Анализ и управление информационными рисками связанными с
advertisement
Оглавление Введение Глава 1. Теоретические основы информационной безопасности в российской Федерации 1.1 Понятие информационной безопасности. Важность проблемы информационной безопасности в государственном и муниципальном управлении 1.2 Нормативно-правовые основы информационной безопасности в Российской Федерации 1.3 Управление информационной безопасностью Глава 2. Организация работы по обеспечению информационной безопасности Территориального фонда обязательного медицинского страхования (ТФОМС) Тюменской области. 2.1 Практика организации работы по обеспечению информационной безопасности ТФОМС 2.2 Анализ и управление информационными рисками в ТФОМС Тюменской области, связанной с внешними угрозами со стороны медицинских организаций (МО) и страховых медицинских организаций (СМО). - Описание бизнес процессов, связанных с внешним информационным взаимодействием ТФОМС; - Классификация организаций, с которыми взаимодействует ТФОМС, по уровню угроз информационной безопасности; - определение объемов информации, частоты взаимодействия. Определение основных рисков; - оценка рисков и предложения по поводу снижения уровня этих рисков. 2.3 Проблемы и направления совершенствования работы по обеспечению информационной безопасности ТФОМС Заключение Список использованных источников и литературы Приложения Введение Повышение роли информации, быстрое развитие информационных технологий и средств информационного обеспечения - одна из важнейших прогрессивных тенденций мирового развития в направлении достижения человечеством постиндустриальной ступени цивилизации и информационного общества. Неправомерное искажение, уничтожение или разглашение определенной части информации, а также дезорганизация процессов ее обработки и передачи наносят серьезный материальный и моральный ущерб как государству в целом, так и юридическим и физическим лицам. В частности, к сожалению, частота этих нарушений увеличивается из года в год. Важность проблемы защиты информации в нашей стране подчеркивает факт создания по инициативе Президента РФ Доктрины информационной безопасности. Методы обеспечения информационной безопасности Российской Федерации согласно Доктрине разделяются на правовые, организационно-технические и экономические. Целью работы – на основе комплексного анализа обеспечения информационной безопасности ТФОМС Тюменской области выявить возникающие проблемы связанные с внешними угрозами со стороны медицинских организаций, страховых медицинских организаций и предложить рекомендации по их устранению. Для достижения поставленной цели решаются следующие задачи: 1. дать понятие информационной безопасности; 2. рассмотреть важность проблемы информационной безопасности в государственном и муниципальном управлении; 3. проанализировать нормативно-правовые основы информационной безопасности в Российской Федерации; 4. охарактеризовать управление информационной безопасностью; 5. рассмотреть практику организации работы по обеспечению информационной безопасности Тюменского областного фонда обязательного медицинского страхования; 6. проанализировать проблемы связанные с управлением информационными рисками связанными с внешними угрозами со стороны медицинских организаций и страховых медицинских организаций 7. выявить проблемы и рассмотреть направления совершенствования работы по обеспечению информационной безопасности территориального фонда обязательного медицинского страхования Тюменской области. 8. Провести оценку рисков и дать предложения по снижения уровня этих рисков. Объект исследования – ТФОМС Тюменской области. Предмет исследования – анализ и управление информационными рисками в ТФОМС Тюменской области, связанными с внешними угрозами со стороны МО и СМО. В работе использовались методы анализа и синтеза, индукции и дедукции, наблюдения и сравнения. В качестве общенаучных методов, с помощью которых проводилось исследование, использовались метод структурного анализа, системный и исторический методы. К специальным методам, использовавшимся в работе, следует отнести сравнительно-правовой, исторический, формально-юридический метод, методы правового моделирования. При решении конкретных задач использовались труды отечественных и зарубежных ученых в области информационной безопасности, государственного регулированию информационной безопасности, государственному и муниципальному управлению. Информационную базу исследования составили законы и законодательные акты, разработки ведущих научных школ в области информационной безопасности и страхования, а также данные статистических сборников и проектные материалы научной периодики, конференций и семинаров. Практическая значимость работы определяется наличием рекомендаций по совершенствованию работы обеспечения информационной безопасности в Тюменском областном фонде обязательного медицинского страхования. Глава 1. Теоретические основы информационной безопасности в российской Федерации 1.1 Понятие информационной безопасности. Важность проблемы информационной безопасности в государственном и муниципальном управлении Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационные ресурсы, содержащие сведения, имеющие отношение к обеспечению национальной безопасности, зачастую становятся объектами противоправных посягательств, поэтому в целях обеспечения информационной безопасности и защиты информации законодатель установил правила обращения с информацией и отдельными ее видами, правовые запреты их нарушения и соответствующие меры юридической ответственности. Нормы административного законодательства, регулируя те или иные правила информационной безопасности и защиты информации, выполняют превентивнопрогностическую функцию в сфере обеспечения общественной безопасности, которая, по мнению М.Г. Сальникова, как система общественных отношений образует закрепленную в Конституции РФ и административно-правовых нормах систему прав, обязанностей, гарантий и ответственности личности1. Механизм взаимосвязи между состоянием информационной и общественной безопасности и развитием науки и техники и особенно в современных условиях глобальной сети информационных технологий приобретает качественно новое содержание, поскольку задача правовой регламентации в сфере обеспечения информационной безопасности и защиты информации решается в общемировом масштабе2. Новейшая история свидетельствует, что научно-технический прогресс последних нескольких поколений кардинальным образом изменил общественное поведение человека в социальной и природной среде, которая, выйдя из состояния гомеостаза, приобрела определенную неустойчивость и в силу данного качества стала представлять общественную 1 См.: Сальников М.Г. Административно-правовое положение граждан в сфере общественной безопасности: Автореф. дис. ... канд. юрид. наук. Омск, 2009. С. 9. 2 См.: Моисеев Н. Проблемы глобальной безопасности. М., 2008. С. 127. опасность на транснациональном уровне и потребовала принятия комплекса мер по многоаспектному информированию общественности в целях самосохранения3. Отсюда следует, что задача обеспечения информационной безопасности и защиты информации предполагает изучение гносеологических, мировоззренческих, организационно-управленческих, правовых, психолого-педагогических и иных аспектов проблемы правоохранительной политики. Среди особенностей, в частности, административно-правового обеспечения информационной безопасности и защиты информации следует выделить комплекс государственно-правовых, социально-экономических и т.п. отношений, динамично складывающихся в информационной сфере жизнедеятельности общества и нуждающихся в перспективном правовом регулировании, а по существу, в разработке не столько норм об административной ответственности, сколько комплекса правил, например, хранения, пользования, передачи, распространения и защиты информации, относящейся к различным видам информационных ресурсов. В связи с тем что доступ граждан к информации имеет определенные процедуры, систематизированные в научной литературе, в рамках настоящего исследования можно их классифицировать следующим образом4. Федеральный закон от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» определяет, что информация - это сведения (сообщения, данные) независимо от формы их представления. Информация имеет различный социально значимый характер, а также может иметь различную целевую направленность. Говоря об информационной безопасности, следует сказать, что Закон РФ от 5 марта 1992 г. «О безопасности» определяет, что безопасность - это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. Приведенное определение является общим для всех видов безопасности. В литературе, посвященной исследованию феномена «безопасность», данная категория в последнее время приобретает широкое распространение в западноевропейских государствах и означает состояние, ситуацию спокойствия, появляющуюся в результате отсутствия реальной опасности (как физической, так и моральной), а также материальные, экономические и политические условия, способствующие созданию данной ситуации. 3 См.: Урсул А.Д. На пути к информационно-экологическому обществу // Философские науки. 1991. N 5. С. 16. 4 См.: Помазуев А.Е. Административные процедуры доступа граждан к публичной информации: Автореф. дис. ... канд. юрид. наук. Екатеринбург, 2007. С. 19. Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин» информационная безопасность» используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. В Федеральном законе РФ «Об информации, информационных технологиях и о защите информации» информационная безопасность определяется аналогичным образом как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства5. Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности - это оборотная сторона использования информационных технологий. Из этого положения можно вывести два важных следствия: Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором «да нет у нас никаких секретов, лишь бы все работало». Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3448. 5 учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте6. Возвращаясь к вопросам терминологии, отметим, что термин «компьютерная безопасность» (как эквивалент или заменитель информационной безопасности) представляется нам слишком узким. Компьютеры - только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек. Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций. Обратим внимание, что в определении информационной безопасности перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений. Информационная безопасность - многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного копирования информации. 6 Кирсанов К.А. Информационная безопасность. М., 2009. С. 48. Поясним понятия доступности, целостности и конфиденциальности. Доступность - это возможность за приемлемое время получить требуемую информационную непротиворечивость услугу. Под целостностью информации, ее подразумевается защищенность от актуальность и разрушения и несанкционированного изменения. Наконец, конфиденциальность - это защита от несанкционированного доступа к информации. Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления - производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия - и материальные, и моральные - может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.). Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений7. Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса - все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность - самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических 7 Терентьев А.И. Введение в информационную безопасность. М, 2008. С. 34. каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы8. Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует информационные системы, на первом месте стоит доступность. Практически не уступает ей по важности целостность - какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальные моменты есть также у многих организаций и отдельных пользователей (например, пароли). Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю национальном, отраслевом, корпоративном или персональном. При анализе проблематики, связанной с информационной безопасностью в государственном и муниципальном управлении, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий в государственном и муниципальном управлении - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений государственными и муниципальными органами, позволяющие жить в темпе технического прогресса. К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности деятельности государственных и муниципальных органов. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении информационных систем. 8 Кирсанов К.А. Информационная безопасность. М., 2009. С. 49. жизненного цикла Приведем несколько цифр. В марте 2009 года был опубликован очередной, четвертый по счету, годовой отчет «Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции». В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32%); 30% сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% государственных и муниципальных органов принимавших участие в этом исследовании; в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос «были ли взломаны ваши Web-серверы за последние 12 месяцев?» ответили «не знаю»9. В аналогичном отчете, опубликованном в апреле 2008 году, цифры изменились, но тенденция осталась прежней: 90% (преимущественно из крупных учреждений и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно)10. Увеличение числа атак на информационные ресурсы государственных и муниципальных органов - еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении и, как следствие, появляются новые виды атак. В таких условиях системы информационной безопасности государственных и муниципальных органов должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих информационной безопасности - доступности, целостности или конфиденциальности. 1.2 Нормативно-правовые основы информационной безопасности в Российской Федерации 9 Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2009. С. 56-59. 10 Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2008. С. 47. Вопросы доступа к информации, формирования и использования информационных ресурсов и защиты информации затрагиваются непосредственно в Конституции Российской Федерации11, а также таких актах, как законы Российской Федерации: от 27 декабря 1991 г. № 2124-I «О средствах массовой информации»12, от 05.03.1992 г. № 2446I «О безопасности»13, от 21 июля 1993 г. № 5485-I «О государственной тайне»14, и федеральные законы: часть четвертая ГК РФ15, ФЗ от 13 января 1995 г. № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации»16, от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»17, от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов»18, от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи»19, от 27.07.2006 г. № 152-ФЗ «О персональных данных»20 и многих других. Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993г.) // Российская газета. 1993. 25 декабря. 12 О средствах массовой информации: Закон РФ от 27.12.1991 N 2124-1 (ред. от 09.02.2009) // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300. 13 О безопасности: Закон РФ от 05.03.1992 N 2446-1 (ред. от 26.06.2008) // Ведомости СНД и ВС РФ. 1992. N 15. Ст. 769. 14 О государственной тайне: Закон РФ от 21.07.1993 N 5485-1 (ред. от 18.07.2009) // Собрание законодательства РФ. 1997. N 41. Ст. 8220-8235. 15 Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от 24.02.2010) // Собрание законодательства РФ. 2006. N 52 (1 ч.). Ст. 5496. 16 О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации: Федеральный закон от 13.01.1995 N 7-ФЗ (ред. от 12.05.2009) // Собрание законодательства РФ. 1995. N 3. Ст. 170. 17 Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3448. 18 Об обязательном экземпляре документов: Федеральный закон от 29.12.1994 N 77-ФЗ (ред. от 23.07.2008) // Собрание законодательства РФ. 1995. N 1. Ст. 1. 19 Об электронной цифровой подписи: Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127. 20 О персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 27.07.2010) // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3451. 11 В Гражданском кодексе Российской Федерации21 фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах информационной безопасности и наличие доступных (и законных) средств обеспечения конфиденциальности. В рамках обсуждаемой проблемы нельзя не сказать о важности принятого 10 января 2002 года Федерального закона № 1-ФЗ «Об электронной цифровой подписи»22. Длительность его разработки, сложности согласования положений и острые дискуссии, появление ряда альтернативных проектов, несомненно, свидетельствуют о его роли в информационной сфере и объясняются важностью этого вопроса как для специалистов в области криптографии, связи, юристов, так и для всех пользователей. Обеспечение доверия к электронной подписи и ее правовое признание является обязательным элементом заключения договоров в электронной торговле, передачи права собственности и обязательственных прав, а также совершение иных юридически значимых действий посредством электронной связи. Данный Федеральный закон устанавливает правовую основу для использования электронной цифровой подписи, определяет полномочия органов, удостоверяющих открытые ключи электронной цифровой подписи, а также права, обязанности и ответственность физических и юридических лиц, участвующих в деятельности, связанной с применением электронной цифровой подписи. Правовое урегулирование применения электронной цифровой подписи необходимо и для дальнейшей работы над целым рядом законопроектов. Так, остаются неурегулированными вопросы участия России в мировой системе электронной торговли или, что вероятно правильнее, электронной коммерции, поскольку не вполне корректным является отождествление слова «торговля» с такими, например, сделками, как банковский счет, доверительное управление имуществом, простое товарищество, публичное обещание награды, публичный конкурс. Нельзя не отметить, что правовое регулирование использования электронной цифровой подписи необходимо и для разработки законопроекта «Об электронном 21 Гражданский кодекс Российской Федерации (часть первая): Федеральный закон от 30 ноября 1994 года № 51-ФЗ // Российская газета. 1994. 8 декабря. 22 Об электронной цифровой подписи: Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08 ноября 2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127. документе», которая была поручена Правительством Российской Федерации ряду министерств и ведомств. Данный закон необходим для обеспечения правовой основы использования электронной формы документов в гражданском обороте и в сфере государственного управления, однако указанный законопроект находится в стадии разработки. Следует отметить, что правовые условия использования электронного документа в значительной мере уже определены действующими федеральными законами или включены в подготавливаемые законопроекты, в связи с чем высказывается и такая точка зрения, что дальнейшее развитие законодательства в данной сфере должно осуществляться путем внесения в действующие законодательные изменений и дополнений, конкретизирующих использование электронных документов в различных сферах деятельности. Правовое регулирование в области информационной безопасности занимает особое место в рамках рассматриваемой проблемы развития законодательства в информационной сфере. Это подчеркнуто и в Окинавской Хартии Глобального информационного общества23, где задача формирования нормативной базы в этой области определена как одна из приоритетных. Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности одобрены «Основные направления нормативного правового обеспечения информационной безопасности Российской Федерации» (Решение № 5.4 от 27.11.08). Указанным документом определяются цели и принципы нормативного правового направления обеспечения информационной государственной политики безопасности в области Российской Федерации, противодействия угрозам информационной безопасности и задачи их нормативного правового обеспечения, а также первоочередные меры по совершенствованию нормативного правового обеспечения информационной безопасности Российской Федерации. В целях развития положений Доктрины информационной безопасности и обеспечения единства правового пространства Российской Федерации требуется определение основ федеральной политики в области обеспечения информационной безопасности субъектов Российской Федерации. Это важный аспект информационной безопасности, который также получил отражение в «Основных направлениях нормативного правового обеспечения информационной безопасности Российской Федерации». Для Минюста России и его территориальных органов в субъектах Российской Федерации это особенно важно в связи с возложением Указом Президента Российской Федерации от 10 Окинавская хартия глобального информационного общества (Принята на о. Окинава 22.07.2000) // Дипломатический вестник. 2000. N 8. С. 51 - 56. 23 августа 2000 № 1486 функций по созданию и ведению федерального банка нормативных правовых актов субъектов Российской Федерации - федерального регистра24. Необходим серьезный анализ регионального законодательства в информационной сфере, требует проработки на основании Посланий Президента Российской Федерации Федеральному Собранию Российской Федерации и вопрос о государственном учете актов органов местного самоуправления. Таким образом, правовое регулирование в области информационной безопасности занимает особое место в рамках рассматриваемой проблемы развития законодательства в информационной сфере. Требует совершенствования и организация правотворческого процесса в области обеспечения информационной безопасности Российской Федерации. Этот процесс может базироваться на иерархической системе концептуальных документов Президента Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, органов государственной власти субъектов Российской Федерации, определяющих основные цели противодействия угрозам информационной безопасности, методы и правовые механизмы осуществления этого противодействия, привлекаемые для этого силы и средства, а также приоритеты в развитии правового регулирования в данной области. 1.3 Управление информационной безопасностью Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление. Информационная безопасность невозможно обеспечить разовым мероприятием, поскольку средства защиты нуждаются в постоянном контроле и обновлении. Управление информационной безопасностью - это управление людьми, рисками, ресурсами, средствами защиты и т.п. Управление информационной безопасностью является неотъемлемым элементом управления и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов. Управление информационной безопасностью - это циклический процесс, включающий: осознание степени необходимости защиты информации; 24 О дополнительных мерах по обеспечению единства правового пространства Российской Федерации: Указ Президента РФ от 10.08.2000 N 1486 (ред. от 18.01.2010) // Собрание законодательства РФ. 2000. N 33. Ст. 3356. сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля; распределение ролей и ответственности; обучение и мотивацию персонала; оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия25. Для обеспечения необходимого уровня информационной безопасности в государственном или муниципальном учреждении создается комплексная система управления информационной безопасностью (СУИБ). Конечной целью создания такой системы является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), преднамеренно наносимого злоумышленниками либо непреднамеренно - нерадивыми работниками учреждения посредством нежелательного воздействия на информацию, ее носители и процессы обработки. Согласно стандарту ISO 27001, система управления информационной безопасностью (СУИБ) - это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы. Основной доступности, задачей системы целостности и является обеспечение конфиденциальности необходимого компонентов уровня (ресурсов) информационной безопастности. Какие преимущества компании дает внедрение СУИБ и ее сертификация на соответствие международным стандартам: повышение управляемости; повышение защищенности ключевых процессов учреждения; повышение доверия к учреждению; Таким образом, Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. Управление информационной безопасностью Снытников А.А. Лицензирование и сертификация в области защиты информации. М.: ГелиосАРВ, 2008. С. 69. 25 - это управление людьми, рисками, ресурсами, средствами защиты и т.п. Управление информационной безопасностью является неотъемлемым элементом управления и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов. В заключении отметим, что согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность. При анализе проблематики, связанной с информационной безопасностью в государственном и муниципальном управлении, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий в государственном и муниципальном управлении - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программнотехнические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений государственными и муниципальными органами, позволяющие жить в темпе технического прогресса. Глава 2. Организация работы по обеспечению информационной безопасности ТФОМС Тюменской области 2.1 Практика организации работы по обеспечению информационной безопасности ТФОМС Тюменской области. Территориальный фонд обязательного медицинского страхования (далее - ТФОМС) Тюменской области создан для реализации государственной политики в сфере обязательного медицинского страхования как составной части государственного социального страхования. В ТФОМС ответственным за информационную безопасность является отдел «информационного обеспечения» (далее отдел). Отдел в своей деятельности руководствуется Конституцией Российской Федерации26, федеральными конституционными законами, федеральными законами, указами и распоряжениями Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации, международными договорами Российской Федерации и локальными актами ТФОМС. Делопроизводство и мероприятия по обеспечению режима секретности в отделе осуществляются в порядке, установленном федеральным законодательством. Одной из основных задач отдела в соответствии с Положением отдела является обеспечение информационной безопасности, а именно: - практическая реализация единой политики (концепции) обеспечения информационной безопасности ТФОМС, определение требований к системе защиты информации, документообороту на бумажных и электронных носителях. - осуществление комплексной защиты информации на всех этапах технологических циклов ее создания, переноса на носитель, обработки и передачи в соответствии с единой концепцией информационной безопасности. - контроль составляющих за эффективностью конфиденциальную предусмотренных информацию, мер персональные защиты данные сведений, и иной информации. - координация деятельности и методическое руководство при проведении работ по обеспечению информационной безопасности и защите информации. Отдел выполняет следующие функции: Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 года) // Российская газета. 1993. 25 декабря. 26 - реализация единой политики защиты интересов ТФОМС от угроз в информационной сфере; - обеспечение методического руководства аппаратом ТФОМС и структурными подразделениями при проведении работ по защите информации; - обеспечение технической защиты информации; - определение в пределах своей компетенции режима и правил обработки, защиты информационных ресурсов и доступа к ним; - осуществление контроля за эффективностью предусмотренных мер защиты конфиденциальной информации в ТФОМС; - проведение экспертиз договоров ТФОМС со сторонними организациями по вопросам обеспечения безопасности при обмене информацией; - обеспечение защиты информации в выделенных и защищаемых помещениях ТФОМС, а также при передаче по техническим каналам связи; - осуществление согласования технических порядков по технологиям, связанным с информационным обменом и документооборотом; - участие в проектировании, приемке, сдаче в промышленную эксплуатацию программных и аппаратных средств (в части требований к средствам защиты информации); - осуществление контроля за соблюдением правил безопасной эксплуатации аппаратно-программных средств, нормативных требований, сертификатов и лицензий на программные и аппаратные средства (в том числе средства защиты информации); - осуществление контроля за разрешительной системой допуска исполнителей к работе с защищаемой информацией; - осуществление мониторинга информации, циркулирующей в сетях, системах и защищаемых помещениях ТФОМС, использование аппаратно-программных средств предотвращения и пресечения утечки информации; - организация мероприятий по проведению специальных проверок выделенных помещений и технических средств с целью проведения их аттестации и сертификации на соответствие нормам защиты информации; - участие в проектировании, приемке и сдаче в эксплуатацию специальных средств и систем предотвращения утечки конфиденциальной информации по естественным и искусственно созданным каналам; - участие в согласовании кандидатур граждан, назначаемых на должности, связанные с выполнением обязанностей по управлению информационными ресурсами, администрированию и сопровождению вычислительных средств, проектированию и разработке информационных программ в ТФОМС; - взаимодействие с органами исполнительной власти Тюменской области, исполняющими контрольные функции, при организации в установленном порядке мероприятий по технической защите информации; - участие в проверках по вопросам, относящимся к компетенции Отдела, в обобщении и анализе их результатов (при необходимости организация тематических проверок); - участие в обучении работников ТФОМС, МО и СМО, проведение совещаний, семинаров, оказание практической помощи территориальным отделам ТФОМС по вопросам информационной безопасности; - осуществление иных функций по поручениям руководства ТФОМС. Структура отдела изображена на рисунке 1. Начальник отдела Главный специалист отдела Главный специалист отдела Рис. 1. - Структура Отдела обеспечения информационной безопасности ТФОМС При осуществлении контроля за эффективностью предусмотренных мер защиты конфиденциальной информации в ТФОМС отделом при помощи аппаратного и программного обеспечения были показаны следующие результаты работы: 1. По рекомендации Отдела были приобретены 210 лицензий на право использования программного продукта Антивирус Касперского. Антивирус обеспечивает полную защиту компьютеров ТФОМС под управлением Windows 2000/XP/Vista/7. Антивирус имеет клиент-серверную архитектуру. Установка клиентов производится на защищаемые рабочие станции. Антивирусный сервер обеспечивает централизованное администрирование процессов развертывания, обновления вирусных баз и программных модулей компонентов, мониторинга состояния сети, рассылки извещений о вирусных событиях, сбора статистики. 3. Внедрен защищенный документооборот между ТФОМС и его территориальными отделениями, МО, СМО, Департаментом Здравоохранения Тюменской области, Департаментом информатизации и другими органами исполнительной власти. Защита оборота документов осуществляется при помощи программного обеспечения ViPNet [Клиент], которое обеспечивает защиту компьютера от сетевых атак и установление криптографически защищенных соединений (туннелей) при взаимодействии с другими узлами защищенной сети, а также возможность гарантированной доставки подписанных ЭЦП документов (файлов) по назначению с автоматическим подтверждением доставки и прочтения документов. Электронный документооборот между участниками системы осуществляется в несколько неделимых этапов передачи информации между субъектами. Электронные документы, передаваемые между ТФОМС его подразделениями и больницами в обязательном порядке подписываются и шифруются на автоматизированных рабочих местах Абонентов. Перемещение документов от одного участника ТФОМС к другому через транспортные сервера осуществляется только в зашифрованном виде. В рамках каждого этапа передачи информации формируется один транспортный пакет, представляющий из себя один архивированный файл. Транспортный пакет содержит информацию, позволяющую провести контроль его целостности. То есть в случае повреждения пакета при пересылке пакет не будет обработан принимающем субъектом, а будет сгенерировано сообщение об ошибке. Все документы в транспортном пакете передаются в зашифрованном виде, а служебный файл и файл-описатель - в открытом виде с ЭЦП. Требования к процедуре обмена электронными документами определяются «Протоколом обмена документами по телекоммуникационным каналам связи в системе электронного документооборота ТФОМС»27. Деятельность, по защите информации в Тюменском областном фонде обязательного медицинского страхования, соответствует действующему в настоящий момент законодательству. В целях обеспечения защиты персональных данных (далее ПДн) застрахованных граждан в системе ОМС, данных персонифицированного учета оказанной медицинской помощи и ПДн работников, состоящих в трудовых отношениях с Тюменским областным фондом обязательного медицинского страхования (далее ТФОМС), выполнен комплекс организационно-технических мероприятий: Протокол обмена документами по телекоммуникационным каналам связи в системе электронного документооборота ТФОМС // Документ опубликован не был. Архив ТФОМС. 27 1. ТФОМС направлено уведомление об обработке ПДн в Управление Федеральной службы по надзору в сфере связи и массовых коммуникаций по Тюменской области (исх. № 01-4066 от 28.12.2007 г). 2. В ТФОМС создана и функционирует комиссия по защите конфиденциальной информации, согласно приказу ТФОМС от 16.06.2009 г. № 344. 3. Проведена классификация информационных систем ПДн, на основании приказа ТФОМС от 26.06.2008 г. № 465. 4. Разработан Перечень сведений конфиденциального характера в ТФОМС, утвержденный приказом ТФОМС от 29.06.2009 г. №366. 5. Разработано Положение «Об обработке и защите персональных данных работников ТФОМС», утвержденное приказом ТФОМС от 27.05.2009 г. № 294. 6. Разработано Положение «О персональных данных застрахованных лиц», утвержденное приказом ТФОМС от 03.07.2009 г. № 386. 7. Разработан Список подразделений, сотрудники которых имеют доступ к персональным данным, обрабатываемым в информационных системах, в связи с выполнением служебных (трудовых) обязанностей, утвержденный приказом ТФОМС от 03.07.2009 г. № 387. 8. Разработано описание полей базы данных, содержащие персональные сведения (непосредственно персональные данные и персональные данные специальных категорий), утвержденное приказом ТФОМС от 03.07.2009 г. № 388. 9. Разработана инструкция по ведению конфиденциального делопроизводства в ТФОМС, утвержденная приказ ТФОМС от 18.06.2009 № 351. 10. В ТФОМС осуществляется комплексная антивирусная защита отечественным программным продуктом Kaspersky Business Space Security Edition. 11. Во исполнение Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных» в период 2007-2009 г. ТФОМС была проведена работа по организации защищенного информационного обмена в системе обязательного медицинского страхования Тюменской области. В ТФОМС было закуплено необходимое лицензионное программное обеспечение СКЗИ ViPNet CUSTOM. ТФОМС обеспечил подключение медицинских учреждений Тюменской области к сети защищенного информационного обмена ТФОМС, построенной на базе программного комплекса СКЗИ ViPNet CUSTOM. Согласно плану работ ТФОМС на 2013 год, запланированы работы по подготовке к получению лицензии ФСТЭК России на деятельность по технической защите информационной системы ТФОМС, которые включают в себя работы по подготовке к аттестации рабочих мест и серверов информационной системы. Таким образом, в ТФОМС ответственным за информационную безопасность является отдел «информационного обеспечения, на который возложен весь спектр обязанностей, связанных с обеспечением информационной безопасности в ТФОСМ, а так же организация защищенного информационного обмена между всеми субъектами и участниками ОМС по Тюменской области, Федеральным Фондом обязательного медицинского страхования, другими субъектами РФ. 2.2 Анализ и управление информационными рисками, связанными с внешними угрозами со стороны МО и СМО. Описание бизнес процессов, связанных с внешним информационным взаимодействием ТФОМС Классификация организаций, с которыми взаимодействует ТФОМС, по уровню угроз информационной безопасности Определение объемов информации, частоты взаимодействия. Определение основных рисков Оценка рисков и предложения по поводу снижения уровня этих рисков. 2.3 Проблемы и направления совершенствования работы по обеспечению информационной безопасности ТФОМС Основными проблемами обеспечению информационной безопасности ТФОМС являются: 1. Отсутствие необходимого количества работников в отделе обеспечения информационной безопасности. В настоящий момент их численность составляет 2 человека, считая начальника отдела. По рекомендации Федерального фонда обязательного медицинского страхования численность отдела отвечающего за информационную безопасность должна составлять не менее 5 человек28. При этом в отделе помимо его начальника должны работать два главных специалиста и два старших специалиста. Нами была разработана необходимая структура отдела обеспечения информационной безопасности ТФОМС, она изображена на схеме 2. Начальник отдела Главный специалист отдела Ведущий специалист отдела Главный специалист отдела Ведущий специалист отдела Рис.2. - Авторский вариант структуры отдела обеспечения информационной безопасности ТФОМС Планируемые функции сотрудников отдела: 1. Начальник отдела. Функции: Руководство разработкой документов, связанных с обеспечением комплексной информационной безопасности. Руководство работой ОКЗ и УЦ ТФОМС. Разработка технических заданий по развитию аппаратного и программного обеспечения ТФОМС, обеспечения отказоустойчивости ЦОД, серверного оборудования, систем хранения данных, систем бесперебойного питания ЦОД и других инженерных систем ЦОД ТФОМС. Координация всех направлений деятельности отдела, в том числе связанных с обеспечением комплексной информационной безопасностью фонда, отказоустойчивостью информационных систем, структурированных кабельных сетей. Руководство организацией защищенного информационного взаимодействия между всеми О информационной безопасности региональных фондов обязательного медицинского страхования: Распоряжение директора ФФОМС от 13.10.2006 №22 // Документ опубликован не был. 28 субъектами и участниками системы ОМС. Планирование работ по защите информации, формулировка задач по решению конкретных вопросов по защите информации и организация их выполнения. Осуществление анализа эффективности проводимых мероприятий по защите информации. Подготовка предложений руководству ТФОМС по совершенствованию системы защиты. Первый главный специалист. Функции: Исполнение обязанностей главного специалиста ОКЗ и УЦ ТФОМС. Разработка локальных актов ТФОМС, связанных с обеспечением информационной безопасности. Разработка и заключение договоров, связанных с осуществлением защищенного информационного взаимодействием между субъектами и участниками ОМС в Тюменской области. Разработка регламентирующих и инструктивных документов, регулирующих правила защищенного информационного взаимодействия между всеми субъектами и участниками сферы ОМС Тюменской области. Быть в постоянном контакте со структурными подразделениями ТФОМС по вопросам информационной безопасности. В соответствии с Инструкцией, утвержденной приказом ФАПСИ от 13.06.2001 г. № 152 ведение поэкземплярного учета используемых СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, ключей от металлических хранилищ ОКЗ ТФОМС. Работа по организации ежегодного выпуска сертификатов ЭЦП для абонентских пунктов в МО и рабочих станций ТФОМС, ведение на каждого пользователя СКЗИ лицевого счета, в котором регистрируются числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы. Второй главный специалист. Функции: Исполнение обязанностей администратора информационной безопасности ОКЗ и УЦ ТФОМС. Участие в формировании политики информационной безопасности ТФОМС. Администрирование сети ViPNet. Организация межсетевого обмена по защищенному каналу связи на базе сетей ViPNet. Администрирование ЦУС, УКЦ, УЦ ТФОМС. Осуществление контроля за применением средств защиты информации от НСД. Администрирование абонентских пунктов сети защищенного информационного обмена на базе ViPNet в ТФОМС и МО. Изготовление и уничтожение ключевых документов для СКЗИ. В соответствии с Договором с ФФОМС исполнение обязанностей оператора УЦ Криптопро ФФОМС. Организация и осуществление обмена по защищенному каналу связи с ФФОМС, Территориальными фондами ОМС, СМО, МО, ОПФР по Тюменской области, ЧРУ ФСС РФ, УФССП по Тюменской области, и другими организациями. Осуществление контроля за соблюдением условий хранения и использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФСБ и Инструкцией, утвержденной приказом ФАПСИ от 13 июня 2001 г. № 152. Первый ведущий специалист. Функции: Исполнение обязанностей системного администратора ОКЗ и УЦ ТФОМС. Администрирование комплексной системы защиты информации в ТФОМС. Установка, настройка и обеспечение непрерывной работы средств защиты информации от несанкционированного доступа на компьютерах ТФОМС (SecretNet, ViPNet SafeDisk и др.). Контроль внесения изменений в конфигурацию аппаратно-программных средств, установку и настройку средств защиты. Проверка состояние используемых СЗИ от НСД, осуществление проверки правильности их настройки (выборочное тестирование). Организация контроля целостности печатей (пломб, наклеек) на рабочих станциях и серверном оборудовании. Осуществление тестирования средств защиты информации. Осуществление контроля установки и плановой замены паролей пользователей на доступ к информационным ресурсам ТФОМС. Контроль за соблюдением пользователями парольной защиты и полномочий доступа к информационным ресурсам ТФОМС. Второй ведущий специалист. Функции: Исполнение обязанностей системного администратора ОКЗ и УЦ ТФОМС. Администрирование сети ViPNet. Установка (изъятие), настройка, установка обновления и обеспечение непрерывной работы ПО ViPNet на всех персональных компьютерах ТФОМС. Поддержка пользователей ПО ViPNet. Обучение лиц, использующих СКЗИ, правилам работы с ними. 2. Так же проблемой является неудовлетворительная подготовка сотрудников МО и СМО в области защиты информации. Деятельность в области защиты информации является специфической и информационные технологии не стоят на месте, а ежегодно двигаются большими шагами вперед, поэтому мы считаем, что сотрудники отдела должны ежегодно проходить переаттестацию, получать более углубленные знания в учебных центрах по защите информации. Данные курсы, например, проходят в Южно-Уральском государственном университете. Данные курсы повышения квалификации по технической защите информации ориентированы на практическую и теоретическую подготовку руководителей и специалистов, отвечающих за организацию работ по защите информации. Призвана помочь в организации, проведении и последующем контроле мероприятий по защите информации, составляющей государственную тайну, от утечки по техническим каналам и защите от несанкционированного доступа. 3. Считаю, что в связи со спецификой работы над защитой информации Отдел обеспечения информационной безопасности ТФОМС должен выйти из Управления информационного обеспечения и информационной безопасности ТФОМС. Соответственно управление после этого выделения отдела должно называться «Управлением информационного обеспечения». Считаю что отдел обеспечения информационной безопасности ТФОМС должен быть независимым структурным подразделением ТФОМС и подчиняться непосредственно директору фонда. Для организации защиты персональных данных обрабатываемых ТФОМС необходимо реализовать комплекс мер, который позволит ограничить доступ к конфиденциальной информации, а в случае хищения носителей с конфиденциальной информацией, не даст возможность злоумышленникам воспользоваться ею. 1. Необходимо совершенствовать процедуру идентификации пользователей при входе в операционную систему, с которой может быть осуществлен доступ к конфиденциальной информации, хранимой на серверах ТФОМС (на серверах и персональных компьютерах в филиалах ТФОМС). В соответствии с Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) № 58 от 05 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»29 для информационных систем 1 класса идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия установлена длиной не менее шести буквенноцифровых символов. 2. Необходимо на все персональные компьютеры, с которых осуществляется доступ к конфиденциальной информации, установить систему защиты информации от несанкционированного доступа (далее СЗИ от НСД) «Secret Net». Данный продукт обладает сертификатами ФСТЭК РФ и может использоваться в автоматизированных системах до класса 1Б включительно и для защиты персональных данных в информационных системах персональных данных до класса К1 включительно. «Secret Net» позволит: - обеспечить разграничения доступа к защищаемой информации и устройствам; - обеспечить идентификацию и аутентификацию пользователей; - внедрить журнал событий, аудит и др. 3. Пароль пользователя во всех программах, работающих с конфиденциальной информацией, таких как «The Bat», «ПК СРЗ» и др. не должен быть менее шести буквенноцифровых символов, и не должен сохранятся на компьютере пользователя. Пользователю каждый раз при входе в программу необходимо самостоятельно вводить пароль. Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных: Приказ ФСТЭК РФ от 05.02.2010 N 58 // Российская газета. 2010 г. 5 марта. 29 4. Любой доступ сотрудников ТФОМС и сторонних организаций (таких как медицинские организации, страховые медицинские организации и др.) к конфиденциальной информации, должен осуществляться исключительно по защищенному каналу связи при помощи ПО ViPNet [Клиент]. 5. Хранение конфиденциальной информации на персональных компьютерах сотрудников ТФОМС должно осуществляться в зашифрованном виде. Данную задачу можно реализовать при помощи СЗИ от НСД «ViPNet SafeDisk». Данный программный комплекс сертифицирован ФСТЭК России как СКЗИ и средство защиты от НСД, может использоваться в информационных системах персональных данных до 1 класса включительно и ФСБ России по требованиям к СКЗИ класса КС1/КС2. 6. В соответствии с ч. 3 ст. 14 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных», доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. В соответствии с изложенным необходимо на сайте ТФОМС (http://www.tfoms.ru/) в разделе «поиск вашего полиса», форму запроса номера полиса ОМС привести в соответствие с ч. 3 ст. 14 ФЗ «О персональных данных». Так же данную услугу необходимо оборудовать защитой от автоматических запросов. 7. Для организации и обеспечения безопасности обработки с использованием шифровальных (криптографических) средств персональных данных ТФОМС необходимо: а) в соответствии с п. 3.9. Типовых требований по организации и обеспечению функционирования шифровальных (криптографических средств), предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России № 149/6/6-622 21.02.2008 г. (далее Типовые требования)30, аппаратные средства, с которыми осуществляется штатное Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, 30 функционирование криптосредств оборудовать средствами контроля за их вскрытием (опечатать, опломбировать). б) в соответствии с п. 4.1 Типовых требований размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним (далее - режимные помещения), должны обеспечивать сохранность персональных данных, криптосредств и ключевых документов к ним. в) в соответствии с п. 4.2 и 4.7. Типовых требований окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помещения посторонних лиц, необходимо оборудовать металлическими решетками или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в режимные помещения. Режимные помещения, как правило, должны быть оснащены охранной сигнализацией. г) в соответствии с п. 4.3 Типовых требований размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ. д) в соответствии с п. 4.8 Типовых требований для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Письмом № 1702/90-и от 29.03.2011 г., Федеральный фонд обязательного медицинского страхования предоставил информацию о результатах проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Одним из характерных нарушений, выявляемых Роскомнадзором, является несоблюдение требования ч. 4 ст. 6 Федерального закона «О персональных данных», а именно отсутствие в тексте договора существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании договора поручает обработку персональных данных другому лицу. составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" Утв. ФСБ РФ 21.02.2008 N 149/6/6-622 // Документ опубликован не был. Таким образом, ТФОМС необходимо проанализировать заключенные договора, в которых поручается обработка персональных данных другому лицу, на наличие существенного условия - обеспечение конфиденциальности и безопасности персональных данных при их обработке. В случае выявления несоответствия содержания договоров требованиям Федерального закона «О персональных данных», внести соответствующие изменения в договора. Таким образом, в ТФОМС отделом обеспечения информационной безопасности осуществляется комплексная защита конфиденциальной информации, защищаются персональные данные работников ТФОМС, а так же организован защищенный электронный документооборот между ТФОМС его территориальными отделениями и больницами Тюменской области. При этом в организации работы, по нашему мнению присутствуют определенные проблемы: 1. Отсутствие необходимого количества работников в отделе обеспечения информационной безопасности. 2. Отсутствие у работников отдела специализированного образования в сфере защиты информации. 3. Считаем, что отдел обеспечения информационной безопасности должен подчиняться непосредственно директору ТФОМС. Заключение Информационной безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. Управление информационной безопасностью - это управление людьми, рисками, ресурсами, средствами защиты и т.п. Управление информационной безопасностью является неотъемлемым элементом управления и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов. При анализе проблематики, связанной с информационной безопасностью в государственном и муниципальном управлении, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий в государственном и муниципальном управлении - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений государственными и муниципальными органами, позволяющие жить в темпе технического прогресса. В ТФОМС ответственным за информационную безопасность является отдел «Обеспечения подразделением информационной Управления безопасности», информационного который является обеспечения и структурным информационной безопасности ТФОМС. Отдел состоит из трех человек, начальника отдела и двух главных специалистов. Основными задачами отдела по обеспечению информационной безопасности в соответствии с Положением отдела обеспечения информационной безопасности являются: - практическая реализация единой политики (концепции) обеспечения информационной безопасности ТФОМС, определение требований к системе защиты информации в аппарате Управления и структурных подразделениях, документообороту на бумажных и электронных носителях. - осуществление комплексной защиты информации на всех этапах технологических циклов ее создания, переноса на носитель, обработки и передачи в соответствии с единой концепцией информационной безопасности. - контроль составляющих за эффективностью конфиденциальную предусмотренных информацию, мер защиты персональные данные сведений, и иной информации. - координация деятельности и методическое руководство при проведении работ по обеспечению информационной безопасности и защите информации. Для организации возможности выдачи сертификатов ключей электронных цифровых подписей (ЭЦП) участникам защищенного электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Тюменской области, в сентябре 2010 года был создан Удостоверяющий центр Тюменского областного фонда обязательного медицинского страхования. В настоящее время Удостоверяющий центр только начинает свою деятельность и сталкивается в ней с целым рядом проблем. В частности, в соответствии со ст. 8 Федерального закона «Об электронной цифровой подписи» Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо. Организовать отдельное юридическое лицо, входящее в состав ТФОМС юридически не возможно. Поэтому при создании статусом УЦ был наделен сам Тюменский областной фонд обязательного медицинского страхования. В связи с этим Удостоверяющим центром стало не отдельное структурное подразделение ТФОМС, а была создана функциональная группа, которая совокупностью штатных, организационных, программных и технических мероприятий, обеспечивает деятельность по изготовлению и управлению сертификатами ключей подписей участников защищенного электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Тюменской области и выполняет целевые функции удостоверяющего центра. В итоге, из-за несовершенства законодательства происходит терминологическая путаница, что является на самом деле удостоверяющим центом: 1) сам ТФОМС как юридическое лицо; 2) Функциональная группа, которая выполняет функции удостоверяющего центра, или 3) совокупность аппаратно-программных единиц. Считаю, что для решения данной ситуации необходимо внесение изменений в ст. 8 Федерального закона «Об электронной цифровой подписи», на наш взгляд она должна выглядеть следующим образом: «Деятельность удостоверяющего центра может осуществляться юридическим лицом, структурным подразделением юридического лица или индивидуальным предпринимателем. Если удостоверяющим центром является структурное подразделение юридического лица, установленные настоящим Федеральным законом права, обязанности и ответственность удостоверяющего центра возлагаются на юридическое лицо, структурным подразделением которого является удостоверяющий центр». Основными проблемами обеспечению информационной безопасности ТФОМС являются: 1. Отсутствие необходимого количества работников в отделе обеспечения информационной безопасности. В настоящий момент их численность составляет 3 человека, считая начальника отдела. По рекомендации Федерального фонда обязательного медицинского страхования численность отдела отвечающего за информационную безопасность должна составлять не менее 5 человек. В ходе выполнения исследования нами была разработана необходимая структура отдела обеспечения информационной безопасности ТФОМС. Мы пришли к выводу, что в Отдел обеспечения информационной безопасности необходимо приять двух ведущих специалистов. 2. Проблемой является неудовлетворительная подготовка сотрудников отдела в области защиты информации. Считаем, что сотрудники отдела должны ежегодно проходить переаттестацию, получать более углубленные. 3. Считаем, что отдел обеспечения информационной должен быть независимым структурным подразделением ТФОМС и подчиняться непосредственно директору фонда. информационная безопасность государственное управление Список использованных источников и литературы 1. Нормативно-правовые акты Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993г.) // Российская газета. 1993. 25 декабря. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от 24.02.2010) // Собрание законодательства РФ. 2006. N 52 (1 ч.). Ст. 5496. Гражданский кодекс Российской Федерации (часть первая): Федеральный закон от 30 ноября 1994 года № 51-ФЗ // Российская газета. 1994. 8 декабря. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3448. О средствах массовой информации: Закон РФ от 27.12.1991 N 2124-1 (ред. от 09.02.2009) // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300. О безопасности: Закон РФ от 05.03.1992 N 2446-1 (ред. от 26.06.2008) // Ведомости СНД и ВС РФ. 1992. N 15. Ст. 769. О государственной тайне: Закон РФ от 21.07.1993 N 5485-1 (ред. от 18.07.2009) // Собрание законодательства РФ. 1997. N 41. Ст. 8220-8235. О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации: Федеральный закон от 13.01.1995 N 7-ФЗ (ред. от 12.05.2009) // Собрание законодательства РФ. 1995. N 3. Ст. 170. Об обязательном экземпляре документов: Федеральный закон от 29.12.1994 N 77-ФЗ (ред. от 23.07.2008) // Собрание законодательства РФ. 1995. N 1. Ст. 1. Об электронной цифровой подписи: Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127. О персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 27.07.2010) // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3451. Окинавская хартия глобального информационного общества (Принята на о. Окинава 22.07.2000) // Дипломатический вестник. 2000. N 8. С. 51 - 56. О дополнительных мерах по обеспечению единства правового пространства Российской Федерации: Указ Президента РФ от 10.08.2000 N 1486 (ред. от 18.01.2010) // Собрание законодательства РФ. 2000. N 33. Ст. 3356. О информационной безопасности региональных фондов обязательного медицинского страхования: Распоряжение директора ФФОМС от 13.10.2006 №22 // Документ опубликован не был. Положение отдела обеспечения информационной безопасности ТФОМС: Приказ директора ТФОМС от 23.11.2007 г. № 36-2 // документ опубликован не был. Архив ТФОМС. Протокол обмена документами по телекоммуникационным каналам связи в системе электронного документооборота ТФОМС // документ опубликован не был. Архив ТФОМС. Инструкция об оплате труда ТФОМС: Приказ директора ТФОМС от 12.10.2009г.// документ опубликован не был. 2. Литература Зайцев Л.Г. Стратегический менеджмент. М.: Юристъ, 2008. 546с. Кирсанов К.А. Информационная безопасность. М.:МАЭП, ИИК «Калита», 2009. 648с. Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2009. С. 159с. Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2008. С. 137с. Снытников А.А. Лицензирование и сертификация в области защиты информации. М.: ГелиосАРВ, 2008. 192с. Терентьев А.И. Введение в информационную безопасность. М.:МГТУ ГА, 2008. 144с. 3. Интернет-источники ТФОМС Тюменской области. URL: Официальный сайт. URL: http://www.tfoms.ru
