· аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);
· разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам АС ГРН , а также при хранении и предоставлении конфиденциальной информации, в том числе защиту от несанкционированного доступа пользователей ведомственных информационных систем к информационным ресурсам АС ГРН ;
· возможность доказательства неправомочности действий пользователей и обслуживающего персонала АС ГРН ;
· защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов АС ГРН (возможность несанкционированного изменения или уничтожения этой информации, как и несанкционированное получение, изменение или уничтожение информации о гражданах третьими лицами должны быть исключены);
· защиту от несанкционированной модификации программного обеспечения, включая защиту от внедрения «вирусов» в программные продукты;
· защиту информации от случайных разрушений;
· дублирование информации путем создания резервных копий;
· выполнение специальных требований для используемых импортных аппаратных средств;
· защиту от утечки по побочным каналам технических средств, предназначенных для обработки и хранения конфиденциальной информации;
· защиту баз данных различного уровня;
· защиту каналов передачи информации;
· подтверждение авторства сообщений с использованием электронной цифровой подписи информации;
· живучесть АС ГРН ;
· для любого гражданина возможность беспрепятственного ознакомления с данными о нем самом.
При формировании на основе первичных данных АС ГРН аналитической и агрегированной информации в соответствующих информационно-аналитических системах могут быть использованы средства криптографической защиты, соответствующие категорийности формируемой информации.
Используемые криптографические средства защиты должны иметь сертификат ФАПСИ . Организации-разработчики средств криптографической защиты должны иметь лицензию ФАПСИ на деятельность в области разработки средств криптографической защиты информации
Используемые криптографические средства защиты должны удовлетворять «Временным требованиям к средствам криптографической защиты конфиденциальной информации, не составляющей государственной тайны» по классу не ниже, чем «В».
8.4. Выбор средств защиты информации от несанкционированного доступа
Выбор средств защиты информации от НСД должен основываться на указанных выше требованиях к системе защиты информации в АС ГРН и на анализе существующих средств защиты в стране. Эти средства должны быть, по возможности, отечественными и должны отвечать следующим требованиям:
· иметь сертификат в системе сертификации средств защиты;
· функциональные возможности средств защиты должны обеспечивать выполнение основных контрольных процедур до загрузки операционной системы;
· спектр выпускаемых на аттестованных производствах средств защиты информации должен решать проблемы защиты в гетерогенных сетях, основанных на интеграции широко применяемых в России операционных систем;
· состав атрибутов, на основе которых описываются правила разграничения доступа к объектам АС ГРН, должен быть таким, чтобы обеспечить возможность описания любой разумной непротиворечивой политики безопасности;
· для применения в сетевых решениях обязательным является наличие средств централизованного управления безопасностью и средств аудита.
Важнейшим критерием выбора средств защиты информации является анализ практики применения этих средств.
9. Организация создания и функционирования АС ГРН
1. Организационная основа АС ГРН базируется на принципе правового регулирования функций , прав и обязанностей всех участвующих в создании и функционировании регистра населения органов исполнительной власти и не требует создания новых административных органов. Единство системы обеспечивается на основе единых методических принципов и положений, соблюдение которых обязательно для всех органов управления, ответственных за ее создание и функционирование.
2. Организацию проектирования и руководство созданием АС ГРН, а также обеспечение взаимодействия заинтересованных федеральных органов исполнительной власти и администраций субъектов Российской Федерации при решении данной проблемы должен осуществлять государственный заказчик - координатор работ. Предлагается определить Министерство Российской Федерации по связи и информатизации государственным заказчиком–координатором работ, ответственным за методологическое, правовое, программно-техническое, информационное и ресурсное обеспечение и совместимость модулей системы. Государственными заказчиками создания и функционирования системы предлагается определить: Министерство внутренних дел Российской Федерации (МВД России) в части автоматизации регистрационного учета и создания подсистем АС ГРН в паспортно-визовой службе, Министерство юстиции Российской Федерации (Минюст России) в части разработки АИС ЗАГС, а также ее нормативного правового обеспечения в составе АС ГРН, Центральную избирательную комиссию Российской Федерации (ЦИК России) в части развития программно-технических и телекоммуникационных средств ГАС "Выборы" муниципального уровня и развития телекоммуникационных средств ГАС "Выборы" на региональном и федеральном уровнях по требованиям АС ГРН. Координация работ по созданию и функционированию АС ГРН на муниципальном и региональном уровнях может проводиться через органы информатизации администраций субъектов Российской Федерации и органов местного самоуправления.
3.Государственный заказчик-координатор АС ГРН осуществляет на конкурсной основе выбор исполнителей работ по проектированию и созданию АС ГРН. Необходимо соблюдать преемственность сложившейся практики создания регистров населения в регионах и муниципальных образованиях.
4. Государственный заказчик-координатор АС ГРН должен иметь методологический центр (организацию), осуществляющий разработку методических, нормативно-технических документов и контроль за выполнением установленных в них норм.
5. Для оперативной проработки и согласования методологических, организационных и технических вопросов создается постоянно действующий Межведомственный координационный совет.
6. АС ГРН является целевой многофункциональной системой. Организация функционирования системы должна осуществляться при строгой ответственности государственных органов за каждую целевую функцию. Органы исполнительной власти, на которые возложены функции создания и ведения АС ГРН, определяются Правительством Российской Федерации. Предлагаемая ниже структура распределения ответственности за создание и ведение АС ГРН является предварительной и будет уточняться в дальнейшем при разработке нормативного правового обеспечения АС ГРН.
7. На муниципальном уровне в соответствии с постановлением Правительства Российской Федерации от 17.07.95г. № 713 ответственность за систему регистрации, за достоверность регистрационных персональных данных несут паспортно-визовые службы органов внутренних дел. В АС ГРН на паспортно-визовые службы органов внутренних дел возлагается ответственность за достоверность базы регистрационных персональных данных АС ГРН муниципального уровня, содержащую сведения о гражданах, зарегистрированных на территории, находящейся в их ведении.
Ответственность за предоставление первичной информации о проживающих на территории гражданах возложена на муниципальные организации, обслуживающие жилищный фонд (ЖЭО и др.). В АС ГРН на эти организации возлагается ответственность за систему подготовки и доставки информации в ПВС. На администрацию муниципального образования возлагается ответственность за хранение и передачу данных из муниципальной ГРН и за телекоммуникационную систему территории.
Ответственность за государственную регистрацию актов гражданского состояния возложена на органы ЗАГС, образованные органами государственной власти субъектов Российской Федерации, а координацию деятельности по государственной регистрации актов гражданского состояния осуществляет в соответствии с постановлением Правительства Российской Федерации от 06.07.98г. № 709 «О мерах по реализации Федерального закона «Об актах гражданского состояния» Минюст России. В АС ГРН на органы ЗАГС дополнительно должна быть возложена функция передачи необходимой информации в регламентном режиме в АИС ПВС (в АИС ГРН муниципального уровня).
8. Ответственными за достоверность информации баз данных ГРН регионального уровня являются МВД, ГУВД и УВД субъектов Российской Федерации при согласовании своих полномочий с администрациями субъектов Российской Федерации. На уровне субъекта Российской Федерации может создаваться региональный информационный центр АС ГРН. Администрации субъектов Российской Федерации обеспечивают в рамках региональных ТИС транспортировку данных с муниципального уровня и доступ к АС ГРН всех региональных органов государственной власти, включая полномочных представителей Президента Российской Федерации в федеральных округах.
9. На федеральном уровне формируется и реализуется государственная политика и единые методологические принципы построения и функционирования АС ГРН: обеспечивается ведение базы метаданных и эталонов информационно-лингвистических средств; осуществляется организация проектирования системы, разработки методических, нормативно-правовых и нормативно-технических документов, государственных профилей системы; организуется управление информационными и техническими ресурсами системы и предоставлением услуг пользователям; осуществляется выбор средств защиты информации. Организационные формы реализации этих функций предлагаются государственным заказчиком-координатором работ по созданию и функционированию АС ГРН. На федеральном уровне реализацию этих функций предлагается возложить на федеральный информационно-телекоммуникационный центр, который формируется на базе государственного предприятия, находящегося в ведении государственного заказчика – координатора работ по созданию системы. Положение о ФИТЦ, определяющее его статус, функции и задачи утверждаются Правительством Российской Федерации.