядке, приведенном в эксплуатационной документации.
4.1.2. Включение технических средств и программных изделий в состав КСА по решению ФЦИ в соответствии с конструкторской и эксплуатационной документацией.
4.2. Исключение несанкционированного доступа к ГАС "Выборы" путем установки средств защиты информации и включения в технологические процессы обработки информации КСА и комплексов обработки избирательных бюллетеней следующих функций средств защиты информации:
разграничение доступа к файлам, каталогам и дискам;
разграничение доступа к комплексам программ;
автоматическое стирание остаточной информации;
аппаратный контроль загрузки операционной системы;
идентификация пользователей по паролю с обязательной сменой пароля по установленному регламенту;
блокировка работы КСА в соответствующих критических ситуациях;
контроль вывода данных на принтер и в каналы связи.
4.3. Проверка наличия на автоматизированных рабочих местах обслуживающего персонала утвержденных в установленном порядке документов:
руководство диспетчера службы обеспечения безопасности информации;
перечень (конфигуратор) программных и технических средств КСА;
руководство по антивирусной защите;
перечень конфиденциальной информации и персональных данных, доступ к которым ограничивается, с указанием прав пользователей;
эксплуатационная документация на средства защиты;
правила учета и хранения парольных документов;
должностные инструкции обслуживающего персонала.
4.4. Контроль за обеспечением подлинности и целостности информации в ГАС "Выборы".
4.4.1. Проверка наличия на КСА резервных страховых копий баз данных в режиме архивного хранения.
4.4.2. Проверка по установленному регламенту целостности программных изделий на соответствие эталонным копиям и выданным сертификатам.
4.4.3. Проверка соблюдения установленного ФЦИ порядка хранения, сопровождения и использования эталонных копий программных изделий.
4.4.4. Ежедневный антивирусный контроль всего программного обеспечения.
4.4.5. Обновление антивирусных средств в соответствии с установленным ФЦИ порядком по абонементному антивирусному обслуживанию.
4.5. Организация и проведение работ по обеспечению сохранности и работоспособности КСА.
4.5.1. Оснащение объектов размещения КСА ЦИК России и ФЦИ, содержащих полный объем информации, средствами контроля наличия предметов, представляющих опасность для здоровья персонала и целостности технических и программных средств, в том числе средствами контроля наличия холодного и огнестрельного оружия, радиоэлектронной аппаратуры, радиоизотопных источников, магнитных носителей, взрывчатых веществ и других средств поражения.
4.5.2. Размещение технических средств КСА избирательных комиссий субъектов Российской Федерации, окружных и территориальных избирательных комиссий в оборудованных помещениях с ограниченным доступом.
4.6. Защита информации при ее передаче по сетям связи.
4.6.1. Проверка наличия и функционирования в составе подсистемы связи и передачи данных средств аутентификации ее абонентов.
4.6.2. Проверка отключения взаимодействующих с ГАС "Выборы" информационных систем на период проведения выборов и референдумов.
4.6.3. Обеспечение в ходе выборов, референдумов оперативной доступности (в режиме "только чтение") данных об участии избирателей, участников референдума в выборах, референдуме, о предварительных и окончательных итогах голосования для абонентов сети Интернет. Размещение данных осуществляется по утверждаемому ФЦИ регламенту. Сроки представления данных не должны противоречить требованиям законодательства Российской Федерации о выборах и референдуме.
4.7. Проверка наличия у работников, осуществляющих ввод информации в ГАС "Выборы", сертификата о праве эксплуатации КСА ГАС "Выборы", выданного в соответствии с утверждаемым ФЦИ Положением о сертификате о праве эксплуатации КСА.
4.8. Специальная всесторонняя проверка готовности ГАС "Выборы" и ее фрагментов перед подготовкой и проведением выборов и референдумов осуществляется в ходе организованных общесистемных тренировок. Организация и проведение общесистемных тренировок возлагается на ФЦИ либо на избирательные комиссии, организующие проведение выборов и референдумов соответствующего уровня.
4.9. Организация службы обеспечения безопасности информации.
4.9.1. Для реализации основных направлений защиты информации в ГАС "Выборы" и контроля за их выполнением в КСА всех уровней при проведении выборов и референдумов ФЦИ организуется служба обеспечения безопасности информации в ГАС "Выборы" (далее - СОБИ). Организация взаимодействия СОБИ с Центральной избирательной комиссией Российской Федерации, избирательными комиссиями всех уровней возлагается на члена Центральной избирательной комиссии Российской Федерации, координирующего работы по эксплуатации и развитию ГАС "Выборы", и одного из заместителей Руководителя Аппарата Центральной избирательной комиссии Российской Федерации. Непосредственное руководство СОБИ возлагается на одного из заместителей руководителя ФЦИ.
4.9.2. СОБИ формируется из работников ФЦИ с привлечением представителей Главного конструктора ГАС "Выборы", исполнителя работ по созданию автоматизированной системы, его соисполнителей, производителей средств защиты информации.
4.9.3. Эксплуатация средств защиты информации и практическая реализация мероприятий по технологической поддержке информационной безопасности в КСА ГАС "Выборы" возлагаются на администратора СОБИ КСА ЦИК России и системных администраторов КСА избирательных комиссий субъектов Российской Федерации, окружных, муниципальных и территориальных избирательных комиссий.
4.10. Сертификация ГАС "Выборы" и средств ее защиты осуществляется в порядке, установленном федеральным законодательством.
5. Порядок доступа к информационным ресурсам ГАС "Выборы"
5.1. Допуск пользователей КСА ЦИК России и работников из числа обслуживающего персонала к информационным ресурсам, содержащим персональные данные и конфиденциальную информацию, осуществляется ЦИК России в соответствии с перечнем персональных данных и конфиденциальной информации, обрабатываемой в ГАС "Выборы", доступ к которой должен быть ограничен, с указанием прав пользователей.
Допуск пользователей КСА избирательной комиссии субъекта Российской Федерации и работников из числа обслуживающего персонала к информационным ресурсам, содержащим персональные данные и конфиденциальную информацию, осуществляется избирательной комиссией субъекта Российской Федерации.
Допуск пользователей КСА окружной, муниципальной или территориальной избирательной комиссии и работников из числа обслуживающего персонала к информационным ресурсам, содержащим персональные данные и конфиденциальную информацию, осуществляется соответствующей комиссией, а если она не сформирована, - избирательной комиссией субъекта Российской Федерации.
Допуск пользователей должен осуществляться в порядке, установленном эксплуатационной документацией на КСА ГАС "Выборы".
5.2. Право доступа к информационным ресурсам ГАС "Выборы" всех уровней, не содержащим персональных данных, конфиденциальной информации, имеют члены ЦИК России, работники Аппарата ЦИК России и ФЦИ.
5.3. Порядок доступа пользователей к информационным ресурсам ГАС "Выборы", не содержащим персональных данных, конфиденциальной информации, устанавливается нормативными правовыми актами ЦИК России и нормативными правовыми актами избирательных комиссий субъектов Российской Федерации в зависимости от уровня проводимых выборов, референдума.
6. Права пользователей ГАС "Выборы"
6.1. Каждый пользователь ГАС "Выборы" имеет право получать и вводить информацию в соответствии с его полномочиями.
6.2. Члены избирательных комиссий, комиссий референдума, члены группы контроля имеют право осуществлять контроль за использованием ГАС "Выборы" в установленном законом порядке.
6.3. При подготовке и проведении выборов, референдума члены избирательной комиссии, комиссии референдума, члены группы контроля в соответствии с федеральным законодательством имеют право знакомиться с любой информацией, вводимой в ГАС "Выборы" и выводимой из нее, передаваемой в соответствующую избирательную комиссию, комиссию референдума по сетям связи, а также с иной информацией, необходимой для осуществления контрольных функций.
7. Обязанности пользователей и обслуживающего персонала ГАС "Выборы" по обеспечению безопасности информации
7.1. Допуск к информационным ресурсам ГАС "Выборы", содержащим персональные данные либо иную конфиденциальную информацию, осуществляется в соответствии с правами пользователей, установленными нормативными правовыми актами избирательной комиссии соответствующего уровня.
7.2. Пользователи, работники из числа обслуживающего персонала обязаны обеспечить своевременный и точный ввод данных в ГАС "Выборы".
7.3. Пользователи, работники из числа обслуживающего персонала обязаны соблюдать требования действующих нормативных правовых актов, организационных, нормативно-технических и методических документов, регламентирующих защиту информации при работе на КСА.
7.4. Пользователи, работники из числа обслуживающего персонала обязаны использовать в своей работе только штатную конфигурацию программно-технических средств КСА, не допускать установки не предусмотренных документацией на КСА программных и технических средств.
7.5. Пользователи, работники из числа обслуживающего персонала обязаны строго хранить ставшие им известными персональные данные и конфиденциальную информацию и обращаться с ними в соответствии с установленным порядком.
7.6. Обслуживающий персонал, допущенный к обработке информации в ГАС "Выборы", обязан:
знать конфигурацию, состав и назначение программно-технических средств, других используемых в работе компонентов ГАС "Выборы";
соблюдать предписанные эксплуатационной документацией правила работы на автоматизированном рабочем месте;
использовать аппаратные и программные средства только в служебных целях;
иметь представление о видах угроз безопасности информации, технических и программных средствах, которые находятся под его контролем или к которым он имеет доступ, а также о возможностях применяющихся на его автоматизированном рабочем месте средств защиты информации;
не допускать изменения конфигурации КСА или дополнительной установки каких-либо программных и аппаратных средств, не предусмотренных для его автоматизированного рабочего места.
8. Ответственность за несоблюдение требований по обеспечению безопасности информации
8.1. Пользователи, работники из числа обслуживающего персонала, имеющие доступ к информационным ресурсам ГАС "Выборы", содержащим персональные данные либо иную конфиденциальную информацию, должны быть ознакомлены с обязанностями по обеспечению безопасности информации и ответственностью за ее нарушение.
8.2. Пользователи, работники из числа обслуживающего персонала в соответствии с федеральным законодательством могут быть привлечены к дисциплинарной, административной или уголовной ответственности за невыполнение требований настоящего Положения по обеспечению:
полноты и достоверности вводимой ими информации;
сохранности и правильного использования получаемых в ходе выполнения работ магнитных носителей и документов с информацией ограниченного доступа;
безопасности информации на средствах вычислительной техники и передачи данных, используемых на их рабочих местах;
безопасности информации при использовании средств вычислительной техники и средств связи ГАС "Выборы".