CC BY
40
УДК 004.056
актуальные вопросы защиты информации
(на примере промышленных предприятий и учреждений здравоохранения г. Челябинска)*
Л. Ю. овсяницкая,
кандидат технических наук, доцент кафедры прикладной информатики и математики E-mail: larovs@rambler. ru
Уральский социально-экономический институт (филиал) ОУП ВПО «Академия труда и социальных отношений»
В статье исследуется проблема обеспечения информационной безопасности. Приведен обзор законов, регламентирующих отношения участников электронного документооборота в области защиты персональных и коммерческих данных. Описаны результаты исследования, посвященного оценке реальной ситуации в области информационной безопасности на предприятиях и в учреждениях здравоохранения г. Челябинска. Предложены рекомендации, позволяющие обезопасить информацию от потери, хищения и распространения.
Ключевые слова: информационная безопасность, электронная подпись, персональные данные, электронный документооборот, предприятия и учреждения здравоохранения.
Проникновение информационных технологий во все сферы человеческой жизни — бытовую, профессиональную, финансовую, общественную — выводит на первый план вопросы регулирования процессов сбора, хранения, обработки и передачи данных. Несмотря на наличие правовых определений и регламентов поведения в каждой из представленных областей, отношение к цифровым
* Статья предоставлена Информационным центром Издательского дома «ФИНАНСЫ и КРЕДИТ» при Уральском социально-экономическом институте (филиале) ОУП ВПО «Академия труда и социальных отношений».
54-
данным, несущим информацию о персональной и коммерческой информации, в большинстве случаев в реальной жизни является непродуманным и безответственным.
Впервые вопрос о защите физических лиц в отношении автоматической обработки персональных данных был затронут в 1981 г. в Конвенции Совета Европы [3]. В конвенции были даны определения терминам «персональные данные», «автоматизированная база данных», «автоматическая обработка информации». Защита данных рассматривалась как защита основных прав и свобод индивидов, указывалось, что персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же правило применяется к персональным данным, касающимся судимости.
Вторым шагом стало создание Директивы Европейского парламента (1995 г.) [6]. Необходимость появления указанной директивы была вызвана возрастанием научной и технической кооперации, внедрением новых телекоммуникационных сетей и передачей информации через границы. Главным
вопросом была проблема разрешения противоречия: с одной стороны, существует различие в степенях защиты прав и свобод граждан в разных странах, с другой стороны, степень защиты прав и свобод частных лиц применительно к обработке цифровых данных должна быть эквивалентной во всех государствах — участниках Евросоюза. Итогом стало формирование правовых основ общеевропейской системы защиты персональных данных. В частности, указывалось, что государства-участники должны принять меры, чтобы персональные данные обрабатывались корректно и законно, собирались для объявленных, явных и законных целей и в дальнейшем не обрабатывались каким-либо образом, не совместимым с этими целями. Данные должны быть адекватными, относящимися к делу и не избыточными в отношении целей, для которых они собираются или в дальнейшем обрабатываются, быть точными, храниться в форме, позволяющей идентификацию субъектов данных не более, чем это необходимо для целей, с которыми данные собираются или впоследствии обрабатываются. Также государствам-участникам следует установить необходимые гарантии для персональных данных, хранимых более длительные сроки в исторических, статистических или научных целях.
В России впервые право на свободное получение и распространение информации, а также на неприкосновенность частной жизни было сформулировано в Декларации прав и свобод человека и гражданина [1]: «Каждый имеет право искать, получать и свободно распространять информацию. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом»; «Каждый имеет право на неприкосновенность его частной жизни, на тайну переписки, телефонных переговоров, телеграфных и иных сообщений. Ограничение этого права допускается только в соответствии с законом на основании судебного решения».
Впоследствии правовая норма, предусматривающая запрет на сбор, хранение, использование и распространение информации о частной жизни без согласия лица, будет закреплена в Конституции РФ от 1993 г. [2]. Формулировка понятия «персональные данные» и определение принципов
сбора и использования информации о гражданах были законодательно закреплены в Федеральном законе от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации» [8], пришедшем ему на смену Федеральном законе от 27.06.2007 № 149-ФЗ «Об информации, информационных технологиях и защите информации» [9] и Федеральном законе от 27.06.2007 № 152-ФЗ «О персональных данных» [10].
Указы Президента РФ, постановления Правительства РФ, отраслевые и прочие нормативные акты, стандарты и руководящие документы, появившиеся в последующие годы, позволили четко регламентировать организацию работы с персональными данными и данными, составляющими коммерческую тайну для организаций всех направлений и форм собственности. Однако в реальной жизни из-за нежелания следовать четким установленным нормам поведения, которое вызвано отсутствием информированности в данном вопросе, незнанием или непониманием механизма защиты электронных документов, а иногда и безответственным поведением, возникает угроза как незаконного распространения персональных и конфиденциальных данных, так и финансовых потерь. С другой стороны, в случае избыточности применения мер информационной безопасности могут возникнуть, помимо чрезмерного расходования средств, затруднение и замедление в работе, связанной с электронными переводами и транзакциями.
Применение безбумажной обработки и обмена документами позволяет значительно сократить время, затрачиваемое на оформление сделки и обмен документацией, усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, построить корпоративную систему обмена документами. С переходом России к рыночным отношениям произошел коренной пересмотр системы государственных закупок: от плановых, жестко регламентированных поставок продукции произошел переход к приобретению товаров в многовариантной среде с широкой возможностью выбора поставщиков.
При переходе на электронный документооборот и работе в системе государственных закупок особо остро встают следующие вопросы:
• авторство документа, его достоверность и защита от искажений;
• своевременный доступ и получение запрашиваемой документации к информации о торгах в
СМИ и подтверждение получения предоставляемой документации;
• возможность утраты или не санкционированного изменения поданных на торги документов;
• достоверность информации о составе участников торгов;
• защита информации и подтверждение юридической значимости документов и действий участников торгов.
Единственным средством защиты электронных документов от искажений, позволяющим при этом однозначно идентифицировать отправителя сообщения, является электронная подпись. Она позволяет минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена документами, придания документам юридической значимости, значительного сокращения времени движения документов в процессе оформления отчетов и обмена документацией, усовершенствования и удешевления процедуры подготовки, доставки, учета и хранения документов, гарантировать достоверность документации. При неправильном использовании подписи становится реальной угроза потери документов и возникновения экономических рисков.
Электронная подпись — это средство, позволяющее на основе использования криптографических методов определить авторство и подлинность документа, это «информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию» [7]. В Федеральном законе от 06.04.2011 № 63-Ф3 «Об электронной подписи» подразделяются простая и усиленная электронная подпись. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств только подтверждает факт формирования электронной подписи определенным лицом. Усиленная подпись делится на усиленную неквалифицированную и усиленную квалифицированную электронную подпись.
Неквалифицированная электронная подпись получается в результате криптографического преобразования информации с использованием ключа электронной подписи, причем позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений
в электронный документ после момента его подписания и создается с использованием средств электронной подписи.
Квалифицированная электронная подпись дополнительно имеет квалифицированный сертификат, в котором указан ключ проверки электронной подписи, а средства для создания и проверки электронной подписи соответствуют требованиям, установленным в соответствии с федеральными законами.
Информация признается равнозначной документам на бумажных носителях, подписанным собственноручной подписью, в том случае, если информация в электронной форме подписана:
• квалифицированной электронной подписью (кроме тех случаев, когда нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе);
• простой электронной подписью или неквалифицированной электронной подписью, но сопровождается соответствующими нормативными правовыми актами и соглашениями между участниками электронного взаимодействия.
Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов, при этом каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью.
Электронная подпись формируется при помощи специальных математических алгоритмов на основе собственно документа и некоего «закрытого ключа», представляющего собой файл на материальном носителе, позволяющий однозначно идентифицировать отправителя сообщения и подтвердить отсутствие искажений в документе.
Алгоритмы, используемые при создании электронной подписи, являются очень надежными. Однако в основе секретности и надежности подписи лежат только корректное задание паролей и хранение ключей. В законе об электронной подписи указано, что при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, не допускать использования принадлежащих им ключей электронных подписей без их согласия, уведомлять удостоверяющий центр, выдавший сертификат ключа, о возможном нарушении кон-
фиденциальности ключа электронной подписи в течение не более чем одного рабочего дня, не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.
Автором было проведено исследование, целью которого были составление объективного представления о существующей на настоящий момент ситуации, связанной с применением ключей электронной подписи, анализ полученной информации и разработка рекомендаций по организации структуры защиты информации.
Тестирование проводилось в производс -твенных организациях и в учреждениях здравоохранения г. Челябинска. Указанный выбор был обусловлен тем, что в 2011 г. вступила в действие Концепция создания единой государственной информационной системы в сфере здравоохранения, утвержденная приказом Минздравсоцразвития России от 28.04.2011 № 364 [4]. Основной целью создания системы является повышение качества оказания медицинской помощи на основе совершенствования информационно-технологического обеспечения медицинских и фармацевтических организаций. Все данные о состоянии здоровья граждан России относятся к числу конфиденциальных. Защита персональных данных граждан в единой системе обеспечивается исключительно использованием инфраструктуры открытых ключей электронной подписи и шифрования данных; обезличивания персональных данных, получаемых из медицинских информационных систем для централизованной обработки, передачи по каналам связи; использования организационных мер управления доступом к системе.
Результаты опроса 77 респондентов разного возраста, образования и занимаемых должностей, работающих с электронной подписью, выявили следующие результаты:
- наиболее профессионально к вопросу хранения паролей подходят люди со средним специальным образованием, по специальности бухгалтер, со стажем работы 4—5 лет;
- большинство респондентов (55 %) предпочитают запоминать пароли, что является наиболее благоприятным решением;
- начинающие специалисты со стажем работы до 1 года и более 7 лет позволяют себе хранить свои пароли на компьютере, что совершенно недопустимо;
- 7 человек предпочитают хранить свои пароли в записной книжке, что нежелательно вследствие легкости похищения;
- только сетевой администратор банка и собственник одного предприятия единолично работали с электронной подписью, другие периодически передавали ключ своим коллегам;
- несмотря на неоспоримые преимущества электронной подписи, данные опроса показали, что данная технология является малоизвестной (только три человека из опрошенных продемонстрировали свое понимание этой технологии: системный администратор, главный бухгалтер и ведущий специалист);
- пароли, задаваемые респондентами самостоятельно для работы с электронной подписью, в более чем половине случаев содержали персональную информацию (комбинацию имени, знаменательных дат, адресов и номеров телефонов), повторяли пароли, которые применялись для общения на форумах, чатах, в социальных сетях и для электронной почты. Использование паролей, основанных на асимметрии базовой секретной информации, значительно снижает криптостойкость алгоритма;
- резервное копирование документов сотрудниками (кроме системных администраторов) осуществляется от случая к случаю;
- более 50 % респондентов вообще не знали, присутствуют ли в их должностных инструкциях пункты об использовании паролей и ключей, 25 % на этот вопрос ответили отрицательно.
Исходя из приведенных данных, можно заключить, что, несмотря на совершенство разработанных правовых норм, технологий и компьютерных программ, существует опасность экономических потерь в связи с преступлениями в компьютерной сфере, вызванными неосведомленностью сотрудников.
Опрос также показал в абсолютном большинстве случаев отсутствие на предприятиях и в учреждениях здравоохранения документов, устанавливающих и разграничивающих права доступа в помещения и к информации. А ведь с этими документами должны быть ознакомлены все сотрудники, причем засвидетельствовать факт ознакомления собственноручной подписью.
Таким образом, для предотвращения финансовых потерь, пресечения возможности распространения персональной и конфиденциальной
информации, потери информации вследствие неисправности компьютерного оборудования и субъективного фактора, необходимо формирование комплекса мер, а именно:
1) для каждого сотрудника организации, работающего с информацией в электронном виде, должны существовать регламент и порядок доступа в помещения и к ресурсам. Каждый сотрудник должен иметь доступ только к той информации, которая ему необходима для исполнения своих служебных обязанностей. Доступ посторонних лиц в помещения, в которых находятся компьютеры, должен в будние дни осуществляться только в присутствии сотрудников организации и быть запрещен в выходные и праздничные дни;
2) необходимо обеспечить надежное электропитание с обязательными источниками бесперебойного питания;
3) необходимо принять меры к поддержанию микроклимата, ведь при экстремальных температурах возможен выход компьютерного оборудования из рабочего состояния;
4) помещение должно иметь средства пожаротушения и должно быть максимально защищено от угроз техногенного происхождения, в числе которых прорыв труб водоснабжения и отопления, механические воздействия на компьютер и устройства внешней памяти;
5) обязательно постоянное проведение резервного копирования данных и специализированного программного обеспечения, предусматривающего возможность хранения и восстановления информации за весь период, в течение которого информация является актуальной;
6) компьютеры должны быть оснащены лицензионными антивирусными программами и персональными файерволами;
7) ключи электронной подписи должны меняться по истечении определенного времени. Однако всегда может возникнуть юридический спор относительно данного электронного документа. Поэтому файл закрытого ключа должен стираться с носителя с применением специальных программных средств или физически уничтожаться вместе с носителем, а файл открытого ключа должен тщательно храниться в течение времени исковой давности документа для обеспечения при необходимости аутентификации автора и для подтверждения подлинности и целостности документа;
8) носитель закрытого ключа должен храниться в сейфе или запираемом шкафу и вставляться в соответствующий порт только в момент подписания документа; доступ к ключу должен иметь только его владелец; на носителе не должна храниться никакая посторонняя информация;
9) для увеличения криптостойкости ключа пароли электронной подписи должны содержать буквы и цифры, желательно в разных регистрах, причем не связанные смыслом. Ни в коем случае нельзя хранить записанные пароли на бумажках рядом с компьютером.
Однако самой главной гарантией грамотного применения указанных выше мероприятий является постоянное обучение сотрудников. Можно констатировать, что мы живем в информационном обществе, главным ресурсом которого становится информация. Поэтому, начиная с уроков информатики в школах и продолжая занятиями в средних и высших учебных заведений, раздел информационной безопасности должен стать обязательным, причем наравне с существующим сейчас курсом обеспечения безопасности жизнедеятельности.
В настоящее время смена программного обеспечения, даже целых поколений информационных технологий проходит очень быстро. Поэтому периодическое повышение квалификации, формирование компетентности сотрудников в области информационной безопасности посредством участия в семинарах и конференциях, самостоятельной подготовки являются главными факторами, способствующими тому, чтобы указанные выше рекомендации выполнялись осознанно, грамотно и действительно обезопасили личную и профессиональную конфиденциальную информацию от незаконного распространения и хищения.
Список литературы
1. Декларация прав и свобод человека и гражданина: принята постановлением Верховного Совета РСФСР 22.11.1991.
2. Конституция Российской Федерации: принята всенародным голосованием 12.12.1993 (с учетом поправок, внесенных законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7-ФКЗ).
3. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных. Страсбург, 28.01.1981.
4. Концепция создания единой государственной информационной системы в сфере здравоохранения: утверждена приказом Минздравсоц-развития России от 28.04.2011 № 364 (ред. от 12.04.2012).
5. Метальников А. В. Обеспечение процесса защиты персональных данных: методические материалы. Челябинск: ООО Типография «Универсальная», 2012.
6. О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных: Директива 95/46/ЕС
Европейского парламента и Совета Европейского Союза от 24.10.1995.
7. Об электронной подписи: Федеральный закон от 06.04.2011 № 63-Ф3 (ред. от 10.07.2012).
8. Об информации, информатизации и защите информации: Федеральный закон от 20.02.1995 № 24-ФЗ.
9. Об информации, информационных технологиях и защите информации: Федеральный закон от 27.06.2007 № 149-ФЗ.
10. О персональных данных: Федеральный закон от 27.06.2007 № 152-ФЗ.
Лучшие журналы для профессионалов-финансистов, экономистов, бухгалтеров, налоговиков
Не пропустите! Продолжается подписка на все издания! (495)721-85-75, podpiska@fin-izdat.ru www.fin-izdat.ru
