Приложение N 2. Методические рекомендации по основным вопросам организации и проверки безопасности информации на комплексах средств автоматизации ГАС "Выборы" Избирательной комиссии Пензенской области. Постановление Избирательной комиссии Пензенской области от 31.03.2017 N 9/52-6 "Об утверждении инструкции пользователя ГАС "Выборы" и методических рекомендаций по основным вопросам организации и проверки безопасности информации на комплексах средств автоматизации ГАС "Выборы"

Приложение N 2
к постановлению
Избирательной комиссии
Пензенской области
от 31.03.2017 N 9/52-6

Методические рекомендации по основным вопросам организации и проверки безопасности информации на комплексах средств автоматизации ГАС "Выборы" Избирательной комиссии Пензенской области

N	Основные вопросы	Действия выполняемые на КСА Избирательной комиссии Пензенской области (далее - ИКПО)
1	Наличие у системных администраторов руководящих нормативно-технических документов по вопросам защиты информации. Знание документов	1. Перечень персональных данных и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации "Выборы" (Приложение N 1 к Постановлению ЦИК России от 3.11.2003 N 49/463-4). 2. Положение об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы" (Приложение к постановлению Центральной избирательной комиссии Российской Федерации от 28.02.2007 N 200/1254-4). 3. Федеральный закон от 27.06.2006 N 152-ФЗ "О персональных данных". 4. Федеральный закон от 27.06.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации". 5. Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". 6. Перечень работников допущенных к обработке конфиденциальной информации с указанием прав доступа, утверждаемый распоряжением председателем ИКПО. 7. Инструкция по установке и настройке средств обеспечения безопасности информации ИРЦВ.42 5100 5.003.ИБ.2, ИРЦВ.42 5100 5.003.ИБ.2-1, ИРЦВ.42 5100 5.003.ИБ.2-2, ИРЦВ.42 5100 5.003.ИБ.2-3. 8. Должностные инструкции специалистов ГАС "Выборы" (должны включать обязанности и ответственность по обеспечению безопасности информации). 9. Положение об организации единого порядка использования, эксплуатации и развития Государственной автоматизированной системы Российской Федерации "Выборы" в избирательных комиссиях и комиссиях референдума. (постановление Центральной избирательной комиссии Российской Федерации от 29.12.2009 N 187/1312-5).
2	Наличие нормативных документов по порядку установки баз данных и программного обеспечения. Знание документов	Инструкции по установке и настройке программного обеспечения и по формированию и ведению базы данных ИРЦВ.42 5100 5.003.И6.2 КСА ИКСРФ; ИРЦВ.42 5100 5.003.И4.2 КСА ИКСРФ.
3	Наличие у системного администратора сертификата на право эксплуатации КСА ИКПО	Проверка наличия сертификата на право эксплуатации КСА ИКПО.
4	Наличие перечней защищаемых сведений, циркулирующих в КСА ИКПО	Проверка наличия перечня персональных данных и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации "Выборы". (Приложение N 1 к Постановлению ЦИК России от 03.11.2003 N 49/463-4).
5	Соответствие состава КСА ИКПО утверждённой конфигурации	Проверка соответствие состава программно-технических средств КСА ИКПО утверждённой конфигурации. Проверяется комплектность и схема подключений АРМ. Убедиться в отсутствии программного обеспечения, не предусмотренного конфигурацией.
6	Наличие инструкций по эксплуатации средств защиты информации КСА ИКПО	Инструкция по установке и настройке средств обеспечения безопасности информации ИРЦВ.42 5100 5.001.ПД.2-11.
7	Соблюдение плана проверок и проведения работ по обслуживанию КСА ИКПО	В соответствии с Графиком проведения сервисным центром работ на КСА ГАС "Выборы", согласованным с председателем (заместителем председателя) ИКПО.
8	Наличие документов, подтверждающих проведение проверок КСА ИКПО	Утвержденные председателем (заместителем председателя) ИКПО: - акт проведения специалистами сервисного центра регламентных работ на КСА ГАС "Выборы" (2 раза в год); - акт проверки условий и порядка эксплуатации КСА ГАС "Выборы" (2 раза в год); - протокол проверки соблюдения требований обеспечения безопасности информации на КСА (2 раза в год).
9	Организация допуска лиц привлекаемых для работы по обслуживанию КСА ИКПО	Допуск на основе: - согласованных графиков проведения работ сервисными центрами; - писем сервисных центров со списками лиц привлекаемых для работы по обслуживанию КСА ИКПО; - указаний Руководителя ИЦ системным администраторам ТИК о сроках проведения работ и ФИО лиц привлекаемых для работы по обслуживанию; - порядка допуска к работам (проверка наличия предписаний, паспортов командированных лиц).
10	Соответствие настроек средств защиты информации установленным требованиям	Периодический контроль и проверка соответствия настроек средств защиты информации (КПАЗ, СЗИ от НСД (Соболь, SecretNet, пароль - не менее 6 знаков), серверов доступа) установленным требованиям.
11	Наличие системы разграничения доступа к обрабатываемой информации	Периодическая проверка наличия "матрицы" доступа и её реализация средствами программного изделия "ДЕЛО".
12	Организация учёта машинных носителей с защищаемой информацией, включая порядок их уничтожения гарантированного стирания информации	Периодический контроль проверка наличия учета машинных носителей с защищаемой информацией: - наличие журналов учета; - соответствие наличия учтённых дисков, дискет, электронных ключей, листов бумаги записям в журналах учета; (учету подлежат носители с персональными данными, копий баз данных, ключевой информацией, сертификатами ключей, копий баз данных и т.п.); - порядок уничтожения, акты уничтожения; - порядок (при необходимости) гарантированного стирания информации с использованием функции "затирания" SecretNet.
13	Наличие резервных копий баз данных и эталонных копий программного обеспечения, порядок их учёта и хранения	Проверка наличия копий баз данных (учтенных в соответствии с Положением по обеспечению безопасности информации) и эталонных копий в ИКПО и сервисных центрах, порядок их учёта и хранения.
14	Организация восстановления программного обеспечения и данных при авариях и отказах оборудования	Проверка знания и умения во взаимодействии с сервисным центром выполнить работу по восстановлению программного обеспечения и базы данных при авариях и отказах оборудования (в соответствии с эксплуатационной документацией).
15	Обеспечение резервирования средств защиты информации (в том числе СКЗИ)	Проверка наличия и учета дисков с дистрибутивами КПАЗ, SecretNet, "Континент", "Континент-АП" и умение во взаимодействии с сервисным центром выполнить работу восстановлению отказавших средств защиты информации (в том числе СКЗИ).
16	Использование СКЗИ	Проверка применения СКЗИ для криптографической защиты при обмене информацией с взаимодействующими КСА (опросом). Обмен информацией должен осуществляться только в криптозащищенном режиме.
17	Наличие антивирусной защиты	Проверка наличия и правильности настройки КПАЗ. Должен быть установлен и настроен КПАЗ в соответствии с инструкцией и листами внимания. Должно регулярно (1 раз в неделю) осуществляться обновление антивирусных баз.
18	Наличие системы обнаружения компьютерных атак	В КСА ИКПО должны быть установлены средства обнаружения компьютерных атак. Их управление осуществляется ФЦИ при ЦИК России. Проверки осуществляются совместно с ФЦИ при ЦИК России.
19	Наличие специальных защитных знаков на изделиях, входящих в состав КСА (опечатывание)	Проверка наличия специальных защитных знаков на изделиях, входящих в состав КСА (опечатывание). Должны быть опечатаны системные блоки АРМ и серверы.
20	Организация физической защиты КСА ИКПО	Проверка наличия физической защиты помещений в которых размещены КСА в соответствии с требованиями эксплуатационной документации и Положения об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы" (Приложение к постановлению Центральной избирательной комиссии Российской Федерации от 28.02.2007 N 200/1254-4).
21	Периодический инструктаж пользователей ГАС "Выборы"	Согласно инструкция пользователя ГАС "Выборы".
22	Группа контроля за использованием КСА ИКПО	Принятые решения ИКПО об образовании группы контроля за использованием КСА ИКПО при подготовке и проведении выборов (референдумов) на территории Пензенской области.