Информационное взаимодействие с использованием шифрования — Государственное бюджетное учреждение здравоохранения Ставропольского края «Краевая специализированная психиатрическая больница №3»

На этой странице описан способ информационного взаимодействия с ГБУЗ СК «КСПБ №3», посредством использования открытых каналов связи при передаче данных, содержащей персональные данные или другую чувствительную информацию ограниченного доступа.

Что говорит Законодательство Российской Федерации? (просмотреть текст)

В соответствии с частью 1 статьи 19 Федерального закона от 27.07.2006 N152-ФЗ (ред. от 06.02.2023) «О персональных данных», оператор, при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В связи с тем, что в Ставропольском крае организована защищённая сеть только между медицинскими организациями Ставропольского края с использованием соответствующего сертифицированного оборудования, к которой не подключены медицинские организации других регионов, а также прочие организации, с которыми необходимо поддерживать информационное взаимодействие в соответствии с Законодательством Российской Федерации, ГБУЗ СК «КСПБ №3» предлагает решение по приёму/передаче сведений, содержащие персональные данные, не нарушающее Законодательство Российской Федерации в области защиты информации, в том числе, содержащие персональные данные.

Немного о безопасности и электронных подписях для понимания принципа шифрования (просмотреть текст)

Асимметричное шифрование — один из видов шифрования. Он используется для защиты информации при ее передаче, также на его принципах построена работа электронных подписей.

Асимметричное шифрование — это метод шифрования данных, предполагающий использование двух ключей — открытого и закрытого. Открытый (публичный) ключ применяется для шифрования информации и может передаваться по незащищенным каналам. Закрытый (приватный) ключ применяется для расшифровки данных, зашифрованных открытым ключом, который должен храниться в секрете ото всех без исключения. Открытый и закрытый ключи — это очень большие числа, связанные друг с другом определенной функцией, но так, что, зная одно, крайне сложно вычислить второе.

С простой электронной подписью сталкиваются чаще всего. Например, для онлайн-покупок, оплаты через интернет-банк, внутреннего электронного документооборота, входа в сервисы через портал Госуслуги. Простую электронную подпись не нужно получать и устанавливать на компьютер. Достаточно ввести логин и пароль, чтобы зайти на сайт. Или код, который пришел в сообщении.

Неквалифицированная электронная подпись или НЭП
НЭП — усиленный вид электронной подписи. В отличие от простой в неквалифицированной используют криптографию — зашифрованный набор символов и специальные программы для защиты информации (СКЗИ). НЭП создают открытым и закрытым ключом. Благодаря СКЗИ можно проверить, вносил ли кто-то в документ изменения после подписания, а также увидеть информацию об авторе документа в сертификате.
Чаще всего неквалифицированную ЭП применяют для внутреннего документооборота, например кадрового. А также для подачи физлицами налоговой декларации и обмена документами по сделкам между самозанятыми. НЭП не придает документам юридическую силу автоматически. Прежде чем подписать их стороны должны заключить между собой письменное соглашение.

Квалифицированная электронная подпись или КЭП
Квалифицированная ЭП обеспечивает юридическую силу файлу по умолчанию. Требования по получению и содержанию КЭП прописаны в законе. Это максимально защищенная усиленная подпись: в ней как и в НЭП используют криптографию. А еще она содержит информацию, кто подписал документ или изменял его.
КЭП как и НЭП создается открытым и закрытым ключом. Эти компоненты владелец подписи может получить только в удостоверяющих центрах, у которых есть разрешение от государства. Также как и в случае с НЭП с помощью криптопрограмм можно проверить, вносил ли кто-то в документ изменения и увидеть информацию об авторе документа в сертификате.
Квалифицированную электронную подпись используют, чтобы подавать документы в госорганы, суды, а также для документооборота с партнерами, участия в торгах, получения госуслуг. КЭП — универсальная подпись. В отличие от НЭП дополнительного соглашения для ее использования заключать не нужно.

Еще один элемент усиленной электронной подписи (что квалифицированной, что неквалифицированной) — сертификат. Его официальный термин — сертификат ключа проверки электронной подписи или СКПЭП. Он содержит значение открытого ключа и подтверждает, что ключи принадлежат конкретному владельцу. По сути, сертификат — это носитель информации о владельце, сроке действия ЭП и удостоверяющем центре. Он доступен для всех и используется при проверке подписи под документом, а также, поскольку он имеет в себе информацию об открытом ключе, может быть использован для шифрования.

Важно понимать, что при экспорте сертификата из электронной подписи, программа может предложить экспортировать закрытый ключ. ЭТОГО ДЕЛАТЬ НЕ СТОИТ НИ В КОЕМ СЛУЧАЕ!

Общий принцип безопасного обмена информацией с использованием ассиметричного шифрования сводится к следующему:

Организация-отправитель запрашивает у организации-получателя сертификат электронной подписи (так называемую открытую часть УКЭП). Организация-получатель высылает в ответ файл в формате *.cer (обязательно не содержащий закрытую часть сертификата!). Мы же выкладываем наш сертификат на этой странице ниже.
Организация-отправитель подписывает своей электронной подписью отправляемый файл (если файлов несколько, лучше упаковать их в 1 архив и подписать его), используя сертифицированное программное средство (мы используем «КриптоАРМ ГОСТ 3»). Файл меняет своё расширение (.doc, .docx, .xls, .xlsx, .pdf, .xml, .jpg, .png, .7z, .zip или другое) на *.sig. С этого момента файл считается подписанным, но не шифрованным. Это обеспечивает достоверность (то есть можно просмотреть, кто именно подписал файл, а также гарантирует неизменность файла при передаче), но ещё не обеспечивает защиту от несанкционированного доступа, отправлять такой файл по открытым каналам связи нельзя.
Используя полученную открытую часть сертификата организации-получателя, организация отправитель шифрует отправляемые файлы с расширением .sig, полученными из шага 2, используя сертифицированное программное обеспечение. В параметрах шифрования укажите кодировка подписи «DER» (обычно по умолчанию), вид подписи «присоединённая» (обычно по умолчанию), формат подписи «sig» (обычно по умолчанию), алгоритм шифрования «ГОСТ 28147-89» (обычно по умолчанию, но если вы используете другой алгоритм, оповестите об этом организацию-получателя), кодировка файлов «DER» (обычно по умолчанию). Файл меняет своё расширение на .enc.
С этого момента файл .enc считается шифрованным, его можно спокойно отправлять по открытым каналам связи, например, через электронную почту. Если организация-отправитель ожидает получить ответ, то вместе с отправляемым шифрованным файлом, организация-отправитель, отправляет свой сертификат, с которого в дальнейшем будет осуществляться дешифровка ответа. (Шаги 2 и 3 можно выполнить одновременно, используя функцию «Подписать и зашифровать», если это поддерживается вашим программным продуктом).
Организация-получатель, используя сертифицированное программное средство дешифрует файл с использованием закрытой части электронной подписи, который соответствует открытой части, используемой при шифровании. Расшифровать с использованием другого ключа не получится, на этом и основывается асимметричное шифрование.
При снятии подписи, организация-получатель проверяет, кто именно подписал файл (это нужно, чтобы убедиться, что файл прислал отправитель с необходимыми полномочиями для информационного взаимодействия). Если при снятии подписи стало невозможными просмотреть подпись, или же подпись не соответствует заявленному отправителю, это значит, что файл был изменён при передаче, либо отправитель пытается выдать себя за другого человека/организацию, доверять такому файлу нельзя.
После снятия подписи отправляемый файл принимает исходное расширение, с ним можно работать как с обычным файлом (.doc, .docx, .xls, .xlsx, .pdf, .xml, .jpg, .png, .7z, .zip или другое).
Не забывайте о том, что могут возникнуть сложности с корневыми сертификатами, которые находятся в цепочке, они также могут давать ошибку о том, что подпись недействительна. Также могут быть проблемы с лицензиями на программное обеспечение или же в Вашей организации используется другой программный продукт для операций с файлами, не поддерживающий определённые алгоритмы. В случае проявления данных проблем, проконсультируйтесь с вашим специалистом ИТ-отдела.

Технические требования для обеспечения подписания и шифрования файлов:

КриптоПРО CSP версии 5.x (сертифицированная версия, актуальную версию уточняйте на сайте изготовителя ПО), либо же другой сертифицированный криптопровайдер;
КриптоАРМ ГОСТ 3 (сертифицированная версия, актуальную версию уточняйте на сайте изготовителя ПО), либо же другой аналогичный сертифицированный программный продукт, совместимый с установленным криптопровайдером.
Установленная УКЭП, которая будет использоваться для информационного взаимодействия.

Можно ли использовать бесплатные решения?

Как правило, сертифицированное ПО платное. Но можно сэкономить, если у вас уже есть серверная лицензия КриптоПРО CSP (серверная лицензия в несколько раз дороже, но допускает операции подписания/шифрования файлов, также как и дешифрование и проверку подписи). Если вы хотите соответствовать положениям Федерального Закона №152 «О защите персональных данных», и вы не хотите использовать КриптоПРО CSP с установленной серверной лицензией, то нет.

Если у вас ещё нет КриптоПРО CSP, можно использовать пробный период 90 дней, который позволяет выполнять операции с подписанием/шифрованием файлов. Этого периода хватит, чтобы осуществить закупку необходимых лицензий.

Бесплатным аналогом КриптоАРМ ГОСТ, является, но не считается единственной в своём роде, программа КриптоЛайн, однако обращаем ваше внимание, что альтернативное несертифицированное ПО хоть и повышает уровень защиты информации, его использование на постоянной основе в государственных учреждениях недопустимо.

Ссылки на инструкции по типичным операциям, которые могут пригодиться в работе:

Создание электронной подписи: https://cryptoarm.ru/documentation/sozdanie-elektronnoy-podpisi
Установка параметров подписи: https://cryptoarm.ru/documentation/ustanovka-parametrov-podpisi
Проверка подписи: https://cryptoarm.ru/documentation/proverka-elektronnoy-podpisi
Снятие электронной подписи: https://cryptoarm.ru/documentation/snyatie-elektronnoy-podpisi
Шифрование файла: https://cryptoarm.ru/documentation/kak-zashifrovat-faily-s-pomoschy-kriptoarm-gost
Расшифрование файла: https://cryptoarm.ru/documentation/kak-raschifrovat-faily-s-pomoschiy-kriptoarm-gost
Выделение открытого ключа установленного сертификата (в рамках информационного обмена обязательно экспортируйте без закрытого ключа): https://support.kontur.ru/ca/38786-eksport_fajla_otkrytogo_klyucha

Простым языком: если вы хотите отправить нам данные

1. Скачайте наш сертификат по ссылке ниже;
2. Подготовьте файл, который вы хотите отправить;
3. Если файлов много, заархивируйте их, чтобы все файлы были в 1 архиве;
4. С помощью вашего программного обеспечения подпишите отправляемый файл своей подписью, чтобы конечный файл имел расширение *.sig;
5. Зашифруйте ваш файл, используя наш сертификат, файл получит расширение *.enc;
6. Отправьте шифрованный файл нам. Если вы ожидаете от нас ответ, к зашифрованному файлу прикрепите открытую часть вашего сертификата! Также, в письме укажите контактный телефон, по которому можно обратиться в случае возникновения проблем.

Простым языком: если вы хотите получить от нас данные / мы хотим отправить данные

1. Мы самостоятельно запросим ваш сертификат. Определитесь, с помощью какой электронной подписи вы будете дешифровывать нашу информацию, а затем отправьте сертификат нам по почте.
2. Мы подпишем и зашифруем файл, используя ваш сертификат, а затем направим его вам по почте;
3. Расшифруйте наш файл, используя закрытую часть электронной подписи, который соответствует открытой части электронной подписи (сертификату), направленной нам ранее.
4. Проверьте, читается ли наша подпись. Проверка подписи должна проходить без проблем, это обеспечит достоверность переданных файлов.
5. После дешифровки файла и снятия с него подписи, файл будет доступен для чтения.
6. Порядок действий может различаться в зависимости от используемого вами программного обеспечения.

Для медицинских организация Ставропольского края

При наличии подключения к ВЗСПД ГБУЗ СК «МИАЦ», используйте защищённую электронную почту: https://mail.zdrav26.local В этом случае шифрование не понадобится.
Адрес электронной почты вы можете запросить, используя обычную электронную почту необходимого вам филиала.

Скачать актуальный сертификат ГБУЗ СК «КСПБ №3»: ГБУЗ СК КСПБ №3 23-10-2024