ПОСТАНОВЛЕНИЕ Центризбиркома РФ от 26.12.2005 n 163/1080-4 О КОНЦЕПЦИИ РАЗВИТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ ВЫБОРЫ
ЦЕНТРАЛЬНАЯ ИЗБИРАТЕЛЬНАЯ КОМИССИЯ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 26 декабря 2005 г. N 163/1080-4
О КОНЦЕПЦИИ
РАЗВИТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В
ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ
СИСТЕМЕ
РОССИЙСКОЙ ФЕДЕРАЦИИ
"ВЫБОРЫ"
Заслушав и обсудив сообщение
члена Центральной избирательной комиссии
Российской Федерации В.А. Крюкова, а также
руководствуясь подпунктом "в" пункта 9
статьи 21 Федерального закона "Об основных
гарантиях избирательных прав и права на
участие в референдуме граждан Российской
Федерации" и подпунктами 4, 6 пункта 2 статьи
6, статьей 21 Федерального закона "О
Государственной автоматизированной
системе Российской Федерации "Выборы",
Центральная избирательная комиссия
Российской Федерации постановляет:
1.
Одобрить Концепцию развития безопасности
информации в Государственной
автоматизированной системе Российской
Федерации "Выборы" (прилагается).
2.
Федеральному центру информатизации при
Центральной избирательной комиссии
Российской Федерации (В.В. Ященко), Аппарату
Центральной избирательной комиссии
Российской Федерации (А.Н. Адров) и
избирательным комиссиям субъектов
Российской Федерации обеспечить
реализацию этапов Концепции развития
безопасности информации в Государственной
автоматизированной системе Российской
Федерации "Выборы".
3. Возложить контроль
за исполнением настоящего Постановления на
члена Центральной избирательной комиссии
Российской Федерации В.А.
Крюкова.
Председатель Центральной
избирательной комиссии
Российской
Федерации
А.А.ВЕШНЯКОВ
Исполняющий
обязанности
секретаря Центральной
избирательной комиссии
Российской
Федерации
В.П.ВОЛКОВ
Приложение
к
Постановлению Центральной
избирательной комиссии
Российской
Федерации
от 26 декабря 2005 г. N
163/1080-4
КОНЦЕПЦИЯ
РАЗВИТИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ В
ГОСУДАРСТВЕННОЙ
АВТОМАТИЗИРОВАННОЙ
СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
"ВЫБОРЫ"
Предметом данной Концепции
являются вопросы анализа текущего
состояния и адекватного обеспечения
безопасности информации в условиях
дальнейшего развития Государственной
автоматизированной системы Российской
Федерации "Выборы" (далее - ГАС "Выборы").
В связи с дополнительно возложенными на ГАС
"Выборы" функциями продолжение работ в
сфере обеспечения безопасности информации
в ГАС "Выборы" должно осуществляться по
следующим направлениям:
создания
правовых и технических условий для
внедрения юридически значимого
электронного документооборота, в первую
очередь для обмена электронными
документами с электронной цифровой
подписью в целях обеспечения текущей
деятельности избирательных комиссий, за
исключением подведения итогов
голосования;
обеспечения необходимого
уровня безопасности информации в ГАС
"Выборы" при использовании ее ресурсов
органами государственной власти,
государственными органами, органами
местного самоуправления и другими
организациями для решения задач, не
связанных с выборами и референдумом, в
период между выборами;
совершенствования механизмов
своевременного выявления, прогнозирования,
локализации и блокирования угроз
безопасности информации, оперативного
реагирования на проявления негативных
тенденций в использовании информационных
ресурсов и подсистем ГАС "Выборы",
мониторинга состояний безопасности
информации;
создания комплексной
системы обеспечения безопасности
информации, консолидирующей правовые,
технологические, организационные,
технические меры и способы противодействия
угрозам безопасности информации.
1. ЦЕЛЬ И
ЗАДАЧИ КОНЦЕПЦИИ РАЗВИТИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
В ГАС "ВЫБОРЫ"
Цель данной
Концепции - сформировать интегрированную
систему взглядов на цели, задачи и
направления деятельности в области
обеспечения безопасности информации в ГАС
"Выборы" в условиях ее развития на основе
действующего законодательства Российской
Федерации, с учетом требований
Федерального конституционного закона от 28
июня 2004 г. N 5-ФКЗ "О референдуме Российской
Федерации", Федеральных законов от 10 января
2003 г. N 20-ФЗ "О Государственной
автоматизированной системе Российской
Федерации "Выборы", от 12 июня 2002 г. N 67-ФЗ "Об
основных гарантиях избирательных прав и
права на участие в референдуме граждан
Российской Федерации", от 10 января 2003 г. N
19-ФЗ "О выборах Президента Российской
Федерации", от 18 мая 2005 г. N 51-ФЗ "О выборах
депутатов Государственной Думы
Федерального Собрания Российской
Федерации", а также требований руководящих
и нормативных документов уполномоченных
государственных органов по вопросам
безопасности информации и защиты
информации.
Положения Концепции
распространяются на всех пользователей ГАС
"Выборы", включая Центральную избирательную
комиссию Российской Федерации,
избирательные комиссии субъектов
Российской Федерации (далее - ИКСРФ),
территориальные избирательные комиссии
(далее - ТИК), а также участковые
избирательные комиссии (далее - УИК) по мере
их оснащения средствами автоматизации и
подключения к ГАС "Выборы".
Разработка
данной Концепции вызвана необходимостью
определения путей для реализации в
развиваемой ГАС "Выборы" положений
Федерального закона "О Государственной
автоматизированной системе Российской
Федерации "Выборы" в части придания
юридической силы электронным документам и
сохранения необходимого уровня
обеспечения безопасности информации в ГАС
"Выборы" при использовании ее ресурсов
местными администрациями и
взаимодействующими автоматизированными
системами органов государственной власти в
период между выборами.
Основными
задачами Концепции являются:
формирование обоснованной,
интегрированной системы взглядов на
обеспечение безопасности информации в ГАС
"Выборы" в условиях выполнения ею новых
функций;
определение стратегии
развития подсистемы обеспечения
безопасности информации (далее - ПОБИ) в ГАС
"Выборы";
разработка концептуальных
подходов к использованию
программно-технических средств и систем
защиты информации для организации
юридически значимого электронного
документооборота;
определение
взаимоувязанных решений по технической и
криптографической защите информации;
определение основных путей реализации
Концепции.
В соответствии с Федеральным
законом "О Государственной
автоматизированной системе Российской
Федерации "Выборы" использование,
эксплуатация и развитие ГАС "Выборы"
осуществляются на основе следующих
принципов обеспечения безопасности
информации:
обеспечение безопасности
информации в ГАС "Выборы" в сочетании с
открытостью системы и доступностью
информации, содержащейся в информационных
ресурсах "ГАС Выборы", в соответствии с
федеральными законами;
обеспечение
достоверности информации, получаемой с
использованием ГАС "Выборы";
применение
лицензионных программных средств общего
назначения, сертифицированных
специализированных программно-технических
средств и средств связи ГАС "Выборы";
недопустимость подключения ГАС "Выборы" к
сети "Интернет";
недопустимость
подключения ГАС "Выборы" при ее
использовании при проведении выборов и
референдума к иным информационным системам
и сетям связи, не применяемым в ГАС
"Выборы".
Основные нормативно-правовые
акты, которыми необходимо
руководствоваться при проведении работ по
развитию безопасности информации в ГАС
"Выборы":
Конституция Российской
Федерации;
Федеральный конституционный
закон "О референдуме Российской
Федерации";
Гражданский кодекс
Российской Федерации;
Уголовный кодекс
Российской Федерации;
Кодекс
Российской Федерации об административных
правонарушениях;
Закон Российской
Федерации "О безопасности";
Федеральный
закон "Об информации, информатизации и
защите информации";
Федеральный закон "О
Государственной автоматизированной
системе Российской Федерации "Выборы";
Федеральный закон "Об электронной цифровой
подписи";
Федеральный закон "Об основных
гарантиях избирательных прав и права на
участие в референдуме граждан Российской
Федерации";
Федеральный закон "О выборах
депутатов Государственной Думы
Федерального Собрания Российской
Федерации";
Федеральный закон "О выборах
Президента Российской Федерации";
Федеральный закон "О техническом
регулировании";
Федеральный закон "О
коммерческой тайне";
Указ Президента
Российской Федерации от 6 марта 1997 г. N 188 "Об
утверждении перечня сведений
конфиденциального характера";
Указ
Президента Российской Федерации от 12 мая 2004
г. N 611 "О мерах по обеспечению
информационной безопасности в сфере
международного обмена";
Доктрина
информационной безопасности Российской
Федерации, 2000 год;
Постановление ЦИК
России от 17 декабря 2004 г. N 133/929-4 "О развитии
Государственной автоматизированной
системы Российской Федерации "Выборы" в 2005 -
2008 годах";
Постановление ЦИК России от 23
июля 2003 г. N 19/137-4 "О Положении об обеспечении
безопасности информации в Государственной
автоматизированной системе Российской
Федерации "Выборы";
Постановление ЦИК
России от 3 ноября 2003 г. N 49/463-4 "О Перечне
персональных данных и иной
конфиденциальной информации,
обрабатываемой в комплексах средств
автоматизации Государственной
автоматизированной системы Российской
Федерации "Выборы" и организации доступа к
этим сведениям";
ГОСТ 34.201-89
"Информационная технология. Комплекс
стандартов на автоматизированные системы.
Виды, комплектность и обозначение
документов при создании
автоматизированных систем";
рабочая
документация Гостехкомиссии России
"Безопасность информационных технологий.
Критерии оценки безопасности
информационных технологий". ГОСТ Р ИСО/МЭК
15408-02 "Информационная технология. Методы и
средства обеспечения безопасности.
Критерии оценки безопасности
информационных технологий";
рабочая
документация Гостехкомиссии России
"Специальные требования и рекомендации по
технической защите конфиденциальной
информации (СТР-К)";
Положение о
разработке, производстве, реализации и
эксплуатации шифровальных
(криптографических) средств защиты
информации (Положение ПКЗ-2005),
зарегистрированное в Минюсте России 3 марта
2005 года (N 6382);
Государственная
автоматизированная система Российской
Федерации "Выборы". Модель нарушителя;
Временные требования к информационной
безопасности удостоверяющих центров, 2003
год;
Требования к криптографической
защите конфиденциальной информации, 2000
год;
рабочая документация
Гостехкомиссии России "Средства
вычислительной техники. Защита от
несанкционированного доступа к информации.
Классификация автоматизированных систем и
требований по защите информации";
рабочая документация Гостехкомиссии
России "Автоматизированные системы. Защита
от несанкционированного доступа к
информации. Классификация
автоматизированных систем и требования по
защите информации";
рабочая
документация Гостехкомиссии России
"Временные требования к межсетевым
экранам";
рабочая документация
Гостехкомиссии России "Защита от
несанкционированного доступа к информации.
Классификация по уровню контроля
отсутствия недекларированных
возможностей".
2. ВЫВОДЫ ИЗ АНАЛИЗА ГАС
"ВЫБОРЫ" КАК ОБЪЕКТА ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Функциональные
подсистемы ГАС "Выборы", созданные в
соответствии с техническим заданием на
развитие ГАС "Выборы" от 23 декабря 2001 года с
учетом Основных направлений развития
Государственной автоматизированной
системы Российской Федерации "Выборы" на 2001
- 2004 годы, утвержденных Постановлением ЦИК
России от 21 февраля 2001 г. N 122/1221-3, в основном
обеспечивают выполнение положений
Федерального закона "О Государственной
автоматизированной системе Российской
Федерации "Выборы". Система прошла
межведомственные приемочные испытания и в
июле 2004 года принята в постоянную
эксплуатацию (Постановление ЦИК России от 23
июля 2004 г. N 111/846-4 "О вводе
усовершенствованной ГАС "Выборы" и входящих
в нее изделий в постоянную
эксплуатацию").
Однако в связи с тем, что
проектные решения по совершенствованию
системы были приняты до вступления в силу
Федерального закона "О Государственной
автоматизированной системе Российской
Федерации "Выборы", в настоящий момент в ГАС
"Выборы" не реализованы технология
использования электронной цифровой
подписи (далее - ЭЦП) и инфраструктура
открытых ключей, а также не определен
порядок использования комплексов средств
автоматизации (далее - КСА), средств связи,
других средств обеспечения ГАС "Выборы" для
решения задач, не связанных с выборами и
референдумом в период между выборами.
Созданная подсистема обеспечения
безопасности информации ГАС "Выборы" в
основном соответствует своему назначению и
обеспечивает:
защиту информации от
несанкционированного доступа (далее -
НСД);
криптографическую защиту
информации при ее передаче по каналам
связи;
безопасность межсетевого
взаимодействия путем использования
межсетевого экрана и системы обнаружения
атак;
антивирусную защиту;
контроль
функционирования средств защиты.
Это
подтверждается проведенными испытаниями и
Актом межведомственных приемочных
испытаний Государственной
автоматизированной системы Российской
Федерации "Выборы" от 1 июля 2004 года.
Анализ показывает, что существующая
подсистема обеспечения безопасности
информации ГАС "Выборы" может
совершенствоваться по следующим
направлениям:
разработка единой
политики обеспечения безопасности
информации в ГАС "Выборы";
оптимизация
организационно-штатной структуры ПОБИ;
выполнение рекомендаций Инструкции об
организации и обеспечении безопасности
хранения, обработки и передачи по каналам
связи с использованием средств
криптографической защиты информации с
ограниченным доступом, не содержащей
сведений, составляющих государственную
тайну, зарегистрированной 6 августа 2001 года
в Минюсте России (N 2848);
усиление
технологического обеспечения ПОБИ за счет
комплексного применения существующих
средств защиты информации ГАС "Выборы" и
средств аудита и мониторинга безопасности
информации в ГАС "Выборы".
Развитие ГАС
"Выборы" вызывает необходимость решения
новых задач по обеспечению безопасности
ресурсов ГАС "Выборы".
Главным
направлением дальнейшей работы по
обеспечению безопасности информации в ГАС
"Выборы" является создание необходимых
правовых, технических и организационных
условий, необходимых для:
обеспечения
обмена документами между избирательными
комиссиями в виде электронных документов,
имеющих юридическую силу наравне с
бумажными документами;
использования
технических средств ГАС "Выборы" органами
государственной власти и органами местного
самоуправления для решения задач, не
связанных с выборами и референдумом, в
период между выборами в соответствии с
федеральными законами, нормативными
правовыми
