Организация работы по обеспечению информационной безопасности в Челябинском областном фонде обязательного медицинского страхования

Полномочиями Руководителя УЦ (руководителя Функциональной группы) назначен начальник Отдела обеспечения информационной безопасности ЧОФОМС, полномочиями администратора безопасности УЦ главный специалист Отдела обеспечения информационной безопасности ЧОФОМС.

В соответствии с Положением о Функциональной группе «О Функциональной группе, обеспечивающей выполнение функций Удостоверяющего центра электронной цифровой подписи Челябинского областного фонда обязательного медицинского страхования»: Положение от 23.09.2010. // Документ опубликован не был. Архив ЧОФОМС., Группа выполняет следующие задачи:

1. Организация работы сети защищенного электронного информационного обмена ЧОФОМС, как части защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области.

2. Формирование ключей и изготовление сертификатов открытых ключей лицам, ответственным за осуществление защищенного информационного обмена в сети защищенного электронного информационного обмена ЧОФОМС с обеспечением достоверности заносимой в сертификаты информации и гарантии уникальности открытых ключей изготовленных сертификатов, и их управление на протяжении всего периода действия.

3. Выполнение процедур по разрешению конфликтных ситуаций, возникающих между участниками электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области, связанных с подтверждением подлинности ЭЦП, а так же предоставление консультаций по вопросам использования ЭЦП.

4. Поддержание работоспособности программных и технических средств обеспечения деятельности УЦ, а также своевременное восстановление работоспособности после сбоев.

Группа в соответствии с возложенными на неё задачами выполняет следующие функции:

1. Формирование ключей лицам, ответственным за осуществление защищенного информационного обмена в сети защищенного электронного информационного обмена ЧОФОМС и изготовление сертификатов ключей ЭЦП.

2. Приостанавливает и возобновляет действие сертификатов ключей ЭЦП, а также аннулирует их.

3. Ведет реестр сертификатов ключей ЭЦП, обеспечивает его актуальность и возможность свободного доступа к нему участников защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области.

4. Проверяет уникальность открытых ключей ЭЦП в реестре сертификатов ключей ЭЦП и архиве УЦ.

5. Выдает сертификаты ключей ЭЦП в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии.

6. Разработка и представление на утверждение в установленном порядке проектных, регламентирующих и инструктивных документов, касающихся применения ЭЦП в защищенном сегменте единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области.

7. Осуществление периодических работ по резервному копированию баз данных, являющимися электронными составляющими реестра УЦ, обеспечение надежного хранения созданных электронных копий.

8. Обеспечение работоспособности программных и технических средств УЦ.

9. Восстановление работоспособности программных и технических средств УЦ после аварийных сбоев в минимальные сроки.

10. Обеспечение сохранности в тайне закрытых ключей сотрудников группы, особо закрытых ключей уполномоченного лица УЦ, и их защита от несанкционированного доступа.

11. Обеспечение сохранности в тайне конфиденциальной информации и защита информации, обрабатываемом в УЦ, от несанкционированного доступа.

В настоящее время Удостоверяющий центр только начинает свою деятельность и сталкивается в ней с целым рядом проблем.

В частности, в соответствии со ст. 8 Федерального закона «Об электронной цифровой подписи» Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо. Организовать отдельное юридическое лицо входящее в состав ЧОФОМС юридически не возможно. Поэтому при создании статусом УЦ был наделен сам Челябинский областной фонд обязательного медицинского страхования. В связи с этим Удостоверяющим центром стало не отдельное структурное подразделение ЧОФОМС, а была создана функциональная группа, которая совокупностью штатных, организационных, программных и технических мероприятий, обеспечивает деятельность по изготовлению и управлению сертификатами ключей подписей участников защищенного электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области и выполняет целевые функции удостоверяющего центра.

В итоге, из-за несовершенства законодательства происходит терминологическая путаница, что является на самом деле удостоверяющим центом: 1) сам ЧОФОМС как юридическое лицо; 2) Функциональная группа, которая выполняет функции удостоверяющего центра, или 3) совокупность аппаратно-программных единиц.

Указанный недостаток не позволяет широко использовать положения Федерального закона «Об электронной цифровой подписи» в практике не только в ЧОФОМС но и по всей России. По информации Государственно-правового управления Президента Российской Федерации, по состоянию на февраль 2010 г., количество действующих в России сертификатов ключа подписи составляет 200 тыс. ед., а число удостоверяющих центров - более 300. Таким образом, процент лиц, использующих ЭЦП в России, не превышает 0,2%, а среднее число сертификатов ключей подписи, выданных удостоверяющим центром - не более 700, что свидетельствует об использовании ЭЦП преимущественно в корпоративных информационных системах. В то же время, по данным Института Фраунхофера по открытым коммуникационным системам, по состоянию на 2009 г. (т.е. через 5 лет после принятия соответствующей Директивы) в Европе использовали усиленные электронные подписи до 70% населения. При этом необходимо отметить, что речь идет именно об усиленных электронных подписях, не связанных жестко с технологией ассиметричного шифрования и единой иерархической структурой удостоверяющих центров.

Принятый Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи» Об электронной подписи: Федеральный закон от 06.04.2011 N 63-ФЗ // Собрание законодательства РФ. 2011. № 15. Ст. 2036. (далее - Закон об электронной подписи, новый Закон) существенным образом изменяет правовое регулирование отношений, связанных с подписанием электронных документов.

Новый закон об электронной подписи предполагает существование удостоверяющих центров, как это было предусмотрено Законом об ЭЦП. Однако новый Закон предполагает возможным создание отдельных видов электронных подписей без использования услуг удостоверяющих центров, тогда как получить ЭЦП без обращения к таким организациям было невозможно. В Законе об электронной подписи предусмотрено разделение удостоверяющих центров на имеющие и не имеющие аккредитацию. Последние смогут выдавать только сертификаты ключа, а квалифицированные сертификаты будут выдавать исключительно аккредитованные удостоверяющие центры.

Таким образом, для получения квалифицированной электронной подписи необходимо обращаться в аккредитованный удостоверяющий центр.

По новому закону удостоверяющим центром может быть юридическое лицо (в том числе и созданное по иностранному праву) или индивидуальный предприниматель. Ограничений относительно организационно-правовой формы такого юридического лица Закон об электронной подписи не содержит.

Аккредитацию удостоверяющих центров проводит уполномоченный федеральный орган на добровольной основе. Аккредитация осуществляется сроком на пять лет.

Требования к условиям аккредитации установлены в п. 3 ст. 16 Закона об электронной подписи:

- наличие чистых активов не менее одного миллиона рублей;

- наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам, в размере не менее полутора миллионов рублей;

- наличие средств электронной подписи и средств удостоверяющего центра, соответствующих требованиям ФСБ России;

- наличие в штате не менее двух специалистов в области криптографии и информационных технологий.

Регламент УЦ ЧОФОМС Регламент Удостоверяющего центра Челябинского областного фонда обязательного медицинского страхования // URL.: http://ofoms-chel.ru. (Дата обращения.: 6 мая 2011г.) определяет порядок выдачи сертификатов ключей подписей УЦ ЧОФОМС сотрудникам ответственным за осуществление защищенного информационного обмена участников сети защищенного информационного обмена ЧОФОМС. А так же механизмы и условия предоставления и использования услуг УЦ ЧОФОМС.

Принятый Регламент является обязательным для исполнения сотрудниками ответственными за осуществление защищенного информационного обмена участников сети защищенного информационного обмена ЧОФОМС присоединившейся к «Договору о присоединении к защищенному сегменту единого информационного пространства системы обязательного медицинского страхования Челябинской области».

Любое заинтересованное лицо может ознакомиться с Регламентом в офисе УЦ ЧОФОМС по адресу: г. Челябинск, пл. Мопра 8 «а», либо на официальном сайте Челябинского областного фонда обязательного медицинского страхования - http://www.ofoms-chel.ru/.

Внесение изменений (дополнений) в Регламент, включая приложения к нему, производится УЦ ЧОФОМС в одностороннем порядке.

Присоединившаяся сторона самостоятельно следит за изменениями (дополнениями) в Регламент на официальном сайте Челябинского областного фонда обязательного медицинского страхования - http://www.ofoms-chel.ru/.

Все изменения (дополнения), вносимые УЦ ЧОФОМС в Регламент по собственной инициативе и не связанные с изменением действующего законодательства Российской Федерации вступают в силу и становятся обязательными по истечении десяти календарных суток с даты размещения на официальном сайте Челябинского областного фонда обязательного медицинского страхования соответствующей информации, а так же текста самого Регламента с учетом изменений (дополнений).

Все изменения (дополнения), вносимые УЦ ЧОФОМС в Регламент в связи с изменением действующего законодательства Российской Федерации вступают в силу одновременно с вступлением в силу изменений (дополнений) в указанных актах.

В соответствии с регламентом УЦ ЧОФОМС формирование ключей ЭЦП УЦ ЧОФОМС и изготовление сертификата ЭЦП осуществляется в следующем порядке:

1. Изготовление ключей ЭЦП и сертификата открытого ключа ЭЦП осуществляется УЦ при плановой и внеплановой смене закрытого ключа подписи учреждения здравоохранения Челябинской области.

2. Изготовление ключей ЭЦП и сертификата открытого ключа ЭЦП в УЦ ЧОФОМС осуществляется на основании «Заявления на изготовление сертификата ключа ЭЦП в УЦ ЧОФОМС» (Приложение 1) при личном прибытии лица ответственного за осуществление защищенного информационного обмена (далее ответственное лицо) в офис УЦ.

Ответственное лицо должно предоставить «Приказ о назначении ответственного за осуществление защищенного информационного обмена» (Приложение № 2) изданный Участником.

Ответственное лицо должно предоставить доверенность, выданную на его имя Участником, на совершение действий в рамках Регламента.

Сотрудник УЦ ЧОФОМС выполняет процедуру идентификации лица, проходящего процедуру регистрации, путем установления личности по паспорту.

После положительной идентификации лица, проходящего процедуру регистрации, сотрудник УЦ ЧОФОМС принимает документы и осуществляет их рассмотрение.

Заявление на изготовление сертификата ключа ЭЦП в УЦ ЧОФОМС рассматривается сотрудником УЦ ЧОФОМС в течение рабочего дня.

В случае отказа, заявление на регистрацию вместе с приложениями возвращается заявителю.

При принятии положительного решения, сотрудник УЦ ЧОФОМС выполняет регистрационные действия по занесению регистрационной информации в реестр УЦ, изготавливает ключи подписи и сертификат ключа подписи.

Сотрудник УЦ ЧОФОМС изготавливает две копии сертификата ключа подписи на бумажном носителе. Все копии сертификата открытого ключа на бумажном носителе заверяются собственноручной подписью лица, проходящего процедуру регистрации, а также собственноручной подписью уполномоченного лица УЦ ЧОФОМС и печатью УЦ ЧОФОМС.

По окончании процедуры регистрации ответственному лицу выдаются:

1) закрытый ключ ЭЦП;

2) копия сертификата ключа подписи Пользователя УЦ на бумажном носителе.

Структура сертификата открытого ключа, изготавливаемого УЦ ЧОФОМС в электронной форме.

УЦ Челябинского областного фонда ОМС издает сертификаты открытых ключей ЭЦП пользователей и уполномоченных лиц в электронной форме (далее по тексту раздела - сертификаты открытых ключей) формата X.509 версии 3.

Сертификаты открытых ключей содержат следующие базовые поля X.509:

Таблица 1

Обязательные поля сертификата ключа подписи ЭЦП

Поле	Расшифровка
Signature	ЭЦП пользователя или уполномоченного лица УЦ Челябинского областного фонда ОМС
Issuer	Идентифицирующие данные пользователя или уполномоченного лица УЦ Челябинского областного фонда ОМС
Validity	даты начала и окончания срока действия сертификата
Subject	Идентифицирующие данные уполномоченного лица пользователя или уполномоченного лица УЦ Челябинского областного фонда ОМС
SubjectPublicKeyInformation	Идентификатор алгоритма средства ЭЦП, с которыми используется данный открытый ключ, значение открытого ключа
Version	версия сертификата формата X.509 - версия 3
SerialNumber	уникальный серийный номер сертификата в Реестре сертификатов открытых ключей УЦ Челябинского областного фонда ОМС
Дополнительные поля
authorityKeyIdentifier	идентификатор ключа уполномоченного лица пользователя или уполномоченного лица УЦ Челябинского областного фонда ОМС
subjectKeyIdentifier	идентификатор ключа уполномоченного лица пользователя или уполномоченного лица УЦ Челябинского областного фонда ОМС
ExtendedKeyUsage	Область (области) использования ключа, при которых электронный документ с ЭЦП будет иметь юридическое значение
cRLDistributionPoint	точка распространения списка отозванных сертификатов открытых ключей ЭЦП, изданных УЦ Челябинского областного фонда ОМС
KeyUsage	Назначение ключа

УЦ Челябинского областного фонда ОМС использует следующие идентификаторы алгоритмов средства ЭЦП, имеющего наименование ViPNet Custom:

Таблица 2

Идентификаторы алгоритмов средства ЭЦП

Алгоритм	Идентификатор
ГОСТ Р 34.11-94	1.2.643.2.2.9
ГОСТ Р 34.10-94	1.2.643.2.2.20

В сертификате открытого ключа ЭЦП поля идентификационных данных уполномоченного лица пользователя и уполномоченного лица УЦ Челябинского областного фонда ОМС содержат атрибуты имени формата X.500.

Обязательными атрибутами поля идентификационных данных уполномоченного лица пользователя и уполномоченного лица УЦ Челябинского областного фонда ОМС являются:

Таким образом, для выполнения функций Удостоверяющего центра Челябинским областным фондом обязательного медицинского страхования, приказом исполнительного директора ЧОФОМС была создана функциональная группа. В настоящее время Удостоверяющий центр только начинает свою деятельность и сталкивается в ней с целым рядом проблем - из-за несовершенства законодательства происходит терминологическая путаница, что является на самом деле удостоверяющим центом: 1) сам ЧОФОМС как юридическое лицо; 2) Функциональная группа, которая выполняет функции удостоверяющего центра, или 3) совокупность аппаратно-программных единиц.

2.3 Проблемы и направления совершенствования работы по обеспечению информационной безопасности ЧОФОМС

Основными проблемами обеспечению информационной безопасности ЧОФОМС являются:

1. Отсутствие необходимого количества работников в отделе обеспечения информационной безопасности. В настоящий момент их численность составляет 3 человека, считая начальника отдела.

По рекомендации Федерального фонда обязательного медицинского страхования численность отдела отвечающего за информационную безопасность должна составлять не менее 5 человек О информационной безопасности региональных фондов обязательного медицинского страхования: Распоряжение директора ФФОМС от 13.10.2006 №22 // Документ опубликован не был.. При этом в отделе помимо его начальника должны работать два главных специалиста и два старших специалиста.

Нами была разработана необходимая структура отдела обеспечения информационной безопасности ЧОФОМС, она изображена на схеме 2.

Размещено на http://www.allbest.ru

Рис.2. - Авторский вариант структуры отдела обеспечения информационной безопасности ЧОФОМС

Планируемые функции сотрудников отдела:

1. Начальник отдела. Функции: Руководство разработкой документов, связанных с обеспечением комплексной информационной безопасности. Руководство работой ОКЗ и УЦ ЧОФОМС. Разработка технических заданий по развитию аппаратного и программного обеспечения ЧОФОМС, обеспечения отказоустойчивости ЦОД, серверного оборудования, систем хранения данных, систем бесперебойного питания ЦОД и других инженерных систем ЦОД ЧОФОМС. Координация всех направлений деятельности отдела, в том числе связанных с обеспечением комплексной информационной безопасностью фонда, отказоустойчивостью информационных систем, структурированных кабельных сетей. Руководство организацией защищенного информационного взаимодействия между всеми субъектами и участниками системы ОМС. Планирование работ по защите информации, формулировка задач по решению конкретных вопросов по защите информации и организация их выполнения. Осуществление анализа эффективности проводимых мероприятий по защите информации. Подготовка предложений руководству ЧОФОМС по совершенствованию системы защиты.

Первый главный специалист. Функции: Исполнение обязанностей главного специалиста ОКЗ и УЦ ЧОФОМС. Разработка локальных актов ЧОФОМС, связанных с обеспечением информационной безопасности. Разработка и заключение договоров, связанных с осуществлением защищенного информационного взаимодействием между субъектами и участниками ОМС в Челябинской области. Разработка регламентирующих и инструктивных документов, регулирующих правила защищенного информационного взаимодействия между всеми субъектами и участниками сферы ОМС Челябинской области. Быть в постоянном контакте со структурными подразделениями ЧОФОМС по вопросам информационной безопасности. В соответствии с Инструкцией, утвержденной приказом ФАПСИ от 13.06.2001 г. № 152 ведение поэкземплярного учета используемых СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, ключей от металлических хранилищ ОКЗ ЧОФОМС. Работа по организации ежегодного выпуска сертификатов ЭЦП для абонентских пунктов в МО и рабочих станций ЧОФОМС, ведение на каждого пользователя СКЗИ лицевого счета, в котором регистрируются числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы.

Второй главный специалист. Функции: Исполнение обязанностей администратора информационной безопасности ОКЗ и УЦ ЧОФОМС. Участие в формировании политики информационной безопасности ЧОФОМС. Администрирование сети ViPNet. Организация межсетевого обмена по защищенному каналу связи на базе сетей ViPNet. Администрирование ЦУС, УКЦ, УЦ ЧОФОМС. Осуществление контроля за применением средств защиты информации от НСД. Администрирование абонентских пунктов сети защищенного информационного обмена на базе ViPNet в ЧОФОМС и МО. Изготовление и уничтожение ключевых документов для СКЗИ. В соответствии с Договором с ФФОМС исполнение обязанностей оператора УЦ Криптопро ФФОМС. Организация и осуществление обмена по защищенному каналу связи с ФФОМС, Территориальными фондами ОМС, СМО, МО, ОПФР по Челябинской области, ЧРУ ФСС РФ, УФССП по Челябинской области, и другими организациями. Осуществление контроля за соблюдением условий хранения и использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФСБ и Инструкцией, утвержденной приказом ФАПСИ от 13 июня 2001 г. № 152.

Первый ведущий специалист. Функции: Исполнение обязанностей системного администратора ОКЗ и УЦ ЧОФОМС. Администрирование комплексной системы защиты информации в ЧОФОМС. Установка, настройка и обеспечение непрерывной работы средств защиты информации от несанкционированного доступа на компьютерах ЧОФОМС (SecretNet, ViPNet SafeDisk и др.). Контроль внесения изменений в конфигурацию аппаратно-программных средств, установку и настройку средств защиты. Проверка состояние используемых СЗИ от НСД, осуществление проверки правильности их настройки (выборочное тестирование). Организация контроля целостности печатей (пломб, наклеек) на рабочих станциях и серверном оборудовании. Осуществление тестирования средств защиты информации. Осуществление контроля установки и плановой замены паролей пользователей на доступ к информационным ресурсам ЧОФОМС. Контроль за соблюдением пользователями парольной защиты и полномочий доступа к информационным ресурсам ЧОФОМС.

Второй ведущий специалист. Функции: Исполнение обязанностей системного администратора ОКЗ и УЦ ЧОФОМС. Администрирование сети ViPNet. Установка (изъятие), настройка, установка обновления и обеспечение непрерывной работы ПО ViPNet на всех персональных компьютерах ЧОФОМС. Поддержка пользователей ПО ViPNet. Обучение лиц, использующих СКЗИ, правилам работы с ними.

Предложенная нами структура имеет линейно-функциональный характер.

Таким образом, необходимо дополнительно принять в отдел двух ведущих специалистов. Имеющих профильное высшее образование - информационная безопастность.

Заработная плата старшего специалиста в ЧОФОМС составляет 15 670 рублей в месяц Инструкция об оплате труда ЧОФОМС: Приказ директора ЧОФОМС от 12.10.2009г.// Документ опубликован не был..

Таким образом ежегодные дополнительные затраты на зарплату двух специалистов составят:

З/п * 12*2 = 15 670 * 12 * 2 = 376 080 рублей в год.

Страховые отчисления:

- 26 процентов в Пенсионный фонд Российской Федерации

- 2,9 процента в Фонд социального страхования Российской Федерации

- 5,1 процентов в Фонды обязательного медицинского страхования (Федеральный - 3,1; Территориальные - 2,0).

Страховые отчисления = (376 080 * 26%) +(376 080 * 2,9 %) * (376 080 * 5,1 %) = 97780,8 + 10906,32 + 19180,08 = 127867,2 рублей.

Таким образом, ежегодные дополнительные затраты на двух специалистов составят:

376 080 рублей + 127867,2 рублей = 503 947,2 рублей

Считаем, что данные затраты оправданны в связи с увеличением производительности труда отдела обеспечения информационной безопасности ЧОФОМС.

2. Так же проблемой является неудовлетворительная подготовка сотрудников отдела в области защиты информации. В настоящий момент в отделе только начальник имеет профильное образование по информационной безопастности.

Деятельность в области защиты информации является специфической и информационные технологии не стоят на месте, а ежегодно двигаются большими шагами вперед, поэтому мы считаем, что сотрудники отдела должны ежегодно проходить переаттестацию, получать более углубленные знания в учебных центрах по защите информации.

Данные курсы, например, проходят в Южно-Уральском государственном университете. Данные курсы повышения квалификации по технической защите информации ориентированы на практическую и теоретическую подготовку руководителей и специалистов, отвечающих за организацию работ по защите информации. Призвана помочь в организации, проведении и последующем контроле мероприятий по защите информации, составляющей государственную тайну, от утечки по техническим каналам и защите от несанкционированного доступа.

3. Считаю, что в связи со спецификой работы над защитой информации Отдел обеспечения информационной безопасности ЧОФОМС должен выйти из Управления информационного обеспечения и информационной безопасности ЧОФОМС. Соответственно управление после этого выделения отдела должно называться «Управлением информационного обеспечения». Считаю что отдел обеспечения информационной безопасности ЧОФОМС должен быть независимым структурным подразделением ЧОФОМС и подчиняться непосредственно директору фонда.

Для организации защиты персональных данных обрабатываемых ЧОФОМС необходимо реализовать комплекс мер, который позволит ограничить доступ к конфиденциальной информации, а в случае хищения носителей с конфиденциальной информацией, не даст возможность злоумышленникам воспользоваться ею.

1. Необходимо совершенствовать процедуру идентификации пользователей при входе в операционную систему, с которой может быть осуществлен доступ к конфиденциальной информации, хранимой на серверах ЧОФОМС (на серверах и персональных компьютерах в филиалах ЧОФОМС). В соответствии с Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) № 58 от 05 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных: Приказ ФСТЭК РФ от 05.02.2010 N 58 // Российская газета. 2010 г. 5 марта. для информационных систем 1 класса идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия установлена длиной не менее шести буквенно-цифровых символов.

2. Необходимо на все персональные компьютеры, с которых осуществляется доступ к конфиденциальной информации, установить систему защиты информации от несанкционированного доступа (далее СЗИ от НСД) «Secret Net». Данный продукт обладает сертификатами ФСТЭК РФ и может использоваться в автоматизированных системах до класса 1Б включительно и для защиты персональных данных в информационных системах персональных данных до класса К1 включительно.

«Secret Net» позволит:

- обеспечить разграничения доступа к защищаемой информации и устройствам;

- обеспечить идентификацию и аутентификацию пользователей;

- внедрить журнал событий, аудит и др.

3. Пароль пользователя во всех программах, работающих с конфиденциальной информацией, таких как «The Bat», «Полис Администратор», «Фомс-клиент» и др. не должен быть менее шести буквенно-цифровых символов, и не должен сохранятся на компьютере пользователя. Пользователю каждый раз при входе в программу необходимо самостоятельно вводить пароль.

4. Любой доступ сотрудников ЧОФОМС и сторонних организаций (таких как медицинские организации, страховые медицинские организации и др.) к конфиденциальной информации, в том числе с помощью ПО «Полис Администратор», «Фомс-клиент» должен осуществляться исключительно по защищенному каналу связи при помощи ПО ViPNet [Клиент].

5. Хранение конфиденциальной информации на персональных компьютерах сотрудников ЧОФОМС должно осуществляться в зашифрованном виде. Данную задачу можно реализовать при помощи СЗИ от НСД «ViPNet SafeDisk». Данный программный комплекс сертифицирован ФСТЭК России как СКЗИ и средство защиты от НСД, может использоваться в информационных системах персональных данных до 1 класса включительно и ФСБ России по требованиям к СКЗИ класса КС1/КС2.

Расчет внедрения Secret Net и ViPNet SafeDisk:

Стоимость одного СЗИ от НСД Secret Net v 6.5 ориентировочно 6 400 рублей;

Стоимость одного СЗИ от НСД ViPNet SafeDisk ориентировочно 3 300 рублей.

В ЧОФОМС его необходимо установить на 200 компьютерах.

ViPNet SafeDisk необходим только в 12 филиалах ЧОФОМС.

200 * 6 400 = 1 280 000 рублей.

12 * 3 300 = 39 600 рублей.

Следовательно для внедрения ПО Secret Net и ViPNet SafeDisk необходимо 1 280 000+39 600=1 319 600 рублей.

Данные средства заложены в бюджете ЧОФОМС на 2011 г. Всего на информационную безопасность планируется потратить 5 500 000 рублей.

6. В соответствии с ч. 3 ст. 14 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных», доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

В соответствии с изложенным необходимо на сайте ЧОФОМС (http://www.ofoms-chel.ru/) в разделе «поиск вашего полиса», форму запроса номера полиса ОМС привести в соответствие с ч. 3 ст. 14 ФЗ «О персональных данных». Так же данную услугу необходимо оборудовать защитой от автоматических запросов.

7. Для организации и обеспечения безопасности обработки с использованием шифровальных (криптографических) средств персональных данных ЧОФОМС необходимо:

а) в соответствии с п. 3.9. Типовых требований по организации и обеспечению функционирования шифровальных (криптографических средств), предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России № 149/6/6-622 21.02.2008 г. (далее Типовые требования) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" Утв. ФСБ РФ 21.02.2008 N 149/6/6-622 // Документ опубликован не был., аппаратные средства, с которыми осуществляется штатное функционирование криптосредств оборудовать средствами контроля за их вскрытием (опечатать, опломбировать).

б) в соответствии с п. 4.1 Типовых требований размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним (далее - режимные помещения), должны обеспечивать сохранность персональных данных, криптосредств и ключевых документов к ним.

в) в соответствии с п. 4.2 и 4.7. Типовых требований окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помещения посторонних лиц, необходимо оборудовать металлическими решетками или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в режимные помещения. Режимные помещения, как правило, должны быть оснащены охранной сигнализацией.

г) в соответствии с п. 4.3 Типовых требований размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

д) в соответствии с п. 4.8 Типовых требований для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.

Письмом № 1702/90-и от 29.03.2011 г., Федеральный фонд обязательного медицинского страхования предоставил информацию о результатах проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Одним из характерных нарушений, выявляемых Роскомнадзором, является несоблюдение требования ч. 4 ст. 6 Федерального закона «О персональных данных», а именно отсутствие в тексте договора существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании договора поручает обработку персональных данных другому лицу.

Таким образом, ЧОФОМС необходимо проанализировать заключенные договора, в которых поручается обработка персональных данных другому лицу, на наличие существенного условия - обеспечение конфиденциальности и безопасности персональных данных при их обработке.

В случае выявления несоответствия содержания договоров требованиям Федерального закона «О персональных данных», внести соответствующие изменения в договора.

Таким образом, в ЧОФОМС отделом обеспечения информационной безопасности осуществляется комплексная защита конфиденциальной информации, защищаются персональные данные работников ЧОФОМС, а так же организован защищенный электронный документооборот между ЧОФОМС его территориальными отделениями и больницами Челябинской области.

При этом в организации работы, по нашему мнению присутствуют определенные проблемы:

1. Отсутствие необходимого количества работников в отделе обеспечения информационной безопасности.

2. Отсутствие у работников отдела специализированного образования в сфере защиты информации.

3. Считаем, что отдел обеспечения информационной безопасности должен подчиняться непосредственно директору ЧОФОМС.

Заключение

Информационной безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Управление информационной безопасностью - это управление людьми, рисками, ресурсами, средствами защиты и т.п. Управление информационной безопасностью является неотъемлемым элементом управления и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов.

При анализе проблематики, связанной с информационной безопасностью в государственном и муниципальном управлении, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий в государственном и муниципальном управлении - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений государственными и муниципальными органами, позволяющие жить в темпе технического прогресса.

В ЧОФОМС ответственным за информационную безопасность является отдел «Обеспечения информационной безопасности», который является структурным подразделением Управления информационного обеспечения и информационной безопасности ЧОФОМС. Отдел состоит из трех человек, начальника отдела и двух главных специалистов.

Основными задачами отдела по обеспечению информационной безопасности в соответствии с Положением отдела обеспечения информационной безопасности являются:

- практическая реализация единой политики (концепции) обеспечения информационной безопасности ЧОФОМС, определение требований к системе защиты информации в аппарате Управления и структурных подразделениях, документообороту на бумажных и электронных носителях.

- осуществление комплексной защиты информации на всех этапах технологических циклов ее создания, переноса на носитель, обработки и передачи в соответствии с единой концепцией информационной безопасности.

- контроль за эффективностью предусмотренных мер защиты сведений, составляющих конфиденциальную информацию, персональные данные и иной информации.

- координация деятельности и методическое руководство при проведении работ по обеспечению информационной безопасности и защите информации.

Для организации возможности выдачи сертификатов ключей электронных цифровых подписей (ЭЦП) участникам защищенного электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области, в сентябре 2010 года был создан Удостоверяющий центр Челябинского областного фонда обязательного медицинского страхования. В настоящее время Удостоверяющий центр только начинает свою деятельность и сталкивается в ней с целым рядом проблем.

В частности, в соответствии со ст. 8 Федерального закона «Об электронной цифровой подписи» Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо. Организовать отдельное юридическое лицо, входящее в состав ЧОФОМС юридически не возможно. Поэтому при создании статусом УЦ был наделен сам Челябинский областной фонд обязательного медицинского страхования. В связи с этим Удостоверяющим центром стало не отдельное структурное подразделение ЧОФОМС, а была создана функциональная группа, которая совокупностью штатных, организационных, программных и технических мероприятий, обеспечивает деятельность по изготовлению и управлению сертификатами ключей подписей участников защищенного электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области и выполняет целевые функции удостоверяющего центра.

В итоге, из-за несовершенства законодательства происходит терминологическая путаница, что является на самом деле удостоверяющим центом: 1) сам ЧОФОМС как юридическое лицо; 2) Функциональная группа, которая выполняет функции удостоверяющего центра, или 3) совокупность аппаратно-программных единиц.

Считаю, что для решения данной ситуации необходимо внесение изменений в ст. 8 Федерального закона «Об электронной цифровой подписи», на наш взгляд она должна выглядеть следующим образом:

«Деятельность удостоверяющего центра может осуществляться юридическим лицом, структурным подразделением юридического лица или индивидуальным предпринимателем. Если удостоверяющим центром является структурное подразделение юридического лица, установленные настоящим Федеральным законом права, обязанности и ответственность удостоверяющего центра возлагаются на юридическое лицо, структурным подразделением которого является удостоверяющий центр».

Основными проблемами обеспечению информационной безопасности ЧОФОМС являются:

1. Отсутствие необходимого количества работников в отделе обеспечения информационной безопасности. В настоящий момент их численность составляет 3 человека, считая начальника отдела. По рекомендации Федерального фонда обязательного медицинского страхования численность отдела отвечающего за информационную безопасность должна составлять не менее 5 человек. В ходе выполнения исследования нами была разработана необходимая структура отдела обеспечения информационной безопасности ЧОФОМС.

Мы пришли к выводу, что в Отдел обеспечения информационной безопасности необходимо приять двух ведущих специалистов.

2. Проблемой является неудовлетворительная подготовка сотрудников отдела в области защиты информации. Считаем, что сотрудники отдела должны ежегодно проходить переаттестацию, получать более углубленные знания в учебном центре Южно-Уральского государственного университета.

3. Считаем, что отдел обеспечения информационной безопасности ЧОФОМС должен выйти из Управления информационного обеспечения и информационной безопасности ЧОФОМС. Отдел быть независимым структурным подразделением ЧОФОМС и подчиняться непосредственно директору фонда.

информационная безопасность государственное управление

Список использованных источников и литературы

1. Нормативно-правовые акты

Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993г.) // Российская газета. 1993. 25 декабря.

Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от 24.02.2010) // Собрание законодательства РФ. 2006. N 52 (1 ч.). Ст. 5496.

Гражданский кодекс Российской Федерации (часть первая): Федеральный закон от 30 ноября 1994 года № 51-ФЗ // Российская газета. 1994. 8 декабря.

Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3448.

О средствах массовой информации: Закон РФ от 27.12.1991 N 2124-1 (ред. от 09.02.2009) // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300.

О безопасности: Закон РФ от 05.03.1992 N 2446-1 (ред. от 26.06.2008) // Ведомости СНД и ВС РФ. 1992. N 15. Ст. 769.

О государственной тайне: Закон РФ от 21.07.1993 N 5485-1 (ред. от 18.07.2009) // Собрание законодательства РФ. 1997. N 41. Ст. 8220-8235.

О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации: Федеральный закон от 13.01.1995 N 7-ФЗ (ред. от 12.05.2009) // Собрание законодательства РФ. 1995. N 3. Ст. 170.

Об обязательном экземпляре документов: Федеральный закон от 29.12.1994 N 77-ФЗ (ред. от 23.07.2008) // Собрание законодательства РФ. 1995. N 1. Ст. 1.

Об электронной цифровой подписи: Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127.

О персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 27.07.2010) // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3451.

Окинавская хартия глобального информационного общества (Принята на о. Окинава 22.07.2000) // Дипломатический вестник. 2000. N 8. С. 51 - 56.

О дополнительных мерах по обеспечению единства правового пространства Российской Федерации: Указ Президента РФ от 10.08.2000 N 1486 (ред. от 18.01.2010) // Собрание законодательства РФ. 2000. N 33. Ст. 3356.

О информационной безопасности региональных фондов обязательного медицинского страхования: Распоряжение директора ФФОМС от 13.10.2006 №22 // Документ опубликован не был.

Положение отдела обеспечения информационной безопасности ЧОФОМС: Приказ директора ЧОФОМС от 23.11.2007 г. № 36-2 // документ опубликован не был. Архив ЧОФОМС.

Протокол обмена документами по телекоммуникационным каналам связи в системе электронного документооборота ЧОФОМС // документ опубликован не был. Архив ЧОФОМС.

Инструкция об оплате труда ЧОФОМС: Приказ директора ЧОФОМС от 12.10.2009г.// документ опубликован не был.

2. Литература

Зайцев Л.Г. Стратегический менеджмент. М.: Юристъ, 2008. 546с.

Кирсанов К.А. Информационная безопасность. М.:МАЭП, ИИК «Калита», 2009. 648с.

Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2009. С. 159с.

Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2008. С. 137с.

Снытников А.А. Лицензирование и сертификация в области защиты информации. М.: ГелиосАРВ, 2008. 192с.

Терентьев А.И. Введение в информационную безопасность. М.:МГТУ ГА, 2008. 144с.

3. Интернет-источники

Челябинский областной фонд обязательного медицинского страхования. URL: Официальный сайт. URL: http://ofoms-chel.ru/.

Приложение 1.

Форма заявления на изготовление сертификата ключа ЭЦП лицу ответственному за осуществление защищенного информационного обмена бюджетных учреждений здравоохранения челябинской области

УТВЕРЖДАЮ Исполнительный директор Челябинского областного фонда ОМС ______________М.Г. Вербтский “___”_________________ 2010 г.

В удостоверяющий центр Челябинского Областного фонда ОМС

Адрес: г. Челябинск, пл. Мопра, д.8 «а»

ЗАЯВЛЕНИЕ

на изготовление сертификата ключа ЭЦП в УЦ ЧОФОМС

_____________________________________________________________

(полное наименование организации, включая организационно-правовую форму)

в лице ________________, ______________________________________,

(должность) (фамилия, имя, отчество)

действующего (ей) на основании _____________________________, просит выдать сертификат ключа электронной цифровой подписи (ЭЦП) сроком на один год для работы со средством криптографической защиты (СКЗИ) ViPNet [Клиент] лицу, ответственному за осуществление защищенного информационного обмена, в соответствии с указанными в таблице № 1 настоящего заявлении идентификационными данными владельца сертификата ключа подписи:

Таблица №1

1.	ФИО*
2.	Паспортные данные (серия, номер, кем и когда выдан)
3.	Адрес регистрации
3.	Организация
4.	Адрес организации
5.	Подразделение
6.	Должность
7.	Служебный телефон

*Все поля заполняются максимально полно. Фамилия, имя, отчество впечатываются полностью без сокращений в ИМЕНИТЕЛЬНОМ ПАДЕЖЕ, все поля заполняются исключительно в печатном виде, путем редактирования на компьютере с последующем распечатыванием на принтере. Заполнение «от руки» НЕДОПУСТИМО.

На основании Приказа № ____ от «__» __________ 20 __ г. «О назначении ответственного за осуществление защищенного информационного обмена» (копия которого прилагается), ответственному за осуществление защищенного информационного обмена предоставлены полномочия на эксплуатацию СКЗИ ViPNet [Клиент] и использование ЭЦП при защищенном обмене информацией.

Настоящим,___________________________________________________

(ФИО лица ответственного за осуществление защищенного информационного обмена)

в целях организации защищенного информационного обмена, своей волей и в своем интересе признает, что персональные данные, указанные в таблице № 1 настоящего заявления, являются общедоступными и соглашается с обработкой своих персональных данных УЦ Челябинского Областного фонда ОМС, ознакомлен (на) с Правилами защищенного информационного обмена, Регламентом УЦ ЧОФОМС и приложениями к ним, и полностью обязуется соблюдать все их положения.

Лицо ответственное за осуществление защищенного информационного обмена:

_____________ / ________________________________

(подпись) (Фамилия. И.О.)

«___» ________________ 20___ г.

Сведения предоставлены на основании подлинных документов и являются достоверными.

_________________________ __________ / _______________________

(Должность руководителя организации) (подпись) (Фамилия И.О.)

«__» ________________ 20__ г. М.П.

Приложение № 2

Форма приказа о назначении уполномоченного лица ответственного за осуществление защищенного информационного обмена в бюджетном учреждении здравоохранения челябинской области

УТВЕРЖДАЮ Исполнительный директор Челябинского областного фонда ОМС _______________М.Г. Вербитский “___”__________________ 2010 г.

ПРИКАЗ № ___

О назначении в ________________________________________

(полное наименование организации, включая организационно-правовую форму)

ответственного за осуществление защищенного информационного обмена

Для организации защищенного обмена информацией на рабочем месте Абонента (Медис-Транспорт (ФОМС-клиент) № _______), расположенном по адресу: ____________________________________________________,

(подробный адрес с указанием населенного пункта, улицы, дома, этажа и номера кабинета)

приказываю:

1. Наделить полномочиями, для работы со средством криптографической защиты (СКЗИ) ViPNet [Клиент] и использования ЭЦП при защищенном обмене информацией, следующего сотрудника:

Ф. И. О*.	Подразделение, должность

(*Все поля заполняются максимально полно. Фамилия, имя, отчество впечатываются полностью без сокращений в ИМЕНИТЕЛЬНОМ ПАДЕЖЕ, все поля заполняются исключительно в печатном виде, путем редактирования на компьютере с последующем распечатыванием на принтере. Заполнение «от руки» НЕДОПУСТИМО.)

2. Возложить функции и обязанности Администратора безопасности по организации, обеспечению и контролю мероприятий по защите информации, обучению, инструктажу, а также функции Администратора по организации и обеспечению надежной бесперебойной эксплуатации программно-технических средств ViPNet [Клиент] в соответствии с требованиями технической и эксплутационной документацией на ______________________

(должность)

_____________________________________________________________

(фамилия имя отчество)

наделить его соответствующими правами и полномочиями.

3. Ответственный за осуществление защищенного информационного обмена обязан:

1) не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;

2) хранить в тайне закрытый ключ электронной цифровой подписи;

3) немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

4. Назначенные в п. 1 и п. 2 настоящего приказа сотрудники несут персональную ответственность за:

- неправомерную передачу конфиденциальной информации;

- сохранение в тайне конфиденциальной информации, ставшей им известной в процессе обмена информацией;

- сохранение в тайне закрытых ключей ЭЦП и иной ключевой информации;

- соблюдение правил эксплуатации средств ViPNet [Клиент].

5. Сотрудников, назначенных в п. 1 и п. 2 настоящего приказа, ознакомить под роспись с настоящим приказом.

6. Контроль за выполнением настоящего приказа оставляю за собой.

7. Настоящий приказ вступает в силу со дня его подписания.

________________________________ ____________ / _

(Должность руководителя организации) (подпись) (Фамилия И.О.)

«___» ________________ 20___ г. М.П.

Приложение 3

Приложение № __ к приказу ЧОФОМС

№ _____ от _________ 2011 г.

УТВЕРЖДАЮ

Исполнительный директор

ЧОФОМС

____________М.Г. Вербитский

Инструкция по безопасной эксплуатации средств криптографической защиты (СКЗИ) при защищенном информационного обмена в защищенном сегменте единого информационного пространства системы обязательного медицинского страхования Челябинской области

I. Термины и определения

1.1. В настоящей Инструкции по безопасной эксплуатации средств криптографической защиты при защищенном информационного обмена в защищенном сегменте единого информационного пространства системы обязательного медицинского страхования Челябинской области (далее -Инструкция) применяются следующие термины и определения:

Средства криптографической защиты информации (СКЗИ) - совокупность программно-технических средств, обеспечивающих применение ЭЦП и/или шифрования при осуществлении защищенного информационного обмена.

Безопасность эксплуатации СКЗИ - совокупность мер управления и контроля, защищающая СКЗИ и криптографические ключи от несанкционированного (умышленного или случайного) их раскрытия, модификации, разрушения или использования.