На этой странице описан способ информационного взаимодействия с ГБУЗ СК «КСПБ №3», посредством использования открытых каналов связи при передаче данных, содержащей персональные данные или другую чувствительную информацию ограниченного доступа.
В связи с тем, что в Ставропольском крае организована защищённая сеть только между медицинскими организациями Ставропольского края с использованием соответствующего сертифицированного оборудования, к которой не подключены медицинские организации других регионов, а также прочие организации, с которыми необходимо поддерживать информационное взаимодействие в соответствии с Законодательством Российской Федерации, ГБУЗ СК «КСПБ №3» предлагает решение по приёму/передаче сведений, содержащие персональные данные, не нарушающее Законодательство Российской Федерации в области защиты информации, в том числе, содержащие персональные данные.
Общий принцип безопасного обмена информацией с использованием ассиметричного шифрования сводится к следующему:
- Организация-отправитель запрашивает у организации-получателя сертификат электронной подписи (так называемую открытую часть УКЭП). Организация-получатель высылает в ответ файл в формате *.cer (обязательно не содержащий закрытую часть сертификата!). Мы же выкладываем наш сертификат на этой странице ниже.
- Организация-отправитель подписывает своей электронной подписью отправляемый файл (если файлов несколько, лучше упаковать их в 1 архив и подписать его), используя сертифицированное программное средство (мы используем «КриптоАРМ ГОСТ 3»). Файл меняет своё расширение (.doc, .docx, .xls, .xlsx, .pdf, .xml, .jpg, .png, .7z, .zip или другое) на *.sig. С этого момента файл считается подписанным, но не шифрованным. Это обеспечивает достоверность (то есть можно просмотреть, кто именно подписал файл, а также гарантирует неизменность файла при передаче), но ещё не обеспечивает защиту от несанкционированного доступа, отправлять такой файл по открытым каналам связи нельзя.
- Используя полученную открытую часть сертификата организации-получателя, организация отправитель шифрует отправляемые файлы с расширением .sig, полученными из шага 2, используя сертифицированное программное обеспечение. В параметрах шифрования укажите кодировка подписи «DER» (обычно по умолчанию), вид подписи «присоединённая» (обычно по умолчанию), формат подписи «sig» (обычно по умолчанию), алгоритм шифрования «ГОСТ 28147-89» (обычно по умолчанию, но если вы используете другой алгоритм, оповестите об этом организацию-получателя), кодировка файлов «DER» (обычно по умолчанию). Файл меняет своё расширение на .enc.
- С этого момента файл .enc считается шифрованным, его можно спокойно отправлять по открытым каналам связи, например, через электронную почту. Если организация-отправитель ожидает получить ответ, то вместе с отправляемым шифрованным файлом, организация-отправитель, отправляет свой сертификат, с которого в дальнейшем будет осуществляться дешифровка ответа. (Шаги 2 и 3 можно выполнить одновременно, используя функцию «Подписать и зашифровать», если это поддерживается вашим программным продуктом).
- Организация-получатель, используя сертифицированное программное средство дешифрует файл с использованием закрытой части электронной подписи, который соответствует открытой части, используемой при шифровании. Расшифровать с использованием другого ключа не получится, на этом и основывается асимметричное шифрование.
- При снятии подписи, организация-получатель проверяет, кто именно подписал файл (это нужно, чтобы убедиться, что файл прислал отправитель с необходимыми полномочиями для информационного взаимодействия). Если при снятии подписи стало невозможными просмотреть подпись, или же подпись не соответствует заявленному отправителю, это значит, что файл был изменён при передаче, либо отправитель пытается выдать себя за другого человека/организацию, доверять такому файлу нельзя.
- После снятия подписи отправляемый файл принимает исходное расширение, с ним можно работать как с обычным файлом (.doc, .docx, .xls, .xlsx, .pdf, .xml, .jpg, .png, .7z, .zip или другое).
- Не забывайте о том, что могут возникнуть сложности с корневыми сертификатами, которые находятся в цепочке, они также могут давать ошибку о том, что подпись недействительна. Также могут быть проблемы с лицензиями на программное обеспечение или же в Вашей организации используется другой программный продукт для операций с файлами, не поддерживающий определённые алгоритмы. В случае проявления данных проблем, проконсультируйтесь с вашим специалистом ИТ-отдела.
Технические требования для обеспечения подписания и шифрования файлов:
- КриптоПРО CSP версии 5.x (сертифицированная версия, актуальную версию уточняйте на сайте изготовителя ПО), либо же другой сертифицированный криптопровайдер;
- КриптоАРМ ГОСТ 3 (сертифицированная версия, актуальную версию уточняйте на сайте изготовителя ПО), либо же другой аналогичный сертифицированный программный продукт, совместимый с установленным криптопровайдером.
- Установленная УКЭП, которая будет использоваться для информационного взаимодействия.
Скачать актуальный сертификат ГБУЗ СК «КСПБ №3»: ГБУЗ СК КСПБ №3 23-10-2024