Организация работы по обеспечению информационной безопасности в Челябинском областном фонде обязательного медицинского страхования

Тип работы:
Дипломная
Предмет:
Государство и право


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Оглавление

Введение

Глава 1. Теоретические основы информационной безопасности в российской Федерации

1. 1 Понятие информационной безопасности. Важность проблемы информационной безопасности в государственном и муниципальном управлении

1. 2 Нормативно-правовые основы информационной безопасности в Российской Федерации

1. 3 Управление информационной безопасностью

Глава 2. Организация работы по обеспечению информационной безопасности Челябинского областного фонда обязательного медицинского страхования (ЧОФОМС)

2. 1 Практика организации работы по обеспечению информационной безопасности ЧОФОМС

2. 2 Организация Удостоверяющего центра ЧОФОМС

2. 3 Проблемы и направления совершенствования работы по обеспечению информационной безопасности ЧОФОМС

Заключение

Список использованных источников и литературы

Приложения

Введение

Повышение роли информации, быстрое развитие информационных технологий и средств информационного обеспечения — одна из важнейших прогрессивных тенденций мирового развития в направлении достижения человечеством постиндустриальной ступени цивилизации и информационного общества.

Неправомерное искажение, уничтожение или разглашение определенной части информации, а также дезорганизация процессов ее обработки и передачи наносят серьезный материальный и моральный ущерб как государству в целом, так и юридическим и физическим лицам. В частности, к сожалению, частота этих нарушений увеличивается из года в год.

Важность проблемы защиты информации в нашей стране подчеркивает факт создания по инициативе Президента Р Ф Доктрины информационной безопасности. Методы обеспечения информационной безопасности Российской Федерации согласно Доктрине разделяются на правовые, организационно-технические и экономические.

Целью работы — на основе комплексного анализа обеспечения информационной безопасности Челябинского областного фонда обязательного медицинского страхования выявить возникающие проблемы и предложить рекомендации по их устранению.

Для достижения поставленной цели решаются следующие задачи:

1. дать понятие информационной безопасности;

2. рассмотреть важность проблемы информационной безопасности в государственном и муниципальном управлении;

3. проанализировать нормативно-правовые основы информационной безопасности в Российской Федерации;

4. охарактеризовать управление информационной безопасностью;

5. рассмотреть практику организации работы по обеспечению информационной безопасности Челябинского областного фонда обязательного медицинского страхования;

6. проанализировать проблемы создания Удостоверяющего центра Челябинского областного фонда обязательного медицинского страхования.

7. выявить проблемы и рассмотреть направления совершенствования работы по обеспечению информационной безопасности Челябинского областного фонда обязательного медицинского страхования.

Объект исследования — Челябинский областной фонд обязательного медицинского страхования.

Предмет исследования — организация работы по обеспечению информационной безопасности в Челябинском областном фонде обязательного медицинского страхования.

В работе использовались методы анализа и синтеза, индукции и дедукции, наблюдения и сравнения. В качестве общенаучных методов, с помощью которых проводилось исследование, использовались метод структурного анализа, системный и исторический методы. К специальным методам, использовавшимся в работе, следует отнести сравнительно-правовой, исторический, формально-юридический метод, методы правового моделирования.

При решении конкретных задач использовались труды отечественных и зарубежных ученых в области информационной безопасности, государственного регулированию информационной безопасности, государственному и муниципальному управлению.

Информационную базу исследования составили законы и законодательные акты, разработки ведущих научных школ в области информационной безопасности и страхования, а также данные статистических сборников и проектные материалы научной периодики, конференций и семинаров.

Практическая значимость работы определяется наличием рекомендаций по совершенствованию работы обеспечения информационной безопасности в Челябинском областном фонде обязательного медицинского страхования.

Глава 1. Теоретические основы информационной безопасности в российской Федерации

1.1 Понятие информационной безопасности. Важность проблемы информационной безопасности в государственном и муниципальном управлении

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационные ресурсы, содержащие сведения, имеющие отношение к обеспечению национальной безопасности, зачастую становятся объектами противоправных посягательств, поэтому в целях обеспечения информационной безопасности и защиты информации законодатель установил правила обращения с информацией и отдельными ее видами, правовые запреты их нарушения и соответствующие меры юридической ответственности.

Нормы административного законодательства, регулируя те или иные правила информационной безопасности и защиты информации, выполняют превентивно-прогностическую функцию в сфере обеспечения общественной безопасности, которая, по мнению М. Г. Сальникова, как система общественных отношений образует закрепленную в Конституции РФ и административно-правовых нормах систему прав, обязанностей, гарантий и ответственности личности См.: Сальников М. Г. Административно-правовое положение граждан в сфере общественной безопасности: Автореф. дис. … канд. юрид. наук. Омск, 2009. С. 9.

Механизм взаимосвязи между состоянием информационной и общественной безопасности и развитием науки и техники и особенно в современных условиях глобальной сети информационных технологий приобретает качественно новое содержание, поскольку задача правовой регламентации в сфере обеспечения информационной безопасности и защиты информации решается в общемировом масштабе См.: Моисеев Н. Проблемы глобальной безопасности. М., 2008. С. 127.

Новейшая история свидетельствует, что научно-технический прогресс последних нескольких поколений кардинальным образом изменил общественное поведение человека в социальной и природной среде, которая, выйдя из состояния гомеостаза, приобрела определенную неустойчивость и в силу данного качества стала представлять общественную опасность на транснациональном уровне и потребовала принятия комплекса мер по многоаспектному информированию общественности в целях самосохранения См.: Урсул А. Д. На пути к информационно-экологическому обществу // Философские науки. 1991. N 5. С. 16.

Отсюда следует, что задача обеспечения информационной безопасности и защиты информации предполагает изучение гносеологических, мировоззренческих, организационно-управленческих, правовых, психолого-педагогических и иных аспектов проблемы правоохранительной политики.

Среди особенностей, в частности, административно-правового обеспечения информационной безопасности и защиты информации следует выделить комплекс государственно-правовых, социально-экономических и т. п. отношений, динамично складывающихся в информационной сфере жизнедеятельности общества и нуждающихся в перспективном правовом регулировании, а по существу, в разработке не столько норм об административной ответственности, сколько комплекса правил, например, хранения, пользования, передачи, распространения и защиты информации, относящейся к различным видам информационных ресурсов.

В связи с тем что доступ граждан к информации имеет определенные процедуры, систематизированные в научной литературе, в рамках настоящего исследования можно их классифицировать следующим образом См.: Помазуев А. Е. Административные процедуры доступа граждан к публичной информации: Автореф. дис. … канд. юрид. наук. Екатеринбург, 2007. С. 19.

Федеральный закон от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» определяет, что информация — это сведения (сообщения, данные) независимо от формы их представления. Информация имеет различный социально значимый характер, а также может иметь различную целевую направленность. Говоря об информационной безопасности, следует сказать, что Закон Р Ф от 5 марта 1992 г. «О безопасности» определяет, что безопасность — это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Приведенное определение является общим для всех видов безопасности. В литературе, посвященной исследованию феномена «безопасность», данная категория в последнее время приобретает широкое распространение в западноевропейских государствах и означает состояние, ситуацию спокойствия, появляющуюся в результате отсутствия реальной опасности (как физической, так и моральной), а также материальные, экономические и политические условия, способствующие созданию данной ситуации.

Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин" информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Федеральном законе РФ «Об информации, информационных технологиях и о защите информации» информационная безопасность определяется аналогичным образом — как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства Об информации, информационных технологиях и о защите информации: Федеральный закон от 27. 07. 2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3448.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности — это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором — «да нет у нас никаких секретов, лишь бы все работало».

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте Кирсанов К. А. Информационная безопасность. М., 2009. С. 48.

Возвращаясь к вопросам терминологии, отметим, что термин «компьютерная безопасность» (как эквивалент или заменитель информационной безопасности) представляется нам слишком узким. Компьютеры — только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек.

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении информационной безопасности перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Информационная безопасность — многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного копирования информации.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность — это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность — это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления — производством, транспортом и т. п. Внешне менее драматичные, но также весьма неприятные последствия — и материальные, и моральные — может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т. п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений Терентьев А. И. Введение в информационную безопасность. М, 2008. С. 34.

Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса — все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы Кирсанов К. А. Информационная безопасность. М., 2009. С. 49.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует информационные системы, на первом месте стоит доступность. Практически не уступает ей по важности целостность — какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций и отдельных пользователей (например, пароли).

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю — национальном, отраслевом, корпоративном или персональном.

При анализе проблематики, связанной с информационной безопасностью в государственном и муниципальном управлении, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий в государственном и муниципальном управлении — области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений государственными и муниципальными органами, позволяющие жить в темпе технического прогресса.

К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности деятельности государственных и муниципальных органов. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла информационных систем.

Приведем несколько цифр. В марте 2009 года был опубликован очередной, четвертый по счету, годовой отчет «Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции». В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32%); 30% сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% государственных и муниципальных органов принимавших участие в этом исследовании; в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос «были ли взломаны ваши Web-серверы за последние 12 месяцев?» ответили «не знаю» Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2009. С. 56−59.

В аналогичном отчете, опубликованном в апреле 2008 году, цифры изменились, но тенденция осталась прежней: 90% (преимущественно из крупных учреждений и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно) Компьютерная безопасность в государственном и муниципальном управлении: проблемы и тенденции. М., 2008. С. 47.

Увеличение числа атак на информационные ресурсы государственных и муниципальных органов — еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении и, как следствие, появляются новые виды атак.

В таких условиях системы информационной безопасности государственных и муниципальных органов должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих информационной безопасности — доступности, целостности или конфиденциальности.

1.2 Нормативно-правовые основы информационной безопасности в Российской Федерации

Вопросы доступа к информации, формирования и использования информационных ресурсов и защиты информации затрагиваются непосредственно в Конституции Российской Федерации Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.) // Российская газета. 1993. 25 декабря., а также таких актах, как законы Российской Федерации: от 27 декабря 1991 г. № 2124-I «О средствах массовой информации» О средствах массовой информации: Закон Р Ф от 27. 12. 1991 N 2124−1 (ред. от 09. 02. 2009) // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300., от 05. 03. 1992 г. № 2446-I «О безопасности» О безопасности: Закон Р Ф от 05. 03. 1992 N 2446−1 (ред. от 26. 06. 2008) // Ведомости СНД и ВС РФ. 1992. N 15. Ст. 769., от 21 июля 1993 г. № 5485-I «О государственной тайне» О государственной тайне: Закон Р Ф от 21. 07. 1993 N 5485−1 (ред. от 18. 07. 2009) // Собрание законодательства РФ. 1997. N 41. Ст. 8220−8235., и федеральные законы: часть четвертая ГК Р Ф Гражданский кодекс Российской Федерации (часть четвертая) от 18. 12. 2006 N 230-ФЗ (ред. от 24. 02. 2010) // Собрание законодательства РФ. 2006. N 52 (1 ч.). Ст. 5496., ФЗ от 13 января 1995 г. № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации» О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации: Федеральный закон от 13. 01. 1995 N 7-ФЗ (ред. от 12. 05. 2009) // Собрание законодательства РФ. 1995. N 3. Ст. 170., от 27. 07. 2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Об информации, информационных технологиях и о защите информации: Федеральный закон от 27. 07. 2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3448., от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов» Об обязательном экземпляре документов: Федеральный закон от 29. 12. 1994 N 77-ФЗ (ред. от 23. 07. 2008) // Собрание законодательства РФ. 1995. N 1. Ст. 1., от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» Об электронной цифровой подписи: Федеральный закон от 10. 01. 2002 N 1-ФЗ (ред. от 08. 11. 2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127., от 27. 07. 2006 г. № 152-ФЗ «О персональных данных» О персональных данных: Федеральный закон от 27. 07. 2006 N 152-ФЗ (ред. от 27. 07. 2010) // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3451. и многих других.

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 — право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации Гражданский кодекс Российской Федерации (часть первая): Федеральный закон от 30 ноября 1994 года № 51-ФЗ // Российская газета. 1994. 8 декабря. фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах информационной безопасности и наличие доступных (и законных) средств обеспечения конфиденциальности.

В рамках обсуждаемой проблемы нельзя не сказать о важности принятого 10 января 2002 года Федерального закона № 1-ФЗ «Об электронной цифровой подписи» Об электронной цифровой подписи: Федеральный закон от 10. 01. 2002 N 1-ФЗ (ред. от 08 ноября 2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127. Длительность его разработки, сложности согласования положений и острые дискуссии, появление ряда альтернативных проектов, несомненно, свидетельствуют о его роли в информационной сфере и объясняются важностью этого вопроса как для специалистов в области криптографии, связи, юристов, так и для всех пользователей.

Обеспечение доверия к электронной подписи и ее правовое признание является обязательным элементом заключения договоров в электронной торговле, передачи права собственности и обязательственных прав, а также совершение иных юридически значимых действий посредством электронной связи.

Данный Федеральный закон устанавливает правовую основу для использования электронной цифровой подписи, определяет полномочия органов, удостоверяющих открытые ключи электронной цифровой подписи, а также права, обязанности и ответственность физических и юридических лиц, участвующих в деятельности, связанной с применением электронной цифровой подписи.

Правовое урегулирование применения электронной цифровой подписи необходимо и для дальнейшей работы над целым рядом законопроектов. Так, остаются неурегулированными вопросы участия России в мировой системе электронной торговли или, что вероятно правильнее, электронной коммерции, поскольку не вполне корректным является отождествление слова «торговля» с такими, например, сделками, как банковский счет, доверительное управление имуществом, простое товарищество, публичное обещание награды, публичный конкурс.

Нельзя не отметить, что правовое регулирование использования электронной цифровой подписи необходимо и для разработки законопроекта «Об электронном документе», которая была поручена Правительством Российской Федерации ряду министерств и ведомств. Данный закон необходим для обеспечения правовой основы использования электронной формы документов в гражданском обороте и в сфере государственного управления, однако указанный законопроект находится в стадии разработки.

Следует отметить, что правовые условия использования электронного документа в значительной мере уже определены действующими федеральными законами или включены в подготавливаемые законопроекты, в связи с чем высказывается и такая точка зрения, что дальнейшее развитие законодательства в данной сфере должно осуществляться путем внесения в действующие законодательные изменений и дополнений, конкретизирующих использование электронных документов в различных сферах деятельности.

Правовое регулирование в области информационной безопасности занимает особое место в рамках рассматриваемой проблемы развития законодательства в информационной сфере. Это подчеркнуто и в Окинавской Хартии Глобального информационного общества Окинавская хартия глобального информационного общества (Принята на о. Окинава 22. 07. 2000) // Дипломатический вестник. 2000. N 8. С. 51 — 56., где задача формирования нормативной базы в этой области определена как одна из приоритетных.

Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности одобрены «Основные направления нормативного правового обеспечения информационной безопасности Российской Федерации» (Решение № 5.4 от 27. 11. 08). Указанным документом определяются цели и принципы нормативного правового обеспечения информационной безопасности Российской Федерации, направления государственной политики в области противодействия угрозам информационной безопасности и задачи их нормативного правового обеспечения, а также первоочередные меры по совершенствованию нормативного правового обеспечения информационной безопасности Российской Федерации.

В целях развития положений Доктрины информационной безопасности и обеспечения единства правового пространства Российской Федерации требуется определение основ федеральной политики в области обеспечения информационной безопасности субъектов Российской Федерации. Это важный аспект информационной безопасности, который также получил отражение в «Основных направлениях нормативного правового обеспечения информационной безопасности Российской Федерации». Для Минюста России и его территориальных органов в субъектах Российской Федерации это особенно важно в связи с возложением Указом Президента Российской Федерации от 10 августа 2000 № 1486 функций по созданию и ведению федерального банка нормативных правовых актов субъектов Российской Федерации — федерального регистра О дополнительных мерах по обеспечению единства правового пространства Российской Федерации: Указ Президента Р Ф от 10. 08. 2000 N 1486 (ред. от 18. 01. 2010) // Собрание законодательства РФ. 2000. N 33. Ст. 3356. Необходим серьезный анализ регионального законодательства в информационной сфере, требует проработки на основании Посланий Президента Российской Федерации Федеральному Собранию Российской Федерации и вопрос о государственном учете актов органов местного самоуправления.

Таким образом, правовое регулирование в области информационной безопасности занимает особое место в рамках рассматриваемой проблемы развития законодательства в информационной сфере. Требует совершенствования и организация правотворческого процесса в области обеспечения информационной безопасности Российской Федерации. Этот процесс может базироваться на иерархической системе концептуальных документов Президента Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, органов государственной власти субъектов Российской Федерации, определяющих основные цели противодействия угрозам информационной безопасности, методы и правовые механизмы осуществления этого противодействия, привлекаемые для этого силы и средства, а также приоритеты в развитии правового регулирования в данной области.

1.3 Управление информационной безопасностью

Обеспечение информационной безопасности — это непрерывный процесс, основное содержание которого составляет управление. Информационная безопасность невозможно обеспечить разовым мероприятием, поскольку средства защиты нуждаются в постоянном контроле и обновлении.

Управление информационной безопасностью — это управление людьми, рисками, ресурсами, средствами защиты и т. п. Управление информационной безопасностью является неотъемлемым элементом управления и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов.

Управление информационной безопасностью — это циклический процесс, включающий:

осознание степени необходимости защиты информации;

сбор и анализ данных о состоянии информационной безопасности в организации;

оценку информационных рисков;

планирование мер по обработке рисков;

реализацию и внедрение соответствующих механизмов контроля;

распределение ролей и ответственности;

обучение и мотивацию персонала;

оперативную работу по осуществлению защитных мероприятий;

мониторинг функционирования механизмов контроля,

оценку их эффективности и соответствующие корректирующие воздействия Снытников А. А. Лицензирование и сертификация в области защиты информации. М.: ГелиосАРВ, 2008. С. 69.

Для обеспечения необходимого уровня информационной безопасности в государственном или муниципальном учреждении создается комплексная система управления информационной безопасностью (СУИБ). Конечной целью создания такой системы является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), преднамеренно наносимого злоумышленниками либо непреднамеренно — нерадивыми работниками учреждения посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Согласно стандарту ISO 27 001, система управления информационной безопасностью (СУИБ) — это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.

Основной задачей системы является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) информационной безопастности.

Какие преимущества компании дает внедрение СУИБ и ее сертификация на соответствие международным стандартам:

повышение управляемости;

повышение защищенности ключевых процессов учреждения;

повышение доверия к учреждению;

Таким образом, Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности. Управление информационной безопасностью — это управление людьми, рисками, ресурсами, средствами защиты и т. п. Управление информационной безопасностью является неотъемлемым элементом управления и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов.

В заключении отметим, что согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность. При анализе проблематики, связанной с информационной безопасностью в государственном и муниципальном управлении, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий в государственном и муниципальном управлении — области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений государственными и муниципальными органами, позволяющие жить в темпе технического прогресса.

Глава 2. Организация работы по обеспечению информационной безопасности Челябинского областного фонда обязательного медицинского страхования (ЧОФОМС)

2.1 Практика организации работы по обеспечению информационной безопасности ЧОФОМС

Челябинский областной фонд обязательного медицинского страхования (далее — ЧОФОМС) создан для реализации государственной политики в сфере обязательного медицинского страхования как составной части государственного социального страхования.

В ЧОФОМС ответственным за информационную безопасность является отдел «Обеспечения информационной безопасности» (далее отдел), который является структурным подразделением Управления информационного обеспечения и информационной безопасности ЧОФОМС.

Отдел в своей деятельности руководствуется Конституцией Российской Федерации Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 года) // Российская газета. 1993. 25 декабря., федеральными конституционными законами, федеральными законами, указами и распоряжениями Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации, международными договорами Российской Федерации и локальными актами ЧОФОМС.

Делопроизводство и мероприятия по обеспечению режима секретности в отделе осуществляются в порядке, установленном федеральным законодательством.

Основными задачами отдела по обеспечению информационной безопасности в соответствии с Положением отдела обеспечения информационной безопасности Положение отдела обеспечения информационной безопасности ЧОФОМС: Приказ директора ЧОФОМС от 23. 11. 2007 г. № 36−2 // Документ опубликован не был. Архив ЧОФОМС. являются:

— практическая реализация единой политики (концепции) обеспечения информационной безопасности ЧОФОМС, определение требований к системе защиты информации в аппарате Управления и структурных подразделениях, документообороту на бумажных и электронных носителях.

— осуществление комплексной защиты информации на всех этапах технологических циклов ее создания, переноса на носитель, обработки и передачи в соответствии с единой концепцией информационной безопасности.

— контроль за эффективностью предусмотренных мер защиты сведений, составляющих конфиденциальную информацию, персональные данные и иной информации.

— координация деятельности и методическое руководство при проведении работ по обеспечению информационной безопасности и защите информации.

Отдел выполняет следующие функции:

— реализация единой политики защиты интересов ЧОФОМС от угроз в информационной сфере;

— обеспечение методического руководства аппаратом ЧОФОМС и структурными подразделениями при проведении работ по защите информации;

— обеспечение технической защиты информации;

— определение в пределах своей компетенции режима и правил обработки, защиты информационных ресурсов и доступа к ним;

— осуществление контроля за эффективностью предусмотренных мер защиты конфиденциальной информации в ЧОФОМС;

— проведение экспертиз договоров ЧОФОМС со сторонними организациями по вопросам обеспечения безопасности при обмене информацией;

— обеспечение защиты информации в выделенных и защищаемых помещениях ЧОФОМС, а также при передаче по техническим каналам связи;

— осуществление согласования технических порядков по технологиям, связанным с информационным обменом и документооборотом;

— участие в проектировании, приемке, сдаче в промышленную эксплуатацию программных и аппаратных средств (в части требований к средствам защиты информации);

— осуществление контроля за соблюдением правил безопасной эксплуатации аппаратно-программных средств, нормативных требований, сертификатов и лицензий на программные и аппаратные средства (в том числе средства защиты информации);

— осуществление контроля за разрешительной системой допуска исполнителей к работе с защищаемой информацией;

— осуществление мониторинга информации, циркулирующей в сетях, системах и защищаемых помещениях ЧОФОМС, использование аппаратно-программных средств предотвращения и пресечения утечки информации;

— выявление, идентификация и опознавание несанкционированных источников электромагнитных, виброакустических, оптических и иных излучений, проведение их поиска и пресечения, использование для этих целей технических средств, включая специальные;

— организация мероприятий по проведению специальных проверок выделенных помещений и технических средств Управления с целью проведения их аттестации и сертификации на соответствие нормам защиты информации;

— участие в проектировании, приемке и сдаче в эксплуатацию специальных средств и систем предотвращения утечки конфиденциальной информации по естественным и искусственно созданным каналам;

— участие в согласовании кандидатур граждан, назначаемых на должности, связанные с выполнением обязанностей по управлению информационными ресурсами, администрированию и сопровождению вычислительных средств, проектированию и разработке информационных программ в ЧОФОМС;

— взаимодействие с органами исполнительной власти Челябинской области, исполняющими контрольные функции, при организации в установленном порядке мероприятий по технической защите информации;

— участие в проверках по вопросам, относящимся к компетенции Отдела, в обобщении и анализе их результатов (при необходимости организация тематических проверок);

— участие в обучении работников ЧОФОМС, проведение совещаний, семинаров, оказание практической помощи территориальным отделам ЧОФОМС по вопросам информационной безопасности;

— осуществление иных функций по поручениям руководства ЧОФОМС.

Структура отдела обеспечения информационной безопасности изображена на рисунке 1.

Рис. 1. — Структура Отдела обеспечения информационной безопасности ЧОФОМС

Таким образом, отдел состоит из трех человек, начальника отдела и двух главных специалистов, на которых возложены весь спектр обязанностей, связанных с обеспечением информационной безопасности в ЧОФОСМ, а так же организация защищенного информационного обмена между всеми субъектами и участниками ОМС по Челябинской области.

При осуществлении контроля за эффективностью предусмотренных мер защиты конфиденциальной информации в ЧОФОМС отделом при помощи аппаратного и программного обеспечения были показаны следующие результаты работы.

1. были обезврежены хакерские интернет атаки. В 2008 — 257 атак, 2009 году 346 атак, в 2010 году — 565 атаки.

Из приведенной статистики видно, что количество попыток незаконного доступа к информационным ресурсам ЧОФОМС ежегодно возрастает практически в два раза. И можно предположить, что в 2011 году таких попыток будет более в пять раз больше чем 2008 году.

2. По рекомендации Отдела были приобретены 450 лицензий на право использования программного продукта Антивирус Dr. Web Enterprise Suite.

Dr. Web Enterprise Suite обеспечивает полную защиту компьютеров ЧОФОМС под управлением Windows 2000/XP/Vista/7.

Dr. Web Enterprise Suite имеет клиент-серверную архитектуру. Установка клиентов производится на защищаемые рабочие станции. Антивирусный сервер обеспечивает централизованное администрирование процессов развертывания, обновления вирусных баз и программных модулей компонентов, мониторинга состояния сети, рассылки извещений о вирусных событиях, сбора статистики.

3. Внедрен защищенный документооборот между ЧОФОМС и его территориальными отделениями и больницами Челябинской области.

Защита оборота документов осуществляется при помощи программного обеспечения ViPNet [Клиент], которое обеспечивает защиту компьютера от сетевых атак и установление криптографически защищенных соединений (туннелей) при взаимодействии с другими узлами защищенной сети, а также возможность гарантированной доставки подписанных ЭЦП документов (файлов) по назначению с автоматическим подтверждением доставки и прочтения документов.

Электронный документооборот между участниками системы осуществляется в несколько неделимых этапов передачи информации между субъектами. Электронные документы, передаваемые между ЧОФОМС его подразделениями и больницами в обязательном порядке подписываются и шифруются на автоматизированных рабочих местах Абонентов. Перемещение документов от одного участника ЧОФОМС к другому через транспортные сервера осуществляется только в зашифрованном виде. В рамках каждого этапа передачи информации формируется один транспортный пакет, представляющий из себя один архивированный файл. Транспортный пакет содержит информацию, позволяющую провести контроль его целостности. То есть в случае повреждения пакета при пересылке пакет не будет обработан принимающем субъектом, а будет сгенерировано сообщение об ошибке. Все документы в транспортном пакете передаются в зашифрованном виде, а служебный файл и файл-описатель — в открытом виде с ЭЦП. Требования к процедуре обмена электронными документами определяются «Протоколом обмена документами по телекоммуникационным каналам связи в системе электронного документооборота ЧОФОМС» Протокол обмена документами по телекоммуникационным каналам связи в системе электронного документооборота ЧОФОМС // Документ опубликован не был. Архив ЧОФОМС.

Деятельность, по защите информации в Челябинском областном фонде обязательного медицинского страхования, соответствует действующему в настоящий момент законодательству.

Челябинском областном фонде обязательного медицинского страхования в лицензирующем органе — ФСБ РФ, получил 3 лицензии, связанные с шифрованием информации:

— на деятельность по распространению шифровальных (криптографических) средств;

— на деятельность по техническому обслуживанию шифровальных (криптографических) средств;

— на предоставления услуг в области шифрования информации.

В целях обеспечения защиты персональных данных (далее ПДн) застрахованных граждан в системе ОМС, данных персонифицированного учета оказанной медицинской помощи и ПДн работников, состоящих в трудовых отношениях с Челябинским областным фондом обязательного медицинского страхования (далее ЧОФОМС), выполнен комплекс организационно-технических мероприятий:

1. ЧОФОМС направлено уведомление об обработке ПДн в Управление Федеральной службы по надзору в сфере связи и массовых коммуникаций по Челябинской области (исх. № 01−4066 от 28. 12. 2007 г).

2. В ЧОФОМС создана и функционирует комиссия по защите конфиденциальной информации, согласно приказу ЧОФОМС от 16. 06. 2009 г. № 344.

3. Проведена классификация информационных систем ПДн, на основании приказа ЧОФОМС от 26. 06. 2008 г. № 465.

4. Разработан Перечень сведений конфиденциального характера в ЧОФОМС, утвержденный приказом ЧОФОМС от 29. 06. 2009 г. № 366.

5. Разработано Положение «Об обработке и защите персональных данных работников ЧОФОМС», утвержденное приказом ЧОФОМС от 27. 05. 2009 г. № 294.

6. Разработано Положение «О персональных данных застрахованных лиц», утвержденное приказом ЧОФОМС от 03. 07. 2009 г. № 386.

7. Разработан Список подразделений, сотрудники которых имеют доступ к персональным данным, обрабатываемым в информационных системах, в связи с выполнением служебных (трудовых) обязанностей, утвержденный приказом ЧОФОМС от 03. 07. 2009 г. № 387.

8. Разработано описание полей базы данных, содержащие персональные сведения (непосредственно персональные данные и персональные данные специальных категорий), утвержденное приказом ЧОФОМС от 03. 07. 2009 г. № 388.

9. Разработана инструкция по ведению конфиденциального делопроизводства в ЧОФОМС, утвержденная приказ ЧОФОМС от 18. 06. 2009 № 351.

10. В ЧОФОМС осуществляется комплексная антивирусная защита отечественным программным продуктом Kaspersky Business Space Security Edition.

11. Во исполнение Федерального закона от 27. 06. 2006 № 152-ФЗ «О персональных данных» в период 2007—2009 гг. ЧОФОМС была проведена работа по организации защищенного информационного обмена в системе обязательного медицинского страхования Челябинской области.

В соответствие с Государственным Контрактом, заключенным по результатам открытого аукциона, проведенного «29» ноября 2007 года (Протокол от «29» ноября 2007 г. № 1) и Государственным Контрактом, заключенным по результатам открытого аукциона, проведенного «30» ноября 2007 года (Протокол от «30» ноября 2007 г. № 1) ЧОФОМС было закуплено необходимое лицензионное программное обеспечение СКЗИ ViPNet CUSTOM.

ЧОФОМС обеспечил подключение медицинских учреждений Челябинской области к сети защищенного информационного обмена ЧОФОМС, построенной на базе программного комплекса СКЗИ ViPNet CUSTOM, в соответствие с Государственным Контрактом, заключенным по результатам открытого аукциона, проведенного «08» августа 2008 года (Протокол от «08» августа 2008 г. № 02−14/1) и Государственным Контрактом, заключенным по результатам открытого аукциона, проведенного «10» августа 2009 года (Протокол от «10 «августа 2009 г. № 02−32/2).

Согласно плану работ ЧОФОМС на 2011 год, утвержденному приказом ЧОФОМС от 17. 12. 2010 г № 780 на 2011 год запланированы работы по подготовке к получению лицензии ФСТЭК России на деятельность по технической защите информационной системы ЧОФОМС, которые включают в себя работы по подготовке к аттестации рабочих мест и серверов информационной системы.

Таким образом, в ЧОФОМС ответственным за информационную безопасность является отдел «Обеспечения информационной безопасности», который является структурным подразделением Управления информационного обеспечения и информационной безопасности ЧОФОМС. Отдел состоит из трех человек, начальника отдела и двух главных специалистов, на которых возложены весь спектр обязанностей, связанных с обеспечением информационной безопасности в ЧОФОСМ, а так же организация защищенного информационного обмена между всеми субъектами и участниками ОМС по Челябинской области.

2.2 Организация Удостоверяющего центра ЧОФОМС

В соответствии с Федеральным законом от 10. 01. 2002 г. № 1-ФЗ «Об электронной цифровой подписи» Федеральный закон от 10. 01. 2002 N 1-ФЗ (ред. от 08. 11. 2007) «Об электронной цифровой подписи» // Собрание законодательства РФ. 2002. N 2. Ст. 127., для организации возможности выдачи сертификатов ключей электронных цифровых подписей (далее ЭЦП) участникам защищенного электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области, в сентябре 2010 года был создан Удостоверяющий центр Челябинского областного фонда обязательного медицинского страхования, который совокупностью штатных, организационных, программных и технических мероприятий, обеспечивает деятельность по изготовлению и управлению сертификатами ключей подписей участников защищенного электронного информационного обмена защищенного сегмента единого электронного информационного пространства системы обязательного медицинского страхования Челябинской области и выполняет целевые функции удостоверяющего центра.

Для выполнения функций Удостоверяющего центра Челябинским областным фондом обязательного медицинского страхования (далее УЦ ЧОФОМС), приказом исполнительного директора ЧОФОМС была создана функциональная группа, обеспечивающая выполнение функций Удостоверяющего центра Челябинского областного фонда обязательного медицинского страхования (далее Функциональная группа).

ПоказатьСвернуть
Заполнить форму текущей работой