Законодательная база Российской Федерации

ПОСТАНОВЛЕНИЕ Центризбиркома РФ от 23.07.2003 N 19/137-4 "О ПОЛОЖЕНИИ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ "ВЫБОРЫ"

1.1. Положение об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы" (далее - Положение) разработано с целью определения единого порядка организации и обеспечения безопасности конфиденциальной информации, не содержащей сведений, составляющих государственную тайну, и информации, содержащей персональные данные, при ее сборе, обработке, накоплении, хранении, поиске и передаче в Государственной автоматизированной системе Российской Федерации "Выборы" (далее - ГАС "Выборы") с учетом задач, стоящих перед избирательными комиссиями, комиссиями референдума в связи с проведением федеральных выборов, выборов в органы государственной власти субъектов Российской Федерации, в органы местного самоуправления, а также референдумов.

1.2. Положение регламентирует перечень мероприятий по обеспечению безопасности информации в ГАС "Выборы", реализуемых на базе комплекса организационных, технических и правовых мер защиты.

1.3. Положение является обязательным для организаций, разрабатывающих, эксплуатирующих и обслуживающих ГАС "Выборы". Положение распространяется на все режимы использования ГАС "Выборы" и регламентирует права и обязанности пользователей и обслуживающего персонала ГАС "Выборы" по соблюдению требований безопасности информации.

1.4. Правовой основой обеспечения безопасности информации в ГАС "Выборы" являются Конституция Российской Федерации, Федеральные законы "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", "О выборах Президента Российской Федерации", "О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации", "О Государственной автоматизированной системе Российской Федерации "Выборы", "Об информации, информатизации и защите информации", а также международные договоры Российской Федерации и другие нормативные правовые акты, которые определяют права и обязанности граждан, общества и государства в сфере информационных отношений.

1.5. Центральная избирательная комиссия Российской Федерации организует и осуществляет контроль за соблюдением требований безопасности информации в ГАС "Выборы".

Избирательные комиссии субъектов Российской Федерации обеспечивают безопасность информации и осуществляют контроль за соблюдением требований безопасности информации в соответствующих фрагментах ГАС "Выборы".

Избирательные комиссии муниципальных образований, окружные, территориальные избирательные комиссии, комиссии референдума обеспечивают безопасность информации в соответствующих комплексах средств автоматизации (далее - КСА).

Обеспечение безопасности информации в ГАС "Выборы" осуществляется Федеральным центром информатизации при Центральной избирательной комиссии Российской Федерации (далее - ФЦИ).

1.6. Функциональные возможности средств защиты информации и технологической поддержки безопасности информации используются избирательными комиссиями, обслуживающим персоналом КСА в соответствии с нормативными правовыми актами, эксплуатационной документацией и утвержденными инструкциями.

1.7. Информационные ресурсы ГАС "Выборы", содержащие персональные данные, независимо от уровня и способа их формирования являются федеральными информационными ресурсами. Такие ресурсы собираются, обрабатываются, накапливаются, хранятся и передаются в условиях конфиденциальности.

В Положении используются следующие термины:

автоматизированное рабочее место - рабочее место пользователя в составе комплекса средств автоматизации;

несанкционированный доступ к информации - доступ к информации, нарушающий установленные правила ограничения доступа;

безопасность информации - защищенность информации от ее перехвата, утечки по техническим и иным каналам, от модификации, блокирования, уничтожения, несанкционированного доступа к ней, а также защищенность технических и программных средств сбора, обработки, накопления, хранения, поиска и передачи информации, информационных и телекоммуникационных систем от нарушения их функционирования или от вывода их из строя;

обслуживающий персонал - персонал, обеспечивающий эксплуатацию ГАС "Выборы", включающий в себя диспетчеров, администраторов и операторов различного функционального уровня, персонал, обеспечивающий обслуживание и ремонт технических средств, персонал службы обеспечения безопасности информации;

пользователь системы - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации либо вводящий в систему данные в соответствии со своими должностными или служебными обязанностями;

средства защиты информации - программные, технические, программно-технические средства, предназначенные для предотвращения или существенного затруднения попыток нарушения безопасности информации.

3.1. Целью обеспечения безопасности информации в ГАС "Выборы" является достижение такого уровня ее защищенности, который позволит:

осуществлять достоверное, оперативное обслуживание проведения выборов и референдумов в условиях возможного случайного или преднамеренного воздействия на информацию, собираемую, обрабатываемую, накапливаемую, хранимую и передаваемую в ГАС "Выборы", либо при попытках несанкционированного доступа к ней;

обеспечить права граждан на неразглашение их персональных данных.

3.2. Безопасность информации в ГАС "Выборы" обеспечивается средствами защиты информации, поддерживаемыми комплексом организационных, технических и правовых мер. Выбор средств защиты информации и реализуемых ими функций осуществляется в соответствии с классом защищенности по классификации Государственной технической комиссии при Президенте Российской Федерации, установленным в техническом задании на каждый типовой КСА.

3.3. Основная цель обеспечения безопасности информации достигается посредством организационных, технических и правовых мер по защите информации.

К организационным мерам относятся:

сертификация ГАС "Выборы", а также средств ее защиты в порядке, установленном федеральным законодательством;

исключение несанкционированного доступа к ГАС "Выборы";

проверка готовности ГАС "Выборы" и ее фрагментов перед подготовкой и проведением выборов и референдума;

применение утвержденной в установленном порядке эксплуатационной документации;

организация и проведение работ по обеспечению сохранности и работоспособности комплексов средств автоматизации;

подготовка работников, подтвержденная сертификатом о праве эксплуатации комплекса средств автоматизации;

установление ответственности за нарушение правил использования и эксплуатации ГАС "Выборы" и ее фрагментов.

К техническим мерам относятся:

применение сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи;

обеспечение подлинности и целостности информации в ГАС "Выборы";

защита информации при ее передаче по сетям связи.

Правовые меры защиты реализуются на базе действующего законодательства Российской Федерации.

3.4. Средства защиты информации используются в ГАС "Выборы" с соблюдением следующих условий:

каждый пользователь и работник из числа обслуживающего персонала наделяются полномочиями по доступу к ресурсам ГАС "Выборы" в соответствии со своими функциональными обязанностями;

использование программного обеспечения осуществляется и контролируется в соответствии с документацией на КСА по установленному регламенту;

исключается возможность использования КСА для работ, не предусмотренных документацией на КСА;

не допускается подключение КСА ГАС "Выборы" к сети Интернет;

изменение конфигурации КСА производится только на основании решения ФЦИ, принятого в установленном порядке;

физическая целостность технических средств и защита персонала обеспечивается комплексом технических, организационных и правовых мер защиты.

Для реализации комплекса мер по обеспечению безопасности информации предусматриваются следующие мероприятия.

4.1. Контроль за применением сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи.

4.1.1. Проверка состава программных и технических средств каждого КСА на соответствие утвержденной документации на КСА в порядке, приведенном в эксплуатационной документации.

4.1.2. Включение технических средств и программных изделий в состав КСА по решению ФЦИ в соответствии с конструкторской и эксплуатационной документацией.

4.2. Исключение несанкционированного доступа к ГАС "Выборы" путем установки средств защиты информации и включения в технологические процессы обработки информации КСА и комплексов обработки избирательных бюллетеней следующих функций средств защиты информации:

разграничение доступа к файлам, каталогам и дискам;

разграничение доступа к комплексам программ;

автоматическое стирание остаточной информации;

аппаратный контроль загрузки операционной системы;

идентификация пользователей по паролю с обязательной сменой пароля по установленному регламенту;

блокировка работы КСА в соответствующих критических ситуациях;

контроль вывода данных на принтер и в каналы связи.

4.3. Проверка наличия на автоматизированных рабочих местах обслуживающего персонала утвержденных в установленном порядке документов:

руководство диспетчера службы обеспечения безопасности информации;

перечень (конфигуратор) программных и технических средств КСА;

руководство по антивирусной защите;

перечень конфиденциальной информации и персональных данных, доступ к которым ограничивается, с указанием прав пользователей;

эксплуатационная документация на средства защиты;

правила учета и хранения парольных документов;

должностные инструкции обслуживающего персонала.

4.4. Контроль за обеспечением подлинности и целостности информации в ГАС "Выборы".

4.4.1. Проверка наличия на КСА резервных страховых копий баз данных в режиме архивного хранения.

4.4.2. Проверка по установленному регламенту целостности программных изделий на соответствие эталонным копиям и выданным сертификатам.

4.4.3. Проверка соблюдения установленного ФЦИ порядка хранения, сопровождения и использования эталонных копий программных изделий.

4.4.4. Ежедневный антивирусный контроль всего программного обеспечения.

4.4.5. Обновление антивирусных средств в соответствии с установленным ФЦИ порядком по абонементному антивирусному обслуживанию.

4.5. Организация и проведение работ по обеспечению сохранности и работоспособности КСА.

4.5.1. Оснащение объектов размещения КСА ЦИК России и ФЦИ, содержащих полный объем информации, средствами контроля наличия предметов, представляющих опасность для здоровья персонала и целостности технических и программных средств, в том числе средствами контроля наличия холодного и огнестрельного оружия, радиоэлектронной аппаратуры, радиоизотопных источников, магнитных носителей, взрывчатых веществ и других средств поражения.

4.5.2. Размещение технических средств КСА избирательных комиссий субъектов Российской Федерации, окружных и территориальных избирательных комиссий в оборудованных помещениях с ограниченным доступом.

4.6. Защита информации при ее передаче по сетям связи.

4.6.1. Проверка наличия и функционирования в составе подсистемы связи и передачи данных средств аутентификации ее абонентов.

4.6.2. Проверка отключения взаимодействующих с ГАС "Выборы" информационных систем на период проведения выборов и референдумов.

4.6.3. Обеспечение в ходе выборов, референдумов оперативной доступности (в режиме "только чтение") данных об участии избирателей, участников референдума в выборах, референдуме, о предварительных и окончательных итогах голосования для абонентов сети Интернет. Размещение данных осуществляется по утверждаемому ФЦИ регламенту. Сроки представления данных не должны противоречить требованиям законодательства Российской Федерации о выборах и референдуме.

4.7. Проверка наличия у работников, осуществляющих ввод информации в ГАС "Выборы", сертификата о праве эксплуатации КСА ГАС "Выборы", выданного в соответствии с утверждаемым ФЦИ Положением о сертификате о праве эксплуатации КСА.

4.8. Специальная всесторонняя проверка готовности ГАС "Выборы" и ее фрагментов перед подготовкой и проведением выборов и референдумов осуществляется в ходе организованных общесистемных тренировок. Организация и проведение общесистемных тренировок возлагается на ФЦИ либо на избирательные комиссии, организующие проведение выборов и референдумов соответствующего уровня.

4.9. Организация службы обеспечения безопасности информации.

4.9.1. Для реализации основных направлений защиты информации в ГАС "Выборы" и контроля за их выполнением в КСА всех уровней при проведении выборов и референдумов ФЦИ организуется служба обеспечения безопасности информации в ГАС "Выборы" (далее - СОБИ). Организация взаимодействия СОБИ с Центральной избирательной комиссией Российской Федерации, избирательными комиссиями всех уровней возлагается на члена Центральной избирательной комиссии Российской Федерации, координирующего работы по эксплуатации и развитию ГАС "Выборы", и одного из заместителей Руководителя Аппарата Центральной избирательной комиссии Российской Федерации. Непосредственное руководство СОБИ возлагается на одного из заместителей руководителя ФЦИ.

4.9.2. СОБИ формируется из работников ФЦИ с привлечением представителей Главного конструктора ГАС "Выборы", исполнителя работ по созданию автоматизированной системы, его соисполнителей, производителей средств защиты информации.

4.9.3. Эксплуатация средств защиты информации и практическая реализация мероприятий по технологической поддержке информационной безопасности в КСА ГАС "Выборы" возлагаются на администратора СОБИ КСА ЦИК России и системных администраторов КСА избирательных комиссий субъектов Российской Федерации, окружных, муниципальных и территориальных избирательных комиссий.

4.10. Сертификация ГАС "Выборы" и средств ее защиты осуществляется в порядке, установленном федеральным законодательством.

5.1. Допуск пользователей КСА ЦИК России и работников из числа обслуживающего персонала к информационным ресурсам, содержащим персональные данные и конфиденциальную информацию, осуществляется ЦИК России в соответствии с перечнем персональных данных и конфиденциальной информации, обрабатываемой в ГАС "Выборы", доступ к которой должен быть ограничен, с указанием прав пользователей.

Допуск пользователей КСА избирательной комиссии субъекта Российской Федерации и работников из числа обслуживающего персонала к информационным ресурсам, содержащим персональные данные и конфиденциальную информацию, осуществляется избирательной комиссией субъекта Российской Федерации.

Допуск пользователей КСА окружной, муниципальной или территориальной избирательной комиссии и работников из числа обслуживающего персонала к информационным ресурсам, содержащим персональные данные и конфиденциальную информацию, осуществляется соответствующей комиссией, а если она не сформирована, - избирательной комиссией субъекта Российской Федерации.

Допуск пользователей должен осуществляться в порядке, установленном эксплуатационной документацией на КСА ГАС "Выборы".

5.2. Право доступа к информационным ресурсам ГАС "Выборы" всех уровней, не содержащим персональных данных, конфиденциальной информации, имеют члены ЦИК России, работники Аппарата ЦИК России и ФЦИ.

5.3. Порядок доступа пользователей к информационным ресурсам ГАС "Выборы", не содержащим персональных данных, конфиденциальной информации, устанавливается нормативными правовыми актами ЦИК России и нормативными правовыми актами избирательных комиссий субъектов Российской Федерации в зависимости от уровня проводимых выборов, референдума.

6.1. Каждый пользователь ГАС "Выборы" имеет право получать и вводить информацию в соответствии с его полномочиями.

6.2. Члены избирательных комиссий, комиссий референдума, члены группы контроля имеют право осуществлять контроль за использованием ГАС "Выборы" в установленном законом порядке.

6.3. При подготовке и проведении выборов, референдума члены избирательной комиссии, комиссии референдума, члены группы контроля в соответствии с федеральным законодательством имеют право знакомиться с любой информацией, вводимой в ГАС "Выборы" и выводимой из нее, передаваемой в соответствующую избирательную комиссию, комиссию референдума по сетям связи, а также с иной информацией, необходимой для осуществления контрольных функций.

7.1. Допуск к информационным ресурсам ГАС "Выборы", содержащим персональные данные либо иную конфиденциальную информацию, осуществляется в соответствии с правами пользователей, установленными нормативными правовыми актами избирательной комиссии соответствующего уровня.

7.2. Пользователи, работники из числа обслуживающего персонала обязаны обеспечить своевременный и точный ввод данных в ГАС "Выборы".

7.3. Пользователи, работники из числа обслуживающего персонала обязаны соблюдать требования действующих нормативных правовых актов, организационных, нормативно-технических и методических документов, регламентирующих защиту информации при работе на КСА.

7.4. Пользователи, работники из числа обслуживающего персонала обязаны использовать в своей работе только штатную конфигурацию программно-технических средств КСА, не допускать установки не предусмотренных документацией на КСА программных и технических средств.

7.5. Пользователи, работники из числа обслуживающего персонала обязаны строго хранить ставшие им известными персональные данные и конфиденциальную информацию и обращаться с ними в соответствии с установленным порядком.

7.6. Обслуживающий персонал, допущенный к обработке информации в ГАС "Выборы", обязан:

знать конфигурацию, состав и назначение программно-технических средств, других используемых в работе компонентов ГАС "Выборы";

соблюдать предписанные эксплуатационной документацией правила работы на автоматизированном рабочем месте;

использовать аппаратные и программные средства только в служебных целях;

иметь представление о видах угроз безопасности информации, технических и программных средствах, которые находятся под его контролем или к которым он имеет доступ, а также о возможностях применяющихся на его автоматизированном рабочем месте средств защиты информации;

не допускать изменения конфигурации КСА или дополнительной установки каких-либо программных и аппаратных средств, не предусмотренных для его автоматизированного рабочего места.

8.1. Пользователи, работники из числа обслуживающего персонала, имеющие доступ к информационным ресурсам ГАС "Выборы", содержащим персональные данные либо иную конфиденциальную информацию, должны быть ознакомлены с обязанностями по обеспечению безопасности информации и ответственностью за ее нарушение.

8.2. Пользователи, работники из числа обслуживающего персонала в соответствии с федеральным законодательством могут быть привлечены к дисциплинарной, административной или уголовной ответственности за невыполнение требований настоящего Положения по обеспечению:

полноты и достоверности вводимой ими информации;

сохранности и правильного использования получаемых в ходе выполнения работ магнитных носителей и документов с информацией ограниченного доступа;

безопасности информации на средствах вычислительной техники и передачи данных, используемых на их рабочих местах;

безопасности информации при использовании средств вычислительной техники и средств связи ГАС "Выборы".