Фрагмент документа "О КОНЦЕПЦИИ РАЗВИТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ "ВЫБОРЫ"".
6.3. Комплексная система обеспечения безопасности
информации в ГАС "Выборы"
Комплексная система обеспечения безопасности информации (далее -
КСОБИ) в ГАС "Выборы", которая должна быть создана после завершения
решения всех задач по модернизации, должна консолидировать правовые,
технологические, организационные, технические меры и способы
обеспечения безопасности информации. В части использования технических
и криптографических средств защиты информации она должна базироваться
на существующей подсистеме обеспечения безопасности информации ГАС
"Выборы" и предусматривать ее комплексное развитие в соответствии с
реализацией новых функций, возложенных на ГАС "Выборы", и развитием
современных средств и технологий противодействия угрозам безопасности
информации.
КСОБИ должна предусматривать возможность прогнозирования и
отражения атак в реальном масштабе времени, обеспечивать быстрое
восстановление защищаемых ресурсов и поддержание уровня обеспечения
безопасности информации, адекватного новым источникам, средствам и
способам реализации угроз.
КСОБИ должна предусматривать механизмы оперативного
взаимодействия с правоохранительными органами в необходимых случаях в
установленном законом порядке.
На каждом КСА ГАС "Выборы" необходимо обеспечить постоянный
контроль безопасности информации, прогнозирование проблемных ситуаций
и адекватную реакцию на выявленные нарушения безопасности информации.
Для оперативной реакции на указанные нарушения назначается
соответствующий работник.
В политике безопасности информации должны быть определены
формальные процедуры уведомления, а также процедура реагирования на
события, описывающая меры, которые надлежит принять при получении
сообщения об инциденте.
КСОБИ должна включать следующие основные элементы:
документационное обеспечение КСОБИ - единую политику обеспечения
безопасности информации в ГАС "Выборы",
организационно-распорядительные и нормативные документы,
регламентирующие порядок применения средств защиты информации и
безопасное использование информационных технологий;
организационно-штатную структуру КСОБИ, включающую штатное
подразделение и отдельных специалистов ГАС "Выборы", обеспечивающих
безопасность информации системы, с разделением полномочий и
ответственности между ними;
технологическое обеспечение КСОБИ ГАС "Выборы", включающее
программно-аппаратные средства защиты и технологические системы
безопасности, средства аудита и мониторинга состояния безопасности
информации;
процедуры планирования и контроля эффективности принимаемых мер
защиты;
резервное копирование наиболее важных информационных ресурсов ГАС
"Выборы".
Реализация положения пункта 7 статьи 17 Федерального закона "О
Государственной автоматизированной системе Российской Федерации
"Выборы" в части восстановления информационных ресурсов в случае
нарушения их целостности или утраты, а также проведение резервного
копирования наиболее важных информационных ресурсов ГАС "Выборы"
должны обеспечиваться путем дублирования программных и информационных
ресурсов КСА ТИК, ИКСРФ и ЦИК России. Порядок дублирования информации,
хранимой на АРМ, серверах и в БД, и периодичность проведения такого
дублирования должны быть приведены в руководстве соответствующего
системного администратора. Для повышения надежности хранения
информационных ресурсов в ГАС "Выборы" должно обеспечиваться
дублирование ведения баз данных КСА нижестоящего уровня на КСА
вышестоящего уровня.
В КСА ЦИК России сохранность информационных ресурсов
обеспечивается также применением кластера БД и кластера хранилища
данных. Безопасность и сохранность персональных данных Регистра
избирателей России в КСА ЦИК России должна обеспечиваться
программно-техническим комплексом (далее - ПТК) "Регистр избирателей",
функционирующим как отдельный сегмент КСА ЦИК России и
взаимодействующий с остальными сегментами через сертифицированный
межсетевой экран. Для обеспечения бесперебойного функционирования в
ПТК "Регистр избирателей" используется технология "горячего"
резервирования, обеспечивающая при выходе из строя основного сервера
быстрое восстановление работоспособности ПТК, а также возможность
полного резервного копирования БД на внешние носители. Порядок
восстановления информационных ресурсов в ГАС "Выборы" на базе
вышеуказанных технических решений должен быть отражен в
эксплуатационной документации системных администраторов всех уровней.
6.3.1. Документационное обеспечение КСОБИ ГАС "Выборы"
Документационное обеспечение КСОБИ предполагает создание пакета
нормативных, организационно-распорядительных и эксплуатационных
документов, регламентирующих все вопросы организации, управления и
контроля деятельности по обеспечению безопасности информации, а также
использования средств и систем защиты.
В данный пакет документов должны входить:
настоящая Концепция;
политика обеспечения безопасности информации в ГАС "Выборы" -
документ, определяющий цели и задачи, корпоративные требования и
практические правила управления работами по обеспечению безопасности
информации, перечень и состав необходимых документов, регламентирующих
вопросы безопасности информации;
нормативные и организационно-распорядительные документы,
регламентирующие вопросы организации и проведения работ по защите
информации, разрешительной системе допуска исполнителей к документам,
сведениям по порядку учета, обращения и хранения информации
ограниченного доступа, типовые инструкции должностных лиц и так далее;
эксплуатационные документы для используемых средств защиты
информации и механизмов обеспечения безопасности информации, включая
контроль эффективности средств защиты.
Разработка документационного обеспечения КСОБИ и ввод его в
действие является одним из первоочередных направлений деятельности по
реализации настоящей Концепции.
6.3.2. Организационно-штатная структура КСОБИ ГАС "Выборы"
В соответствии с руководящим документом Гостехкомиссии России
"Специальные требования и рекомендации по технической защите
конфиденциальной информации (СТР-К)" ответственность за обеспечение
требований по технической защите конфиденциальной информации
возлагается на руководителей организаций, эксплуатирующих объекты
информатизации. Организация работ по защите информации возлагается на
руководителей организаций, руководителей подразделений, осуществляющих
разработку проектов объектов информатизации и их эксплуатацию, а
методическое руководство и контроль за эффективностью предусмотренных
мер защиты информации - на руководителей подразделений по защите
информации (служб безопасности) организации. Научно-техническое
руководство и непосредственную организацию работ по созданию
(модернизации) системы защиты информации объекта информатизации
осуществляет его главный конструктор или другое должностное лицо,
обеспечивающее научно-техническое руководство созданием объекта
информатизации.
Функции по обеспечению безопасности информации в ГАС "Выборы"
регламентируются нормативными актами. Так, организация эксплуатации и
обеспечение безопасности информации во всей ГАС "Выборы" Указом
Президента Российской Федерации от 18 августа 1995 г. N 861 "Об
обеспечении деятельности Государственной автоматизированной системы
Российской Федерации "Выборы" возложены на Федеральный центр
информатизации при Центральной избирательной комиссии Российской
Федерации; обеспечение безопасности информации в субъектах Российской
Федерации и, в частности, непосредственно в КСА ИКСРФ и ТИК,
Постановлением ЦИК России от 12 июля 2002 г. N 156/1375-3 "О
формировании информационных центров в аппаратах ИКСРФ" возложено на
информационные центры ИКСРФ; организация и осуществление работ по
эксплуатации комплекса средств автоматизации в соответствующей
избирательной комиссии, комиссии референдума Федеральным законом "О
Государственной автоматизированной системе Российской Федерации
"Выборы" возложены на системного администратора, а контроль за
использованием КСА, в соответствии с требованиями закона и
инструкциями ЦИК России, осуществляет группа контроля, создаваемая в
рамках соответствующей избирательной комиссии.
Таким образом, обеспечение единого управления деятельностью по
защите ГАС "Выборы" осуществляется на трех иерархических уровнях:
уровень стратегического планирования и управления безопасностью
информации в ГАС "Выборы";
уровень текущего планирования, организации и контроля обеспечения
безопасности информации;
исполнительский уровень, на котором осуществляется
администрирование средств защиты информации и мониторинга, а также
эксплуатация встроенных в ПО механизмов безопасности и информационных
технологий.
К первому уровню относятся:
руководитель ФЦИ при ЦИК России и его заместители;
начальник управления ФЦИ при ЦИК России;
начальник отдела защиты информации ФЦИ при ЦИК России;
главный конструктор ГАС "Выборы".
На первом уровне решаются стратегические вопросы обеспечения
безопасности информации в ГАС "Выборы", вопросы технической политики в
области средств защиты информации, разрабатываются политика и
корпоративные стандарты безопасности, координируются действия
избирательных комиссий по обеспечению безопасности информации и
оценивается эффективность принимаемых мер защиты в ГАС "Выборы" в
целом.
Ко второму уровню относятся работники, которые отвечают за
безопасность информации на КСА ЦИК России, КСА ИКСРФ и обеспечивают
разграничительную систему доступа к защищаемым ресурсам ГАС "Выборы",
руководители информационных центров ИКСРФ.
На втором уровне решаются практические вопросы текущего
планирования и управления работами по обеспечению безопасности
информации на местах; координируются действия избирательных комиссий,
действующих на территории субъекта Российской Федерации, по
обеспечению безопасности информации в соответствующем фрагменте ГАС
"Выборы", анализируются угрозы безопасности информации и оцениваются
информационные риски для защищаемых ресурсов; осуществляется
организация и контроль проведения в жизнь принятой политики
обеспечения безопасности информации и решений, принятых на первом
уровне; проводится повседневный контроль принимаемых защитных мер и
разбор случаев нарушения безопасности информации; проводятся другие
необходимые технические и организационные мероприятия.
К третьему уровню относятся системные администраторы и члены
группы контроля, имеющие доступ к защищаемым ресурсам. На третьем
уровне решаются две большие группы вопросов: практические вопросы
администрирования и технического обслуживания конкретных технических
средств и механизмов защиты информации, входящих в КСОБИ, и вопросы
реализации и контроля выполнения установленных порядка и правил
обеспечения безопасности информации, определенных в политике и
должностных инструкциях.
Подсистемой обеспечения безопасности информации управляет отдел
защиты информации ФЦИ при ЦИК России в соответствии с Инструкцией по
организации доступа к персональным данным и иной конфиденциальной
информации, обрабатываемой в ГАС "Выборы", утвержденной Постановлением
ЦИК России от 3 ноября 2003 г. N 49/463-4.
Документы, определяющие политику обеспечения безопасности
информации, должны четко регламентировать обязанности и порядок
взаимодействия всех сил инфраструктуры ГАС "Выборы" по целям, задачам
и функциям обеспечения безопасности информации.
6.3.3. Технологическое обеспечение КСОБИ ГАС "Выборы"
Технологическое обеспечение КСОБИ ГАС "Выборы" включает следующие
основные элементы:
подсистему обеспечения безопасности информации (в том виде, в
котором она существует на текущий момент);
инфраструктуру открытых ключей ГАС "Выборы" для обеспечения
юридически значимого электронного документооборота;
инженерные и инженерно-технические системы обеспечения
безопасности объектов информатизации.
6.3.3.1. Подсистема обеспечения безопасности информации
В существующей подсистеме обеспечения безопасности информации в
настоящий момент не реализованы функции использования ЭЦП и
обеспечения юридически значимого электронного документооборота.
Инфраструктура открытых ключей, которая должна обеспечивать управление
криптографическими ключами в автоматизированной системе, также не
развернута. В связи с этим ближайшей задачей является реализация этих
функций.
На КСА ЦИК России должно быть предусмотрено АРМ для средств ЭЦП.
На этом АРМ должны решаться следующие основные задачи:
управление центром регистрации КСА ЦИК России;
регистрация и удаление пользователей КСА ЦИК России;
ведение архива списка отозванных сертификатов, заявок на
получение и отзыв сертификатов;
представление данных для разбора конфликтных ситуаций;
отзыв сертификатов.
Функция контроля целостности и подлинности электронных документов
должна реализовываться на АРМ пользователей и
оперативно-диспетчерского персонала, обладающих правом создания и
утверждения электронных документов, с использованием средств
формирования и контроля ЭЦП. Технология использования ЭЦП должна
обеспечивать:
формирование ЭЦП электронного документа;
просмотр электронного документа перед формированием его ЭЦП;
проверку предыдущих ЭЦП в случаях использования вложенных ЭЦП;
фиксацию периода времени проставления ЭЦП;
проверку корректности ЭЦП электронного документа, подлинности и
целостности самого электронного документа;
подтверждение получения электронного документа, в котором
проставлена ЭЦП получателя, с фиксацией времени получения.
6.3.3.2. Инфраструктура удостоверяющего центра ГАС "Выборы"
Для обеспечения использования ЭЦП в ГАС "Выборы" создается
инфраструктура, предусматривающая наличие следующих компонентов:
центра сертификации в КСА ЦИК России;
центров регистрации в КСА ЦИК России и КСА ИКСРФ;
АРМ администратора средств ЭЦП, с которым взаимодействует
пользователь, имеющий право на ЭЦП.
Указанные компоненты должны реализовываться на базе
сертифицированных технических средств и средств, реализующих
функциональное назначение удостоверяющего центра.
Для реализации требований Федерального закона "Об электронной
цифровой подписи" должно быть организовано взаимодействие с
уполномоченным федеральным органом в области применения ЭЦП.
6.3.3.3. Инженерно-технические системы обеспечения безопасности
объектов информатизации ГАС "Выборы"
Для реализации мероприятий по обеспечению защиты от
несанкционированного физического доступа к КСА и ПСПД и их живучести
должны применяться следующие основные системы:
системы пожарной сигнализации и пожаротушения;
системы вентиляции и кондиционирования;
системы резервного питания;
системы контроля доступа и видеонаблюдения.
Решения по их применению должны приниматься на основе анализа
степени безопасности конкретных объектов информатизации ГАС "Выборы".
Системы пожарной сигнализации предназначены для круглосуточного
автоматического контроля пожароопасных зон и автоматического
реагирования в случае возникновения пожара (включение системы
оповещения, передача сообщения в пожарную службу, индикация пожара на
пульте контроля). Система самостоятельно принимает и обрабатывает
информацию о состоянии контролируемых объектов информатизации ГАС
"Выборы" и выполняет запрограммированные действия в случае возгорания.
Для обеспечения эффективности работы системы пожаротушения в
целом и постоянного контроля за состоянием каждого извещателя в
отдельности на крупных объектах ГАС "Выборы" должны использоваться
адресные системы.
Для управления средствами пожаротушения должна использоваться
система централизованного контроля и управления, в задачи которой
входят:
- управление разрешением/запретом автоматического пуска;
- принудительный пуск системы пожаротушения в выбранной зоне;
- сигнализация, оповещающая обо всех неисправностях в системе с
расшифровкой по направлениям.
Для выполнения требований по эксплуатации (температура,
относительная влажность воздуха) аппаратных средств КСА и ПСПД в
помещениях, где они установлены, должны применяться системы вентиляции
и кондиционирования воздуха.
Для предотвращения потерь информации при кратковременном
отключении электроэнергии все критичные ресурсы, сетевое и
коммуникационное оборудование КСА и ПСПД должно подключаться к сети
электропитания через источники бесперебойного питания.
В зависимости от необходимого времени работы ресурсов после
потери питания должны применяться следующие средства резервного
электропитания:
локальные источники бесперебойного электропитания с различным
временем питания для защиты отдельных компьютеров;
источники бесперебойного питания с дополнительной функцией защиты
от скачков напряжения;
дублированные системы электропитания в устройствах (серверы,
концентраторы, мосты и т.д.);
резервные линии электропитания в пределах комплекса зданий;
аварийные электрогенераторы.
Необходимое время работы ресурсов определяется в зависимости от
времени, достаточного для восстановления подачи напряжения, выключения
компьютера или сохранения информации на различных носителях, и от
времени, в течение которого отсутствие электропитания не нанесет ущерб
решению задач ГАС "Выборы".
Немаловажным методом обеспечения непрерывности работы КСА и ПСПД
ГАС "Выборы" является ограничение физического доступа к ним.
Необходимо ограничивать доступ:
в помещения, в которых размещаются КСА и ПСПД, обрабатываются и
хранятся информационные ресурсы ГАС "Выборы";
к коммутационным шкафам.
Помещения, в которых размещаются КСА и ПСПД, обрабатываются и
хранятся информационные ресурсы ГАС "Выборы", должны быть оборудованы
в зависимости от степени критичности:
замками (механическими или электронными);
решетками на окнах или системами охранной сигнализации.
6.3.4. Планирование и контроль обеспечения безопасности
информации в ГАС "Выборы"
Управление безопасностью информации в ГАС "Выборы" должно
осуществляться путем планирования мероприятий для КСА ЦИК России и КСА
ИКСРФ. Планы ИКСРФ должны учитывать мероприятия по обеспечению
безопасности информации, которые необходимо реализовать на КСА
подчиненных им территориальных избирательных комиссий.
В документационном обеспечении КСОБИ должны быть разработаны
документы, содержащие общие требования и рекомендации по структуре
планов обеспечения безопасности информации, периодам планирования и
формам отчетности для всех уровней системы.
После завершения работ по созданию КСОБИ и модернизации ГАС
"Выборы" должны быть проведены работы по аттестации объектов
информатизации ГАС "Выборы" по требованиям безопасности информации.
Учитывая большое количество объектов информатизации, целесообразно
провести их аттестацию в следующем порядке: сначала, в соответствии с
Положением по аттестации объектов информатизации по требованиям
безопасности информации, проводится аттестация объекта информатизации
ЦИК России и выборочная аттестация 1 - 2 ИКСРФ, 1 - 2 ТИК и 4 - 5 УИК
(в случае автоматизации УИК). Затем по результатам этих работ на
основе протоколов аттестации разрабатываются и согласовываются в
установленном порядке методические материалы по проведению аттестации
всей ГАС "Выборы" в целом с участием организаций, имеющих лицензии на
право проведения аттестации объектов информатизации.
При подготовке и в ходе аттестационных испытаний также
принимается решение о необходимости проведения правовой экспертизы
нормативных правовых документов для обеспечения правовой значимости
документов ГАС "Выборы" (с учетом возможных изменений в правовом поле
на дату проведения экспертизы).
6.4. Концептуальные решения по развитию механизмов защиты
информации в ГАС "Выборы"
Исходя из требований законодательства и в соответствии с
тенденциями развития технологий обеспечения безопасности информации в
ГАС "Выборы" необходимо учитывать следующие направления деятельности.
В части организационно-нормативного обеспечения:
совершенствование законодательной базы использования ГАС "Выборы"
в период проведения выборов, референдумов и в период между ними;
разработка и утверждение модели угроз и нарушителя для ГАС
"Выборы" (на начальном этапе технического проектирования комплекса
средств обеспечения безопасности информации);
повышение уровня технической культуры пользователей и
обслуживающего персонала ГАС "Выборы";
создание регламентов в области управления персоналом с целью
обеспечения безопасности обрабатываемой в ГАС "Выборы" информации;
модернизация эксплуатационной документации с учетом развития
программно-аппаратных средств ГАС "Выборы";
разработка и совершенствование организационно-распорядительных
документов в части использования ЭЦП и придания юридической значимости
электронным документам в ГАС "Выборы";
разработка требований по обеспечению безопасности информации при
реализации технологии электронного голосования;
разработка и совершенствование планов (инструкций) по обеспечению
непрерывной работы ГАС "Выборы" и восстановления ее работоспособности
в случае возникновения кризисной ситуации;
регулярное проведение аудита безопасности информации, включая
анализ рисков с учетом развивающихся технологий;
накопление и документирование опыта по расследованию инцидентов в
области безопасности;
сертификация программно-технической среды ГАС "Выборы" в
соответствии с национальными стандартами и техническими регламентами,
принятие которых планируется в России.
В части технического и технологического обеспечения:
совершенствование и модернизация программно-аппаратных средств
ГАС "Выборы" с учетом внедряемых избирательных технологий;
реализация технологии обеспечения юридической силы и
достоверности документов, подготовленных с использованием ГАС
"Выборы", создание и совершенствование инфраструктуры открытых ключей
на основе использования стандарта Х.509;
создание и внедрение средств защиты, способных адекватно
противостоять появляющимся угрозам безопасности информации;
модернизация внедренных средств защиты информации;
модернизация активной сетевой защиты и системы связи между КСА
ГАС "Выборы" всех уровней;
разработка и реализация технических решений по повышению
надежности функционирования КСА (всех уровней) и ПСПД ГАС "Выборы";
обновление и пополнение антивирусных баз и баз уязвимостей
систем.
Для предотвращения угрозы безуликового внедрения средств скрытого
программного воздействия во всех КСА ГАС "Выборы" должны применяться:
контуры обработки юридически значимых электронных документов;
средства защиты, существующие средства контроля целостности ПО;
средства защиты от НСД (в первую очередь на АРМ администраторов),
а также обеспечение средств контроля замкнутости программной среды.
В части безопасности межсетевого взаимодействия:
реализация в подсистеме обеспечения безопасности информации
функции постоянного мониторинга состояния безопасности информации в
ГАС "Выборы" (с использованием сертифицированных средств защиты
информации) с целью своевременного выявления и предотвращения
нарушений конфиденциальности, целостности или доступности информации,
а также документирования информации, необходимой для расследования
инцидентов, связанных с нарушениями безопасности информации;
реализация в подсистеме обеспечения безопасности информации
функции контроля (аудита) защищенности ресурсов ГАС "Выборы".
Также целесообразно предусмотреть механизмы контроля за
защищенностью информации в транзитных и региональных узлах коммутации,
размещенных на площадях предприятий электросвязи.
|
Фрагмент документа "О КОНЦЕПЦИИ РАЗВИТИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ РОССИЙСКОЙ ФЕДЕРАЦИИ "ВЫБОРЫ"".