Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Проблемы применения ЭП в организации

ИБ. Проблемы применения ЭП в организации

bg-hero-mfa.png
В РФ создается все больше информационных систем, которые требуют от пользователей – сотрудников коммерческих и гос. организаций наличия электронной подписи. Появляется всё больше возможностей для взаимодействия граждан, организаций и государства в электронной форме.
В той же отрасли здравоохранения чуть ли не всему медицинскому персоналу нужно обзавестись ЭП: электронные больничные (ПП РФ  от 16.12.2017 N 1567), рецепты, мед. справки и заключения, согласие на мед. вмешательство, документирование телемедицинских услуг в электронном виде (N 242-ФЗ от 29.07.2017), маркировка обращения лекарственных средств (№ 425-ФЗ от 28 декабря 2017 г.), проект Минздрава “Электронное здравоохранение” до 2025 г. – не менее 99% рабочих мест мед. работников оборудовано ЭП.
При этом вопросы применения, эксплуатации и обеспечения безопасности ЭП регламентируются либо документами 17-ти летней давности либо не регламентируются вовсе.
Например, не определено, должны ли ЭП быть выданы на физ. лицо или на юр. лицо? Владельцы ГИС-ов решают этот вопрос на свое усмотрение. Ответ ФСС: разрешают личные ЭП.
1%2B%25D0%25A4%25D0%25A1%25D0%25A1.png
Организации видя существенную разницу в стоимости, заказывают ЭП на физ. лица. А то и заставляют сотрудников самостоятельно приобретать и получать ЭП. 
2%2B%25D1%2586%25D0%25B5%25D0%25BD%25D1%258B.png3%2B%25D1%2586%25D0%25B5%25D0%25BD%25D1%258B.png
4%2B%25D1%2586%25D0%25B5%25D0%25BD%25D1%258B.png
В итоге получается в организации большой кусок серых ИТ: персональные токены с СКЗИ, ключи ЭП которые не подконтрольны службе ИБ. Какой-то bringyourowncrypto.
Как выполнить обязательные требования ФСБ для таких СКЗИ: на каком основании принимать их на баланс? как учитывать такие ЭП и СКЗИ? как обеспечить их безопасное хранение? как заставить пользователя сдавать их на хранение?   С другой стороны, пользователи – владельцы персональных ЭП говорят: с какой стати мы будем отдавать вам наши личные токены cЭП?
А кроме обязательных требований есть ведь ещё и актуальные угрозы:
·         ЭП сотрудника может быть несанкционированное получена или пере выпущена злоумышленником;
·         потерян или украден носитель с ключами ЭП;
·         вредоносным ПО ключи могут быть извлечены с токена;
·         если пользователь один раз и навсегда подключил свой токен к компьютеру и никогда не извлекает его – существенно повышаются шансы на выполнение каких-то несанкционированных операций с ЭП вредоносным ПО;
·         фишинг и социальная инженерия могут заставить пользователя ввести пароль и подписать какой-то ЭД.
И кстати с развитием электронного документооборота в медицине будет развиваться и рынок услуг кибер мошенников, которые могут наносить значительный ущерб: например, ущерб от поддельного больничного на месяц, ЗП = 30-500 тыс. руб. от одного случая, изменение мед. заключений в системе - может причинить ущерб здоровью пациента, поддельные рецепты - получение наркотических лекарственных средств,  подделка льготных рецептов = бесплатное получение лекарств = ущерб сравним с общим рынком лекарственных средств, а это 50 млрд руб. и  тп... 
Служба ИБ должна разрабатывать какие-то корпоративные правила безопасного использования ЭП и повышать осведомленность пользователей. Но как это сделать в случае личных ключей?  
Примерно такой вопрос я задавал в ФСБ России и получил следующий ответ:
5_%25D1%2584%25D1%2581%25D0%25B1.png
Если кратко – то применение личных ЭП в рабочих системах Организации – это вне закона.
PS: ещё остаются нерешенными такие проблемные вопросы, как: текущая практика УЦ выпускать отдельные сертификаты ЭП под каждую отдельную ИС/ГИС; порядок использования ЭП в случае если врач работает сразу в нескольких Организациях - если записать несколько ключей на один токен, то приходится разрываться в его учете. Если под каждую организацию свой отдельный токен – то работникам придется на шее носить ожерелье из токенов.


Источник: http://sborisov.blogspot.com/2018/04/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
6 месяцев назад | тэги: Анализ, ИБ, СКЗИ, ФСБ
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>