Проблемы организации работы по обеспечению информационной безопасности Челябинского областного фонда обязательного медицинского страхования
Оглавление
Введение
Глава 1.
Теоретические основы информационной безопасности в российской Федерации
1.1 Понятие
информационной безопасности. Важность проблемы информационной безопасности в
государственном и муниципальном управлении
1.2
Нормативно-правовые основы информационной безопасности в Российской Федерации
1.3 Управление
информационной безопасностью
Глава 2.
Организация работы по обеспечению информационной безопасности Челябинского
областного фонда обязательного медицинского страхования (ЧОФОМС)
2.1 Практика
организации работы по обеспечению информационной безопасности ЧОФОМС
2.2 Проблемы и
направления совершенствования работы по обеспечению информационной безопасности
ЧОФОМС
Заключение
Список
использованных источников и литературы
Введение
информационная безопасность государственный муниципальный
Исследования свидетельствуют о том, что основной причиной
проблем государственных и муниципальных учреждений в области защиты информации
является отсутствие продуманной и утвержденной политики обеспечения
информационной безопасности, базирующейся на организационных, технических,
экономических решениях с последующим контролем их реализации и оценкой
эффективности.
Неправомерное искажение, уничтожение или разглашение
определенной части информации, а также дезорганизация процессов ее обработки и
передачи наносят серьезный материальный и моральный ущерб как государству в
целом, так и юридическим и физическим лицам. В частности, к сожалению, частота
этих нарушений увеличивается из года в год.
Важность проблемы защиты информации в нашей стране
подчеркивает факт создания по инициативе Президента РФ Доктрины информационной
безопасности. Методы обеспечения информационной безопасности Российской
Федерации согласно Доктрине разделяются на правовые, организационно-технические
и экономические.
Целью работы - комплексный анализ проблем в работе
обеспечения информационной безопасности Челябинского областного фонда
обязательного медицинского страхования и совершенствование работы обеспечения
информационной безопасности Челябинского областного фонда обязательного
медицинского страхования.
Для достижения поставленной цели решаются следующие задачи:
. дать понятие информационной безопасности;
. рассмотреть важность проблемы информационной безопасности в
государственном и муниципальном управлении;
. проанализировать нормативно-правовые основы информационной
безопасности в Российской Федерации;
. охарактеризовать управление информационной безопасностью;
. рассмотреть практика организации работы по обеспечению
информационной безопасности Челябинского областного фонда обязательного
медицинского страхования;
. выявить проблемы и рассмотреть направления
совершенствования работы по обеспечению информационной безопасности
Челябинского областного фонда обязательного медицинского страхования.
Объект исследования - Челябинский областной фонд
обязательного медицинского страхования.
Предмет исследования - организация работы по обеспечению
информационной безопасности в Челябинском областном фонде обязательного
медицинского страхования.
Общими явились методы анализа и синтеза, индукции и дедукции,
наблюдения и сравнения. В качестве общенаучных методов, с помощью которых
проводилось исследование, использовались метод структурного анализа, системный
и исторический методы. В качестве частнонаучного метода выступил
конкретно-социологический. К специальным методам, использовавшимся в работе,
следует отнести сравнительно-правовой, исторический, формально-юридический
метод, методы правового моделирования, различные способы толкования права.
При решении конкретных задач использовались труды
отечественных и зарубежных ученых в области информационной безопасности,
государственного регулированию информационной безопасности, государственному и
муниципальному управлению.
Базу исследования составили законы и законодательные акты,
разработки ведущих научных школ в области информационной безопасности и
страхования, а также данные статистических сборников и проектные материалы
научной периодики, конференций и семинаров.
Практическая значимость работы определяется наличием рекомендаций
по совершенствованию работы по обеспечению информационной безопасности в
Челябинском областном фонде обязательного медицинского страхования.
Работа состоит из введения, двух глав и заключения, списка
использованных источников и литературы.
Глава
1. Теоретические основы информационной безопасности в российской Федерации
1.1 Понятие информационной безопасности. Важность
проблемы информационной безопасности в государственном и муниципальном
управлении
Словосочетание «информационная безопасность» в разных
контекстах может иметь различный смысл. В Доктрине информационной безопасности
Российской Федерации термин» информационная безопасность» используется в
широком смысле. Имеется в виду состояние защищенности национальных интересов в
информационной сфере, определяемых совокупностью сбалансированных интересов
личности, общества и государства.
В Федеральном законе РФ «Об информации, информационных
технологиях и о защите информации» информационная безопасность определяется
аналогичным образом - как состояние защищенности информационной среды общества,
обеспечивающее ее формирование, использование и развитие в интересах граждан,
организаций, государства.
Под информационной безопасностью мы будем понимать
защищенность информации и поддерживающей инфраструктуры от случайных или
преднамеренных воздействий естественного или искусственного характера, которые
могут нанести неприемлемый ущерб субъектам информационных отношений, в том
числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации - это комплекс мероприятий, направленных на
обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения
подход к проблемам информационной безопасности начинается с выявления субъектов
информационных отношений и интересов этих субъектов, связанных с использованием
информационных систем (ИС). Угрозы информационной безопасности - это оборотная
сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
1. Трактовка проблем, связанных с информационной
безопасностью, для разных категорий субъектов может существенно различаться.
Для иллюстрации достаточно сопоставить режимные государственные организации и
учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает
хоть один секретный бит», во втором - «да нет у нас никаких секретов, лишь бы
все работало».
2. Информационная безопасность не сводится исключительно
к защите от несанкционированного доступа к информации, это принципиально более
широкое понятие. Субъект информационных отношений может пострадать (понести
убытки и/или получить моральный ущерб) не только от несанкционированного
доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для
многих открытых организаций (например, учебных) собственно защита от
несанкционированного доступа к информации стоит по важности отнюдь не на первом
месте.
Возвращаясь к вопросам терминологии, отметим, что термин
«компьютерная безопасность» (как эквивалент или заменитель информационной безопасности)
представляется нам слишком узким. Компьютеры - только одна из составляющих
информационных систем, и хотя наше внимание будет сосредоточено в первую
очередь на информации, которая хранится, обрабатывается и передается с помощью
компьютеров, ее безопасность определяется всей совокупностью составляющих и, в
первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев
оказывается человек.
Согласно определению информационной безопасности, она зависит
не только от компьютеров, но и от поддерживающей инфраструктуры, к которой
можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства
коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет
самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на
выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении информационной
безопасности перед существительным «ущерб» стоит прилагательное «неприемлемый».
Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно
сделать это экономически целесообразным способом, когда стоимость защитных
средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то
приходится мириться и защищаться следует только от того, с чем смириться никак
нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью
людей или состоянию окружающей среды, но чаще порог неприемлемости имеет
материальное (денежное) выражение, а целью защиты информации становится
уменьшение размеров ущерба до допустимых значений.
Информационная безопасность - многогранная, можно даже
сказать, многомерная область деятельности, в которой успех может принести
только системный, комплексный подход.
Спектр интересов субъектов, связанных с использованием
информационных систем, можно разделить на следующие категории: обеспечение
доступности, целостности и конфиденциальности информационных ресурсов и
поддерживающей инфраструктуры.
Иногда в число основных составляющих информационной
безопасности включают защиту от несанкционированного копирования информации.
Поясним понятия доступности, целостности и
конфиденциальности.
Доступность - это возможность за приемлемое время получить
требуемую информационную услугу. Под целостностью подразумевается актуальность
и непротиворечивость информации, ее защищенность от разрушения и
несанкционированного изменения.
Наконец, конфиденциальность - это защита от
несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для
получения определенных информационных услуг. Если по тем или иным причинам
предоставить эти услуги пользователям становится невозможно, это, очевидно,
наносит ущерб всем субъектам информационных отношений. Поэтому, не
противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший
элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного
рода системах управления - производством, транспортом и т.п. Внешне менее
драматичные, но также весьма неприятные последствия - и материальные, и моральные
- может иметь длительная недоступность информационных услуг, которыми
пользуется большое количество людей (продажа железнодорожных и авиабилетов,
банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как
неизменность информационных объектов) и динамическую (относящуюся к корректному
выполнению сложных действий (транзакций)). Средства контроля динамической
целостности применяются, в частности, при анализе потока финансовых сообщений с
целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом информационной
безопасности в тех случаях, когда информация служит «руководством к действию».
Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики
комплектующих изделий, ход технологического процесса - все это примеры
информации, нарушение целостности которой может оказаться в буквальном смысле
смертельным. Неприятно и искажение официальной информации, будь то текст закона
или страница Web-сервера какой-либо правительственной организации.
Конфиденциальность - самый проработанный у нас в стране аспект информационной
безопасности. К сожалению, практическая реализация мер по обеспечению
конфиденциальности современных информационных систем наталкивается в России на
серьезные трудности. Во-первых, сведения о технических каналах утечки
информации являются закрытыми, так что большинство пользователей лишено
возможности составить представление о потенциальных рисках. Во-вторых, на пути
пользовательской криптографии как основного средства обеспечения
конфиденциальности стоят многочисленные законодательные препоны и технические
проблемы.
Если вернуться к анализу интересов различных категорий
субъектов информационных отношений, то почти для всех, кто реально использует
информационные системы, на первом месте стоит доступность. Практически не
уступает ей по важности целостность - какой смысл в информационной услуге, если
она содержит искаженные сведения?
Наконец, конфиденциальные моменты есть также у многих организаций
и отдельных пользователей (например, пароли).
Информационная безопасность является одним из важнейших
аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали
последнюю - национальном, отраслевом, корпоративном или персональном.
При анализе проблематики, связанной с информационной
безопасностью в государственном и муниципальном управлении, необходимо
учитывать специфику данного аспекта безопасности, состоящую в том, что
информационная безопасность есть составная часть информационных технологий в
государственном и муниципальном управлении - области, развивающейся
беспрецедентно высокими темпами. Здесь важны не столько отдельные решения
(законы, учебные курсы, программно-технические изделия), находящиеся на
современном уровне, сколько механизмы генерации новых решений государственными
и муниципальными органами, позволяющие жить в темпе технического прогресса.
К сожалению, современная технология программирования не
позволяет создавать безошибочные программы, что не способствует быстрому развитию
средств обеспечения информационной безопасности деятельности государственных и
муниципальных органов. Следует исходить из того, что необходимо конструировать
надежные системы (информационной безопасности) с привлечением ненадежных
компонентов (программ). В принципе, это возможно, но требует соблюдения
определенных архитектурных принципов и контроля состояния защищенности на всем
протяжении жизненного цикла информационных систем.
Приведем несколько цифр. В марте 2009 года был опубликован
очередной, четвертый по счету, годовой отчет «Компьютерная безопасность в
государственном и муниципальном управлении: проблемы и тенденции». В отчете
отмечается резкий рост числа обращений в правоохранительные органы по поводу
компьютерных преступлений (32%); 30% сообщили о том, что их информационные
системы были взломаны внешними злоумышленниками; атакам через Internet
подвергались 57% государственных и муниципальных органов принимавших участие в
этом исследовании; в 55% случаях отмечались нарушения со стороны собственных
сотрудников. Примечательно, что 33% респондентов на вопрос «были ли взломаны
ваши Web-серверы за последние 12 месяцев?» ответили «не знаю».
В аналогичном отчете, опубликованном в апреле 2008 году,
цифры изменились, но тенденция осталась прежней: 90% (преимущественно из
крупных учреждений и правительственных структур) сообщили, что за последние 12
месяцев в их организациях имели место нарушения информационной безопасности;
80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли
и/или захотели оценить потери количественно, общая сумма составила более 455
млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн.
долларов соответственно).
Увеличение числа атак на информационные ресурсы
государственных и муниципальных органов - еще не самая большая неприятность.
Хуже то, что постоянно обнаруживаются новые уязвимые места в программном
обеспечении и, как следствие, появляются новые виды атак.
В таких условиях системы информационной безопасности
государственных и муниципальных органов должны уметь противостоять
разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным
и скоординированным. Иногда нападение длится доли секунды; порой прощупывание
уязвимых мест ведется медленно и растягивается на часы, так что подозрительная
активность практически незаметна. Целью злоумышленников может быть нарушение
всех составляющих информационной безопасности - доступности, целостности или
конфиденциальности.
1.2 Нормативно-правовые основы информационной
безопасности в Российской Федерации
Вопросы доступа к информации, формирования и использования
информационных ресурсов и защиты информации затрагиваются непосредственно в
Конституции Российской Федерации, а также таких актах, как законы Российской
Федерации: от 27 декабря 1991 г. № 2124-I "О средствах массовой
информации", от 05.03.1992 г. № 2446-I "О безопасности", от 21
июля 1993 г. № 5485-I "О государственной тайне", и федеральные
законы: часть четвертая ГК РФ, ФЗ от 13 января 1995 г. № 7-ФЗ "О порядке
освещения деятельности органов государственной власти в государственных
средствах массовой информации", от 27.07.2006 N 149-ФЗ "Об
информации, информационных технологиях и о защите информации", от 29
декабря 1994 г. № 77-ФЗ "Об обязательном экземпляре документов", от
10 января 2002 года № 1-ФЗ "Об электронной цифровой подписи", от
27.07.2006 г. № 152-ФЗ "О персональных данных" и многих других.
Основным законом Российской Федерации является Конституция,
принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы
государственной власти и органы местного самоуправления, их должностные лица
обязаны обеспечить каждому возможность ознакомления с документами и
материалами, непосредственно затрагивающими его права и свободы, если иное не
предусмотрено законом.
Статья 23 Конституции гарантирует право на личную и семейную
тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных
сообщений, статья 29 - право свободно искать, получать, передавать, производить
и распространять информацию любым законным способом. Современная интерпретация
этих положений включает обеспечение конфиденциальности данных, в том числе в
процессе их передачи по компьютерным сетям, а также доступ к средствам защиты
информации.
В Гражданском кодексе Российской Федерации фигурируют такие
понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139,
информация составляет служебную или коммерческую тайну в случае, когда
информация имеет действительную или потенциальную коммерческую ценность в силу
неизвестности ее третьим лицам, к ней нет свободного доступа на законном
основании, и обладатель информации принимает меры к охране ее
конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах
информационной безопасности и наличие доступных (и законных) средств
обеспечения конфиденциальности.
В рамках обсуждаемой проблемы нельзя не сказать о важности
принятого 10 января 2002 года Федерального закона № 1-ФЗ "Об электронной
цифровой подписи". Длительность его разработки, сложности согласования
положений и острые дискуссии, появление ряда альтернативных проектов,
несомненно, свидетельствуют о его роли в информационной сфере и объясняются
важностью этого вопроса как для специалистов в области криптографии, связи,
юристов, так и для всех пользователей.
Обеспечение доверия к электронной подписи и ее правовое
признание является обязательным элементом заключения договоров в электронной
торговле, передачи права собственности и обязательственных прав, а также
совершение иных юридически значимых действий посредством электронной связи.
Данный Федеральный закон устанавливает правовую основу для
использования электронной цифровой подписи, определяет полномочия органов,
удостоверяющих открытые ключи электронной цифровой подписи, а также права,
обязанности и ответственность физических и юридических лиц, участвующих в
деятельности, связанной с применением электронной цифровой подписи.
Правовое урегулирование применения электронной цифровой
подписи необходимо и для дальнейшей работы над целым рядом законопроектов. Так,
остаются неурегулированными вопросы участия России в мировой системе
электронной торговли или, что вероятно правильнее, электронной коммерции,
поскольку не вполне корректным является отождествление слова
"торговля" с такими, например, сделками, как банковский счет,
доверительное управление имуществом, простое товарищество, публичное обещание
награды, публичный конкурс.
Нельзя не отметить, что правовое регулирование использования
электронной цифровой подписи необходимо и для разработки законопроекта "Об
электронном документе", которая была поручена Правительством Российской
Федерации ряду министерств и ведомств. Данный закон необходим для обеспечения
правовой основы использования электронной формы документов в гражданском
обороте и в сфере государственного управления, однако указанный законопроект
находится в стадии разработки.
Следует отметить, что правовые условия использования
электронного документа в значительной мере уже определены действующими
федеральными законами или включены в подготавливаемые законопроекты, в связи с
чем высказывается и такая точка зрения, что дальнейшее развитие
законодательства в данной сфере должно осуществляться путем внесения в
действующие законодательные изменений и дополнений, конкретизирующих
использование электронных документов в различных сферах деятельности.
Межведомственной комиссией Совета Безопасности Российской
Федерации по информационной безопасности одобрены "Основные направления нормативного
правового обеспечения информационной безопасности Российской Федерации"
(Решение № 5.4 от 27.11.08). Указанным документом определяются цели и принципы
нормативного правового обеспечения информационной безопасности Российской
Федерации, направления государственной политики в области противодействия
угрозам информационной безопасности и задачи их нормативного правового
обеспечения, а также первоочередные меры по совершенствованию нормативного
правового обеспечения информационной безопасности Российской Федерации.
В целях развития положений Доктрины информационной
безопасности и обеспечения единства правового пространства Российской Федерации
требуется определение основ федеральной политики в области обеспечения
информационной безопасности субъектов Российской Федерации. Это важный аспект
информационной безопасности, который также получил отражение в "Основных
направлениях нормативного правового обеспечения информационной безопасности
Российской Федерации". Для Минюста России и его территориальных органов в
субъектах Российской Федерации это особенно важно в связи с возложением Указом
Президента Российской Федерации от 10 августа 2000 № 1486 функций по созданию и
ведению федерального банка нормативных правовых актов субъектов Российской
Федерации - федерального регистра. Необходим серьезный анализ регионального
законодательства в информационной сфере, требует проработки на основании
Посланий Президента Российской Федерации Федеральному Собранию Российской
Федерации и вопрос о государственном учете актов органов местного
самоуправления.
Требует совершенствования и организация правотворческого
процесса в области обеспечения информационной безопасности Российской
Федерации. Этот процесс может базироваться на иерархической системе
концептуальных документов Президента Российской Федерации, Федерального
Собрания Российской Федерации, Правительства Российской Федерации, органов
государственной власти субъектов Российской Федерации, определяющих основные
цели противодействия угрозам информационной безопасности, методы и правовые
механизмы осуществления этого противодействия, привлекаемые для этого силы и
средства, а также приоритеты в развитии правового регулирования в данной
области.
1.3 Управление информационной безопасностью
Обеспечение информационной безопасности - это непрерывный
процесс, основное содержание которого составляет управление. Информационная
безопасность невозможно обеспечить разовым мероприятием, поскольку средства
защиты нуждаются в постоянном контроле и обновлении.
Управление информационной безопасностью - это управление
людьми, рисками, ресурсами, средствами защиты и т.п. Управление информационной
безопасностью является неотъемлемым элементом управления и позволяет
коллективно использовать конфиденциальную информацию, обеспечивая при этом ее
защиту, а так же защиту вычислительных ресурсов.
Управление информационной безопасностью - это циклический
процесс, включающий:
• осознание степени необходимости защиты информации;
• сбор и анализ данных о состоянии информационной
безопасности в организации;
• оценку информационных рисков;
• планирование мер по обработке рисков;
• реализацию и внедрение соответствующих механизмов
контроля;
• распределение ролей и ответственности;
• обучение и мотивацию персонала;
• оперативную работу по осуществлению защитных
мероприятий;
• мониторинг функционирования механизмов контроля,
• оценку их эффективности и соответствующие
корректирующие воздействия.
Для обеспечения необходимого уровня информационной
безопасности в государственном или муниципальном учреждении создается
комплексная система управления информационной безопасностью (СУИБ). Конечной
целью создания такой системы является предотвращение или минимизация ущерба
(прямого или косвенного, материального, морального или иного), преднамеренно
наносимого злоумышленниками либо непреднамеренно - нерадивыми работниками
учреждения посредством нежелательного воздействия на информацию, ее носители и
процессы обработки.
Согласно стандарту ISO 27001, система управления
информационной безопасностью (СУИБ) - это «та часть общей системы управления
организации, основанной на оценке бизнес рисков, которая создает, реализует,
эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и
совершенствование информационной безопасности». Система управления включает в
себя организационную структуру, политики, планирование, должностные
обязанности, практики, процедуры, процессы и ресурсы.
Основной задачей системы является обеспечение необходимого
уровня доступности, целостности и конфиденциальности компонентов (ресурсов) информационной
безопастности.
Какие преимущества компании дает внедрение СУИБ и ее
сертификация на соответствие международным стандартам:
- повышение управляемости;
- повышение защищенности ключевых процессов
учреждения;
повышение доверия к учреждению;
Таким образом, Защита информации - это комплекс мероприятий,
направленных на обеспечение информационной безопасности. Управление
информационной безопасностью - это управление людьми, рисками, ресурсами,
средствами защиты и т.п. Управление информационной безопасностью является
неотъемлемым элементом управления и позволяет коллективно использовать
конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту
вычислительных ресурсов.
Глава
2. Организация работы по обеспечению информационной безопасности Челябинского
областного фонда обязательного медицинского страхования (ЧОФОМС)
2.1 Практика организации работы по обеспечению
информационной безопасности ЧОФОМС
Челябинский областной фонд обязательного медицинского
страхования (далее - ЧОФОМС) создан для реализации государственной политики в
сфере обязательного медицинского страхования как составной части
государственного социального страхования.
В ЧОФОМС ответственным за информационную безопасность
является отдел «Обеспечения информационной безопасности» (далее отдел), который
является структурным подразделением Управления информационного обеспечения и
информационной безопасности ЧОФОМС.
Отдел в своей деятельности руководствуется Конституцией
Российской Федерации, федеральными конституционными законами, федеральными
законами, указами и распоряжениями Президента Российской Федерации,
постановлениями и распоряжениями Правительства Российской Федерации,
международными договорами Российской Федерации и локальными актами ЧОФОМС.
Делопроизводство и мероприятия по обеспечению режима
секретности в отделе осуществляются в порядке, установленном федеральным
законодательством.
Основными задачами отдела по обеспечению информационной
безопасности в соответствии с Положением отдела обеспечения информационной
безопасности являются:
практическая реализация единой политики (концепции)
обеспечения информационной безопасности ЧОФОМС, определение требований к
системе защиты информации в аппарате Управления и структурных подразделениях,
документообороту на бумажных и электронных носителях.
осуществление комплексной защиты информации на всех этапах
технологических циклов ее создания, переноса на носитель, обработки и передачи
в соответствии с единой концепцией информационной безопасности.
контроль за эффективностью предусмотренных мер защиты
сведений, составляющих конфиденциальную информацию, персональные данные и иной
информации.
координация деятельности и методическое руководство при
проведении работ по обеспечению информационной безопасности и защите
информации.
Отдел выполняет следующие функции:
реализация единой политики защиты интересов ЧОФОМС от угроз в
информационной сфере;
обеспечение методического руководства аппаратом ЧОФОМС и
структурными подразделениями при проведении работ по защите информации;
обеспечение технической защиты информации;
определение в пределах своей компетенции режима и правил
обработки, защиты информационных ресурсов и доступа к ним;
осуществление контроля за эффективностью предусмотренных мер
защиты конфиденциальной информации в ЧОФОМС;
проведение экспертиз договоров ЧОФОМС со сторонними
организациями по вопросам обеспечения безопасности при обмене информацией;
обеспечение защиты информации в выделенных и защищаемых
помещениях ЧОФОМС, а также при передаче по техническим каналам связи;
осуществление согласования технических порядков по
технологиям, связанным с информационным обменом и документооборотом;
участие в проектировании, приемке, сдаче в промышленную
эксплуатацию программных и аппаратных средств (в части требований к средствам
защиты информации);
осуществление контроля за соблюдением правил безопасной
эксплуатации аппаратно-программных средств, нормативных требований,
сертификатов и лицензий на программные и аппаратные средства (в том числе
средства защиты информации);
осуществление контроля за разрешительной системой допуска
исполнителей к работе с защищаемой информацией;
осуществление мониторинга информации, циркулирующей в сетях,
системах и защищаемых помещениях ЧОФОМС, использование аппаратно-программных
средств предотвращения и пресечения утечки информации;
выявление, идентификация и опознавание несанкционированных
источников электромагнитных, виброакустических, оптических и иных излучений,
проведение их поиска и пресечения, использование для этих целей технических
средств, включая специальные;
организация мероприятий по проведению специальных проверок
выделенных помещений и технических средств Управления с целью проведения их
аттестации и сертификации на соответствие нормам защиты информации;
участие в проектировании, приемке и сдаче в эксплуатацию
специальных средств и систем предотвращения утечки конфиденциальной информации
по естественным и искусственно созданным каналам;
участие в согласовании кандидатур граждан, назначаемых на
должности, связанные с выполнением обязанностей по управлению информационными
ресурсами, администрированию и сопровождению вычислительных средств,
проектированию и разработке информационных программ в ЧОФОМС;
взаимодействие с органами исполнительной власти Челябинской
области, исполняющими контрольные функции, при организации в установленном
порядке мероприятий по технической защите информации;
участие в проверках по вопросам, относящимся к компетенции
Отдела, в обобщении и анализе их результатов (при необходимости организация
тематических проверок);
участие в обучении работников ЧОФОМС, проведение совещаний,
семинаров, оказание практической помощи территориальным отделам ЧОФОМС по
вопросам информационной безопасности;
осуществление иных функций по поручениям руководства ЧОФОМС.
Структура отдела обеспечения информационной безопасности
изображена на схеме 1.
Схема 1
Структура Отдела обеспечения информационной безопасности
ЧОФОМС
Таким образом, отдел состоит из трех человек, начальника
отдела и двух главных специалистов.
При осуществлении контроля за эффективностью предусмотренных
мер защиты конфиденциальной информации в ЧОФОМС отделом при помощи аппаратного
и программного обеспечения были показаны следующие результаты работы.
. были обезврежены хакерские интернет атаки. В 2008 - 257
атак, 2009 году 346 атак, в первом полугодии 2010 года - 365 атаки.
Из приведенной статистики видно, что количество попыток
незаконного доступа к информационным ресурсам ЧОФОМС ежегодно возрастает
практически в два раза. И можно предположить, что в 2010 году таких попыток
будет более в три раза больше чем 2008 году.
2.
По рекомендации Отдела были приобретены 450 лицензий на право использования
программного продукта Антивирус Dr.Web Enterprise Suite.
Dr.Web Enterprise Suite обеспечивает полную защиту компьютеров
ЧОФОМС под управлением Windows 2000/XP/Vista/7. .Web Enterprise Suite имеет
клиент-серверную архитектуру. Установка клиентов производится на защищаемые
рабочие станции. Антивирусный сервер обеспечивает централизованное
администрирование процессов развертывания, обновления вирусных баз и
программных модулей компонентов, мониторинга состояния сети, рассылки извещений
о вирусных событиях, сбора статистики.
. Внедрен защищенный документооборот между ЧОФОМС и его
территориальными отделениями и больницами Челябинской области.
Защита оборота документов осуществляется при помощи
программного обеспечения ViPNet [Клиент], которое обеспечивает защиту
компьютера от сетевых атак и установление криптографически защищенных
соединений (туннелей) при взаимодействии с другими узлами защищенной сети, а
также возможность гарантированной доставки подписанных ЭЦП документов (файлов)
по назначению с автоматическим подтверждением доставки и прочтения документов.
Электронный документооборот между участниками системы
осуществляется в несколько неделимых этапов передачи информации между
субъектами. Электронные документы, передаваемые между ЧОФОМС его
подразделениями и больницами в обязательном порядке подписываются и шифруются
на автоматизированных рабочих местах Абонентов. Перемещение документов от
одного участника ЧОФОМС к другому через транспортные сервера осуществляется
только в зашифрованном виде. В рамках каждого этапа передачи информации
формируется один транспортный пакет, представляющий из себя один архивированный
файл. Транспортный пакет содержит информацию, позволяющую провести контроль его
целостности. То есть в случае повреждения пакета при пересылке пакет не будет
обработан принимающем субъектом, а будет сгенерировано сообщение об ошибке. Все
документы в транспортном пакете передаются в зашифрованном виде, а служебный
файл и файл-описатель - в открытом виде с ЭЦП. Требования к процедуре обмена
электронными документами определяются "Протоколом обмена документами по
телекоммуникационным каналам связи в системе электронного документооборота
ЧОФОМС".
2.2 Проблемы и направления совершенствования
работы по обеспечению информационной безопасности ЧОФОМС
Основными проблемами обеспечению информационной безопасности
ЧОФОМС являются:
. Отсутствие необходимого количества работников в отделе
обеспечения информационной безопасности. В настоящий момент их численность
составляет 3 человека, считая начальника отдела.
По рекомендации Федерального фонда обязательного медицинского
страхования численность отдела отвечающего за информационную безопасность
должна составлять не менее 5 человек. При этом в отделе помимо его начальника
должны работать два главных специалиста и два старших специалиста.
Нами была разработана необходимая структура отдела
обеспечения информационной безопасности ЧОФОМС, она изображена на схеме 2.
Предложенная нами структура имеет линейно-функциональный
характер.
Таким образом, необходимо дополнительно принять в отдел двух
ведущих специалистов. Имеющих профильное высшее образование - информационная
безопасность.
Заработная плата старшего специалиста в ЧОФОМС составляет 15
670 рублей в месяц.
Таким образом ежегодные дополнительные затраты на двух
специалистов составят:
З/п * 12*2 = 15 670 * 12 * 2 = 376 080 рублей в год.
Считаем, что данные затраты оправданны в связи с увеличением
производительности труда отдела обеспечения информационной безопасности ЧОФОМС.
. Так же проблемой является неудовлетворительная подготовка
сотрудников отдела в области защиты информации. В настоящий момент в отделе
только начальник имеет профильное образование по информационной безопасности.
Деятельность в области защиты информации является
специфической и информационные технологии не стоят на месте, а ежегодно
двигаются большими шагами вперед, поэтому мы считаем, что сотрудники отдела
должны ежегодно проходить переаттестацию, получать более углубленные знания в
учебных центрах по защите информации.
Данные курсы, например, проходят в Южно-Уральском
государственном университете. Данные курсы повышения квалификации по
технической защите информации ориентированы на практическую и теоретическую
подготовку руководителей и специалистов, отвечающих за организацию работ по защите
информации. Призвана помочь в организации, проведении и последующем контроле
мероприятий по защите информации, составляющей государственную тайну, от утечки
по техническим каналам и защите от несанкционированного доступа.
. Считаю, что в связи со спецификой работы над защитой
информации Отдел обеспечения информационной безопасности ЧОФОМС должен выйти из
Управления информационного обеспечения и информационной безопасности ЧОФОМС.
Соответственно управление после этого выделения отдела должно называться
«Управлением информационного обеспечения». Считаю что отдел обеспечения
информационной безопасности ЧОФОМС должен быть независимым структурным
подразделением ЧОФОМС и подчиняться непосредственно директору фонда.
Таким образом в ЧОФОМС отделом обеспечения информационной
безопасности осуществляется комплексная защита конфиденциальной информации,
защищаются персональные данные работников ЧОФОМС, а так же организован
защищенный электронный документооборот между ЧОФОМС его территориальными
отделениями и больницами Челябинской области. При этом в организации работы, по
нашему мнению присутствуют определенные шероховатости:
. Отсутствие необходимого количества работников в отделе
обеспечения информационной безопасности.
. Отсутствие у работников отдела специализированного
образования в сфере защиты информации.
. Считаем что отдел обеспечения информационной безопасности
должен подчиняться непосредственно директору ЧОФОМС.
Заключение
Информационной безопасность - защищенность информации и
поддерживающей инфраструктуры от случайных или преднамеренных воздействий
естественного или искусственного характера, которые могут нанести неприемлемый
ущерб субъектам информационных отношений, в том числе владельцам и
пользователям информации и поддерживающей инфраструктуры. Защита информации -
это комплекс мероприятий, направленных на обеспечение информационной
безопасности.
Управление информационной безопасностью - это управление
людьми, рисками, ресурсами, средствами защиты и т.п. Управление информационной
безопасностью является неотъемлемым элементом управления и позволяет
коллективно использовать конфиденциальную информацию, обеспечивая при этом ее
защиту, а так же защиту вычислительных ресурсов.
При анализе проблематики, связанной с информационной
безопасностью в государственном и муниципальном управлении, необходимо
учитывать специфику данного аспекта безопасности, состоящую в том, что
информационная безопасность есть составная часть информационных технологий в
государственном и муниципальном управлении - области, развивающейся
беспрецедентно высокими темпами. Здесь важны не столько отдельные решения
(законы, учебные курсы, программно-технические изделия), находящиеся на
современном уровне, сколько механизмы генерации новых решений государственными
и муниципальными органами, позволяющие жить в темпе технического прогресса.
В ЧОФОМС ответственным за информационную безопасность
является отдел «Обеспечения информационной безопасности», который является
структурным подразделением Управления информационного обеспечения и информационной
безопасности ЧОФОМС. Отдел состоит из трех человек, начальника отдела и двух
главных специалистов.
Основными задачами отдела по обеспечению информационной
безопасности в соответствии с Положением отдела обеспечения информационной
безопасности являются:
практическая реализация единой политики (концепции)
обеспечения информационной безопасности ЧОФОМС, определение требований к
системе защиты информации в аппарате Управления и структурных подразделениях,
документообороту на бумажных и электронных носителях.
осуществление комплексной защиты информации на всех этапах
технологических циклов ее создания, переноса на носитель, обработки и передачи
в соответствии с единой концепцией информационной безопасности.
контроль за эффективностью предусмотренных мер защиты
сведений, составляющих конфиденциальную информацию, персональные данные и иной
информации.
координация деятельности и методическое руководство при
проведении работ по обеспечению информационной безопасности и защите
информации.
Основными проблемами обеспечению информационной безопасности
ЧОФОМС являются:
. Отсутствие необходимого количества работников в отделе
обеспечения информационной безопасности. В настоящий момент их численность
составляет 3 человека, считая начальника отдела. По рекомендации Федерального
фонда обязательного медицинского страхования численность отдела отвечающего за
информационную безопасность должна составлять не менее 5 человек. В ходе
выполнения исследования нами была разработана необходимая структура отдела
обеспечения информационной безопасности ЧОФОМС.
Мы пришли к выводу, что в Отдел обеспечения информационной
безопасности необходимо приять двух ведущих специалистов.
. Проблемой является неудовлетворительная подготовка
сотрудников отдела в области защиты информации. Считаем, что сотрудники отдела
должны ежегодно проходить переаттестацию, получать более углубленные знания в
учебном центре Южно-Уральского государственного университета.
. Считаем, что отдел обеспечения информационной безопасности
ЧОФОМС должен выйти из Управления информационного обеспечения и информационной
безопасности ЧОФОМС. Отдел быть независимым структурным подразделением ЧОФОМС и
подчиняться непосредственно директору фонда.
Список
использованных источников и литературы
1. Конституция
Российской Федерации (принята всенародным голосованием 12 декабря 1993г.) //
Российская газета. 1993. 25 декабря.
2. Гражданский
кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от
24.02.2010) // Собрание законодательства РФ. 2006. N 52 (1 ч.). Ст. 5496.
. Гражданский
кодекс Российской Федерации (часть первая): Федеральный закон от 30 ноября 1994
года № 51-ФЗ // Российская газета. 1994. 8 декабря.
. Об
информации, информационных технологиях и о защите информации: Федеральный закон
от 27.07.2006 N 149-ФЗ // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст.
3448.
. О
средствах массовой информации: Закон РФ от 27.12.1991 N 2124-1 (ред. от
09.02.2009) // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300.
6. О
безопасности: Закон РФ от 05.03.1992 N 2446-1 (ред. от 26.06.2008) // Ведомости
СНД и ВС РФ. 1992. N 15. Ст. 769.
. О
государственной тайне: Закон РФ от 21.07.1993 N 5485-1 (ред. от 18.07.2009) //
Собрание законодательства РФ. 1997. N 41. Ст. 8220-8235.
. О
порядке освещения деятельности органов государственной власти в государственных
средствах массовой информации: Федеральный закон от 13.01.1995 N 7-ФЗ (ред. от
12.05.2009) // Собрание законодательства РФ. 1995. N 3. Ст. 170.
. Об
обязательном экземпляре документов: Федеральный закон от 29.12.1994 N 77-ФЗ
(ред. от 23.07.2008) // Собрание законодательства РФ. 1995. N 1. Ст. 1.
10. Об
электронной цифровой подписи: Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от
08.11.2007) // Собрание законодательства РФ. 2002. N 2. Ст. 127.
. О
персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от
27.07.2010) // Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3451.
. Окинавская
хартия глобального информационного общества (Принята на о. Окинава 22.07.2000)
// Дипломатический вестник. 2000. N 8. С. 51 - 56.
. О
дополнительных мерах по обеспечению единства правового пространства Российской
Федерации: Указ Президента РФ от 10.08.2000 N 1486 (ред. от 18.01.2010) //
Собрание законодательства РФ. 2000. N 33. Ст. 3356.
. О
информационной безопасности региональных фондов обязательного медицинского
страхования: Распоряжение директора ФФОМС от 13.10.2006 №22 // Документ
опубликован не был.
15. Положение
отдела обеспечения информационной безопасности ЧОФОМС: Приказ директора ЧОФОМС
от 23.11.2007 г. № 36-2 // документ опубликован не был. Архив ЧОФОМС.
16. Протокол
обмена документами по телекоммуникационным каналам связи в системе электронного
документооборота ЧОФОМС // документ опубликован не был. Архив ЧОФОМС.
. Инструкция
об оплате труда ЧОФОМС: Приказ директора ЧОФОМС от 12.10.2009г.// документ
опубликован не был.
18. Зайцев
Л.Г. Стратегический менеджмент. М.: Юристъ, 2008. 546с.
19. Кирсанов
К.А. Информационная безопасность. М.:МАЭП, ИИК «Калита», 2009. 648с.
20. Компьютерная
безопасность в государственном и муниципальном управлении: проблемы и
тенденции. М., 2009. С. 159с.
21. Компьютерная
безопасность в государственном и муниципальном управлении: проблемы и
тенденции. М., 2008. С. 137с.
22. Снытников
А.А. Лицензирование и сертификация в области защиты информации. М.: ГелиосАРВ,
2008. 192с.
23. Терентьев
А.И. Введение в информационную безопасность. М.:МГТУ ГА, 2008. 144с.
24. Официальный
сайт ЧОФОМС - <http://ofoms-chel.ru/>