5 мая, 2011, BIS Journal №2(2)/2011

От карты социальной - к универсальной электронной


Марданов Рустэм

Председатель (Национальный банк Республики Башкортостан)

Романов Олег

Генеральный директор (ОАО «Башкирский регистр социальных карт»)

Республиканский опыт обеспечения информационной безопасности АИС «Социальная карта Башкортостана» и предоставления государственных услуг в электронном виде

Начиная с 2006 года, в Республике Башкортостан реализуется проект по созданию автоматизированной информационной системы «Социальная карта Башкортостана», в рамках которой реализована многоэмитентная схема выпуска и обслуживания социальных карт. Проект «Социальная карта Башкортостана» направлен на решение триединой задачи государственного масштаба: целевое использование бюджетных средств, адресная социальная помощь, повышение доступности розничных услуг.

УСЛУГИ СТАНОВЯТСЯ ЭЛЕКТРОННЫМИ

На сегодняшний день выпущено свыше 214 000 социальных карт, к проекту присоединились 2 кредитные организации, инфраструктура обслуживания карт включает в себя более 712 банкоматов, 26 информационно-платежных терминалов ОАО «Башкирский регистр социальных карт» и 69 информационных терминалов Пенсионного фонда.

В проекте заявлено 17 приложений, на текущий момент реализованы услуги в рамках 7 приложений: Медицинское, Транспортное, Пенсионного фонда РФ, Налоговое, Дисконтное, МВД, Банковское. Остальные приложения находятся на стадиях разработки и внедрения.

Список реализованных услуг из перечня государственных, муниципальных и иных услуг, оказываемых физическим лицам в электронном виде, в том числе с использованием Социальной карты Башкортостана, утвержденного Распоряжением Правительства Республики Башкортостан от 07.10.2010 г. № 1102-р выглядит следующим образом:

  1. Предоставление сведений об административных правонарушениях в области дорожного движения;
  2. Прием заявок (запись) на прием к врачу;
  3. Заполнение и направление в аптеки электронных рецептов;
  4. Информация о текущих налоговых задолженностях по транспортному налогу;
  5. Информация о текущих налоговых задолженностях по имущественному налогу;
  6. Информация о текущих налоговых задолженностях по земельному налогу;
  7. Оплата налоговой задолженности по транспортному налогу с формированием отдельного платежного поручения;
  8. Оплата налоговой задолженности по имущественному налогу с формированием отдельного платежного поручения;
  9. Оплата налоговой задолженности по земельному налогу с формированием отдельного платежного поручения;
  10. Подтверждение транспортным перевозчикам льгот для проезда в общественном транспорте льготными категориями граждан;
  11. Оплата проезда в общественном транспорте льготными категориями граждан;
  12. Оплата штрафов за административные правонарушения в области дорожного движения без ввода реквизитов с моментальной отметкой в базе данных Управления ГИБДД МВД Республики Башкортостан;
  13. Оплата при помощи банковского приложения различных платежей;
  14. Получение скидок и бонусов в торгово-сервисных предприятиях;
  15. Информирование застрахованных лиц о состоянии их индивидуальных лицевых счетов в системе обязательного пенсионного страхования согласно федеральным законам «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и «Об инвестировании средств для накопительной части трудовой пенсии в Российской Федерации.

Логическим продолжением проекта «Социальная карта Башкортостана» является участие в проекте Универсальная электронная карта (в дальнейшем УЭК) в соответствие с Федеральным законом «Об организации предоставления государственных и муниципальных услуг» от 27 июля 2010 года №210-ФЗ. ОАО «Башкирский регистр социальных карт» определено Уполномоченной организацией субъекта по реализации проекта УЭК. На базе проекта «Социальная карта Башкортостана» предполагается выпуск УЭК. Социальные карты Башкортостана будут заменяться на УЭК по истечению срока их действия.

БЕЗОПАСНОСТЬ КАК СИСТЕМА

Одним из важнейших аспектов при реализации проекта «Социальная карта Башкортостана» является обеспечение информационной безопасности автоматизированной системы в соответствии с требованиями действующего законодательства Российской Федерации.

Для обеспечения информационной безопасности и выполнения требований законодательства в области защиты информации в ОАО «Башкирский регистр социальных карт», являющимся уполномоченной организацией Правительства Республики Башкортостан по реализации проекта «Социальная карта Башкортостана», реализована совокупность организационных, технических и программных мер.

В ноябре 2008 года осуществлена регистрация в Реестре операторов, осуществляющих обработку персональных данных на территории Российской Федерации.

В рамках разработанной системы обеспечена физическая охрана объектов информатизации, построены системы контроля доступа, видеонаблюдения и газового пожаротушения, сформирована политика информационной безопасности и разработан ряд организационных документов по информационной безопасности. Также внедрена система защиты персональных данных автоматизированной системы «Социальная карта Башкортостана», которая включает в себя все необходимые подсистемы согласно требованиям нормативных документов ФСТЭК и ФСБ России (рис. 1).

Рис.1 Система защиты информации

Подходы к организации системы информационной безопасности проекта «Социальная карта Башкортостана» в значительной степени учитывают требования, которые рекомендуются стандартами информационной безопасности, в том числе Стандартом Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010, что позволяет осуществлять интеграцию системы с банковскими приложениями.

В качестве средств защиты информации были внедрены средства, имеющие сертификаты ФСТЭК и ФСБ России.

Финальным этапом создания системы защиты автоматизированной системы стала ее аттестация на соответствие требованиям защиты информации ФСТЭК России для класса информационных систем персональных данных К2.

В 2008 году Общество получило лицензии Федеральной службы безопасности России на осуществление деятельности по техническому обслуживанию шифровальных (криптографических) средств, предоставление услуг в области шифрования информации и распространения шифровальных (криптографических) средств. Полученные лицензии позволили Обществу самостоятельно провести работы по организации защищенных каналов связи с участниками проекта.

К АИС «Социальная Карта Башкортостана» в целях обработки персональных данных были подключены 9 организаций, с которыми организованы защищенные информационные каналы на базе криптографических средств, удовлетворяющих требованиям ФСБ России и поддерживающих технологию аутентификации с помощью открытых ключей. В качестве удостоверяющего центра используется Удостоверяющий центр Министерства связи и массовых коммуникаций Республики Башкортостан.

ДОСКОНАЛЬНАЯ ИДЕНТИФИКАЦИЯ

С учетом требований Федерального закона № 152 «О персональных данных» Держатель, подавая заявление на получение социальной карты, дает письменное согласие на обработку своих персональных данных в Обществе и передачу их участникам проекта, подписывая анкету-заявку в пунктах приема-выдачи социальных карт.

У каждого Держателя социальной карты находится только одна действующая социальная карта. На оборотной стороне карты расположен идентификационный номер, который связан с информацией о Держателе в Регистре социальных карт.

Наличие на социальной карте фотографии, фамилии, имени, отчества и личной подписи Держателя социальной карты позволяет визуально идентифицировать владельца.

Держатель социальной карты, обращаясь за получением информации по Социальным приложениям в сети приема карт (информационно-платежные терминалы, банкоматы), делает запрос, который подтверждается вводом персонального идентификационного кода с помощью пин-клавиатуры, сертифицированной международной платежной системой.

Высокий уровень защиты карты от мошенничества обеспечивается за счет средств защиты карт, применяемых в международных платежных системах.

В целях функционирования многоэмитентной схемы обслуживания социальных карт на информационно-платежных терминалах реализуется предпроцессинговая схема взаимодействия с банками-эквайерами. Схема предполагает участие нескольких банков.

Подключение информационно-платежных терминалов (ИПТ) к информационным системам Общества осуществляется посредством сети Интернет (рис. 2).

Рис. 2 Схема подключения информационно-платежных терминалов

Данный способ подключения позволяет не зависеть от способа физического подключения к сети ИПТ. Для организации защищенного подключения ИПТ к ресурсам АИС «Социальная карта Башкортостана» в качестве общей точки подключения используется сертифицированный ФСТЭК России межсетевой экран Cisco АSА 5510.

Все запросы, инициированные на ИПТ, обрабатываются на сервере приложений. При необходимости запрос перенаправляется в информационные системы участников информационного обмена.

При формировании запроса на информационно-платежном терминале происходит обезличивание персональных данных. Все операции с использованием социальной карты проводятся при помощи уникального идентификатора карты. Поэтому нет необходимости в использовании алгоритма шифрования по ГОСТ 28147-89 при взаимодействии ИПТ с сервером приложений.

В качестве средств защиты ИПТ от внешних угроз в сети Интернет используется:

  • межсетевой экран с функцией криптографического шлюза - для управления сетевыми подключениями, фильтрации пакетов, организации шифрованного канала связи;
  • антивирус Касперского − для защиты от воздействий вредоносного кода.

НОМИНАНТ МНОГИХ КОНКУРСОВ

При реализации мероприятий по предоставлению государственных услуг в электронном виде возникает необходимость в создании новых информационных систем и, как следствие, в обеспечении информационной безопасности данных систем. Рассмотрим данный вопрос на примере реализованного медицинского приложения проекта «Социальная карта Башкортостана» − государственной услуги «Прием заявок (запись) на прием к врачу».

В рамках реализации медицинского приложения проекта «Социальная карта Башкортостана» в качестве идентификаторов используется социальная карта пациента, подтверждающая факт оказания медицинской услуги пациенту. Формирование транзакции медицинской услуги подтверждается при чтении ID-идентификатора карты врача.

Государственная услуга позволяет записывать на прием к врачу в лечебно-профилактических учреждениях (далее ЛПУ) граждан одним из пяти удобных способов:

  • через регистратуру ЛПУ;
  • по телефону единой службы записи на прием к врачу;
  • посредством сети Интернет, предварительно зарегистрировавшись;
  • на приёме у врача на повторный прием или к врачу узкой специализации;
  • на информационно-платежном терминале как при помощи социальной
    карты так и без неё.

В рамках реализации государственной услуги «Прием заявок (запись) на прием к врачу»:

  • С 2009 года внедрена в промышленную эксплуатацию
    автоматизированная система «Единая Регистратура» по РБ;
  • Организован Контакт-центр, поддерживающий 115 одновременных соединений;
  • Подключены 182 ЛПУ к АС «Единая Регистратура»;
  • Обработано с 2009 года более 8 млн. записей на прием к врачу;
  • В течение суток в автоматизированной системе записывается на прием к врачу до 28 500 пациентов, из них ~ 20 000 через регистратуры ЛПУ на повторный прием, через контакт-центр ~ 6 500., через интернет ~ 2 000.
  • Введен единый короткий номер по Республике Башкортостан для записи на прием к врачу − 1303.

Согласно требованиям 152 ФЗ от 27 июля 2006 г. и требованиям нормативных документов ФСТЭК и ФСБ России были выполнены все мероприятия по созданию системы защиты автоматизированной системы «Единая Регистратура», необходимые для аттестации на соответствие требованиям защиты информации ФСТЭК России для класса информационных систем персональных данных (ИСПДн) К1.

В результате создания системы защиты персональных данных АС «Единая Регистратура» были внедрены все необходимые подсистемы защиты.

Для организации защищенного удаленного доступа лечебно-профилактических учреждений к автоматизированной системе «Единая Регистратура» (рис. 3) было принято решение использовать продукт компании «Инфотекс» - VipNet Координатор, установленный на 2 высокопроизводительных серверах в режиме зеркалирования.

Рис. 3 Схема подключения к АИС «Единая регистратура»

Для подтверждения соответствия системы защиты персональных данных ИСПДн «Единая Регистратура» требованиям ФСТЭК России, в настоящий момент ведутся работы по аттестации данной системы на соответствие требованиям защиты информации ФСТЭК России для класса ИСПДн К1.

В зависимости от способа подключения лечебно-профилактических учреждений к автоматизированной системе «Единая Регистратура» были разработаны и утверждены типовые схемы защищенного подключения.

Таким образом, при реализации проекта «Социальная карта Башкортостана» были выполнены необходимые требования законодательства РФ в сфере информационной безопасности, что позволило получить признание и на международных конкурсах:

  • 16 декабря 2009 года проект «Социальная карта Башкортостана» стал одним из победителей международного конкурса банковских продуктов «OSCARDS 2009»;
  • в мае 2010 года. в Испании (Мадрид) проект «Социальная карта Башкортостана» стал одним из победителей международного конкурса инновационных проектов в области карточных продуктов в номинации «Лучший кобрендинговый или совместный проект»;
  • 28 июня 2010 года проект «Разработка и внедрение программного обеспечения Медицинского приложения проекта «Социальная карта Башкортостана», разработанный по заказу Министерства здравоохранения Республики Башкортостан», победил в конкурсе «Лучшие 10 ИТ-проектов для госсектора», организованного Издательской группой «КомНьюс» при поддержке Минкомсвязи РФ, в номинации «Лучший проект по переводу в электронный вид государственных услуг в сфере здравоохранения».

ДАННЫЕ ТОЛЬКО «НЕПРОСРОЧЕННЫЕ»

Логическим продолжением является интегрирование проекта «Социальная карта Башкортостана» в проект Универсальная электронная карта (УЭК).

ОАО «Башкирский регистр социальных карт» определено Уполномоченной организацией правительства Республики Башкортостан по реализации проекта УЭК, а ранее выпущенные социальные карты будут заменяться на УЭК по истечению срока их действия.

С учетом дополнительных требований, предъявляемых к уполномоченным организациям субъектов, в целях организации полноценного процесса выпуска, выдачи и обслуживания УЭК запланированы следующие мероприятия в области информационной безопасности:

  • получение лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации;
  • создание собственного Удостоверяющего центра для организации защищенного доступа граждан к автоматизированным системам Общества в рамках реализации проектов государственных услуг;
  • доработка программно-аппаратного комплекса «Регистр социальных карт» для участия в проекте УЭК и аттестация системы защиты персональных данных по классу защищенности К1.

В рамках подготовки внедрения УЭК ведутся работы по организации защищенного взаимодействия между Федеральной уполномоченной организацией − ОАО «УЭК», системой межведомственного взаимодействия - ОАО «Ростелеком» и уполномоченной организацией субъекта ОАО «Башкирский регистр социальных карт». ОАО «Ростелеком» разместил серверное оборудование с программно-техническим комплексом регионального сегмента СМЭВ на технической площадке Уполномоченной организации - ОАО БРСК.

В целях выявления оптимального решения по организации защиты каналов связи по предложению ОАО «УЭК» в Республике Башкортостан было реализовано решение от компании «Инфотекс» (рис. 4).

Рис. 4 Схема защиты каналов связи ФУО - УОС - СМЭВ

Внедрение систем защиты информации в Обществе дало толчок к повышению уровня информационной безопасности в первую очередь в органах государственной власти, участвующих в информационном обмене в рамках реализации государственных услуг в электронном виде.

Одной из проблем соблюдения действующего законодательства в области защиты персональных данных является необходимость соблюдения ограничения доступа и уничтожения таких данных по достижении цели их обработки. При этом не учитывается вопрос хранения истории оказания услуг гражданам. И необходимость (как яркий пример, электронная медицинская карта история болезни) предоставления доступа новым участникам информационного обмена требует письменного согласия гражданина.

Данная проблема остро встает перед организациями, чья деятельность направлена на оказание государственных услуг в электронном виде.

Реализация проектов по предоставлению государственных услуг в электронном виде практически находится в самом начале пути, многие организационные вопросы по информационной безопасности ещё не решены и требуют проработки на законодательном уровне.

 

Смотрите также

Одна голова лучше

22 сентября, 2010
Подпишись на новости!
Подписаться