Основы организации защищенного электронного документооборота ПФР (О. Строев, "Деловой Орел", N 11, март 2002 г.)

Основы организации защищенного электронного документооборота ПФР

1. Организация подключения к системе электронного документооборота ПФР.

2. Основные характеристики СКЗИ "Верба-O/OW.

1.1. В соответствии со статьей 8 Федерального закона Российской Федерации от 01.04.96 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования" индивидуальные сведения на застрахованных лиц могут представляться как в виде документов в письменной форме, так и в электронной (на магнитных носителях или по каналам связи) при наличии гарантий их достоверности и защиты от несанкционированного доступа и искажений. В этом случае юридическая сила документов, представленных в электронной форме, должна подтверждаться электронной цифровой подписью.

1.2. Деятельность в области средств криптографической защиты в нашей стране, как и во всем мире, подлежит лицензированию. В конце 2000 года Федеральным агентством правительственной связи и информации при Президенте Российской Федерации Пенсионному фонду Российской Федерации выданы лицензии по следующим видам деятельности:

- Осуществлять деятельность по техническому обслуживанию шифровальных средств, предназначенных для криптографической защиты информации, не содержащих сведений, составляющих государственную тайну, при ее обработке, хранении и передаче по каналам связи, в системах электронного документооборота Пенсионного фонда Российской Федерации, его региональных отделений и ИЦПУ;

- Осуществление деятельности по распространению шифровальных средств;

- Предоставление услуг в области шифрования информации, не содержащей сведений, составляющих государственную тайну, в системах электронного документооборота Пенсионного фонда Российской Федерации, его региональных отделений и ИЦПУ.

1.3. В январе 2001 года Правлением Пенсионного фонда Российской Федерации (ПФР) принято решение о внедрении в системе электронного документооборота ПФР средства криптографической защиты информации (СКЗИ) и электронно-цифровой подписи (ЭЦП) "Верба-O/OW", имеющего сертификат соответствия ФАПСИ.

1.4. Средства криптографической защиты информации предназначены для обеспечения защиты электронного документооборота, а также электронных документов, содержащих информацию конфиденциального характера по уровню "С", при обмене ею между органами ПФР, юридическими и физическими лицами по каналам связи и (или) на магнитных носителях, в соответствии с которым защищается только конфиденциальная (несекретная) информация.

1.5. Средства криптографической защиты информации обеспечивают конфиденциальность, достоверность, контроль подлинности и целостности информации, содержащейся в электронных документах, передаваемых по каналам связи и (или) на магнитных носителях, а также хранимых на серверах и персональных электронных вычислительных машинах (ПЭВМ).

1.6. Применение электронной цифровой подписи обеспечивает возможность аутентификации лица, поставившего электронную цифровую подпись под электронным документом, что наделяет документ правами юридического эквивалента документа на бумажном носителе, заверенного подписями.

1.7. Каждый плательщик страховых взносов, при условии использования предлагаемых ПФР технологий, основанной на применении данного СКЗИ, может передавать индивидуальные сведения на застрахованных лиц в ПФР в электронном виде на магнитных носителях информации или по каналам связи - без дублирования на бумажном носителе. 1.8. Вопросы о включении плательщиков страховых взносов в систему электронного документооборота ПФР, о возможности представления индивидуальных сведений в электронной форме, а также возможность и порядок использования электронной цифровой подписи при обмене электронными документами решаются региональным отделением Пенсионного фонда Российской Федерации совместно с конкретными плательщиками страховых взносов и регламентируются нормативными актами ПФР и соглашениями сторон.

Организация подключения к системе электронного документооборота ПФР

2.1. Юридические (физические) лица направляют на имя руководителя регионального отделения ПФР письменное заявление о подключении его к системе электронного документооборота (СЭД) ПФР.

2.2. Получив письменное заявление от юридического, физического лица на его подключение к системе электронного документооборота ПФР, орган ПФР направляет в его адрес пакет документов, необходимый для заключения "Соглашения об обмене электронными документами в системе электронного документооборота ПФР".

2.3. Порядок действий юридического и физического лица:

- заключение договора с сертификационным центром на изготовление и поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи (далее - продукция) и направление его в сертификационный центр;

- проведение мероприятий по подготовке к эксплуатации средств криптографической защиты информации в соответствии с Требованиями к юридическим и физическим лицам, на которых распространяется действие лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации;

- назначение из числа своих сотрудников администратора информационной безопасности организации и его заместителя и направление их на обучение в сертификационный центр.

2.4. Физическое лицо как самостоятельный участник электронного документооборота ПФР является администратором информационной безопасности в одном лице.

2.5. Сертификационный центр в соответствии с договором производит изготовление продукции. Уполномоченные должностные лица сертификационного центра оформляют Акт об изготовлении криптографических ключей в трех экземплярах. Два экземпляра направляются другой стороне, один остается в сертификационном центре. Первоначальное изготовление ключей осуществляет орган ПФР бесплатно.

2.6. Юридическое или физическое лицо получает продукцию в соответствии с договором.

2.7. Юридическое или физическое лицо оформляет Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации и направляет своего администратора информационной безопасности либо прибывает самостоятельно в подразделение по защите информации органа ПФР для предварительной регистрации и инструктажа с комплектом документов, в состав которого входят:

Соглашение об обмене электронными документами в системе электронного документооборота ПФР, подписанное юридическим или физическим лицом;

- контрольный лист с образцами печати юридического лица и личной подписью руководителя (контрольный лист физического лица также представляется с образцом его личной подписи);

- выписка из приказа о назначении администратора информационной безопасности и его заместителя у юридического лица, заверенная печатью и подписью руководителя;

- Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации (1 экз.);

- Акт об изготовлении криптографических ключей (1 экз.);

- Акт о готовности к эксплуатации программно-аппаратного комплекса, защищенного СКЗИ (1 экз.);

- открытые ключи шифрования и электронной цифровой подписи;

- сертификаты открытых ключей (регистрационные карточки, 1 экз. остается в органе ПФР);

- справочник открытых ключей.

2.8. В подразделении по защите информации органа ПФР с администратором информационной безопасности проводится обмен открытыми ключами шифрования и электронной цифровой подписи, паролями для организации системы оповещения о компрометации ключей по телефонной сети общего пользования, а также вносятся дополнения и изменения в справочники.

2.9. При соблюдении юридическим или физическим лицом всех вышеуказанных условий руководитель органа ПФР подписывает Соглашение об обмене электронными документами в системе электронного документооборота ПФР, после чего юридическое или физическое лицо становится абонентом СЭД ПФР.

2.10. Состав электронных документов, технология и регламент обмена электронными документами между органом ПФР и абонентами СЭД, в том числе порядок действий при замене ключей и возникновении нештатных ситуаций, согласовываются и утверждаются в дальнейшем в рабочем порядке.

2.11. Единовременно проведя эти затраты и мероприятия, пользователь-владелец, подключившись к данной технологии, избавится от многих бумажных, транспортных, временных и прочих затрат, сможет использовать ее в дальнейшем не только при работе с ПФР, но и для собственных целей.

2.12. Несложный экономический расчет показывает, что введение в эксплуатацию вышеизложенной технологии позволит произвести значительную экономию трудовых и материальных затрат. Причем в этой экономии естественным образом должны быть заинтересованы обе стороны документооборота - как предприятия и организации, предоставляющие индивидуальные сведения, так и органы ПФР.

2.13. В подразделении по защите информации ГУ ОПФР - ЕПС по Орловской области можно получить дополнительные сведения о порядке подключения работодателя к защищаемой информационной системе ПФР, включая порядок приобретения ФКМ, а также сведения о комплектности поставки ФКМ, стоимости его программного обеспечения и услуг.

Основные характеристики СКЗИ "Верба-O/OW"

3.1. Система криптографической защиты информации (СКЗИ) "Верба-О/OW" предназначена для защиты конфиденциальной информации, не являющейся государственной тайной.

3.2. СКЗИ "Верба-O/OW" сертифицирована в соответствии с утвержденной Госстандартом Системой сертификации средств криптографической защиты информации РОСС RU 0001.030001 от 15.11.93 г. Сертификация в государственной экспертной организации является обязательным требованием при использовании СКЗИ, гарантирует стойкость криптографической системы и определяет условия ее безопасной эксплуатации.

3.3. Программное обеспечение СКЗИ выполнено в соответствии с российскими государственными стандартами.

3.4. Программа FCOLSEOW.EXE входит в состав ППО СКЗИ "Верба-O/OW" и функционирует в операционных системах, поддерживающих API WIN32 (программный интерфейс приложений для Windows 95, 98, Windows NT З.х, 4.0).

3.5. Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая".

3.6. Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р 34.10-94 "Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма".

3.7. Функция хэширования выполнена в соответствии с требованиями ГОСТ Р 34.11-94 "Информационная технология. Криптографическая защита информации. Функция хэширования".

3.8. Вероятность необнаружения искажений, вносимых в зашифрованную информацию злоумышленниками или вирусами при передаче по каналам связи, составляет 10-9.

3.9. Ключевая система для шифрования ориентирована на обеспечение возможности парно-выборочной связи каждого абонента сети друг с другом с использованием открытого распределения ключей.

3.10. Ключи для подписи - асимметричные.

3.11. Ключи для шифрования и формирования подписи хранятся на 3,5" дискетах.

3.12. Возможно хранение секретных ключей шифрования и подписи на ЖМД.

3.13. ППО СКЗИ "Верба-О/О W" предоставляют пользователю следующие дополнительные возможности:

- файл может быть подписан 1 - 255 корреспондентами;

- файл может быть зашифрован нескольким корреспондентам одновременно;

- пользователь (администратор) может корректировать справочники открытых ключей шифрования и подписи.

3.14. Развитая система контроля шифратора и обработка ошибочных ситуаций обеспечивают надежную работу библиотеки и анализ неисправностей.

По всем возникающим вопросам обращаться по адресу:

302033, г. Орел, ул. Лескова, 19 "А"

Группа по защите информации ГУ ОПФР - ЕПС по Орловской области

Тел.: (086-2)42-10-66.

Строев Олег Анатольевич, Неруш Сергей Григорьевич.

О. Строев

Руководитель группы

по защите информации.