Обучение по информационной безопасности

Курсы

Определения
Электронная подпись (далее - ЭП) применяется в качестве удостоверения личности при подписании электронных документов (больничных листов, льготных рецептов и др.), при обмене электронными документами.
Электронная подпись находится на электронном носителе, поэтому при работе с ней необходимо соблюдать принятые в организации правила при работе с машинными носителями информации.
Электронная подпись представляет собой файл сертификата, который записывается в зашифрованный контейнер на защищенном носителе. Для шифрования применяются средства криптографической защиты информации (СКЗИ), поэтому при работе с ЭП необходимо соблюдать правила эксплуатации СКЗИ.

В соответствии с Федеральным законом «Об электронной подписи» от 06 апреля 2011 года № 63-ФЗ электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном Федеральным законом «Об электронной подписи» от 06 апреля 2011 года № 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи.

Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи).

Средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане.

Также можно сказать что ЭП - реквизит электронного документа, обеспечивающий сохранение авторства и неизменности документа при его пересылке и ознакомлении, а также возможность применения системы разграничения доступа к документу и его использования на уровне пользователей.

Квалифицированной электронной подписью является электронная подпись, которая соответствует следующим признакам:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи;
5) ключ проверки электронной подписи указан в квалифицированном сертификате;
6) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ.
Для нормального функционирования системы ЭП, должны присутствовать следующие участники системы:
УЦ (удостоверяющий центр или центры), операторы ключевой системы, пользователи, на компьютере которых присутствует клиентское ПО для создания и проверки ЭП, а также носители, на которых сохранены индивидуальные наборы ключей.
Клиентское ПО для создания и проверки ЭП - это шифровальное средство защиты информации (Crypto Pro CSP, VipNet CSP), при эксплуатации которого нужно соблюдать отдельные правила.
Срок действия электронной подписи не превышает 15 месяцев.

Правила работы с ЭП

При работе с ЭП пользователь должен соблюдать следующие требования:
- компьютер, на котором используется ключ, необходимо содержать в исправном состоянии;
- запрещается передавать свой личный ключевой носитель другим пользователям. Доступ к ключевым носителям должен быть только у их владельцев. Категорически запрещается оставлять личный ключевой носитель без присмотра.
- ЭП выдается только Удостоверяющим центром или администратором безопасности учреждения под роспись в журнале учета СКЗИ;
- запрещается копировать (переносить) сертификат с защищенного носителя на простые флеш-карты, в папку ПК, в реестр операционной системы;
- запрещено оставлять носитель с ЭП без присмотра;
- необходимо оберегать ключевой носитель от ударов, попадания в воду, воздействия высоких температур;
- запрещается использовать ключевой носитель для хранения любой другой информации;
- запрещается подключать к компьютеру ключ ЭП одновременно с внешними накопителями, имеющими интерфейс USB (флеш-картами, внешними жёсткими дисками и т.п.);
- по окончании работы извлечь носитель с ЭП из ПК, убрать в хранилище;
- хранить пароль (PIN-код) к ЭП в тайне, не устанавливать галочку "запомнить пароль", не использовать пароли по умолчанию;
- своевременно продлевать ЭП;
- при прекращении работы с ЭП сдать носитель с ЭП в отдел АСУ под роспись в журнале;
- при утере ЭП, доступе к паролю постороннего лица (компрометация) немедленно уведомить руководителя отдела АСУ или администратора безопасности.

Хранение носителей

Носители с ЭП хранятся в специально отведенных для этого металлических шкафах, сейфах, запираемых ящиках. Хранилище может быть выдано или закреплено за конкретным пользователем при получении носителя, а при недостаточности индивидуальных хранилищ, может применяться общий сейф или металлический шкаф в бухгалтерии, отделе АСУ, ином помещении. При получении носителя с ЭП пользователь должен быть уведомлен, какое хранилище должен использовать для хранения носителя при прекращении его использования.
Хранилища закрепляются за ответственными лицами, которые, при хранении в них носителей с ЭП (СКЗИ) осуществляют опечатывание хранилищ и выполняют другие правила при эксплуатации СКЗИ.
Если пользователь не имеет личного сейфа или металлического ящика для хранения ключевого носителя, то такой носитель необходимо ежедневно сдавать на хранение администратору безопасности в конце рабочего дня и получать от него в начале рабочего дня, с отметкой об этом в журнале учета носителей СКЗИ.

Ответственность пользователя ЭП

На пользователей ЭП возлагается персональная ответственность за:

- несоблюдение регламентов эксплуатации ЭП и СКЗИ;
- несоблюдение требований по обеспечению информационной безопасности при работе с ЭП и СКЗИ;
- несоблюдение конфиденциальности имеющихся у него ключей проверки ЭП;
- компрометацию ключей проверки ЭП;
- несвоевременное уведомление о факте компрометации ЭП и других нарушениях или попытках нарушений информационной безопасности при эксплуатации ЭП и СКЗИ;
- несоответствующее хранение носителя с ЭП (оставление в общедоступном месте, без присмотра).

Обработка персональных данных пациентов в информационных системах | Описание курса | Правила эксплуатации СКЗИ

Найти:

Информационная безопасность. Курс для персонала медицинского учреждения
Что должен знать медицинский работник о защите персональных данных пациентов. Необходимый минимум. Проверка знаний.