Информационное взаимодействие с использованием шифрования — Государственное бюджетное учреждение здравоохранения Ставропольского края «Краевая специализированная психиатрическая больница №3»

На этой странице описан способ информационного взаимодействия с ГБУЗ СК «КСПБ №3», посредством использования открытых каналов связи при передаче данных, содержащей персональные данные или другую чувствительную информацию ограниченного доступа.

Что говорит Законодательство Российской Федерации? (просмотреть текст)

В соответствии с частью 1 статьи 19 Федерального закона от 27.07.2006 N152-ФЗ (ред. от 06.02.2023) «О персональных данных», оператор, при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Немного о безопасности и электронных подписях для понимания принципа шифрования (просмотреть текст)

Асимметричное шифрование — это метод шифрования данных, предполагающий использование двух ключей — открытого и закрытого. Открытый (публичный) ключ применяется для шифрования информации и может передаваться по незащищенным каналам. Закрытый (приватный) ключ применяется для расшифровки данных, зашифрованных открытым ключом, который должен храниться в секрете ото всех без исключения. Открытый и закрытый ключи — это очень длинная буквенно-числовая последовательность, связанные друг с другом определенной функцией, но так, что, зная одно, крайне сложно вычислить второе.

С простой электронной подписью сталкиваются чаще всего. Например, для онлайн-покупок, оплаты через интернет-банк, внутреннего электронного документооборота, входа в сервисы через портал Госуслуги. Простую электронную подпись не нужно получать и устанавливать на компьютер. Достаточно ввести логин и пароль, чтобы зайти на сайт. Или код, который пришел в сообщении.

Неквалифицированная электронная подпись или НЭП
НЭП — усиленный вид электронной подписи. В отличие от простой в неквалифицированной используют криптографию — зашифрованный набор символов и специальные программы для защиты информации (СКЗИ). НЭП создают открытым и закрытым ключом. Благодаря СКЗИ можно проверить, вносил ли кто-то в документ изменения после подписания, а также увидеть информацию об авторе документа в сертификате.
Чаще всего неквалифицированную ЭП применяют для внутреннего документооборота, например кадрового. А также для подачи физлицами налоговой декларации и обмена документами по сделкам между самозанятыми. НЭП не придает документам юридическую силу автоматически. Прежде чем подписать их стороны должны заключить между собой письменное соглашение.

Квалифицированная электронная подпись или КЭП
Квалифицированная ЭП обеспечивает юридическую силу файлу по умолчанию. Требования по получению и содержанию КЭП прописаны в законе. Это максимально защищенная усиленная подпись: в ней как и в НЭП используют криптографию. А еще она содержит информацию, кто подписал документ или изменял его.
КЭП как и НЭП создается открытым и закрытым ключом. Эти компоненты владелец подписи может получить только в удостоверяющих центрах, у которых есть разрешение от государства. Также как и в случае с НЭП с помощью криптопрограмм можно проверить, вносил ли кто-то в документ изменения и увидеть информацию об авторе документа в сертификате.
Квалифицированную электронную подпись используют, чтобы подавать документы в госорганы, суды, а также для документооборота с партнерами, участия в торгах, получения госуслуг. КЭП — универсальная подпись. В отличие от НЭП дополнительного соглашения для ее использования заключать не нужно.

Еще один элемент усиленной электронной подписи (что квалифицированной, что неквалифицированной) — сертификат. Его официальный термин — сертификат ключа проверки электронной подписи или СКПЭП. Он содержит значение открытого ключа и подтверждает, что ключи принадлежат конкретному владельцу. По сути, сертификат — это носитель информации о владельце, сроке действия ЭП и удостоверяющем центре. Он доступен для всех и используется при проверке подписи под документом, а также, поскольку он имеет в себе информацию об открытом ключе, может быть использован для шифрования.

Важно понимать, что при экспорте сертификата из электронной подписи, используемое Вами ПО может предложить экспортировать закрытый ключ. ЭТОГО ДЕЛАТЬ НЕ СТОИТ НИ В КОЕМ СЛУЧАЕ!

Общий принцип безопасного обмена информацией с использованием ассиметричного шифрования сводится к следующему:

Организация-отправитель запрашивает у организации-получателя сертификат электронной подписи (так называемую открытую часть УКЭП). Организация-получатель высылает в ответ файл в формате *.cer (обязательно не содержащий закрытую часть сертификата!). Мы же выкладываем наш сертификат на этой странице ниже.
Организация-отправитель подписывает своей электронной подписью отправляемый файл (если файлов несколько, лучше упаковать их в 1 архив и подписать его), используя сертифицированное программное средство (мы используем «КриптоАРМ ГОСТ 3»). Файл меняет своё расширение (.doc, .docx, .xls, .xlsx, .pdf, .xml, .jpg, .png, .7z, .zip или другое) на *.sig. С этого момента файл считается подписанным, но не шифрованным. Это обеспечивает достоверность (то есть можно просмотреть, кто именно подписал файл, а также гарантирует неизменность файла при передаче), но ещё не обеспечивает защиту от несанкционированного доступа, отправлять такой файл по открытым каналам связи нельзя.
Используя полученную открытую часть сертификата организации-получателя, организация отправитель шифрует отправляемые файлы с расширением .sig, полученными из шага 2, используя сертифицированное программное обеспечение. Файл меняет своё расширение на .enc.
С этого момента файл .enc считается шифрованным, его можно спокойно отправлять по открытым каналам связи, например, через электронную почту. Если организация-отправитель ожидает получить ответ, то вместе с отправляемым шифрованным файлом, организация-отправитель, отправляет свой сертификат, с которого в дальнейшем будет осуществляться дешифровка ответа.
Организация-получатель, используя сертифицированное программное средство дешифрует файл с использованием закрытой части электронной подписи, который соответствует открытой части, используемой при шифровании. Расшифровать с использованием другого ключа не получится, на этом и основывается асимметричное шифрование.
При снятии подписи, организация-получатель проверяет, кто именно подписал файл (это нужно, чтобы убедиться, что файл прислал отправитель с необходимыми полномочиями для информационного взаимодействия). Если при снятии подписи стало невозможными просмотреть подпись, или же подпись не соответствует заявленному отправителю, это значит, что файл был изменён при передаче, либо отправитель пытается выдать себя за другого человека/организацию, доверять такому файлу нельзя.
После снятия подписи отправляемый файл принимает исходное расширение, с ним можно работать как с обычным файлом (.doc, .docx, .xls, .xlsx, .pdf, .xml, .jpg, .png, .7z, .zip или другое).
Не забывайте о том, что могут возникнуть сложности с корневыми сертификатами, которые находятся в цепочке, они также могут давать ошибку о том, что подпись недействительна. Также могут быть проблемы с лицензиями на программное обеспечение или же в Вашей организации используется другой программный продукт для операций с файлами, не поддерживающий определённые алгоритмы. В случае проявления данных проблем, проконсультируйтесь с вашим специалистом ИТ-отдела.

Технические требования для обеспечения подписания и шифрования файлов:

КриптоПРО CSP версии 5.x (сертифицированная версия, актуальную версию уточняйте на сайте изготовителя ПО), либо же другой сертифицированный криптопровайдер;
КриптоАРМ ГОСТ 3 (сертифицированная версия, актуальную версию уточняйте на сайте изготовителя ПО), либо же другой аналогичный сертифицированный программный продукт, совместимый с установленным криптопровайдером. Не требуется, если КриптоПРО 5 (версия выше 5.0.12ххх или выше) поддерживает данный функционал.
Установленная УКЭП, которая будет использоваться для информационного взаимодействия.

Можно ли использовать бесплатные решения?

Как правило, сертифицированное ПО платное.

Если у вас ещё нет КриптоПРО CSP, можно использовать пробный период 90 дней, который позволяет выполнять операции с подписанием/шифрованием файлов. Этого периода хватит, чтобы осуществить закупку необходимых лицензий.

Для медицинских организация Ставропольского края

При наличии подключения к ВЗСПД ГБУЗ СК «МИАЦ», используйте защищённую электронную почту. В этом случае шифрование не понадобится, так как канал является закрытым от несанкционированного доступа. Адрес электронной почты вы можете запросить, используя обычную электронную почту необходимого вам адресата.

Скачать актуальный сертификат ГБУЗ СК «КСПБ №3»

ГБУЗ СК КСПБ №3 21-12-2025 Скачать