Приложение. Порядок обеспечения безопасности информации в региональном фрагменте Государственной автоматизированной системы Российской Федерации "Выборы" по Нижегородской области. Постановление избирательной комиссии Нижегородской области от 04.03.2021 N 192/2273-6 "О порядке обеспечения безопасности информации в региональном фрагменте Государственной автоматизированной системы Российской Федерации "Выборы" по Нижегородской области"

Приложение
Утвержден
постановлением
избирательной комиссии
Нижегородской области
от 04 марта 2021 г. N 192/2273-6

Порядок
обеспечения безопасности информации в региональном фрагменте Государственной автоматизированной системы Российской Федерации "Выборы" по Нижегородской области

1. Общие положения

Настоящий Порядок разработан на основании Положения об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы", утвержденного постановлением Центральной избирательной комиссии Российской Федерации от 23 июля 2003 года N 19/137-4 (далее - Порядок), и во исполнение следующих правовых актов:

1) Федеральных законов от 12 июня 2002 года N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", от 10 января 2003 года N 20-ФЗ "О Государственной автоматизированной системе Российской Федерации "Выборы", от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 года N 152-ФЗ "О персональных данных";

2) Постановления Центральной избирательной комиссии Российской Федерации от 03.11.2003 N 49/463-4 "О Перечне персональных данных и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации "Выборы" и организации доступа к этим сведениям";

3) Положения о Государственной системе регистрации (учета) избирателей, участников референдума в Российской Федерации, утвержденного постановлением Центральной избирательной комиссии Российской Федерации от 06 ноября 1997 года N 134/973-II (далее - Положение);

4) Регламента использования подсистемы "Регистр избирателей, участников референдума" Государственной автоматизированной системы Российской Федерации "Выборы", утвержденного постановлением Центральной избирательной комиссии Российской Федерации от 26 марта 2014 года N 223/1437-6 (далее - Регламент).

Настоящий порядок используется при осуществлении деятельности по эксплуатации регионального фрагмента ГАС "Выборы" в Нижегородской области, в том числе при осуществлении работ по регистрации (учету) избирателей, участников референдума в Нижегородской области и формировании областного фрагмента Регистра избирателей, участников референдума Российской Федерации.

Исполнение требований настоящего Порядка непосредственно осуществляют работники информационного центра избирательной комиссии Нижегородской области, выполняющие обязанности системных администраторов комплексов средств автоматизации избирательной комиссии Нижегородской области, территориальных избирательных комиссий (далее по тексту - избирательные комиссии).

Председатели и системные администраторы избирательных комиссий в своей деятельности, кроме указанных выше правовых актов, руководствуются также постановлениями и распоряжениями Центральной избирательной комиссии Российской Федерации, избирательной комиссии Нижегородской области, иными правовыми актами.

2. Оборудование помещений, организация доступа в них

Помещения, в которых расположены комплексы средств автоматизации ГАС "Выборы" (далее - КСА), должны соответствовать требованиям, изложенным в эксплуатационной документации к ГАС "Выборы" ("КСА ИКСРФ. Общее описание" ИРЦВ.42 5100 5.003.ПЖ.2, "КСА ТИК. Общее описание" ИРЦВ.42 5100 5.005.ПЖ.2).

Доступ в помещение КСА территориальных избирательных комиссий должен быть ограничен распоряжением (приказом) главы администрации муниципального района, городского, муниципального округа, района города Нижнего Новгорода, в котором определяется статус помещения. В распоряжении (приказе) определяется статус помещения, перечень лиц, имеющих доступ в помещение, назначаются лица, ответственные за пожарную и электротехническую безопасность, а также лица, контролирующие выполнение данного распоряжения (приказа).

В помещение допускаются члены и работники аппаратов вышестоящих избирательных комиссий, системные администраторы избирательной комиссии, председатель, заместитель председателя и секретарь избирательной комиссии. Иные лица могут быть допущены в помещение в связи с выполнением ими своих должностных обязанностей только в присутствии кого-либо из вышеперечисленных лиц.

В соответствии с нормами Федерального закона от 10 января 2003 года N 20-ФЗ "О Государственной автоматизированной системе Российской Федерации "Выборы" в период проведения выборов, референдумов территориальная избирательная комиссия назначает своим решением группу для контроля за использованием КСА ГАС "Выборы". Члены группы контроля в соответствии с данным решением также наделяются правом доступа в помещение КСА ГАС "Выборы".

Ключи от помещения КСА ГАС "Выборы" хранятся у системных администраторов. Резервный ключ хранится у председателя территориальной избирательной комиссии либо по согласованию с администрацией муниципального образования при возможности обеспечения их сохранности на посту охраны администрации в опечатанной тубе. Председатель или системный администратор избирательной комиссии должны регулярно проверять целостность печати на тубе.

На входной двери в помещение должна быть размещена информационная табличка, указывающая на ограничение доступа в помещение. Пример надписи на табличке: "Помещение КСА ГАС "Выборы" Н-ской территориальной избирательной комиссии. Посторонним лицам вход воспрещен".

Внутри помещения у входа необходимо разместить следующие документы:

1) распоряжение (приказ) главы о статусе помещения и перечень лиц, которым разрешен доступ в помещение;

2) памятка сотруднику по соблюдению правил пожарной безопасности (приложение N 1);

3) памятка сотруднику по соблюдению правил электротехнической безопасности (приложение N 2).

3. Учет, хранение и уничтожение материальных информационных носителей, содержащих персональные данные и иную конфиденциальную информацию

Под материальными информационными носителями в настоящем Порядке понимаются следующие носители информации:

1) бумажные;

2) гибкие магнитные диски, магнито-оптические диски;

3) оптические диски (CD, DVD), в том числе, однократной и многократной записи;

4) электронные накопители информации (флеш-накопители, внешние и стационарные жесткие диски, иные носители информации).

Материальные информационные носители, содержащие персональные данные и иную конфиденциальную информацию, подлежат обязательному учету.

При поступлении или формировании материального информационного носителя, содержащего персональные данные и иную конфиденциальную информацию, системный администратор присваивает ему учтенный номер в виде К/52Т0ХХ-ВВB, где ХХ - заводской номер КСА, ВВB - порядковый номер и осуществляет запись в Журнале регистрации носителей информации ГАС "Выборы", содержащих персональные данные и иную конфиденциальную информацию (далее - Журнал) (приложение N 3). На носителе, включая бумажные, оптические диски и т.д., проставляется присвоенный ему номер (бирка, наклейка, несмываемый маркер и т.д.).

При поступлении или формировании информации, содержащей персональные данные и иную конфиденциальную информацию, в виде файлов, записанных на материальных информационных носителях, обеспечивающих многократную запись данных (магнитные, магнито-оптические, оптические диски, флеш-накопители и т.д. (за исключением стационарных жестких дисков оборудования КСА), системный администратор осуществляет запись в Журнале. Файлы переименовываются соответственно присвоенному регистрационному номеру или группируются в электронные папки, именованные этим номером и хранятся на жестком диске одного из автоматизированных рабочих мест КСА.

Материальные информационные носители (за исключением стационарных жестких дисков оборудования КСА), содержащие персональные данные и иную конфиденциальную информацию, должны храниться в сейфе, расположенном в помещении КСА, и изыматься только для работы.

Уничтожение материальных информационных носителей осуществляется по истечении срока хранения, в случае выхода из строя, списания, утилизации (выбытия) и т.д. Уничтожение производится постоянно действующей комиссией, в которую в обязательном порядке входят председатель и системный администратор соответствующей избирательной комиссии. Формирование комиссии по уничтожению материальных информационных носителей производится распоряжением председателя соответствующей избирательной комиссии.

Уничтожение осуществляется:

1) для бумажных носителей - путем сжигания либо иным способом, обеспечивающим невозможность восстановления любой информации, указанной на носителе;

2) для оптических дисков однократной записи (CD, DVD) - путем физического разрушения;

3) для материальных информационных носителей, обеспечивающих многократную запись данных (магнитные, магнито-оптические, оптические диски, флеш-накопители и т.д.) - путем удаления файлов, содержащих информацию, с обеспечением невозможности восстановления удаленной информации, в том числе, путем низкоуровневого форматирования носителей, либо путем физического разрушения;

4) для стационарных жестких дисков оборудования КСА, на котором обрабатывались или хранились персональные данные и иная конфиденциальная информация, в случае ремонта (вне помещения избирательной комиссии), списания, утилизации (выбытия) и т.д. - путем удаления (стирания) информации, без возможности ее восстановления и последующего прочтения, в том числе с применением устройства гарантированного уничтожения информации "СТЕК-НС1В" (в избирательной комиссии Нижегородской области).

При уничтожении материального информационного носителя или информации с перезаписываемого электронного носителя члены комиссии по уничтожению составляют Акт уничтожения персональных данных и иной конфиденциальной информации, находящейся на программно-технических средствах комплексов средств автоматизации ГАС "Выборы" (далее - Акт) (приложение N 4), а системный администратор производит соответствующую запись в Журнале.

Файлы, которые находятся на жестких дисках автоматизированных рабочих мест КСА и содержат персональные данные и иную конфиденциальную информацию хранятся до минования надобности. Удаление вышеуказанных файлов осуществляется системным администратором средствами операционной системы без составления акта об уничтожении, если иное не установлено законами, нормативными актами ЦИК России, нормативными актами избирательной комиссии Нижегородской области.

4. Доступ к информационным ресурсам КСА ГАС "Выборы"

Доступ к информационным ресурсам КСА ГАС "Выборы" предоставляется на основании списка лиц, допущенных к работе с персональными данными и иной конфиденциальной информацией, обрабатываемой в комплексах средств автоматизации регионального фрагмента Государственной автоматизированной системы Российской Федерации "Выборы" в Нижегородской области, утверждаемого распоряжением председателя избирательной комиссии Нижегородской области.

Руководитель информационного центра (управление) избирательной комиссии Нижегородской области на основании утвержденного списка лиц разрабатывает таблицу разграничения доступа к персональным данным и иной конфиденциальной информации, обрабатываемой на КСА (матрицу доступа). Матрица доступа утверждается распоряжением председателя избирательной комиссии Нижегородской области.

Системный администратор КСА ГАС "Выборы" предоставляет доступ пользователям к информационным ресурсам в соответствии с выпиской из матрицы доступа для соответствующей избирательной комиссии.

5. Организация назначения и хранения паролей

Системные пароли, обеспечивающие контроль доступа пользователей к информационным ресурсам ГАС "Выборы", подлежат периодической замене. Установку и замену паролей осуществляет системный администратор КСА либо руководитель информационного центра в соответствии с процедурой, описываемой эксплуатационной документацией на соответствующие программные и аппаратные средства ГАС "Выборы".

Новые пароли устанавливаются для каждого пользователя не реже одного раза в шесть месяцев. К паролю предъявляются следующие требования: длина не менее 6 символов, в пароле необходимо сочетание букв латинского алфавита и цифр. При этом запрещается в качестве паролей указывать свои личные данные или личные данные других работников, родственников и близких людей.

Сразу после изменения пароли доводятся до использующих их работников. Пароли подлежат запоминанию. Запрещается хранить их в письменном виде в открытом доступе.

Системный администратор после изменения паролей печатает таблицу, отражающую соответствие пользователя и установленного для него пароля, на листе бумаги в единственном экземпляре и запечатывает этот лист в конверт. Файл с таблицей подлежит немедленному удалению сразу же после печати листа. Конверт опечатывается печатью соответствующей избирательной комиссии и помещается на хранение в сейф, расположенный в помещении КСА. При следующей смене паролей конверт и вложенный лист уничтожаются.

6. Организация резервного копирования данных и хранения резервных копий

Резервное копирование информации, содержащейся на КСА избирательной комиссии, проводится путем реализации специальных процедур в соответствии с эксплуатационной документацией ГАС "Выборы (ИРЦВ.42 5100 5.005.ИЕ КСА ТИК, ИРЦВ.42 5100 5.003.ИЕ КСА ИКСРФ)

Резервное копирование осуществляется с использованием ПО Acronis Backup & Recovery на второе автоматизированное рабочее место КСА посредством локальной вычислительной сети и является основным.

В дополнение к основной процедуре резервного копирования ежемесячно, а также чаще по потребности (перед значимыми изменениями программного обеспечения, перед проведением выборов и в иных подобных случаях), проводится резервное копирование БД ГАС "Выборы" на внешние носители информации (как правило, оптические диски многократной записи). По каждому факту осуществления резервного копирования на внешний носитель информации системный администратор производит запись в Журнале. Уничтожение резервной копии происходит путем уничтожения материального информационного носителя (стирания данных с многократно записываемого носителя). При этом составляется Акт, а системный администратор производит соответствующую запись в Журнале. Допускается одновременное хранение в сейфе не более четырех внешних носителей, содержащих последние резервные копии.

Резервные копии, могут использоваться только с целью восстановления работоспособности КСА или восстановления утерянных данных. Они не могут передаваться в сторонние организации или третьим лицам без письменного согласования с вышестоящей избирательной комиссией.

Восстановление из резервных копий без согласования с начальником информационного центра (управление) или его заместителем запрещается.

7. Организация учета и хранения электронных идентификаторов и иной конфиденциальной информации

Электронные идентификаторы используются в ГАС "Выборы" для организации доступа к КСА. В электронном идентификаторе хранятся имена пользователей и пароли доступа. За своевременное и верное помещение в идентификатор соответствующей информации и передачу его по необходимости пользователю отвечает системный администратор КСА. Идентификаторы передаются пользователям под роспись. Пользователи должны бережно относиться к своим электронным идентификаторам, не допускать ударов, падений, попадания в воду и другие жидкости, иных агрессивных воздействий окружающей среды. Электронные идентификаторы используются только для обеспечения доступа к КСА. В остальное время они хранятся в сейфе. Запрещается хранить электронные идентификаторы в иных местах, оставлять их на рабочем месте без присмотра, передавать их кому-либо, кроме установленных пользователей.

В помещении КСА может храниться на бумажных или иных информационных носителях также иная информация, являющаяся конфиденциальной: персональные данные членов избирательных комиссий, сведения о кандидатах, списки избирателей с прошедших выборов. Такие информационные носители подлежат хранению в сейфе и изъятию из него только для непосредственной работы. Если объем сейфа недостаточен для хранения таких документов, то их хранение необходимо организовать в металлических запираемых шкафах или в специальных архивных помещениях, куда ограничен доступ сторонних лиц.

Сейф, расположенный в помещении КСА, после закрытия подлежит опечатыванию печатью, имеющейся у системного администратора. Ключ от сейфа хранится у системного администратора. Второй ключ опечатывается в тубус и помещается на хранение в сейф председателя избирательной комиссии. Запрещается хранить второй ключ от сейфа в самом сейфе.

8. Проведение антивирусных проверок, порядок обновления антивирусного программного обеспечения

Антивирусные проверки производятся системным администратором КСА при помощи специального антивирусного программного обеспечения ГАС "Выборы" не реже одного раза в неделю, а также по потребности при подозрении на вирусное заражение компьютеров КСА. Обязательному антивирусному контролю подлежат все сменные информационные носители, поступающие на КСА из иных организаций, а также информационные сообщения, поступающие по электронной почте.

Обновления антивирусного программного обеспечения производятся централизованно в автоматическом режиме, а в случае отсутствия на КСА цифрового канала связи путем получения обновлений на сменных информационных носителях. При получении файлов обновления системный администратор должен немедленно произвести их установку, активацию и полную проверку КСА на наличие компьютерных вирусов.

Запрещается самостоятельная установка антивирусного программного обеспечения, не предусмотренного штатной конфигурацией программно-технических средств КСА.

9. Ответственность

Ответственность за организацию деятельности по выполнению настоящего Порядка, а также контроль за его исполнением возлагается на председателей территориальных избирательных комиссий по месту размещения КСА ГАС "Выборы".

Системный администратор КСА избирательной комиссии несет персональную ответственность за соблюдение требований настоящего Порядка, сохранность и неразглашение находящихся у него сведений об избирателях, участниках референдума, иной конфиденциальной информации.

За разглашение конфиденциальной информации и нарушение порядка обращения с документами, содержащими такую информацию, системный администратор комплекса средств автоматизации избирательной комиссии и иные лица, имеющие допуск к указанным сведениям, могут быть привлечены к дисциплинарной или иной, предусмотренной законодательством Российской Федерации, ответственности.