Организация работы по обеспечению информационной безопасности в Челябинском областном фонде обязательного медицинского страхования
Оглавление
Введение
Глава
1. Теоретические основы информационной безопасности в российской Федерации
1.1
Понятие информационной безопасности. Важность проблемы информационной
безопасности в государственном и муниципальном управлении
1.2
Нормативно-правовые основы информационной безопасности в Российской Федерации
1.3
Управление информационной безопасностью
Глава
2. Организация работы по обеспечению информационной безопасности Челябинского
областного фонда обязательного медицинского страхования (ЧОФОМС)
2.1
Практика организации работы по обеспечению информационной безопасности ЧОФОМС
2.2
Организация Удостоверяющего центра ЧОФОМС
2.3
Проблемы и направления совершенствования работы по обеспечению информационной
безопасности ЧОФОМС
Заключение
Список
использованных источников и литературы
Приложения
Введение
Повышение роли информации, быстрое развитие
информационных технологий и средств информационного обеспечения - одна из
важнейших прогрессивных тенденций мирового развития в направлении достижения
человечеством постиндустриальной ступени цивилизации и информационного
общества.
Неправомерное искажение, уничтожение или
разглашение определенной части информации, а также дезорганизация процессов ее
обработки и передачи наносят серьезный материальный и моральный ущерб как
государству в целом, так и юридическим и физическим лицам. В частности, к
сожалению, частота этих нарушений увеличивается из года в год.
Важность проблемы защиты информации в нашей
стране подчеркивает факт создания по инициативе Президента РФ Доктрины
информационной безопасности. Методы обеспечения информационной безопасности
Российской Федерации согласно Доктрине разделяются на правовые,
организационно-технические и экономические.
Целью работы - на основе комплексного анализа
обеспечения информационной безопасности Челябинского областного фонда
обязательного медицинского страхования выявить возникающие проблемы и
предложить рекомендации по их устранению.
Для достижения поставленной цели решаются
следующие задачи:
. дать понятие информационной безопасности;
. рассмотреть важность проблемы информационной
безопасности в государственном и муниципальном управлении;
. проанализировать нормативно-правовые основы
информационной безопасности в Российской Федерации;
. охарактеризовать управление информационной
безопасностью;
. рассмотреть практику организации работы по
обеспечению информационной безопасности Челябинского областного фонда
обязательного медицинского страхования;
. проанализировать проблемы создания
Удостоверяющего центра Челябинского областного фонда обязательного медицинского
страхования.
. выявить проблемы и рассмотреть направления
совершенствования работы по обеспечению информационной безопасности
Челябинского областного фонда обязательного медицинского страхования.
Объект исследования - Челябинский областной фонд
обязательного медицинского страхования.
Предмет исследования - организация работы по
обеспечению информационной безопасности в Челябинском областном фонде
обязательного медицинского страхования.
В работе использовались методы анализа и
синтеза, индукции и дедукции, наблюдения и сравнения. В качестве общенаучных
методов, с помощью которых проводилось исследование, использовались метод
структурного анализа, системный и исторический методы. К специальным методам,
использовавшимся в работе, следует отнести сравнительно-правовой, исторический,
формально-юридический метод, методы правового моделирования.
При решении конкретных задач использовались
труды отечественных и зарубежных ученых в области информационной безопасности,
государственного регулированию информационной безопасности, государственному и
муниципальному управлению.
Информационную базу исследования составили
законы и законодательные акты, разработки ведущих научных школ в области
информационной безопасности и страхования, а также данные статистических
сборников и проектные материалы научной периодики, конференций и семинаров.
Практическая значимость работы
определяется наличием рекомендаций по совершенствованию работы обеспечения
информационной безопасности в Челябинском областном фонде обязательного
медицинского страхования.
Глава 1. Теоретические основы
информационной безопасности в российской Федерации
.1 Понятие информационной
безопасности. Важность проблемы информационной безопасности в государственном и
муниципальном управлении
Современный этап развития общества
характеризуется возрастающей ролью информационной сферы, представляющей собой
совокупность информации, информационной инфраструктуры, субъектов,
осуществляющих сбор, формирование, распространение и использование информации,
а также системы регулирования возникающих при этом общественных отношений.
Информационные ресурсы, содержащие сведения, имеющие отношение к обеспечению
национальной безопасности, зачастую становятся объектами противоправных
посягательств, поэтому в целях обеспечения информационной безопасности и защиты
информации законодатель установил правила обращения с информацией и отдельными
ее видами, правовые запреты их нарушения и соответствующие меры юридической
ответственности.
Нормы административного
законодательства, регулируя те или иные правила информационной безопасности и
защиты информации, выполняют превентивно-прогностическую функцию в сфере
обеспечения общественной безопасности, которая, по мнению М.Г. Сальникова, как
система общественных отношений образует закрепленную в Конституции РФ и
административно-правовых нормах систему прав, обязанностей, гарантий и
ответственности личности.
Механизм взаимосвязи между
состоянием информационной и общественной безопасности и развитием науки и
техники и особенно в современных условиях глобальной сети информационных
технологий приобретает качественно новое содержание, поскольку задача правовой
регламентации в сфере обеспечения информационной безопасности и защиты
информации решается в общемировом масштабе.
Новейшая история свидетельствует,
что научно-технический прогресс последних нескольких поколений кардинальным
образом изменил общественное поведение человека в социальной и природной среде,
которая, выйдя из состояния гомеостаза, приобрела определенную неустойчивость и
в силу данного качества стала представлять общественную опасность на
транснациональном уровне и потребовала принятия комплекса мер по
многоаспектному информированию общественности в целях самосохранения.
Отсюда следует, что задача
обеспечения информационной безопасности и защиты информации предполагает
изучение гносеологических, мировоззренческих, организационно-управленческих,
правовых, психолого-педагогических и иных аспектов проблемы правоохранительной
политики.
Среди особенностей, в частности,
административно-правового обеспечения информационной безопасности и защиты
информации следует выделить комплекс государственно-правовых,
социально-экономических и т.п. отношений, динамично складывающихся в
информационной сфере жизнедеятельности общества и нуждающихся в перспективном
правовом регулировании, а по существу, в разработке не столько норм об
административной ответственности, сколько комплекса правил, например, хранения,
пользования, передачи, распространения и защиты информации, относящейся к
различным видам информационных ресурсов.
В связи с тем что доступ граждан к
информации имеет определенные процедуры, систематизированные в научной
литературе, в рамках настоящего исследования можно их классифицировать
следующим образом.
Федеральный закон от 27 июля 2006 г.
«Об информации, информационных технологиях и о защите информации» определяет,
что информация - это сведения (сообщения, данные) независимо от формы их
представления. Информация имеет различный социально значимый характер, а также
может иметь различную целевую направленность. Говоря об информационной
безопасности, следует сказать, что Закон РФ от 5 марта 1992 г. «О безопасности»
определяет, что безопасность - это состояние защищенности жизненно важных
интересов личности, общества и государства от внутренних и внешних угроз.
Приведенное определение является
общим для всех видов безопасности. В литературе, посвященной исследованию
феномена «безопасность», данная категория в последнее время приобретает широкое
распространение в западноевропейских государствах и означает состояние,
ситуацию спокойствия, появляющуюся в результате отсутствия реальной опасности
(как физической, так и моральной), а также материальные, экономические и
политические условия, способствующие созданию данной ситуации.
Словосочетание «информационная
безопасность» в разных контекстах может иметь различный смысл. В Доктрине
информационной безопасности Российской Федерации термин» информационная
безопасность» используется в широком смысле. Имеется в виду состояние защищенности
национальных интересов в информационной сфере, определяемых совокупностью
сбалансированных интересов личности, общества и государства.
В Федеральном законе РФ «Об
информации, информационных технологиях и о защите информации» информационная
безопасность определяется аналогичным образом - как состояние защищенности
информационной среды общества, обеспечивающее ее формирование, использование и
развитие в интересах граждан, организаций, государства.
Под информационной безопасностью мы
будем понимать защищенность информации и поддерживающей инфраструктуры от
случайных или преднамеренных воздействий естественного или искусственного
характера, которые могут нанести неприемлемый ущерб субъектам информационных
отношений, в том числе владельцам и пользователям информации и поддерживающей
инфраструктуры.
Защита информации - это комплекс
мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с
методологической точки зрения подход к проблемам информационной безопасности
начинается с выявления субъектов информационных отношений и интересов этих
субъектов, связанных с использованием информационных систем (ИС). Угрозы
информационной безопасности - это оборотная сторона использования
информационных технологий.
Из этого положения можно вывести два
важных следствия:
Трактовка проблем, связанных с
информационной безопасностью, для разных категорий субъектов может существенно
различаться. Для иллюстрации достаточно сопоставить режимные государственные
организации и учебные институты. В первом случае «пусть лучше все сломается,
чем враг узнает хоть один секретный бит», во втором - «да нет у нас никаких
секретов, лишь бы все работало».
Информационная безопасность не
сводится исключительно к защите от несанкционированного доступа к информации,
это принципиально более широкое понятие. Субъект информационных отношений может
пострадать (понести убытки и/или получить моральный ущерб) не только от
несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в
работе. Более того, для многих открытых организаций (например, учебных)
собственно защита от несанкционированного доступа к информации стоит по
важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии,
отметим, что термин «компьютерная безопасность» (как эквивалент или заменитель
информационной безопасности) представляется нам слишком узким. Компьютеры -
только одна из составляющих информационных систем, и хотя наше внимание будет
сосредоточено в первую очередь на информации, которая хранится, обрабатывается
и передается с помощью компьютеров, ее безопасность определяется всей
совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в
подавляющем большинстве случаев оказывается человек.
Согласно определению информационной
безопасности, она зависит не только от компьютеров, но и от поддерживающей
инфраструктуры, к которой можно отнести системы электро-, водо- и
теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий
персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет
интересовать лишь то, как она влияет на выполнение информационной системой
предписанных ей функций.
Обратим внимание, что в определении
информационной безопасности перед существительным «ущерб» стоит прилагательное
«неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем
более невозможно сделать это экономически целесообразным способом, когда
стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба.
Значит, с чем-то приходится мириться и защищаться следует только от того, с чем
смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение
вреда здоровью людей или состоянию окружающей среды, но чаще порог
неприемлемости имеет материальное (денежное) выражение, а целью защиты
информации становится уменьшение размеров ущерба до допустимых значений.
Информационная безопасность -
многогранная, можно даже сказать, многомерная область деятельности, в которой
успех может принести только системный, комплексный подход.
Спектр интересов субъектов, связанных
с использованием информационных систем, можно разделить на следующие категории:
обеспечение доступности, целостности и конфиденциальности информационных
ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих
информационной безопасности включают защиту от несанкционированного копирования
информации.
Поясним понятия доступности,
целостности и конфиденциальности.
Доступность - это возможность за
приемлемое время получить требуемую информационную услугу. Под целостностью
подразумевается актуальность и непротиворечивость информации, ее защищенность
от разрушения и несанкционированного изменения.
Наконец, конфиденциальность - это
защита от несанкционированного доступа к информации.
Информационные системы создаются
(приобретаются) для получения определенных информационных услуг. Если по тем
или иным причинам предоставить эти услуги пользователям становится невозможно,
это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому,
не противопоставляя доступность остальным аспектам, мы выделяем ее как
важнейший элемент информационной безопасности.
Особенно ярко ведущая роль
доступности проявляется в разного рода системах управления - производством,
транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия
- и материальные, и моральные - может иметь длительная недоступность
информационных услуг, которыми пользуется большое количество людей (продажа
железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на
статическую (понимаемую как неизменность информационных объектов) и
динамическую (относящуюся к корректному выполнению сложных действий
(транзакций)). Средства контроля динамической целостности применяются, в
частности, при анализе потока финансовых сообщений с целью выявления кражи,
переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим
аспектом информационной безопасности в тех случаях, когда информация служит
«руководством к действию». Рецептура лекарств, предписанные медицинские процедуры,
набор и характеристики комплектующих изделий, ход технологического процесса -
все это примеры информации, нарушение целостности которой может оказаться в
буквальном смысле смертельным. Неприятно и искажение официальной информации,
будь то текст закона или страница Web-сервера какой-либо правительственной
организации. Конфиденциальность - самый проработанный у нас в стране аспект
информационной безопасности. К сожалению, практическая реализация мер по
обеспечению конфиденциальности современных информационных систем наталкивается
в России на серьезные трудности. Во-первых, сведения о технических каналах
утечки информации являются закрытыми, так что большинство пользователей лишено
возможности составить представление о потенциальных рисках. Во-вторых, на пути
пользовательской криптографии как основного средства обеспечения
конфиденциальности стоят многочисленные законодательные препоны и технические
проблемы.
Если вернуться к анализу интересов
различных категорий субъектов информационных отношений, то почти для всех, кто
реально использует информационные системы, на первом месте стоит доступность.
Практически не уступает ей по важности целостность - какой смысл в
информационной услуге, если она содержит искаженные сведения?
Наконец, конфиденциальные моменты
есть также у многих организаций и отдельных пользователей (например, пароли).
Информационная безопасность является
одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни
рассматривали последнюю - национальном, отраслевом, корпоративном или
персональном.
При анализе проблематики, связанной
с информационной безопасностью в государственном и муниципальном управлении,
необходимо учитывать специфику данного аспекта безопасности, состоящую в том,
что информационная безопасность есть составная часть информационных технологий
в государственном и муниципальном управлении - области, развивающейся
беспрецедентно высокими темпами. Здесь важны не столько отдельные решения
(законы, учебные курсы, программно-технические изделия), находящиеся на современном
уровне, сколько механизмы генерации новых решений государственными и
муниципальными органами, позволяющие жить в темпе технического прогресса.
К сожалению, современная технология
программирования не позволяет создавать безошибочные программы, что не
способствует быстрому развитию средств обеспечения информационной безопасности
деятельности государственных и муниципальных органов. Следует исходить из того,
что необходимо конструировать надежные системы (информационной безопасности) с
привлечением ненадежных компонентов (программ). В принципе, это возможно, но
требует соблюдения определенных архитектурных принципов и контроля состояния
защищенности на всем протяжении жизненного цикла информационных систем.
Приведем несколько цифр. В марте
2009 года был опубликован очередной, четвертый по счету, годовой отчет
«Компьютерная безопасность в государственном и муниципальном управлении:
проблемы и тенденции». В отчете отмечается резкий рост числа обращений в
правоохранительные органы по поводу компьютерных преступлений (32%); 30%
сообщили о том, что их информационные системы были взломаны внешними
злоумышленниками; атакам через Internet подвергались 57% государственных и
муниципальных органов принимавших участие в этом исследовании; в 55% случаях
отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33%
респондентов на вопрос «были ли взломаны ваши Web-серверы за последние 12
месяцев?» ответили «не знаю».
Увеличение числа атак на
информационные ресурсы государственных и муниципальных органов - еще не самая
большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые
места в программном обеспечении и, как следствие, появляются новые виды атак.
В таких условиях системы
информационной безопасности государственных и муниципальных органов должны
уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам
автоматизированным и скоординированным. Иногда нападение длится доли секунды;
порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так
что подозрительная активность практически незаметна. Целью злоумышленников
может быть нарушение всех составляющих информационной безопасности -
доступности, целостности или конфиденциальности.
.2 Нормативно-правовые основы
информационной безопасности в Российской Федерации
Вопросы доступа к информации,
формирования и использования информационных ресурсов и защиты информации
затрагиваются непосредственно в Конституции Российской Федерации, а также таких
актах, как законы Российской Федерации: от 27 декабря 1991 г. № 2124-I «О
средствах массовой информации», от 05.03.1992 г. № 2446-I «О безопасности», от
21 июля 1993 г. № 5485-I «О государственной тайне», и федеральные законы: часть
четвертая ГК РФ, ФЗ от 13 января 1995 г. № 7-ФЗ «О порядке освещения
деятельности органов государственной власти в государственных средствах
массовой информации», от 27.07.2006 N 149-ФЗ «Об информации, информационных
технологиях и о защите информации», от 29 декабря 1994 г. № 77-ФЗ «Об обязательном
экземпляре документов», от 10 января 2002 года № 1-ФЗ «Об электронной цифровой
подписи», от 27.07.2006 г. № 152-ФЗ «О персональных данных» и многих других.
Основным законом Российской
Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии
со статьей 24 Конституции, органы государственной власти и органы местного
самоуправления, их должностные лица обязаны обеспечить каждому возможность
ознакомления с документами и материалами, непосредственно затрагивающими его
права и свободы, если иное не предусмотрено законом.
Статья 23 Конституции гарантирует
право на личную и семейную тайну, на тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать,
получать, передавать, производить и распространять информацию любым законным
способом. Современная интерпретация этих положений включает обеспечение
конфиденциальности данных, в том числе в процессе их передачи по компьютерным
сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской
Федерации фигурируют такие понятия, как банковская, коммерческая и служебная
тайна. Согласно статье 139, информация составляет служебную или коммерческую
тайну в случае, когда информация имеет действительную или потенциальную коммерческую
ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на
законном основании, и обладатель информации принимает меры к охране ее
конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах
информационной безопасности и наличие доступных (и законных) средств
обеспечения конфиденциальности.
В рамках обсуждаемой проблемы нельзя
не сказать о важности принятого 10 января 2002 года Федерального закона № 1-ФЗ
«Об электронной цифровой подписи». Длительность его разработки, сложности
согласования положений и острые дискуссии, появление ряда альтернативных
проектов, несомненно, свидетельствуют о его роли в информационной сфере и
объясняются важностью этого вопроса как для специалистов в области
криптографии, связи, юристов, так и для всех пользователей.
Обеспечение доверия к электронной
подписи и ее правовое признание является обязательным элементом заключения
договоров в электронной торговле, передачи права собственности и
обязательственных прав, а также совершение иных юридически значимых действий
посредством электронной связи.
Данный Федеральный закон
устанавливает правовую основу для использования электронной цифровой подписи,
определяет полномочия органов, удостоверяющих открытые ключи электронной
цифровой подписи, а также права, обязанности и ответственность физических и
юридических лиц, участвующих в деятельности, связанной с применением
электронной цифровой подписи.
Правовое урегулирование применения
электронной цифровой подписи необходимо и для дальнейшей работы над целым рядом
законопроектов. Так, остаются неурегулированными вопросы участия России в
мировой системе электронной торговли или, что вероятно правильнее, электронной
коммерции, поскольку не вполне корректным является отождествление слова
«торговля» с такими, например, сделками, как банковский счет, доверительное
управление имуществом, простое товарищество, публичное обещание награды,
публичный конкурс.
Нельзя не отметить, что правовое
регулирование использования электронной цифровой подписи необходимо и для
разработки законопроекта «Об электронном документе», которая была поручена
Правительством Российской Федерации ряду министерств и ведомств. Данный закон
необходим для обеспечения правовой основы использования электронной формы
документов в гражданском обороте и в сфере государственного управления, однако
указанный законопроект находится в стадии разработки.
Следует отметить, что правовые
условия использования электронного документа в значительной мере уже определены
действующими федеральными законами или включены в подготавливаемые
законопроекты, в связи с чем высказывается и такая точка зрения, что дальнейшее
развитие законодательства в данной сфере должно осуществляться путем внесения в
действующие законодательные изменений и дополнений, конкретизирующих
использование электронных документов в различных сферах деятельности.
Правовое регулирование в области
информационной безопасности занимает особое место в рамках рассматриваемой
проблемы развития законодательства в информационной сфере. Это подчеркнуто и в
Окинавской Хартии Глобального информационного общества, где задача формирования
нормативной базы в этой области определена как одна из приоритетных.
Межведомственной комиссией Совета
Безопасности Российской Федерации по информационной безопасности одобрены
«Основные направления нормативного правового обеспечения информационной
безопасности Российской Федерации» (Решение № 5.4 от 27.11.08). Указанным
документом определяются цели и принципы нормативного правового обеспечения
информационной безопасности Российской Федерации, направления государственной
политики в области противодействия угрозам информационной безопасности и задачи
их нормативного правового обеспечения, а также первоочередные меры по
совершенствованию нормативного правового обеспечения информационной
безопасности Российской Федерации.
В целях развития положений Доктрины
информационной безопасности и обеспечения единства правового пространства
Российской Федерации требуется определение основ федеральной политики в области
обеспечения информационной безопасности субъектов Российской Федерации. Это
важный аспект информационной безопасности, который также получил отражение в
«Основных направлениях нормативного правового обеспечения информационной
безопасности Российской Федерации». Для Минюста России и его территориальных
органов в субъектах Российской Федерации это особенно важно в связи с
возложением Указом Президента Российской Федерации от 10 августа 2000 № 1486
функций по созданию и ведению федерального банка нормативных правовых актов
субъектов Российской Федерации - федерального регистра. Необходим серьезный
анализ регионального законодательства в информационной сфере, требует
проработки на основании Посланий Президента Российской Федерации Федеральному
Собранию Российской Федерации и вопрос о государственном учете актов органов
местного самоуправления.
Таким образом, правовое
регулирование в области информационной безопасности занимает особое место в
рамках рассматриваемой проблемы развития законодательства в информационной
сфере. Требует совершенствования и организация правотворческого процесса в
области обеспечения информационной безопасности Российской Федерации. Этот
процесс может базироваться на иерархической системе концептуальных документов
Президента Российской Федерации, Федерального Собрания Российской Федерации,
Правительства Российской Федерации, органов государственной власти субъектов
Российской Федерации, определяющих основные цели противодействия угрозам
информационной безопасности, методы и правовые механизмы осуществления этого противодействия,
привлекаемые для этого силы и средства, а также приоритеты в развитии правового
регулирования в данной области.
.3 Управление информационной
безопасностью
Обеспечение информационной
безопасности - это непрерывный процесс, основное содержание которого составляет
управление. Информационная безопасность невозможно обеспечить разовым
мероприятием, поскольку средства защиты нуждаются в постоянном контроле и
обновлении.
Управление информационной
безопасностью - это управление людьми, рисками, ресурсами, средствами защиты и
т.п. Управление информационной безопасностью является неотъемлемым элементом
управления и позволяет коллективно использовать конфиденциальную информацию,
обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов.
Управление информационной
безопасностью - это циклический процесс, включающий:
осознание степени необходимости
защиты информации;
сбор и анализ данных о состоянии
информационной безопасности в организации;
оценку информационных рисков;
планирование мер по обработке
рисков;
реализацию и внедрение
соответствующих механизмов контроля;
распределение ролей и
ответственности;
обучение и мотивацию персонала;
оперативную работу по осуществлению
защитных мероприятий;
мониторинг функционирования
механизмов контроля,
оценку их эффективности и
соответствующие корректирующие воздействия.
Для обеспечения необходимого уровня
информационной безопасности в государственном или муниципальном учреждении
создается комплексная система управления информационной безопасностью (СУИБ).
Конечной целью создания такой системы является предотвращение или минимизация
ущерба (прямого или косвенного, материального, морального или иного),
преднамеренно наносимого злоумышленниками либо непреднамеренно - нерадивыми
работниками учреждения посредством нежелательного воздействия на информацию, ее
носители и процессы обработки.
Согласно стандарту ISO 27001,
система управления информационной безопасностью (СУИБ) - это «та часть общей
системы управления организации, основанной на оценке бизнес рисков, которая
создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр,
сопровождение и совершенствование информационной безопасности». Система
управления включает в себя организационную структуру, политики, планирование,
должностные обязанности, практики, процедуры, процессы и ресурсы.
Основной задачей системы является
обеспечение необходимого уровня доступности, целостности и конфиденциальности
компонентов (ресурсов) информационной безопастности.
Какие преимущества компании дает
внедрение СУИБ и ее сертификация на соответствие международным стандартам:
повышение управляемости;
повышение защищенности ключевых
процессов учреждения;
повышение доверия к учреждению;
Таким образом, Защита информации -
это комплекс мероприятий, направленных на обеспечение информационной
безопасности. Управление информационной безопасностью - это управление людьми,
рисками, ресурсами, средствами защиты и т.п. Управление информационной
безопасностью является неотъемлемым элементом управления и позволяет коллективно
использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так
же защиту вычислительных ресурсов.
В заключении отметим, что согласно
определению информационной безопасности, она зависит не только от компьютеров,
но и от поддерживающей инфраструктуры, к которой можно отнести системы
электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и,
конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную
ценность. При анализе проблематики, связанной с информационной безопасностью в
государственном и муниципальном управлении, необходимо учитывать специфику
данного аспекта безопасности, состоящую в том, что информационная безопасность
есть составная часть информационных технологий в государственном и
муниципальном управлении - области, развивающейся беспрецедентно высокими
темпами. Здесь важны не столько отдельные решения (законы, учебные курсы,
программно-технические изделия), находящиеся на современном уровне, сколько
механизмы генерации новых решений государственными и муниципальными органами,
позволяющие жить в темпе технического прогресса.
Глава 2. Организация работы по
обеспечению информационной безопасности Челябинского областного фонда
обязательного медицинского страхования (ЧОФОМС)
.1 Практика организации работы по
обеспечению информационной безопасности ЧОФОМС
Челябинский областной фонд
обязательного медицинского страхования (далее - ЧОФОМС) создан для реализации
государственной политики в сфере обязательного медицинского страхования как
составной части государственного социального страхования.
В ЧОФОМС ответственным за
информационную безопасность является отдел «Обеспечения информационной
безопасности» (далее отдел), который является структурным подразделением
Управления информационного обеспечения и информационной безопасности ЧОФОМС.
Отдел в своей деятельности
руководствуется Конституцией Российской Федерации, федеральными
конституционными законами, федеральными законами, указами и распоряжениями
Президента Российской Федерации, постановлениями и распоряжениями Правительства
Российской Федерации, международными договорами Российской Федерации и
локальными актами ЧОФОМС.
Делопроизводство и мероприятия по
обеспечению режима секретности в отделе осуществляются в порядке, установленном
федеральным законодательством.
Основными задачами отдела по
обеспечению информационной безопасности в соответствии с Положением отдела
обеспечения информационной безопасности являются:
практическая реализация единой
политики (концепции) обеспечения информационной безопасности ЧОФОМС,
определение требований к системе защиты информации в аппарате Управления и
структурных подразделениях, документообороту на бумажных и электронных
носителях.
осуществление комплексной защиты
информации на всех этапах технологических циклов ее создания, переноса на
носитель, обработки и передачи в соответствии с единой концепцией
информационной безопасности.
контроль за эффективностью
предусмотренных мер защиты сведений, составляющих конфиденциальную информацию,
персональные данные и иной информации.
координация деятельности и
методическое руководство при проведении работ по обеспечению информационной
безопасности и защите информации.
Отдел выполняет следующие функции:
реализация единой политики защиты
интересов ЧОФОМС от угроз в информационной сфере;
обеспечение методического
руководства аппаратом ЧОФОМС и структурными подразделениями при проведении
работ по защите информации;
обеспечение технической защиты
информации;
определение в пределах своей
компетенции режима и правил обработки, защиты информационных ресурсов и доступа
к ним;
осуществление контроля за
эффективностью предусмотренных мер защиты конфиденциальной информации в ЧОФОМС;
проведение экспертиз договоров
ЧОФОМС со сторонними организациями по вопросам обеспечения безопасности при
обмене информацией;
обеспечение защиты информации в
выделенных и защищаемых помещениях ЧОФОМС, а также при передаче по техническим
каналам связи;
осуществление согласования
технических порядков по технологиям, связанным с информационным обменом и
документооборотом;
участие в проектировании, приемке,
сдаче в промышленную эксплуатацию программных и аппаратных средств (в части
требований к средствам защиты информации);
осуществление контроля за
соблюдением правил безопасной эксплуатации аппаратно-программных средств,
нормативных требований, сертификатов и лицензий на программные и аппаратные
средства (в том числе средства защиты информации);
осуществление контроля за
разрешительной системой допуска исполнителей к работе с защищаемой информацией;
осуществление мониторинга информации,
циркулирующей в сетях, системах и защищаемых помещениях ЧОФОМС, использование
аппаратно-программных средств предотвращения и пресечения утечки информации;
выявление, идентификация и
опознавание несанкционированных источников электромагнитных, виброакустических,
оптических и иных излучений, проведение их поиска и пресечения, использование
для этих целей технических средств, включая специальные;
организация мероприятий по
проведению специальных проверок выделенных помещений и технических средств
Управления с целью проведения их аттестации и сертификации на соответствие
нормам защиты информации;
участие в проектировании, приемке и
сдаче в эксплуатацию специальных средств и систем предотвращения утечки
конфиденциальной информации по естественным и искусственно созданным каналам;
участие в согласовании кандидатур
граждан, назначаемых на должности, связанные с выполнением обязанностей по
управлению информационными ресурсами, администрированию и сопровождению
вычислительных средств, проектированию и разработке информационных программ в
ЧОФОМС;
взаимодействие с органами
исполнительной власти Челябинской области, исполняющими контрольные функции,
при организации в установленном порядке мероприятий по технической защите
информации;
участие в проверках по вопросам,
относящимся к компетенции Отдела, в обобщении и анализе их результатов (при
необходимости организация тематических проверок);
осуществление иных функций по
поручениям руководства ЧОФОМС.
Структура отдела обеспечения
информационной безопасности изображена на рисунке 1.
Рис. 1. - Структура Отдела обеспечения
информационной безопасности ЧОФОМС
Таким образом, отдел состоит из трех человек,
начальника отдела и двух главных специалистов, на которых возложены весь спектр
обязанностей, связанных с обеспечением информационной безопасности в ЧОФОСМ, а
так же организация защищенного информационного обмена между всеми субъектами и
участниками ОМС по Челябинской области.
При осуществлении контроля за эффективностью
предусмотренных мер защиты конфиденциальной информации в ЧОФОМС отделом при
помощи аппаратного и программного обеспечения были показаны следующие
результаты работы.
. были обезврежены хакерские интернет атаки. В
2008 - 257 атак, 2009 году 346 атак, в 2010 году - 565 атаки.
Из приведенной статистики видно, что количество
попыток незаконного доступа к информационным ресурсам ЧОФОМС ежегодно
возрастает практически в два раза. И можно предположить, что в 2011 году таких
попыток будет более в пять раз больше чем 2008 году.
. По рекомендации Отдела были приобретены 450
лицензий на право использования программного продукта Антивирус Dr.Web
Enterprise Suite..Web Enterprise Suite обеспечивает полную защиту компьютеров
ЧОФОМС под управлением Windows 2000/XP/Vista/7. .Web Enterprise Suite имеет
клиент-серверную архитектуру. Установка клиентов производится на защищаемые
рабочие станции. Антивирусный сервер обеспечивает централизованное
администрирование процессов развертывания, обновления вирусных баз и
программных модулей компонентов, мониторинга состояния сети, рассылки извещений
о вирусных событиях, сбора статистики.
. Внедрен защищенный документооборот между
ЧОФОМС и его территориальными отделениями и больницами Челябинской области.
Защита оборота документов осуществляется при
помощи программного обеспечения ViPNet [Клиент], которое обеспечивает защиту
компьютера от сетевых атак и установление криптографически защищенных
соединений (туннелей) при взаимодействии с другими узлами защищенной сети, а
также возможность гарантированной доставки подписанных ЭЦП документов (файлов)
по назначению с автоматическим подтверждением доставки и прочтения документов.
Электронный документооборот между участниками
системы осуществляется в несколько неделимых этапов передачи информации между
субъектами. Электронные документы, передаваемые между ЧОФОМС его
подразделениями и больницами в обязательном порядке подписываются и шифруются
на автоматизированных рабочих местах Абонентов. Перемещение документов от
одного участника ЧОФОМС к другому через транспортные сервера осуществляется
только в зашифрованном виде. В рамках каждого этапа передачи информации
формируется один транспортный пакет, представляющий из себя один архивированный
файл. Транспортный пакет содержит информацию, позволяющую провести контроль его
целостности. То есть в случае повреждения пакета при пересылке пакет не будет
обработан принимающем субъектом, а будет сгенерировано сообщение об ошибке. Все
документы в транспортном пакете передаются в зашифрованном виде, а служебный
файл и файл-описатель - в открытом виде с ЭЦП. Требования к процедуре обмена
электронными документами определяются «Протоколом обмена документами по
телекоммуникационным каналам связи в системе электронного документооборота
ЧОФОМС».
Деятельность, по защите информации в Челябинском
областном фонде обязательного медицинского страхования, соответствует действующему
в настоящий момент законодательству.
Челябинском областном фонде обязательного
медицинского страхования в лицензирующем органе - ФСБ РФ, получил 3 лицензии,
связанные с шифрованием информации:
на деятельность по распространению шифровальных
(криптографических) средств;
на деятельность по техническому обслуживанию
шифровальных (криптографических) средств;
на предоставления услуг в области шифрования
информации.
В целях обеспечения защиты персональных данных
(далее ПДн) застрахованных граждан в системе ОМС, данных персонифицированного
учета оказанной медицинской помощи и ПДн работников, состоящих в трудовых
отношениях с Челябинским областным фондом обязательного медицинского
страхования (далее ЧОФОМС), выполнен комплекс организационно-технических мероприятий:
. ЧОФОМС направлено уведомление об обработке ПДн
в Управление Федеральной службы по надзору в сфере связи и массовых
коммуникаций по Челябинской области (исх. № 01-4066 от 28.12.2007 г).
. В ЧОФОМС создана и функционирует комиссия по
защите конфиденциальной информации, согласно приказу ЧОФОМС от 16.06.2009 г. №
344.
. Проведена классификация информационных систем
ПДн, на основании приказа ЧОФОМС от 26.06.2008 г. № 465.
. Разработан Перечень сведений конфиденциального
характера в ЧОФОМС, утвержденный приказом ЧОФОМС от 29.06.2009 г. №366.
. Разработано Положение «Об обработке и защите
персональных данных работников ЧОФОМС», утвержденное приказом ЧОФОМС от
27.05.2009 г. № 294.
. Разработано Положение «О персональных данных
застрахованных лиц», утвержденное приказом ЧОФОМС от 03.07.2009 г. № 386.
. Разработан Список подразделений, сотрудники
которых имеют доступ к персональным данным, обрабатываемым в информационных
системах, в связи с выполнением служебных (трудовых) обязанностей, утвержденный
приказом ЧОФОМС от 03.07.2009 г. № 387.
. Разработано описание полей базы данных,
содержащие персональные сведения (непосредственно персональные данные и
персональные данные специальных категорий), утвержденное приказом ЧОФОМС от
03.07.2009 г. № 388.
. Разработана инструкция по ведению
конфиденциального делопроизводства в ЧОФОМС, утвержденная приказ ЧОФОМС от
18.06.2009 № 351.
. В ЧОФОМС осуществляется комплексная
антивирусная защита отечественным программным продуктом Kaspersky Business
Space Security Edition.
. Во исполнение Федерального закона от
27.06.2006 № 152-ФЗ «О персональных данных» в период 2007-2009 г. ЧОФОМС была
проведена работа по организации защищенного информационного обмена в системе
обязательного медицинского страхования Челябинской области.
В соответствие с Государственным Контрактом,
заключенным по результатам открытого аукциона, проведенного «29» ноября 2007
года (Протокол от «29» ноября 2007 г. № 1) и Государственным Контрактом,
заключенным по результатам открытого аукциона, проведенного «30» ноября 2007
года (Протокол от «30» ноября 2007 г. № 1) ЧОФОМС было закуплено необходимое
лицензионное программное обеспечение СКЗИ ViPNet CUSTOM.
ЧОФОМС обеспечил подключение медицинских
учреждений Челябинской области к сети защищенного информационного обмена ЧОФОМС,
построенной на базе программного комплекса СКЗИ ViPNet CUSTOM, в соответствие с
Государственным Контрактом, заключенным по результатам открытого аукциона,
проведенного «08» августа 2008 года (Протокол от «08» августа 2008 г. №
02-14/1) и Государственным Контрактом, заключенным по результатам открытого
аукциона, проведенного «10» августа 2009 года (Протокол от «10 « августа 2009г.
№ 02-32/2).
Согласно плану работ ЧОФОМС на 2011 год,
утвержденному приказом ЧОФОМС от 17.12.2010 г № 780 на 2011 год запланированы
работы по подготовке к получению лицензии ФСТЭК России на деятельность по
технической защите информационной системы ЧОФОМС, которые включают в себя
работы по подготовке к аттестации рабочих мест и серверов информационной
системы.
Таким образом, в ЧОФОМС ответственным за
информационную безопасность является отдел «Обеспечения информационной
безопасности», который является структурным подразделением Управления
информационного обеспечения и информационной безопасности ЧОФОМС. Отдел состоит
из трех человек, начальника отдела и двух главных специалистов, на которых
возложены весь спектр обязанностей, связанных с обеспечением информационной
безопасности в ЧОФОСМ, а так же организация защищенного информационного обмена
между всеми субъектами и участниками ОМС по Челябинской области.
.2 Организация Удостоверяющего центра ЧОФОМС
В соответствии с Федеральным законом от
10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи», для организации
возможности выдачи сертификатов ключей электронных цифровых подписей (далее
ЭЦП) участникам защищенного электронного информационного обмена защищенного
сегмента единого электронного информационного пространства системы
обязательного медицинского страхования Челябинской области, в сентябре 2010
года был создан Удостоверяющий центр Челябинского областного фонда
обязательного медицинского страхования, который совокупностью штатных,
организационных, программных и технических мероприятий, обеспечивает
деятельность по изготовлению и управлению сертификатами ключей подписей участников
защищенного электронного информационного обмена защищенного сегмента единого
электронного информационного пространства системы обязательного медицинского
страхования Челябинской области и выполняет целевые функции удостоверяющего
центра.
Для выполнения функций Удостоверяющего центра
Челябинским областным фондом обязательного медицинского страхования (далее УЦ
ЧОФОМС), приказом исполнительного директора ЧОФОМС была создана функциональная
группа, обеспечивающая выполнение функций Удостоверяющего центра Челябинского
областного фонда обязательного медицинского страхования (далее Функциональная
группа).
Полномочиями Руководителя УЦ (руководителя
Функциональной группы) назначен начальник Отдела обеспечения информационной
безопасности ЧОФОМС, полномочиями администратора безопасности УЦ главный
специалист Отдела обеспечения информационной безопасности ЧОФОМС.
В соответствии с Положением о Функциональной
группе, Группа выполняет следующие задачи:
. Организация работы сети защищенного
электронного информационного обмена ЧОФОМС, как части защищенного сегмента
единого электронного информационного пространства системы обязательного
медицинского страхования Челябинской области.
. Формирование ключей и изготовление
сертификатов открытых ключей лицам, ответственным за осуществление защищенного
информационного обмена в сети защищенного электронного информационного обмена
ЧОФОМС с обеспечением достоверности заносимой в сертификаты информации и
гарантии уникальности открытых ключей изготовленных сертификатов, и их
управление на протяжении всего периода действия.
. Выполнение процедур по разрешению конфликтных
ситуаций, возникающих между участниками электронного информационного обмена
защищенного сегмента единого электронного информационного пространства системы
обязательного медицинского страхования Челябинской области, связанных с
подтверждением подлинности ЭЦП, а так же предоставление консультаций по
вопросам использования ЭЦП.
. Поддержание работоспособности программных и
технических средств обеспечения деятельности УЦ, а также своевременное
восстановление работоспособности после сбоев.
Группа в соответствии с возложенными на неё
задачами выполняет следующие функции:
. Формирование ключей лицам, ответственным за
осуществление защищенного информационного обмена в сети защищенного
электронного информационного обмена ЧОФОМС и изготовление сертификатов ключей
ЭЦП.
. Приостанавливает и возобновляет действие
сертификатов ключей ЭЦП, а также аннулирует их.
. Ведет реестр сертификатов ключей ЭЦП,
обеспечивает его актуальность и возможность свободного доступа к нему
участников защищенного сегмента единого электронного информационного
пространства системы обязательного медицинского страхования Челябинской
области.
. Проверяет уникальность открытых ключей ЭЦП в
реестре сертификатов ключей ЭЦП и архиве УЦ.
. Выдает сертификаты ключей ЭЦП в форме
документов на бумажных носителях и (или) в форме электронных документов с
информацией об их действии.
. Разработка и представление на утверждение в
установленном порядке проектных, регламентирующих и инструктивных документов,
касающихся применения ЭЦП в защищенном сегменте единого электронного
информационного пространства системы обязательного медицинского страхования
Челябинской области.
. Осуществление периодических работ по
резервному копированию баз данных, являющимися электронными составляющими
реестра УЦ, обеспечение надежного хранения созданных электронных копий.
. Обеспечение работоспособности программных и
технических средств УЦ.
. Восстановление работоспособности программных и
технических средств УЦ после аварийных сбоев в минимальные сроки.
. Обеспечение сохранности в тайне закрытых
ключей сотрудников группы, особо закрытых ключей уполномоченного лица УЦ, и их
защита от несанкционированного доступа.
. Обеспечение сохранности в тайне конфиденциальной
информации и защита информации, обрабатываемом в УЦ, от несанкционированного
доступа.
В настоящее время Удостоверяющий центр только
начинает свою деятельность и сталкивается в ней с целым рядом проблем.
В частности, в соответствии со ст. 8 Федерального
закона «Об электронной цифровой подписи» Удостоверяющим центром, выдающим
сертификаты ключей подписей для использования в информационных системах общего
пользования, должно быть юридическое лицо. Организовать отдельное юридическое
лицо входящее в состав ЧОФОМС юридически не возможно. Поэтому при создании
статусом УЦ был наделен сам Челябинский областной фонд обязательного
медицинского страхования. В связи с этим Удостоверяющим центром стало не
отдельное структурное подразделение ЧОФОМС, а была создана функциональная
группа, которая совокупностью штатных, организационных, программных и
технических мероприятий, обеспечивает деятельность по изготовлению и управлению
сертификатами ключей подписей участников защищенного электронного
информационного обмена защищенного сегмента единого электронного
информационного пространства системы обязательного медицинского страхования
Челябинской области и выполняет целевые функции удостоверяющего центра.
В итоге, из-за несовершенства законодательства
происходит терминологическая путаница, что является на самом деле
удостоверяющим центом: 1) сам ЧОФОМС как юридическое лицо; 2) Функциональная
группа, которая выполняет функции удостоверяющего центра, или 3) совокупность
аппаратно-программных единиц.
Указанный недостаток не позволяет широко
использовать положения Федерального закона «Об электронной цифровой подписи» в
практике не только в ЧОФОМС но и по всей России. По информации
Государственно-правового управления Президента Российской Федерации, по
состоянию на февраль 2010 г., количество действующих в России сертификатов
ключа подписи составляет 200 тыс. ед., а число удостоверяющих центров - более
300. Таким образом, процент лиц, использующих ЭЦП в России, не превышает 0,2%,
а среднее число сертификатов ключей подписи, выданных удостоверяющим центром -
не более 700, что свидетельствует об использовании ЭЦП преимущественно в
корпоративных информационных системах. В то же время, по данным Института
Фраунхофера по открытым коммуникационным системам, по состоянию на 2009 г. (т.е.
через 5 лет после принятия соответствующей Директивы) в Европе использовали
усиленные электронные подписи до 70% населения. При этом необходимо отметить,
что речь идет именно об усиленных электронных подписях, не связанных жестко с
технологией ассиметричного шифрования и единой иерархической структурой
удостоверяющих центров.
Принятый Федеральный закон от
06.04.2011 N 63-ФЗ «Об электронной подписи» (далее - Закон об электронной
подписи, новый Закон) существенным образом изменяет правовое регулирование отношений,
связанных с подписанием электронных документов.
Новый закон об электронной
подписи предполагает существование удостоверяющих центров, как это было
предусмотрено Законом об ЭЦП. Однако новый Закон предполагает
возможным создание отдельных видов электронных подписей без использования услуг
удостоверяющих центров, тогда как получить ЭЦП без обращения к таким
организациям было невозможно. В Законе об электронной подписи
предусмотрено разделение удостоверяющих центров на имеющие и не имеющие
аккредитацию. Последние смогут выдавать только сертификаты ключа, а
квалифицированные сертификаты будут выдавать исключительно аккредитованные
удостоверяющие центры.
Таким образом, для получения
квалифицированной электронной подписи необходимо обращаться в аккредитованный
удостоверяющий центр.
По новому закону удостоверяющим
центром может быть юридическое лицо (в том числе и созданное по иностранному
праву) или индивидуальный предприниматель. Ограничений относительно
организационно-правовой формы такого юридического лица Закон об
электронной подписи не содержит.
Аккредитацию удостоверяющих центров
проводит уполномоченный федеральный орган на добровольной основе. Аккредитация
осуществляется сроком на пять лет.
Требования к условиям аккредитации
установлены в п. 3 ст. 16 Закона об электронной подписи:
наличие чистых активов не менее
одного миллиона рублей;
наличие финансового обеспечения
ответственности за убытки, причиненные третьим лицам, в размере не менее
полутора миллионов рублей;
наличие средств электронной подписи
и средств удостоверяющего центра, соответствующих требованиям ФСБ России;
наличие в штате не менее двух
специалистов в области криптографии и информационных технологий.
Регламент УЦ ЧОФОМС определяет
порядок выдачи сертификатов ключей подписей УЦ ЧОФОМС сотрудникам ответственным
за осуществление защищенного информационного обмена участников сети защищенного
информационного обмена ЧОФОМС. А так же механизмы и условия предоставления и
использования услуг УЦ ЧОФОМС.
Принятый Регламент является
обязательным для исполнения сотрудниками ответственными за осуществление
защищенного информационного обмена участников сети защищенного информационного
обмена ЧОФОМС присоединившейся к «Договору о присоединении к защищенному
сегменту единого информационного пространства системы обязательного
медицинского страхования Челябинской области».
Рис.2. - Авторский вариант структуры отдела
обеспечения информационной безопасности ЧОФОМС
Планируемые функции сотрудников отдела:
. Начальник отдела. Функции: Руководство
разработкой документов, связанных с обеспечением комплексной информационной
безопасности. Руководство работой ОКЗ и УЦ ЧОФОМС. Разработка технических
заданий по развитию аппаратного и программного обеспечения ЧОФОМС, обеспечения
отказоустойчивости ЦОД, серверного оборудования, систем хранения данных, систем
бесперебойного питания ЦОД и других инженерных систем ЦОД ЧОФОМС. Координация
всех направлений деятельности отдела, в том числе связанных с обеспечением
комплексной информационной безопасностью фонда, отказоустойчивостью
информационных систем, структурированных кабельных сетей. Руководство
организацией защищенного информационного взаимодействия между всеми субъектами
и участниками системы ОМС. Планирование работ по защите информации,
формулировка задач по решению конкретных вопросов по защите информации и
организация их выполнения. Осуществление анализа эффективности проводимых
мероприятий по защите информации. Подготовка предложений руководству ЧОФОМС по
совершенствованию системы защиты.
Первый главный специалист. Функции: Исполнение
обязанностей главного специалиста ОКЗ и УЦ ЧОФОМС. Разработка локальных актов
ЧОФОМС, связанных с обеспечением информационной безопасности. Разработка и
заключение договоров, связанных с осуществлением защищенного информационного
взаимодействием между субъектами и участниками ОМС в Челябинской области.
Разработка регламентирующих и инструктивных документов, регулирующих правила
защищенного информационного взаимодействия между всеми субъектами и участниками
сферы ОМС Челябинской области. Быть в постоянном контакте со структурными
подразделениями ЧОФОМС по вопросам информационной безопасности. В соответствии
с Инструкцией, утвержденной приказом ФАПСИ от 13.06.2001 г. № 152 ведение
поэкземплярного учета используемых СКЗИ, эксплуатационной и технической
документации к ним, ключевых документов, ключей от металлических хранилищ ОКЗ
ЧОФОМС. Работа по организации ежегодного выпуска сертификатов ЭЦП для
абонентских пунктов в МО и рабочих станций ЧОФОМС, ведение на каждого
пользователя СКЗИ лицевого счета, в котором регистрируются числящиеся за ним
СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы.
Второй главный специалист. Функции: Исполнение
обязанностей администратора информационной безопасности ОКЗ и УЦ ЧОФОМС.
Участие в формировании политики информационной безопасности ЧОФОМС.
Администрирование сети ViPNet. Организация межсетевого обмена по защищенному
каналу связи на базе сетей ViPNet. Администрирование ЦУС, УКЦ, УЦ ЧОФОМС.
Осуществление контроля за применением средств защиты информации от НСД. Администрирование
абонентских пунктов сети защищенного информационного обмена на базе ViPNet в
ЧОФОМС и МО. Изготовление и уничтожение ключевых документов для СКЗИ. В
соответствии с Договором с ФФОМС исполнение обязанностей оператора УЦ Криптопро
ФФОМС. Организация и осуществление обмена по защищенному каналу связи с ФФОМС,
Территориальными фондами ОМС, СМО, МО, ОПФР по Челябинской области, ЧРУ ФСС РФ,
УФССП по Челябинской области, и другими организациями. Осуществление контроля
за соблюдением условий хранения и использования СКЗИ, установленных
эксплуатационной и технической документацией к СКЗИ, сертификатом ФСБ и
Инструкцией, утвержденной приказом ФАПСИ от 13 июня 2001 г. № 152.
Первый ведущий специалист. Функции: Исполнение
обязанностей системного администратора ОКЗ и УЦ ЧОФОМС. Администрирование
комплексной системы защиты информации в ЧОФОМС. Установка, настройка и
обеспечение непрерывной работы средств защиты информации от
несанкционированного доступа на компьютерах ЧОФОМС (SecretNet, ViPNet SafeDisk
и др.). Контроль внесения изменений в конфигурацию аппаратно-программных
средств, установку и настройку средств защиты. Проверка состояние используемых
СЗИ от НСД, осуществление проверки правильности их настройки (выборочное
тестирование). Организация контроля целостности печатей (пломб, наклеек) на
рабочих станциях и серверном оборудовании. Осуществление тестирования средств
защиты информации. Осуществление контроля установки и плановой замены паролей
пользователей на доступ к информационным ресурсам ЧОФОМС. Контроль за
соблюдением пользователями парольной защиты и полномочий доступа к
информационным ресурсам ЧОФОМС.
Второй ведущий специалист. Функции: Исполнение
обязанностей системного администратора ОКЗ и УЦ ЧОФОМС. Администрирование сети
ViPNet. Установка (изъятие), настройка, установка обновления и обеспечение
непрерывной работы ПО ViPNet на всех персональных компьютерах ЧОФОМС. Поддержка
пользователей ПО ViPNet. Обучение лиц, использующих СКЗИ, правилам работы с
ними.
Предложенная нами структура имеет линейно-функциональный
характер.
Таким образом, необходимо дополнительно принять
в отдел двух ведущих специалистов. Имеющих профильное высшее образование -
информационная безопастность.
Заработная плата старшего специалиста в ЧОФОМС
составляет 15 670 рублей в месяц.
Таким образом ежегодные дополнительные затраты
на зарплату двух специалистов составят:
З/п * 12*2 = 15 670 * 12 * 2 = 376 080 рублей в
год.
Страховые отчисления:
26 процентов в Пенсионный фонд Российской
Федерации
2,9 процента в Фонд социального страхования
Российской Федерации
5,1 процентов в Фонды обязательного медицинского
страхования (Федеральный - 3,1; Территориальные - 2,0).
Страховые отчисления = (376 080 * 26%) +(376 080
* 2,9 %) * (376 080 * 5,1 %) = 97780,8 + 10906,32 + 19180,08 = 127867,2 рублей.
Таким образом, ежегодные дополнительные затраты
на двух специалистов составят:
080 рублей + 127867,2 рублей = 503 947,2 рублей
Считаем, что данные затраты оправданны в связи с
увеличением производительности труда отдела обеспечения информационной безопасности
ЧОФОМС.
. Так же проблемой является неудовлетворительная
подготовка сотрудников отдела в области защиты информации. В настоящий момент в
отделе только начальник имеет профильное образование по информационной
безопастности.
Деятельность в области защиты информации
является специфической и информационные технологии не стоят на месте, а
ежегодно двигаются большими шагами вперед, поэтому мы считаем, что сотрудники
отдела должны ежегодно проходить переаттестацию, получать более углубленные
знания в учебных центрах по защите информации.
Данные курсы, например, проходят в
Южно-Уральском государственном университете. Данные курсы повышения
квалификации по технической защите информации ориентированы на практическую и
теоретическую подготовку руководителей и специалистов, отвечающих за
организацию работ по защите информации. Призвана помочь в организации,
проведении и последующем контроле мероприятий по защите информации,
составляющей государственную тайну, от утечки по техническим каналам и защите
от несанкционированного доступа.
. Считаю, что в связи со спецификой работы над
защитой информации Отдел обеспечения информационной безопасности ЧОФОМС должен
выйти из Управления информационного обеспечения и информационной безопасности
ЧОФОМС. Соответственно управление после этого выделения отдела должно
называться «Управлением информационного обеспечения». Считаю что отдел
обеспечения информационной безопасности ЧОФОМС должен быть независимым
структурным подразделением ЧОФОМС и подчиняться непосредственно директору
фонда.
Для организации защиты персональных данных
обрабатываемых ЧОФОМС необходимо реализовать комплекс мер, который позволит
ограничить доступ к конфиденциальной информации, а в случае хищения носителей с
конфиденциальной информацией, не даст возможность злоумышленникам
воспользоваться ею.
. Необходимо совершенствовать процедуру
идентификации пользователей при входе в операционную систему, с которой может
быть осуществлен доступ к конфиденциальной информации, хранимой на серверах
ЧОФОМС (на серверах и персональных компьютерах в филиалах ЧОФОМС). В
соответствии с Приказом Федеральной службы по техническому и экспортному
контролю Российской Федерации (ФСТЭК РФ) № 58 от 05 февраля 2010 г. «Об
утверждении Положения о методах и способах защиты информации в информационных
системах персональных данных» для информационных систем 1 класса идентификация
и проверка подлинности пользователя при входе в систему по паролю
условно-постоянного действия установлена длиной не менее шести
буквенно-цифровых символов.
. Необходимо на все персональные компьютеры, с
которых осуществляется доступ к конфиденциальной информации, установить систему
защиты информации от несанкционированного доступа (далее СЗИ от НСД) «Secret
Net». Данный продукт обладает сертификатами ФСТЭК РФ и может использоваться в
автоматизированных системах до класса 1Б включительно и для защиты персональных
данных в информационных системах персональных данных до класса К1 включительно.
«Secret Net» позволит:
обеспечить разграничения доступа к защищаемой
информации и устройствам;
обеспечить идентификацию и аутентификацию
пользователей;
внедрить журнал событий, аудит и др.
. Пароль пользователя во всех программах,
работающих с конфиденциальной информацией, таких как «The Bat», «Полис
Администратор», «Фомс-клиент» и др. не должен быть менее шести
буквенно-цифровых символов, и не должен сохранятся на компьютере пользователя.
Пользователю каждый раз при входе в программу необходимо самостоятельно вводить
пароль.
. Любой доступ сотрудников ЧОФОМС и сторонних
организаций (таких как медицинские организации, страховые медицинские
организации и др.) к конфиденциальной информации, в том числе с помощью ПО
«Полис Администратор», «Фомс-клиент» должен осуществляться исключительно по
защищенному каналу связи при помощи ПО ViPNet [Клиент].
. Хранение конфиденциальной информации на
персональных компьютерах сотрудников ЧОФОМС должно осуществляться в
зашифрованном виде. Данную задачу можно реализовать при помощи СЗИ от НСД
«ViPNet SafeDisk». Данный программный комплекс сертифицирован ФСТЭК России как
СКЗИ и средство защиты от НСД, может использоваться в информационных системах
персональных данных до 1 класса включительно и ФСБ России по требованиям к СКЗИ
класса КС1/КС2.
Расчет внедрения
Secret Net и ViPNet SafeDisk:
Стоимость одного СЗИ от НСД Secret Net v 6.5
ориентировочно 6 400 рублей;
Стоимость одного СЗИ от НСД ViPNet SafeDisk
ориентировочно 3 300 рублей.
В ЧОФОМС его необходимо установить на 200
компьютерах.SafeDisk необходим только в 12 филиалах ЧОФОМС.
* 6 400 = 1 280 000 рублей.
* 3 300 = 39 600 рублей.
Следовательно для внедрения ПО Secret Net и
ViPNet SafeDisk необходимо 1 280 000+39 600=1 319 600 рублей.
Данные средства заложены в бюджете ЧОФОМС на
2011 г. Всего на информационную безопасность планируется потратить 5 500 000
рублей.
6. В соответствии с ч. 3 ст. 14
Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных», доступ к
своим персональным данным предоставляется субъекту персональных данных или его
законному представителю оператором при обращении либо при получении запроса
субъекта персональных данных или его законного представителя. Запрос должен
содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем его органе и собственноручную подпись субъекта
персональных данных или его законного представителя. Запрос может быть
направлен в электронной форме и подписан электронной цифровой подписью в
соответствии с законодательством Российской Федерации.
В соответствии с изложенным
необходимо на сайте ЧОФОМС (<http://www.ofoms-chel.ru/>) в разделе
«поиск вашего полиса», форму запроса номера полиса ОМС привести в соответствие
с ч. 3 ст. 14 ФЗ «О персональных данных». Так же данную услугу необходимо оборудовать
защитой от автоматических запросов.
. Для организации и обеспечения
безопасности обработки с использованием шифровальных (криптографических)
средств персональных данных ЧОФОМС необходимо:
а) в соответствии с п. 3.9. Типовых
требований по организации и обеспечению функционирования шифровальных
(криптографических средств), предназначенных для защиты информации, не
содержащей сведений, составляющих государственную тайну, в случае их
использования для обеспечения безопасности персональных данных при их обработке
в информационных системах персональных данных, утвержденные руководством 8
Центра ФСБ России № 149/6/6-622 21.02.2008 г. (далее Типовые требования),
аппаратные средства, с которыми осуществляется штатное функционирование
криптосредств оборудовать средствами контроля за их вскрытием (опечатать,
опломбировать).
б) в соответствии с п. 4.1 Типовых
требований размещение, специальное оборудование, охрана и организация режима в
помещениях, где установлены криптосредства или хранятся ключевые документы к
ним (далее - режимные помещения), должны обеспечивать сохранность персональных
данных, криптосредств и ключевых документов к ним.
в) в соответствии с п. 4.2 и 4.7.
Типовых требований окна помещений, расположенных на первых или последних этажах
зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда
возможно проникновение в режимные помещения посторонних лиц, необходимо
оборудовать металлическими решетками или ставнями, или охранной сигнализацией,
или другими средствами, препятствующими неконтролируемому проникновению в
режимные помещения. Режимные помещения, как правило, должны быть оснащены
охранной сигнализацией.
г) в соответствии с п. 4.3 Типовых
требований размещение, специальное оборудование, охрана и организация режима в
помещениях должны исключить возможность неконтролируемого проникновения или
пребывания в них посторонних лиц, а также просмотра посторонними лицами
ведущихся там работ.
д) в соответствии с п. 4.8 Типовых
требований для хранения ключевых документов, эксплуатационной и технической
документации, инсталлирующих криптосредства носителей должно быть предусмотрено
необходимое число надежных металлических хранилищ, оборудованных внутренними
замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для
опечатывания замочных скважин.
Письмом № 1702/90-и от 29.03.2011
г., Федеральный фонд обязательного медицинского страхования предоставил
информацию о результатах проверок Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор). Одним из
характерных нарушений, выявляемых Роскомнадзором, является несоблюдение
требования ч. 4 ст. 6 Федерального закона «О персональных данных», а именно
отсутствие в тексте договора существенного условия об обеспечении конфиденциальности
и безопасности персональных данных при их обработке, в случаях, когда оператор
на основании договора поручает обработку персональных данных другому лицу.
Таким образом, ЧОФОМС необходимо
проанализировать заключенные договора, в которых поручается обработка
персональных данных другому лицу, на наличие существенного условия -
обеспечение конфиденциальности и безопасности персональных данных при их
обработке.
В случае выявления несоответствия
содержания договоров требованиям Федерального закона «О персональных данных»,
внести соответствующие изменения в договора.
Таким образом, в ЧОФОМС отделом
обеспечения информационной безопасности осуществляется комплексная защита
конфиденциальной информации, защищаются персональные данные работников ЧОФОМС,
а так же организован защищенный электронный документооборот между ЧОФОМС его
территориальными отделениями и больницами Челябинской области.
При этом в организации работы, по
нашему мнению присутствуют определенные проблемы:
. Отсутствие необходимого количества
работников в отделе обеспечения информационной безопасности.
. Отсутствие у работников отдела
специализированного образования в сфере защиты информации.
. Считаем, что отдел обеспечения
информационной безопасности должен подчиняться непосредственно директору
ЧОФОМС.
Заключение
Информационной безопасность -
защищенность информации и поддерживающей инфраструктуры от случайных или
преднамеренных воздействий естественного или искусственного характера, которые
могут нанести неприемлемый ущерб субъектам информационных отношений, в том
числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации - это комплекс мероприятий, направленных на обеспечение
информационной безопасности.
Управление информационной
безопасностью - это управление людьми, рисками, ресурсами, средствами защиты и
т.п. Управление информационной безопасностью является неотъемлемым элементом
управления и позволяет коллективно использовать конфиденциальную информацию,
обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов.
При анализе проблематики, связанной
с информационной безопасностью в государственном и муниципальном управлении,
необходимо учитывать специфику данного аспекта безопасности, состоящую в том,
что информационная безопасность есть составная часть информационных технологий
в государственном и муниципальном управлении - области, развивающейся
беспрецедентно высокими темпами. Здесь важны не столько отдельные решения
(законы, учебные курсы, программно-технические изделия), находящиеся на
современном уровне, сколько механизмы генерации новых решений государственными
и муниципальными органами, позволяющие жить в темпе технического прогресса.
В ЧОФОМС ответственным за
информационную безопасность является отдел «Обеспечения информационной безопасности»,
который является структурным подразделением Управления информационного
обеспечения и информационной безопасности ЧОФОМС. Отдел состоит из трех
человек, начальника отдела и двух главных специалистов.
Основными задачами отдела по
обеспечению информационной безопасности в соответствии с Положением отдела
обеспечения информационной безопасности являются:
практическая реализация единой
политики (концепции) обеспечения информационной безопасности ЧОФОМС,
определение требований к системе защиты информации в аппарате Управления и
структурных подразделениях, документообороту на бумажных и электронных
носителях.
осуществление комплексной защиты
информации на всех этапах технологических циклов ее создания, переноса на
носитель, обработки и передачи в соответствии с единой концепцией
информационной безопасности.
контроль за эффективностью
предусмотренных мер защиты сведений, составляющих конфиденциальную информацию,
персональные данные и иной информации.
координация деятельности и
методическое руководство при проведении работ по обеспечению информационной
безопасности и защите информации.
Для организации возможности выдачи
сертификатов ключей электронных цифровых подписей (ЭЦП) участникам защищенного
электронного информационного обмена защищенного сегмента единого электронного
информационного пространства системы обязательного медицинского страхования
Челябинской области, в сентябре 2010 года был создан Удостоверяющий центр
Челябинского областного фонда обязательного медицинского страхования. В
настоящее время Удостоверяющий центр только начинает свою деятельность и
сталкивается в ней с целым рядом проблем.
В частности, в соответствии со ст. 8
Федерального закона «Об электронной цифровой подписи» Удостоверяющим центром,
выдающим сертификаты ключей подписей для использования в информационных
системах общего пользования, должно быть юридическое лицо. Организовать
отдельное юридическое лицо, входящее в состав ЧОФОМС юридически не возможно.
Поэтому при создании статусом УЦ был наделен сам Челябинский областной фонд обязательного
медицинского страхования. В связи с этим Удостоверяющим центром стало не
отдельное структурное подразделение ЧОФОМС, а была создана функциональная
группа, которая совокупностью штатных, организационных, программных и
технических мероприятий, обеспечивает деятельность по изготовлению и управлению
сертификатами ключей подписей участников защищенного электронного
информационного обмена защищенного сегмента единого электронного
информационного пространства системы обязательного медицинского страхования
Челябинской области и выполняет целевые функции удостоверяющего центра.
Считаю, что для решения данной
ситуации необходимо внесение изменений в ст. 8 Федерального закона «Об
электронной цифровой подписи», на наш взгляд она должна выглядеть следующим
образом:
«Деятельность удостоверяющего центра
может осуществляться юридическим лицом, структурным подразделением юридического
лица или индивидуальным предпринимателем. Если удостоверяющим центром является
структурное подразделение юридического лица, установленные настоящим
Федеральным законом права, обязанности и ответственность удостоверяющего центра
возлагаются на юридическое лицо, структурным подразделением которого является
удостоверяющий центр».
Основными проблемами обеспечению
информационной безопасности ЧОФОМС являются:
. Отсутствие необходимого количества
работников в отделе обеспечения информационной безопасности. В настоящий момент
их численность составляет 3 человека, считая начальника отдела. По рекомендации
Федерального фонда обязательного медицинского страхования численность отдела
отвечающего за информационную безопасность должна составлять не менее 5
человек. В ходе выполнения исследования нами была разработана необходимая
структура отдела обеспечения информационной безопасности ЧОФОМС.
Мы пришли к выводу, что в Отдел
обеспечения информационной безопасности необходимо приять двух ведущих
специалистов.
. Проблемой является
неудовлетворительная подготовка сотрудников отдела в области защиты информации.
Считаем, что сотрудники отдела должны ежегодно проходить переаттестацию,
получать более углубленные знания в учебном центре Южно-Уральского
государственного университета.
. Считаем, что отдел обеспечения
информационной безопасности ЧОФОМС должен выйти из Управления информационного
обеспечения и информационной безопасности ЧОФОМС. Отдел быть независимым
структурным подразделением ЧОФОМС и подчиняться непосредственно директору
фонда.
информационная
безопасность государственное управление
Список использованных источников и
литературы
. Нормативно-правовые акты
Конституция
Российской Федерации (принята всенародным голосованием 12 декабря 1993г.) //
Российская газета. 1993. 25 декабря.
Гражданский
кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от
24.02.2010) // Собрание законодательства РФ. 2006. N 52 (1 ч.). Ст. 5496.
Гражданский
кодекс Российской Федерации (часть первая): Федеральный закон от 30 ноября 1994
года № 51-ФЗ // Российская газета. 1994. 8 декабря.
Об
информации, информационных технологиях и о защите информации: Федеральный закон
от 27.07.2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст.
3448.
О
средствах массовой информации: Закон РФ от 27.12.1991 N 2124-1 (ред. от
09.02.2009) // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300.
О
безопасности: Закон РФ от 05.03.1992 N 2446-1 (ред. от 26.06.2008) // Ведомости
СНД и ВС РФ. 1992. N 15. Ст. 769.
О
государственной тайне: Закон РФ от 21.07.1993 N 5485-1 (ред. от 18.07.2009) //
Собрание законодательства РФ. 1997. N 41. Ст. 8220-8235.
О
порядке освещения деятельности органов государственной власти в государственных
средствах массовой информации: Федеральный закон от 13.01.1995 N 7-ФЗ (ред. от
12.05.2009) // Собрание законодательства РФ. 1995. N 3. Ст. 170.
Об
обязательном экземпляре документов: Федеральный закон от 29.12.1994 N 77-ФЗ
(ред. от 23.07.2008) // Собрание законодательства РФ. 1995. N 1. Ст. 1.
Об
электронной цифровой подписи: Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от
08.11.2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127.
О
персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от
27.07.2010) // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3451.
Окинавская
хартия глобального информационного общества (Принята на о. Окинава 22.07.2000)
// Дипломатический вестник. 2000. N 8. С. 51 - 56.
О
дополнительных мерах по обеспечению единства правового пространства Российской
Федерации: Указ Президента РФ от 10.08.2000 N 1486 (ред. от 18.01.2010) //
Собрание законодательства РФ. 2000. N 33. Ст. 3356.
О
информационной безопасности региональных фондов обязательного медицинского
страхования: Распоряжение директора ФФОМС от 13.10.2006 №22 // Документ
опубликован не был.
Положение
отдела обеспечения информационной безопасности ЧОФОМС: Приказ директора ЧОФОМС
от 23.11.2007 г. № 36-2 // документ опубликован не был. Архив ЧОФОМС.
Протокол
обмена документами по телекоммуникационным каналам связи в системе электронного
документооборота ЧОФОМС // документ опубликован не был. Архив ЧОФОМС.
Инструкция
об оплате труда ЧОФОМС: Приказ директора ЧОФОМС от 12.10.2009г.// документ
опубликован не был.
. Литература
Зайцев
Л.Г. Стратегический менеджмент. М.: Юристъ, 2008. 546с.
Кирсанов
К.А. Информационная безопасность. М.:МАЭП, ИИК «Калита», 2009. 648с.
Компьютерная
безопасность в государственном и муниципальном управлении: проблемы и
тенденции. М., 2009. С. 159с.
Компьютерная
безопасность в государственном и муниципальном управлении: проблемы и
тенденции. М., 2008. С. 137с.
Снытников
А.А. Лицензирование и сертификация в области защиты информации. М.: ГелиосАРВ,
2008. 192с.
Терентьев
А.И. Введение в информационную безопасность. М.:МГТУ ГА, 2008. 144с.
. Интернет-источники
Челябинский
областной фонд обязательного медицинского страхования. URL: Официальный сайт. URL:
<http://ofoms-chel.ru/>.
Приложение 1.
Форма заявления на изготовление сертификата
ключа ЭЦП лицу ответственному за осуществление защищенного информационного
обмена бюджетных учреждений здравоохранения челябинской области
|
УТВЕРЖДАЮ
Исполнительный директор Челябинского областного фонда ОМС ______________М.Г.
Вербтский “___”_________________ 2010 г.
|
В удостоверяющий центр Челябинского Областного
фонда ОМС
Адрес: г. Челябинск, пл. Мопра, д.8 «а»
ЗАЯВЛЕНИЕ
на
изготовление сертификата ключа ЭЦП в УЦ ЧОФОМС
_____________________________________________________________
(полное наименование организации, включая
организационно-правовую форму)
в лице ________________,
______________________________________,
(должность) (фамилия,
имя, отчество)
действующего (ей) на основании
_____________________________, просит выдать сертификат ключа электронной
цифровой подписи (ЭЦП) сроком на один год для работы со средством
криптографической защиты (СКЗИ) ViPNet [Клиент] лицу, ответственному за
осуществление защищенного информационного обмена, в соответствии с указанными в
таблице № 1 настоящего заявлении идентификационными данными владельца
сертификата ключа подписи:
Таблица №1
|
1.
|
ФИО*
|
|
|
2.
|
Паспортные
данные (серия, номер, кем и когда выдан)
|
|
|
3.
|
Адрес
регистрации
|
|
|
3.
|
Организация
|
|
|
4.
|
Адрес
организации
|
|
|
5.
|
Подразделение
|
|
|
6.
|
Должность
|
|
|
7.
|
Служебный
телефон
|
|
*Все поля заполняются максимально полно.
Фамилия, имя, отчество впечатываются полностью без сокращений в ИМЕНИТЕЛЬНОМ
ПАДЕЖЕ, все поля заполняются исключительно в печатном виде, путем
редактирования на компьютере с последующем распечатыванием на принтере.
Заполнение «от руки» НЕДОПУСТИМО.
На основании Приказа № ____ от «__» __________
20 __ г. «О назначении ответственного за осуществление защищенного
информационного обмена» (копия которого прилагается), ответственному за
осуществление защищенного информационного обмена предоставлены полномочия на
эксплуатацию СКЗИ ViPNet [Клиент] и использование ЭЦП при защищенном обмене информацией.
Настоящим,___________________________________________________
(ФИО лица ответственного за осуществление
защищенного информационного обмена)
в целях организации защищенного информационного
обмена, своей волей и в своем интересе признает, что персональные данные,
указанные в таблице № 1 настоящего заявления, являются общедоступными и
соглашается с обработкой своих персональных данных УЦ Челябинского Областного
фонда ОМС, ознакомлен (на) с Правилами защищенного информационного обмена,
Регламентом УЦ ЧОФОМС и приложениями к ним, и полностью обязуется соблюдать все
их положения.
_____________ / ________________________________
(подпись)
(Фамилия. И.О.)
«___» ________________ 20___ г.
Сведения предоставлены на основании подлинных
документов и являются достоверными.
_________________________ __________ /
_______________________
(Должность руководителя организации) (подпись)
(Фамилия И.О.)
«__» ________________ 20__ г. М.П.
Приложение № 2
Форма приказа о назначении уполномоченного лица
ответственного за осуществление защищенного информационного обмена в бюджетном
учреждении здравоохранения челябинской области
|
УТВЕРЖДАЮ
Исполнительный директор Челябинского областного фонда ОМС
_______________М.Г. Вербитский “___”__________________ 2010 г.
|
ПРИКАЗ № ___
О назначении в
________________________________________
(полное наименование организации, включая
организационно-правовую форму)
ответственного за осуществление защищенного
информационного обмена
Для организации защищенного обмена информацией
на рабочем месте Абонента (Медис-Транспорт (ФОМС-клиент) № _______),
расположенном по адресу: ____________________________________________________,
(подробный адрес с указанием населенного пункта,
улицы, дома, этажа и номера кабинета)
приказываю:
. Наделить полномочиями, для работы со средством
криптографической защиты (СКЗИ) ViPNet [Клиент] и использования ЭЦП при
защищенном обмене информацией, следующего сотрудника:
|
Ф.
И. О*.
|
Подразделение,
должность
|
|
|
(*Все поля заполняются максимально полно.
Фамилия, имя, отчество впечатываются полностью без сокращений в ИМЕНИТЕЛЬНОМ
ПАДЕЖЕ, все поля заполняются исключительно в печатном виде, путем
редактирования на компьютере с последующем распечатыванием на принтере.
Заполнение «от руки» НЕДОПУСТИМО.)
. Возложить функции и обязанности Администратора
безопасности по организации, обеспечению и контролю мероприятий по защите
информации, обучению, инструктажу, а также функции Администратора по
организации и обеспечению надежной бесперебойной эксплуатации
программно-технических средств ViPNet [Клиент] в соответствии с требованиями
технической и эксплутационной документацией на ______________________
(должность)
_____________________________________________________________
(фамилия имя отчество)
наделить его соответствующими правами и
полномочиями.
. Ответственный за осуществление защищенного
информационного обмена обязан:
) не использовать для электронной цифровой
подписи открытые и закрытые ключи электронной цифровой подписи, если ему
известно, что эти ключи используются или использовались ранее;
) хранить в тайне закрытый ключ электронной
цифровой подписи;
) немедленно требовать приостановления действия
сертификата ключа подписи при наличии оснований полагать, что тайна закрытого
ключа электронной цифровой подписи нарушена.
. Назначенные в п. 1 и п. 2 настоящего приказа
сотрудники несут персональную ответственность за:
неправомерную передачу конфиденциальной
информации;
сохранение в тайне конфиденциальной информации,
ставшей им известной в процессе обмена информацией;
сохранение в тайне закрытых ключей ЭЦП и иной
ключевой информации;
соблюдение правил эксплуатации средств ViPNet
[Клиент].
. Сотрудников, назначенных в п. 1 и п. 2
настоящего приказа, ознакомить под роспись с настоящим приказом.
. Контроль за выполнением настоящего приказа
оставляю за собой.
. Настоящий приказ вступает в силу со дня его
подписания.
________________________________ ____________ /
_
(Должность руководителя организации) (подпись)
(Фамилия И.О.)
«___» ________________ 20___ г. М.П.
Приложение 3
Приложение № __ к приказу ЧОФОМС
№ _____ от _________ 2011 г.
УТВЕРЖДАЮ
Исполнительный
директор
ЧОФОМС
____________М.Г.
Вербитский
Инструкция по безопасной эксплуатации средств
криптографической защиты (СКЗИ) при защищенном информационного обмена в
защищенном сегменте единого информационного пространства системы обязательного
медицинского страхования Челябинской области. Термины и определения
.1. В настоящей Инструкции по безопасной
эксплуатации средств криптографической защиты при защищенном информационного
обмена в защищенном сегменте единого информационного пространства системы
обязательного медицинского страхования Челябинской области (далее -Инструкция)
применяются следующие термины и определения:
Средства криптографической защиты информации
(СКЗИ) - совокупность программно-технических средств, обеспечивающих применение
ЭЦП и/или шифрования при осуществлении защищенного информационного обмена.
Безопасность эксплуатации СКЗИ - совокупность
мер управления и контроля, защищающая СКЗИ и криптографические ключи от
несанкционированного (умышленного или случайного) их раскрытия, модификации,
разрушения или использования.
Электронная цифровая подпись (ЭЦП) - реквизит
электронного документа, предназначенный для защиты данного электронного
документа от подделки, полученный в результате криптографического
преобразования информации с использованием закрытого ключа электронной цифровой
подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а
также установить отсутствие искажения информации в электронном документе.
Организатор защищенного информационного обмена -
Челябинский областной фонд обязательного медицинского страхования (далее
ЧОФОМС).
Участник защищенного информационного обмена
(Участник) - юридическое лицо, присоединившееся к защищенному информационному
обмену, путем заключения с Организатором защищенного информационного обмена
договора «О присоединении к защищенному информационному обмену в защищенном
сегменте единого информационного пространства системы обязательного
медицинского страхован ия Челябинской области».
ПЭВМ - персональная электронно-вычислительная
машина (персональный компьютер).
.2. Остальные термины и определения, используемые
в настоящей Инструкции, должны пониматься в соответствии с законодательством
Российской Федерации и регламентом УЦ ЧОФОМС.. Общие положения
.1. Настоящая Инструкция определяет порядок
учета, хранения и использования СКЗИ и криптографических ключей, а также
порядок уничтожения и компрометации криптографических ключей в целях
обеспечения безопасности эксплуатации СКЗИ в ЗИО.
.2 Настоящая Инструкция разработана на основе
законодательства Российской Федерации, иных правовых актов, а также:
Положения о разработке, производстве, реализации
и эксплуатации шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005), утвержденного приказом ФСБ России от 9 февраля 2005 г. №
66;
Инструкции об организации и обеспечении
безопасности хранения, обработки и передачи по каналам связи с использованием
средств криптографической защиты информации с ограниченным доступом, не
содержащей сведений, составляющих государственную тайну, утвержденной приказом
ФАПСИ от 13 июня 2001 г. № 152.
.3. Участник с учетом особенностей своей
деятельности может разрабатывать не противоречащие настоящей инструкции
организационно-распорядительные и методические документы, уточняющие порядок
работы с СКЗИ и криптографическими ключами.
.4. В ЗИО используются сертифицированные ФСБ
России СКЗИ, предназначенные для защиты информации, не содержащей сведений,
составляющих государственную тайну, при обеспечении безопасности информации по
уровню «КС1».
.5. Для организации и обеспечения работ по
техническому обслуживанию СКЗИ и управления криптографическими ключами
Организатором защищенного информационного обмена и Участниками создается орган
криптографической защиты информации либо назначается Ответственный за
эксплуатацию СКЗИ.
Ответственный за эксплуатацию СКЗИ осуществляет:
поэкземплярный учет предоставленных Участнику
СКЗИ, эксплуатационной и технической документации к ним;
учет Пользователей СКЗИ Участника ЗИО;
контроль за соблюдением условий использования
СКЗИ, установленных эксплуатационной и технической документацией на СКЗИ и настоящей
Инструкцией;
расследование и составление заключений по фактам
нарушения условий использования СКЗИ, которые могут привести к снижению
требуемого уровня безопасности информации;
разработку и принятие мер по предотвращению
возможных негативных последствий подобных нарушений.
Пользователь СКЗИ обязан:
не разглашать конфиденциальную информацию, к
которой допущен, рубежи ее защиты, в том числе сведения о криптографических
ключах;
соблюдать требования к обеспечению безопасности
конфиденциальной информации при использовании СКЗИ;
сдать СКЗИ, эксплуатационную и техническую
документацию к ним,
криптографические ключи в соответствии с
порядком, установленным настоящей Инструкцией, при прекращении использования
СКЗИ;
незамедлительно уведомлять Ответственного за
эксплуатацию СКЗИ о фактах утраты или недостачи СКЗИ, криптографических ключей,
ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут
привести к разглашению защищаемых сведений конфиденциального характера, а также
о причинах и условиях возможной утечки таких сведений.
.7. Непосредственно к работе с СКЗИ пользователи
допускаются только после соответствующего обучения.
Обучение Пользователей правилам работы с СКЗИ
осуществляет Ответственный за эксплуатацию СКЗИ. Ответственный за эксплуатацию
СКЗИ должен иметь соответствующий документ о квалификации в области
эксплуатации СКЗИ.
.8. Текущий контроль, обеспечение
функционирования и безопасности СКЗИ возлагается на Ответственного за
эксплуатацию СКЗИ.
.9. Ответственный за эксплуатацию СКЗИ и
Пользователи Участника ЗИО должны быть ознакомлены с настоящей Инструкцией под
расписку.. Учет и хранение СКЗИ и криптографических ключей
.1. СКЗИ, эксплуатационная и техническая
документация к ним, криптографические ключи подлежат поэкземплярному учету.
.2. Поэкземплярный учет ведет Ответственный за
эксплуатацию СКЗИ Участника ЗИО в Журнале поэкземплярного учета СКЗИ,
эксплуатационной и технической документации к ним, ключевых документов (далее -
Журнал), форма которого приведена в Приложении №1 к настоящей Инструкции. При
этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с
которыми осуществляется их штатная эксплуатация. Если аппаратные или
аппаратно-программные СКЗИ подключаются к системной шине или к одному из
внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также
совместно с соответствующими аппаратными средствами.
.3. Единицей поэкземплярного учета
криптографических ключей считается отчуждаемый ключевой носитель многократного
использования. Если один и тот же ключевой носитель многократно используют для
записи криптографических ключей, то его каждый раз следует регистрировать
отдельно.
.4. Все полученные экземпляры СКЗИ,
эксплуатационной и технической документации к ним, криптографических ключей
должны быть выданы под расписку в Журнале Пользователям СКЗИ, несущим
персональную ответственность за их сохранность.
.5. Дистрибутивы СКЗИ на магнитных носителях,
эксплуатационная и техническая документация к СКЗИ хранятся у Ответственного за
эксплуатацию СКЗИ.
Криптографические ключи хранятся у Пользователей
СКЗИ. Хранение осуществляется в шкафах (ящиках, хранилищах, сейфах)
индивидуального пользования в условиях, исключающих бесконтрольный доступ к
ним, а также их непреднамеренное уничтожение.
.6. Пользователи СКЗИ могут осуществлять
хранение рабочих и резервных криптографических ключей, предназначенных для
применения в случае неработоспособности рабочих криптографических ключей.
Резервные криптографические ключи могут также находится на хранении у
Ответственного за эксплуатацию СКЗИ.
.7. На ключевые носители с изготовленными
криптографическими ключами наклеиваются наклейки, содержащие надписи: - на один
ключевой носитель - «Рабочие криптографические ключи»; на другой ключевой
носитель - «Резервные криптографические ключи».
.8. Ключевой носитель с наклейкой «Резервные
криптографические ключи» помещается в конверт и опечатывается Пользователем и
Ответственным за эксплуатацию СКЗИ.
.9. Полученные рабочие и резервные
криптографические ключи Пользователь обязан учесть в Описи криптографических
ключей Пользователя СКЗИ (Приложение № 2 к настоящей Инструкции). Резервные
криптографические ключи могут находиться на хранении у Ответственного за
эксплуатацию СКЗИ.
.10. Ключевые носители с неработоспособными
криптографическими ключами Ответственный за эксплуатацию СКЗИ принимает от
Пользователя под роспись в Описи криптографических ключей Пользователя СКЗИ и в
Журнале поэкземплярного учета. Неработоспособные ключевые носители подлежат
уничтожению.
.11. При необходимости замены наклейки на
ключевом носителе (стирание надписи реквизитов) Пользователь передает его
Ответственному за эксплуатацию СКЗИ, который в присутствии Пользователя снимает
старую наклейку и приклеивает новую наклейку с такими же учетными реквизитами.
.12. Аппаратные средства, с которыми
осуществляется штатное функционирование СКЗИ, а также аппаратные и
аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их
вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ,
аппаратных средств должно быть таким, чтобы его можно было визуально
контролировать.
.13. СКЗИ и криптографические ключи могут
доставляться Участнику ЗИО специальной (фельдъегерской) связью или курьером
Участника ЗИО, имеющего доверенность, подписанную руководителем Участника ЗИО,
на право получения СКЗИ, при соблюдении мер, исключающих бесконтрольный доступ
к СКЗИ и криптографическим ключам во время доставки.
.14. Для пересылки СКЗИ и криптографические
ключи помещаются в прочную упаковку, исключающую возможность их физического
повреждения и внешнего воздействия, в особенности на записанную ключевую
информацию. Криптографические ключи пересылают в отдельном пакете с пометкой
«Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность
извлечения из них содержимого без нарушения упаковок и оттисков печати.
.15. Для пересылки СКЗИ, эксплуатационной и
технической документации к ним, криптографических ключей составляется Акт
приема-передачи (Опись) документов, в котором указывается: что посылается и в
каком количестве, учетные номера СКЗИ, криптографических ключей или документов,
а также, при необходимости, назначение и порядок использования высылаемого
отправления. Акт приема-передачи (Опись) документов вкладывается в упаковку.
.16. Полученную Участником ЗИО упаковку
вскрывает только лицо, для которого она предназначена. Если содержимое
полученной упаковки не соответствует указанному в Акте приема-передачи (Описи)
документов или сама упаковка и печать их описанию (оттиску), а также если
упаковка повреждена, в результате чего образовался свободный доступ к ее
содержимому, то Участник ЗИО должен составить акт, который высылается в УЦ
ЧОФОМС. Полученные с такими отправлениями СКЗИ и криптографические ключи до
получения указаний от УЦ ЧОФОМС применять не разрешается.
.17. При обнаружении бракованных
криптографических ключей, ключевой носитель с такими ключами следует возвратить
в УЦ ЧОФОМС для установления причин происшедшего и их устранения в дальнейшем.
УЦ ЧОФОМС в этом случае направляет Участнику ЗИО новые криптографические ключи.
.18. Ключевые носители совместно с Описью
криптографических ключей должны храниться Пользователем в сейфе (металлическом
шкафу) в отдельной ячейке.
.19. При отсутствии у Пользователя СКЗИ сейфа
(металлического шкафа) ключевые носители в опечатанном тубусе по окончании
рабочего дня должны сдаваться назначенному работнику Участника ЗИО по Реестру
передачи криптографических ключей.. Использование СКЗИ и криптографических
ключей
.1. В ЗИО СКЗИ и криптографические ключи
используются для обеспечения конфиденциальности, авторства и целостности
защищенной информации.
.2. Конфиденциальность ЗИО обеспечивается путем
шифрования. Авторство и целостность информации обеспечивается путем создания
ЭЦП Пользователя.
.3. Информация может быть подписана ЭЦП с
использованием только того закрытого ключа ЭЦП, для которого УЦ соответствующей
сети выдал сертификат ключа подписи Пользователя с областью действия.
.4. Для зашифрования информации Пользователь
использует свой собственный закрытый криптографический ключ и открытый
криптографический ключ, соответствующий действующему закрытому
криптографическому ключу получателя информации.
.5. Открытый криптографический ключ содержится в
сертификате ключа подписи, который выдает УЦ соответствующей сети Пользователю
в электронной форме и на бумажном носителе.
.6. Проверка подлинности ЭЦП осуществляется
Пользователем с использованием открытого криптографического ключа отправителя
информации.
.7. Расшифрование информации осуществляется с
использованием закрытого криптографического ключа Пользователя и открытого
криптографического ключа отправителя информации.
.8. Пользователь не может подписать информацию
своей ЭЦП или выполнить его зашифрование, если истек срок действия закрытых
криптографических ключей. Также Пользователь не может проверить ЭЦП или
произвести расшифрование в случае истечения срока действия сертификата ключа
подписи, необходимого для выполнения соответствующей операции.
.9. Реализованные в СКЗИ алгоритмы шифрования и
электронной цифровой подписи гарантируют невозможность восстановления закрытых
криптографических ключей отправителя по его открытым ключам.
.10. Для обеспечения контроля доступа к СКЗИ системный
блок ПЭВМ опечатывается Ответственным за эксплуатацию СКЗИ. Системный блок ПЭВМ
может устанавливаться в специальном опечатываемом шкафу.
.11. Пользователь должен периодически
(ежедневно) проверять сохранность оборудования и целостность печатей на ПЭВМ. В
случае обнаружения «посторонних» (не зарегистрированных) программ или выявления
факта повреждения печати на системном блоке ПЭВМ работа должна быть прекращена.
По данному факту проводится служебное расследование, и осуществляются работы по
анализу и ликвидации последствий данного нарушения.
.12. При выявлении сбоев или отказов
Пользователь обязан сообщить о факте их возникновения Ответственному за
эксплуатацию СКЗИ и предоставить ему носители криптографических ключей для
проверки их работоспособности. Проверку работоспособности носителей
криптографических ключей Ответственный за эксплуатацию СКЗИ выполняет в
присутствии Пользователя.
.13. В случае, если рабочие криптографические
ключи потеряли работоспособность, то по просьбе Пользователя Ответственный за
эксплуатацию СКЗИ, вскрывает конверт с резервными криптографическими ключами,
делает копию ключевого носителя, используя резервные криптографические ключи,
помещает резервные криптографические ключи в конверт, а на новый ключевой
носитель наклеивает наклейку с надписью «Рабочие криптографические ключи».
.14. В экстренных случаях, не терпящих
отлагательства, вскрытие конверта с резервными криптографическими ключами может
осуществляться Пользователем самостоятельно с последующим уведомлением
Ответственного за эксплуатацию СКЗИ о факте вскрытия конверта с
криптографическими ключами. На конверте делается запись о вскрытии с указанием
даты и времени вскрытия конверта и подписью Пользователя. Вскрытый конверт
вместе с неработоспособными криптографическими ключами сдаются Ответственному
за эксплуатацию СКЗИ.
.15. Вскрытие системного блока ПЭВМ, на котором
установлено СКЗИ, для проведения ремонта или технического обслуживания должно
осуществляться в присутствии Ответственного за эксплуатацию СКЗИ.
.16. Пользователю ЗАПРЕЩАЕТСЯ:
осуществлять несанкционированное копирование
криптографических ключей;
использовать ключевые носители для работы на
других рабочих местах или для шифрования и подписи информации, не относящейся к
работе в ЗИО;
разглашать содержимое носителей ключевой
информации или передавать сами носители лицам, к ним не допущенным, выводить
ключевую информацию на дисплей и принтер;
вставлять носители криптографических ключей в
устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ,
а также в устройства считывания других ПЭВМ;
записывать на носители с криптографическими
ключами постороннюю информацию;
подключать к ПЭВМ дополнительные устройства и
соединители, не предусмотренные в комплектации;
работать на ПЭВМ, если во время ее начальной
загрузки не проходят встроенные тесты, предусмотренные в ПЭВМ;
вносить какие-либо изменения в программное
обеспечение СКЗИ;
использовать бывшие в работе ключевые носители
для записи новых криптографических ключей.. Уничтожение криптографических ключей
.1. Неиспользованные или выведенные из действия
криптографические ключи подлежат уничтожению.
.2. Уничтожение криптографических ключей на
ключевых носителях производится комиссией в составе председателя и членов
комиссии, назначенной руководителем Участника ЗИО.
.3. Криптографические ключи, находящиеся на
ключевых носителях, уничтожаются путем их стирания (разрушения) по технологии,
принятой для ключевых носителей многократного использования в соответствии с
требованиями эксплуатационной и технической документации на СКЗИ.
.4. При уничтожении криптографических ключей,
находящихся на ключевых носителях, комиссия обязана:
установить наличие оригинала и количество копий
криптографических ключей;
проверить внешним осмотром целостность каждого
ключевого носителя;
установить наличие на оригинале и всех копиях
ключевых носителей реквизитов путем сверки с записями в Журнале поэкземплярного
учета;
убедится, что криптографические ключи,
находящиеся на ключевых носителях, действительно подлежат уничтожению;
произвести уничтожение ключевой информации на
оригинале и на всех копиях носителей.
.5. О факте уничтожения криптографических ключей
составляется Акт об уничтожении криптографических ключей, содержащихся на
ключевых носителях (Приложение № 3 к настоящей Инструкции).
.6. Акт об - уничтожении криптографических
ключей, содержащихся на ключевых носителях (далее Акт), подписывается
председателем комиссии, членами комиссии и утверждается руководителем Участника
ЗИО.
.7. Журнале поэкземплярного учета Ответственным
за эксплуатацию СКЗИ производится отметка об уничтожении криптографических
ключей с указанием даты и номера Акта.
.8. Акты об уничтожении криптографических
ключей, содержащихся на ключевых носителях, хранятся у Ответственного за
эксплуатацию СКЗИ Участника ЗИО.. Организация режима в помещениях, где
установлены СКЗИ или хранятся криптографические ключи
.1.