Единая система идентификации и аутентификации: Интернет – ресурсы службы занятости

Быстрые темпы развития и распространения информационных технологий требуют создания целостной системы безопасности информации.

Безопасность компьютерной информации - достижение требуемого уровня защиты объекта информатизации при обработке информации, и ее передаче через сети передачи данных, обеспечивающего сохранение таких ее качественных характеристик (свойств), как: секретность (конфиденциальность), целостность и доступность.

Основная цель - защита информации от возможного нанесения ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем или несанкционированного доступа к циркулирующей в ней информации, и ее незаконного использования

Основными объектами информационной безопасности являются:

· информационные ресурсы с ограниченным доступом, чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы;

· процессы обработки информации - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;

· информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения.

В целях предотвращения работы с автоматизированными системами Службы занятости посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя. Для этого в системе хранится ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе.

Идентификация – процедура, в результате выполнения которой, для субъекта идентификации выявляется его идентификатор.

Процедура идентификации напрямую связана с аутентификацией: сотрудник проходит процедуру аутентификации, и если она успешна, то информационная система на основе факторов аутентификации определяет идентификатор сотрудника. Аутентификация пользователей осуществляется на основе использования паролей (секретных слов).

Аутентифика́ция — процедура проверки подлинности, например:

· проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользователей;

· подтверждение подлинности электронного письма путём проверки цифровой подписи письма по открытому ключу отправителя;

Еще одним из важнейших элементов системы обеспечения безопасности информации в автоматизированных системах Службы занятости является использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи.

Правовое регулирование использования электронной подписи осуществляется Федеральным законом от 6 апреля 2011 г. №63-ФЗ «Об электронной цифровой подписи».

Использование ЭП позволяет осуществить:

· контроль целостности передаваемого документа;

· защиту от изменений (подделки) документа;

· доказательное подтверждение авторства документа.

· обязанности участников электронного взаимодействия в соответствии с 63-ФЗ

обеспечение конфиденциальности ключей электронных подписей;

· уведомление удостоверяющего центра о нарушении конфиденциальности ключа электронной подписи;

· не применение ключа электронной подписи при возможной его компрометации;

· использование средств электронной подписи, имеющих подтверждение соответствия требованиям настоящего Федерального закона.

Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Ключевая система применяемых в автоматизированных системах Службы занятости шифровальных средств обеспечивает многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность информации при ее передаче по каналам связи обеспечивается благодаря использованию программы VipNet, которая позволяет как шифровать отправляемую информацию, так и подписывать документы личной подписью. Данный продукт активно используется как при передаче информации между сотрудниками службы, так и при организации межведомственного взаимодействии с такими организациями, как Пенсионный Фонд и Управления социальной поддержки населения.

Каждый сотрудник Службы занятости, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации несет персональную ответственность за свои действия и обязан:

· строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;

· знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции (РС);

· хранить в тайне свой пароль (пароли). В соответствии с «Инструкцией по организации парольной защиты автоматизированной системы» с установленной периодичностью менять свой пароль (пароли).

Основные моменты:

· личные пароли генерируются и распределяться централизованно;

· хранение сотрудником значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале;

· если сотруднику (исполнителю) предоставлено право защиты (подтверждения подлинности и авторства) документов, передаваемых по технологическим цепочкам, при помощи электронной цифровой подписи, то он дополнительно обязан соблюдать все требования «Порядка работы с ключевыми дискетами».

· в автоматизированной системе Службы занятости для обеспечения контроля за целостностью передаваемых по технологическим цепочкам электронных документов (ЭД), а также для подтверждения их подлинности и авторства используются средства электронной цифровой подписи, позволяющие исполнителям проставлять на ЭД персональные коды аутентификации (КА). Применение кодов аутентификации позволяет следующим в технологической цепочке исполнителям убедиться, что документ не искажен и подготовлен именно тем исполнителем, кому это предписано технологическим процессом;

· в случае порчи рабочей копии ключевой носителя сотрудник обязан передать ее администратору информационной безопасности, который должен сделать новую рабочую копию ключевой дискеты с имеющегося эталона и выдать ее взамен старого (испорченного) ключевого носителя;

· исполнитель несет персональную ответственность за сохранность и правильное использование вверенного ему ключевой носитель и содержание документов, на которых стоит его персональный код аутентификации.

Сотрудникам Службы занятости категорически ЗАПРЕЩАЕТСЯ:

· использовать компоненты программного и аппаратного обеспечения АС Центра занятости в неслужебных целях;

· самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций;

· осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;

· записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации;

· оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

· передавать кому-либо свой ключевой носитель (кроме ответственного за информационную безопасность или руководителя своего подразделения), делать неучтенные копии ключевого носителя;

· использовать свою ключевую дискету для формирования цифровой подписи любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;

· оставлять без личного присмотра на рабочем месте или где бы то ни было свой ключевой носитель, распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);

· умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность ответственного за безопасность информации и руководителя своего подразделения.

Учет носителей ключевой информации и средств криптографической защиты информации

В соответствии:

· Федеральным законом «О персональных данных» № 152- ФЗ от 27 июля 2006 г.;

· Приказом ФСТЭК России № 17 от 11 февраля 2013 г.;

· Приказом ФСБ России № 66 от 9 февраля 2005 г.;

· Инструкцией Государственного казенного учреждения Республики Хакасия «Центр занятости населения» (далее – ГКУ РХ ЦЗН), утвержденной приказом ГКУ РХ ЦЗН от 18 июня 2015 г.

Персональные данные

Персональные данные (ПД)— любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных.

К персональным данным относятся:

· ФИО;

· дата и место рождения;

· адрес;

· семейное и социальное положение;

· образование и профессия;

· паспортные данные, ИНН и номер страхового свидетельства;

· сведение о состоянии здоровья;

· имущественное положение и доходы;

· номера домашних и сотовых телефонов;

· сведения из трудовой книжки.

Информация, содержащая персональные данные не подлежит разглашению, несанкционированной передаче, опубликованию в открытой печати, передачах по радио и телевидению, а также в сети Интернет.

Информация, содержащая персональные данные, и являющаяся результатом совместной деятельности Службы занятости и сторонних организаций, должна быть отнесена к защищаемой информации на основе действующего внутреннего законодательства участвующих сторон. Информация, содержащая персональные данные, полученная в результате выполнения сотрудниками Службы занятости своих служебных обязанностей не подлежит использованию в личных целях.