Утвержден

ИРЦВ.42 5100 5.001.ПД.2-11-ЛУ

Содержание

1 Введение

1.1 Настоящий документ является частью общего описания  Государственной автоматизированной системы Российской Федерации  «Выборы» (далее по тексту - ГАС «Выборы»)  ИРЦВ.42 5100 5.001.2 и  содержит описание подсистемы обеспечения безопасности информации.

Документ содержит общие сведения по составу, назначению и взаимодействию средств защиты информации (далее по тексту – СЗИ) на различных уровнях иерархии комплекса средств автоматизации (КСА) ГАС «Выборы».

Настоящий документ предназначен для работников эксплуатирующей ГАС «Выборы» организации и организаций, обеспечивающих сопровождение СЗИ на различных уровнях иерархии КСА ГАС «Выборы».

Для более полного ознакомления с составом, назначением и взаимодействием СЗИ ГАС «Выборы» необходимо руководствоваться следующими документами:

- ИРЦВ.42 5100 5.002.ИБ.2 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 1. Общие сведения»;

- ИРЦВ.42 5100 5.002.ИБ.2-1 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 2. Руководство администратора службы обеспечения безопасности информации по защите информации от НСД»;

- ИРЦВ.42 5100 5.002.ИБ.2-2 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 3. Руководство администратора службы обеспечения безопасности информации по средствам криптографической защиты и безопасности межсетевого взаимодействия»;

- ИРЦВ.42 5100 5.002.ИБ.2-3 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 4. Руководство администратора антивирусной защиты»;

- ИРЦВ.42 5100 5.002.ИБ.2-4 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 5. Руководство администратора центра регистрации ГАС «Выборы»;

- ИРЦВ.42 5100 5.002.ИБ.2-5 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 6. Руководство оператора АРМ центра регистрации»;

- ИРЦВ.42 5100 5.002.ИБ.2-6 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 7. Руководство администратора УЦ ГАС «Выборы»;

- ИРЦВ.42 5100 5.002.ИБ.2-7 «КСА ЦИК. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 8. Руководство администратора АРМ центра регистрации»;

- ИРЦВ.42 5100 5.003.ИБ.2 «КСА ИКСРФ. Инструкция по установке и настройке средств обеспечения безопасности информации. Часть 1. Общие сведения»;

- ИРЦВ.42 5100 5.003.ИБ.2-1 «КСА ИКСРФ. Инструкция по установке и настройке средств обеспечения безопасности информации.
Часть 2. Руководство администратора безопасности информации»;

- ИРЦВ.42 5100 5.003.ИБ.2-2 «КСА ИКСРФ. Инструкция по установке и настройке средств обеспечения безопасности информации.
Часть 3. Руководство оператора АРМ центра регистрации»;

- ИРЦВ.42 5100 5.003.ИБ.2-3 «КСА ИКСРФ. Инструкция по установке и настройке средств обеспечения безопасности информации.
Часть 4. Руководство администратора АРМ центра регистрации»;

- ИРЦВ.42 5100 5.041.ИБ «КСА ОИК. Руководство администратора безопасности»;

- ИРЦВ.42 5100 5.005.ИБ.2 «КСА ТИК. Руководство администратора безопасности»;

- ИРЦВ.42 5100 5.040.ИБ «КСА ИКМО. Руководство администратора безопасности».

2 Состав и назначение средств защиты информации

2.1 Задачи подсистемы обеспечения безопасности информации

2.1.1 Подсистема обеспечения безопасности информации, реализованная в ГАС «Выборы» как совокупность программно-технических средств защиты и комплекса организационно-технических и правовых мер, предназначена для реализации в ГАС «Выборы» требований законодательных и нормативных актов Российской Федерации, предъявляемых к автоматизированным системам класса защищённости 1Г и к информационным системам обработки персональных данных класса К2.

В соответствии с требованиями, предъявляемыми к автоматизированным системам данных классов, подсистема обеспечения безопасности информации решает в ГАС «Выборы» следующие задачи:

- защиту информации от несанкционированного доступа (далее по тексту - НСД);

- криптографическую защиту данных, передаваемых по каналам связи;

- безопасное межсетевое взаимодействие;

- антивирусную защиту;

- обнаружение и предотвращение сетевых атак.

Помимо вышеперечисленных задач в ГАС «Выборы» реализована задача контроля целостности электронных документов, формируемых подсистемой электронного документооборота с использованием электронной подписи (далее по тексту - ЭП).

2.2 Состав средств защиты информации

2.2.1 Для решения вышеперечисленных задач в подсистему обеспечения безопасности информации включены следующие программно-аппаратные средства защиты информации:

- программно-аппаратный комплекс «Соболь» версии 3.0 (далее по тексту - ПАК «Соболь») RU.40308570.501410.001;

- средства защиты информации Secret Net 7 (сетевой)  (далее по тексту - Secret Net 7) RU.88338853.501410.015;

- программное антивирусное средство «Dr. Web Enterprise Suite Special Edition версии 6.0» RU.72110450.00300-01;

- программное антивирусное средство «Dr. Web for Windows for Work Stations версии 6.0» 643.72110450.00003-01;

- аппаратно-программный комплекс шифрования (далее по тексту - АПКШ) «Континент» версия 3.5 УВАЛ.00300-104 с программным обеспечением Центр управления сетью (далее по тексту - ПО ЦУС);

- средство криптографической защиты информации (далее по тексту - СКЗИ) «КриптоПроCSP» версия 3.6 RU.88338853.504130.001;

- программно-аппаратный комплекс электронный ключ eToken 5 (далее  по  тексту - ПАК eToken 5)  в  составе  электронного  ключа  eToken PRO/64K/cert-1883 и программного  комплекса eToken PKI Client 5;

- устройство обнаружения и предотвращения вторжений Proventia Network IPS GX 5108-C и Proventia Network IPS GX 4004-C;

- система обнаружения и предотвращения вторжений  (СОВ) Site Protector;

- межсетевой экран Check Point VPN Power Gateway/VPN-1 Power High Availobility Gateway (далее по тексту - МЭ Check Point);

- программно-аппаратный комплекс «КриптоПроУЦ» (версия 1.5);

- аппаратно-программный комплекс шифрования «Континент» версии 3.5;

- СКЗИ «Континент-АП» версия 3.5 УВАЛ.00300-99;

- АПКШ «Континент» версия 3.5 с программным обеспечением Сервер доступа (далее по тексту - ПО СД).

2.3 Назначение средств защиты информации

2.3.1 ПАК «Соболь» предназначен для защиты от несанкционированного доступа  к компьютеру и обеспечивает:

- идентификацию и аутентификацию пользователей при их входе в систему с помощью персональных идентификаторов;

- контроль целостности файлов, физических секторов жёсткого диска, элементов системного реестра компьютера до загрузки операционной системы (далее по тексту - ОС);

- защиту от несанкционированной загрузки ОС со съёмных носителей информации;

- регистрацию событий, связанных с безопасностью системы.

2.3.2 Средство защиты информации Secret Net 7 предназначено для защиты от НСД к информационным ресурсам компьютеров, функционирующих под управлением ОС семейства Windows. Защищаемые компьютеры могут быть как автономными, так и входить в состав локальной вычислительной сети (ЛВС).

В состав СЗИ Secret Net 7 входят следующие компоненты:

- сервер безопасности;

- средства управления;

- модификатор схемы;

- клиент.

СЗИ Secret Net 7 реализует следующие функции:

- контроль входа пользователей в систему;

- разграничение доступа пользователей к устройствам компьютера;

- разграничение доступа пользователей к конфиденциальным данным;

- контроль потоков конфиденциальной информации в системе;

- контроль целостности защищаемых ресурсов;

- контроль аппаратной конфигурации компьютера;

- автоматическое уничтожение содержимого файлов при их удалении;

- регистрацию событий безопасности в журнале СЗИ Secret Net 7;

- мониторинг и оперативное управление рабочими станциями;

- централизованный сбор и хранение журналов;

- централизованное управление параметрами СЗИ рабочих станций.

ПО «СЗИ Secret Net 7 - Сервер безопасности» устанавливается на выделенном  сервере  в КСА ЦИК. Сервер безопасности, установленный в КСА ЦИК, выполняет роль главного сервера безопасности Secret Net 7, с которым в качестве подчинённых взаимодействуют серверы безопасности, установленные в КСА ИКСРФ.

Политики информационной безопасности распространяются централизованно средствами Secret Net 7. Для осуществления возможности задания параметров и распространения политик информационной безопасности Secret Net 7 на  контроллере домена КСА ЦИК устанавливается «Модификатор схемы AD».

Централизованное управление и мониторинг событий НСД осуществляется с помощью компонент «Мониторинг» и «Журналы» из состава ПО «СЗИ Secret Net 7 - Средства управления», установленных на автоматизированных рабочих местах (АРМ) администратора безопасности КСА ЦИК.

Параметры политик безопасности для каждого КСА ИКСРФ задаются централизованно из программы «Монитор», установленной на АРМ администратора безопасности КСА ЦИК.

Настройки и журналы ПО «СЗИ Secret Net 7 - Сервер безопасности» хранятся в базе данных (БД), управляемой СУБД Oracle 10g Express Edition. СУБД устанавливаются на все серверы безопасности КСА ЦИК и КСА ИКСРФ.

ПО «СЗИ Secret Net 7 - Клиент (Сетевой вариант)» - клиентская компонента СЗИ Secret Net 7. Данная компонента устанавливается на серверы и АРМ пользователей КСА ЦИК и КСА ИКСРФ и используется для возможности централизованного управления СЗИ, а также централизованного получения политик информационной безопасности.

2.3.3 Программные антивирусные средства «Dr. Web Enterprise Suite Special Edition версии 6.0» и «Dr. Web for Windows for Work Stations версии 6.0» предназначены для защиты программно-технической среды КСА от заражения компьютерными вирусами и используются в составе локальной вычислительной сети или на автономных рабочих станциях соответственно.

В состав «Dr. Web Enterprise Suite Special Edition версии 6.0» входят:

- антивирусный сервер, используемый для хранения дистрибутивов антивирусных пакетов, обновлений вирусных баз, пользовательских ключей и настроек антивирусных пакетов на защищаемых компьютерах, а также для ведения единого журнала событий антивирусной безопасности сети;

- встроенный Веб-интерфейс администратора, разворачиваемый на антивирусном сервере, позволяющий удалённо управлять антивирусной сетью путём редактирования настроек антивирусного сервера, а также настроек защищаемых компьютеров;

- антивирусный ES-агент, разворачиваемый на защищаемых компьютерах и обеспечивающий их антивирусную безопасность.

Антивирусный сервер также позволяет выполнять следующие функции:

- задавать единую политику вирусной безопасности (т. е. устанавливать централизованно стандартный набор настроек и правил работы развернутых в КСА всех уровней антивирусных компонент) как для всех КСА, так и для отдельных, выделенных в них по тем или иным признакам, групп персональных электронных вычислительных машин (далее по тексту - ПЭВМ);

- осуществлять централизованный контроль за функционированием развернутого в сети антивирусного ПО и оперативно получать информацию о событиях, относящихся к вирусной безопасности;

- по запросу администратора антивирусной защиты удаленно запускать проверку на вирусы отдельные ПЭВМ или группы ПЭВМ;

- устанавливать расписание для проведения периодических проверок;

- поддерживать автоматическое обновление антивирусных баз и версий антивирусных компонент;

- вести статистику работы системы антивирусной защиты за продолжительный период времени.

2.3.4  Аппаратно-программный комплекс шифрования «Континент» версии 3.5 предназначен для защиты информации, передаваемой по общим каналам связи, а также для защиты сегментов частной виртуальной сети от проникновения извне.

В состав АПКШ «Континент» версии 3.5 входят:

- криптографический шлюз «Континент»;

- центр управления сетью криптографических шлюзов;

- программа управления сетью ЦУС.

АПКШ «Континент» обеспечивает:

- шифрование и имитозащиту данных, передаваемых по открытым каналам связи между КСА ГАС «Выборы»;

- защиту внутренних сегментов КСА от НСД извне;

- сокрытие внутренней структуры КСА;

- централизованное управление криптографической защитой сети.

СКЗИ «Континент-АП» версия 3.5 предназначен для защиты  информации, передаваемой между КСА ОИК ИРЦВ.42 5100 5.041,  КСА ТИК ИРЦВ.42 5100 5.005.2, КСА ИКМО ИРЦВ.42 5100 5.040,  работающих по телефонной сети общего пользования, и КСА ИКСРФ ИРЦВ.42 5100 5.003.2.

2.3.5 СКЗИ КриптоПро CSP версии 3.6 предназначено для генерации пользовательских ключей электронной подписи, формирования и проверки электронной подписи пользователей, работающих с подсистемой электронного документооборота ГАС «Выборы».

2.3.6 ПАК eToken 5 предназначен для аутентификации и хранения ключевой информации пользователей подсистемы электронного документооборота ГАС «Выборы», а также для обеспечения контролируемого доступа к блэйд-серверам, на которых невозможно использовать ПАК «Соболь».

2.3.7 ПАК «КриптоПроУЦ» версии 1.5 предназначен для автоматизации деятельности по управлению сертификатами открытых ключей, применяемых для шифрования, аутентификации и обеспечения достоверности информации.

В ГАС «Выборы» компоненты ПАК «КриптоПроУЦ» разворачиваются на выделенных серверах и автоматизированных рабочих  местах в составе:

- программного компонента Центр сертификации;

- программного компонента Центр регистрации;

- программного компонента АРМ администратора Центра регистрации;

- программного компонента АРМ разбора конфликтных ситуаций.

Учитывая, что в ГАС «Выборы» применяется изолированный режим работы ПАК «КриптоПроУЦ», то для доступа пользователей к актуальному списку отозванных сертификатов и службе штампов времени в КСА ЦИК развёрнут сервер СПС/СДВ, на котором установлены приложения ПАК «КриптоПроУЦ».

В ГАС «Выборы» ПАК «КриптоПроУЦ» обеспечивает:

- реализацию многоролевой модели управления объектами ПАК «КриптоПроУЦ»;

- аудит событий, связанных с эксплуатацией программного комплекса;

- реализацию механизма занесения в сертификат открытого ключа подписи сведений об отношениях, при которых электронный документ имеет юридическую силу, и областях применения сертификата;

- ведение реестра зарегистрированных пользователей;

- генерацию ключей подписи и шифрования;

- ведение реестра запросов и заявлений на сертификаты открытых ключей в электронном виде;

- ведение реестра сертификатов открытых ключей, изданных Удостоверяющим центром в электронном виде;

- ведение реестра запросов и заявлений на аннулирование (отзыв) действия сертификатов открытых ключей в электронном виде;

- выполнение процедуры подтверждения подлинности электронной подписи.

В КСА ЦИК развёрнута инфраструктура открытых ключей  на основе ПАК «КриптоПроУЦ» версии 1.5.

Инфраструктура открытых ключей является основой функционирования Удостоверяющего центра ГАС «Выборы» (далее по тексту - УЦ ГАС «Выборы»). В УЦ ГАС «Выборы» пользователям генерируются ключи подписи и издаются сертификаты ключей подписи для формирования ЭП. Электронная подпись используется для работы с документами в подсистеме электронного документооборота ГАС «Выборы», основанном на программном интерфейсе «Дело».

Инфраструктура открытых ключей ГАС «Выборы» имеет следующую структуру:

- сервер Центра сертификации (сервер ЦС), размещённый в КСА ЦИК и предназначенный для издания и ведения реестра изданных сертификатов ключей электронной подписи пользователей УЦ ГАС «Выборы»;

- сервер Центра регистрации (сервер ЦР), размещённый в КСА ЦИК и предназначенный для регистрации и ведения реестра зарегистрированных пользователей УЦ ГАС «Выборы»;

- сервер СПС/СДВ, размещённый в КСА ЦИК и предназначенный для предоставления пользователям УЦ ГАС «Выборы» сервисов доверенного времени и онлайн проверки статуса сертификата (действует/отозван/приостановлен);

- АРМ администратора ЦР, размещенные в КСА ЦИК и во всех КСА ИКСРФ и предназначенные для управления электронными заявками на регистрацию пользователей в УЦ ГАС «Выборы» и издание сертификатов ключей подписи;

- АРМ ЭП, размещённые в КСА ЦИК и во всех КСА ИКСРФ и предназначенные для обеспечения возможности работы с ЭП на пользовательских рабочих местах.

Инфраструктура открытых ключей ГАС «Выборы» состоит из следующих программных компонент:

- ПО «Центр сертификации»;

- ПО «Центр регистрации»;

- ПО «OCSP-сервер»;

- ПО «TSP-сервер»;

- ПО «АРМ Администратора ЦР»;

- СКЗИ «КриптоПро CSP» 3.6;

- ПО «Revocation Provider»;

- ПО «TSP Client»;

- программный комплекс eToken PKI Client 5.

Издание и ведение реестра изданных сертификатов ключей электронной подписи пользователей УЦ ГАС «Выборы» осуществляется средствами ПО «Центр сертификации». Данное ПО устанавливается на сервер ЦС - выделенный сервер КСА ЦИК, подключённый напрямую к кластеру горячего резервирования АПКШ «Континент».

Регистрация и ведение реестра зарегистрированных пользователей УЦ ГАС «Выборы» осуществляется средствами ПО «Центр регистрации». Данное ПО устанавливается на сервер ЦР - выделенный сервер КСА ЦИК, подключённый напрямую к кластеру горячего резервирования АПКШ «Континент».

ПО «OCSP-сервер» предоставляет пользователям УЦ ГАС «Выборы» сервис онлайн проверки статуса сертификата (действует/отозван/приостановлен). ПО «OCSP-сервер» устанавливается на выделенный сервер (сервер СПС/СДВ). В КСА ЦИК данный сервер подключён в сегмент основных серверов.

ПО «ТSP-сервер» предоставляет пользователям УЦ ГАС «Выборы» сервис доверенного времени. ПО «ТSP-сервер» устанавливается на тот же сервер КСА ЦИК, что и ПО «OCSP-сервер»  (сервер СПС/СДВ).

ПО «АРМ Администратора ЦР» устанавливается на АРМ администратора ЦР и обеспечивает подключение администраторов и операторов УЦ ГАС «Выборы» к серверу ЦР для регистрации пользователей в УЦ и формирования заявок на издание сертификатов ключей подписи.

СКЗИ «КриптоПро CSP» выполняет криптографические преобразования при генерации ключей подписи и формировании ЭП в подсистеме электронного документооборота ГАС «Выборы», основанном на программном интерфейсе «Дело». В качестве датчика случайных чисел  СКЗИ «КриптоПро CSP» использует плату ПАК «Соболь». СКЗИ «КриптоПро CSP» устанавливается на все серверы УЦ ГАС «Выборы», АРМ Администратора ЦР и все АРМ ЭП.

ПО «Revocation Provider» устанавливается на АРМ ЭП и при проверке ЭП документа осуществляет подключение к серверу СПС/СДВ для проверки статуса сертификата пользователя.

ПО «TSP Client» устанавливается на АРМ ЭП и при простановке ЭП документа осуществляет подключение к серверу СПС/СДВ для установки штампа доверенного времени в результат подписи.

2.3.8 В состав компонентов безопасного межсетевого взаимодействия  входят следующие средства:

а) средства межсетевого экранирования, реализованные в АПКШ «Континент»;

б) межсетевой экран в следующем составе:

1) шлюз МЭ в отказоустойчивой конфигурации (кластер);

2) сервер управления МЭ Check Point Start Center Rower в отказоустойчивой конфигурации (кластер);

3) ПО Check Point User Authority, установленное на шлюзе МЭ и контроллерах домена КСА ЦИК;

4) ПО Check Point User Authority Secure Agent, установленное на АРМ пользователей КСА ЦИК;

5) ПО управления МЭ Check Point Start Console, установленное на АРМ администратора средств МЭ;

в) подсистема обнаружения и предотвращения вторжений в следующем составе:

1) сервер БД Site Protector;

2) сервер приложений Site Protector;

3) Real Secure Site Protector Console;

4) серверы менеджеры устройства Proventia;

5) устройство Proventia Network IPS GX 5108-C.

Разделение на сегменты и фильтрация внутреннего трафика КСА ЦИК осуществляется средствами межсетевого экрана.

Средства МЭ  Check Point являются узловой точкой ЛВС КСА ЦИК и контролируют весь проходящий через него трафик для обеспечения информационной безопасности защищаемых объектов.

Нарушение функционирования МЭ может привести как к нарушению работоспособности ЛВС в целом, так и к несанкционированному доступу к информационным ресурсам КСА ЦИК. Поэтому сам МЭ должен обладать наивысшей степенью защищённости, которая достигается не только применением правил, запрещающих доступ по всем портам к самому модулю, но и дополнительной отказоустойчивой конфигурацией в виде кластера.

3 Порядок, установка и настройка средств защиты информации

3.1 Установка и настройка средств защиты информации проводится в следующем порядке:

- установка и настройка средств антивирусной защиты;

- установка и настройка аппаратных средств защиты информации;

- установка СЗИ Secret Net 7 (сетевой вариант);

- настройка общих параметров СЗИ Secret Net 7;

- настройка индивидуальных параметров пользователей;

- установка АПКШ «Континент» с ЦУС версии 3.5;

- установка и настройка устройства СОВ Proventia Network IPS GX 5108-C;

- установка и настройка компонент ПАК «КриптоПроУЦ»;

- установка и настройка МЭ Check Point.

Установка и настройка СЗИ Secret Net 7, ПАК «Соболь» 3.0, ПАК eToken 5, СКЗИ «КриптоПро CSP» в КСА ЦИК осуществляется в соответствии с инструкцией ИРЦВ.42 5100 5.002.ИБ.2-1.

Установка и настройка АПКШ «Континент» версии 3.5, АПКШ «Континент» версии 3.5 с ЦУС, МЭ Check Point, устройства обнаружения и предотвращения вторжений Proventia Network IPS GX 5108-C и СОВ Site Protector в КСА ЦИК осуществляется в соответствии с инструкцией ИРЦВ.42 5100 5.002.ИБ.2-2.

Установка и настройка ПАК «КриптоПроУЦ» 1.5, СКЗИ «КриптоПро CSP» 3.6 в КСА ЦИК осуществляется в соответствии с  инструкциями ИРЦВ.42 5100 5.002.ИБ.2-4 и ИРЦВ.42 5100 5.002.ИБ.2-6.

Установка и настройка средств антивирусной защиты осуществляется в соответствии с инструкцией ИРЦВ.42 5100 5.002.ИБ.2-3.

Установка и настройка СЗИ в КСА ИКСРФ осуществляется в соответствии с инструкцией ИРЦВ.42 5100 5.003.ИБ.2-1.

Установка и настройка СЗИ в КСА ОИК осуществляется в соответствии с руководством ИРЦВ.42 5100 5.041.ИБ.

Установка и настройка СЗИ в КСА ТИК осуществляется в соответствии с руководством ИРЦВ.42 5100 5.005.ИБ.2.

Установка и настройка СЗИ в КСА ИКМО осуществляется в соответствии с руководством ИРЦВ.42 5100 5.040.ИБ.

4 Взаимодействие  средств  защиты  информации на различных уровнях иерархии КСА ГАС «Выборы»

4.1 В соответствии со структурой построения ГАС «Выборы» и функциональными характеристиками используемых в ГАС «Выборы» средств защиты информации, взаимодействие СЗИ КСА ИКСРФ с СЗИ КСА ЦИК осуществляется по следующим направлениям:

- управление из КСА ЦИК настройками политик безопасности СЗИ Secret Net 7;

- управление из КСА ЦИК настройками средств антивирусной защиты и обновлениями антивирусных баз;

- управление из КСА ЦИК обновлениями сигнатур атак Proventia Network IPS GX 4004-C;

- управление ключевой системой криптографической сети;

- управление правилами фильтрации криптографических шлюзов в КСА ИКСРФ;

- управление сбором журналов событий безопасности СЗИ.

Управление криптографическими ключами осуществляется централизованно из ЦУС. Средствами ЦУС выполняются следующие операции:

- генерация главных ключей криптошлюза (КШ) и ключей парной связи;

- передача ключей на КШ;

- смена главных ключей и ключа связи с ЦУС.

Ключи парной связи генерируются для каждого КШ сети в ЦУС. Передача ключей с ЦУС на КШ производится по защищённому каналу связи на ключе связи с ЦУС. Парные ключи связи, зашифрованные на главном ключе КШ, хранятся на жёстком диске КШ.

Главные ключи КШ и ключ связи с ЦУС, зашифрованные на ключе хранения (главном ключе ЦУС), хранятся в энергонезависимой памяти ПАК «Соболь» КШ, а также на жёстком диске ЦУС. Ключ хранения находится в энергонезависимой памяти ПАК «Соболь», установленного на ЦУС.

Главные ключи и ключи парной связи генерирует ЦУС из исходного ключевого материала («исходная ключевая информация»).

Для защиты соединения «Программы управления с ЦУС» используется специальный административный ключ. Этот ключ хранится на идентификаторе администратора комплекса. Каждому зарегистрированному администратору присваивается уникальный ключ.

Смена ключей на ЦУС выполняется с помощью «Программы управления», смена ключей на КШ - средствами локального управления.

Управление СОВ Proventia КСА ЦИК и СОВ Proventia КСА ИКСРФ осуществляется средствами программного комплекса управления Site Protector. Для выполнения функции управления Site Protector устанавливается защищённое соединение с СОВ Proventia КСА ЦИК и СОВ Proventia КСА ИКСРФ.

Администратор системы обеспечения информационной безопас-ности подключается к комплексу управления Site Protector с помощью консоли управления Real Secure Site Protector Console. Средствами Real Secure Site Protector Console осуществляется настройка и управление СОВ. Все администраторы в обязательном порядке проходят процедуру аутентификации и авторизации в консоли управления Site Protector с использованием внутренних учётных записей программного комплекса. Средствами Real Secure Site Protector Console  администратор выполняет следующие функциональные задачи:

- управление сенсорами обнаружений вторжений;

- просмотр данных, получаемых от средств защиты;

- сопоставление данных, получаемых от подсистем выявления уязвимостей и обнаружения атак;

- немедленное получение уведомлений о событиях информационной безопасности;

- формирование отчётов о сетевой и системной активности, в рамках зоны действия средств защиты;

- формирование отчётов и рекомендаций по устранению выявленных уязвимостей.

5  Особенности  физического  размещения  средств  защиты 

информации

5.1 Физическое включение МЭ в сеть КСА ЦИК осуществляется посредством подключения одного члена его кластера к коммутатору доступа ядра в одном помещении ЦИК России, а второго члена - к коммутатору доступа ядра в другом помещении ЦИК России. Члены кластера МЭ при этом размещаются соответственно в этих же помещениях. В отдельных случаях (сегмент ПТК РИ, сегмент криптографической защиты, сегмент размещения информации «Интерфакс») физическое подключение кластера МЭ осуществляется не к коммутаторам ядра, а к выделенным коммутаторам перечисленных сегментов.

На логическом уровне при подключении МЭ к сегментам сети КСА ЦИК применяется технология 802.1х VLAN (RFC 3069).

Таким образом, МЭ контролирует весь трафик, проходящий между сегментами ЛВС КСА ЦИК и выделенными серверами.

Подключение КСА ЦИК к региональной части ГАС «Выборы» осуществляется при помощи АПКШ «Континент» в отказоустойчивой конфигурации (кластер), расположенного в сегменте криптографической защиты информации КСА ЦИК, в свою очередь подключённом на выделенный интерфейс кластера МЭ.

Средства компоненты криптографической защиты информации устанавливаются непосредственно за граничным маршрутизатором в КСА ЦИК и во всех КСА ИКСРФ и таким образом обеспечивают шифрование всех информационных потоков между КСА ЦИК и КСА ИКСРФ.

АПКШ «Континент» в КСА ЦИК включён в отказоустойчивой конфигурации, что обеспечивает функционирование компоненты в случае выхода из строя одного из двух АПКШ «Континент».

Управление сетью криптошлюзов производится централизованно из КСА ЦИК администратором безопасности при помощи программы управления ЦУС.

Перечень принятых сокращений