ФЕДЕРАЛЬНАЯ ТАМОЖЕННАЯ СЛУЖБА
ПРИКАЗ
от 19 сентября 2006 г. N 900
О РЕШЕНИИ, ПРИНЯТОМ НА ЗАСЕДАНИИ КОЛЛЕГИИ ФТС РОССИИ, О КОНЦЕПЦИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПЕРИОД ДО 2010 ГОДА
Во исполнение решения, принятого на заседании коллегии ФТС России 25 августа 2006 года, приказываю:
1. Утвердить Концепцию обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года (далее - Концепция) (приложение N 1).
2. Начальникам структурных подразделений ФТС России, таможенных органов Российской Федерации и руководителям учреждений, находящихся в ведении ФТС России, обеспечить:
а) организацию работы по безусловному выполнению решения коллегии ФТС России от 25 августа 2006 года о Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года (приложение N 2);
б) реализацию Концепции в пределах своей компетенции и полномочий.
3. Считать утратившими силу приказ ГТК России от 31.12.1998 N 906 "О Концепции информационной безопасности таможенных органов Российской Федерации" и распоряжение ФТС России от 22.11.2005 N 517-р "О создании рабочей группы".
4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя ФТС России В.М.Малинина.
Руководитель
генерал- полковник
таможенной службы
А.Ю.БЕЛЬЯНИНОВ
Приложение N 1
к приказу ФТС России
от 19.09.2006 N 900
КОНЦЕПЦИЯ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПЕРИОД ДО 2010 ГОДА
Цель разработки Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года (далее - Концепция) - формирование в таможенных органах Российской Федерации (далее - таможенные органы) единой политики реализации Доктрины обеспечения информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации, а также выполнения иных правовых актов Российской Федерации в сфере обеспечения информационной безопасности и защиты информации.
Достижение этих целей требует дальнейшего совершенствования и практического осуществления единой информационно-технической политики ФТС России в области обеспечения информационной безопасности.
В Концепции определены объекты обеспечения информационной безопасности таможенных органов, угрозы информационной безопасности таможенных органов и их источники, модель нарушителя информационной безопасности таможенных органов, а также определены основные принципы, направления и задачи обеспечения информационной безопасности таможенных органов.
I. Общие положения
1. Концепция определяет цели, задачи, принципы и основные направления обеспечения информационной безопасности таможенных органов, составляющих единую федеральную централизованную систему в соответствии со статьей 202 Таможенного кодекса Российской Федерации.
2. Концепция служит методологической основой для:
- формирования и проведения единой политики обеспечения информационной безопасности таможенных органов, определяющей цели, задачи и мероприятия по реализации в таможенных органах государственной политики в области обеспечения информационной безопасности;
- разработки комплекса правовых актов ФТС России, регламентирующих обеспечение информационной безопасности таможенных органов;
- разработки комплекса практических и организационно-технических мер, мероприятий и методов по обеспечению информационной безопасности таможенных органов;
- разработки программ по оснащению таможенных органов Российской Федерации сертифицированными средствами защиты информации, а также по их внедрению и эксплуатации в процессе служебной деятельности таможенных органов;
- подготовки предложений по совершенствованию ведомственной системы обеспечения информационной безопасности таможенных органов.
3. Концепция разработана на основе действующего законодательства Российской Федерации, Концепции национальной безопасности Российской Федерации, Доктрины информационной безопасности Российской Федерации, Концепции использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года, а также нормативно-правовых актов по информационной безопасности, утвержденных федеральными органами исполнительной власти в пределах их компетенции.
II. Роль и место обеспечения информационной безопасности таможенных органов в обеспечении национальных интересов государства в информационной сфере
Понятие информационной безопасности Российской Федерации
4. Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
5. В соответствии с Доктриной информационной безопасности Российской Федерации под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
6. Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности Российской Федерации, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Понятие информационной безопасности таможенных органов
7. В соответствии с Постановлением Правительства Российской Федерации от 26.07.2006 N 459 Федеральная таможенная служба является уполномоченным федеральным органом исполнительной власти, осуществляющим в соответствии с законодательством Российской Федерации функции по выработке государственной политики и нормативному правовому регулированию, контролю и надзору в области таможенного дела, а также функции агента валютного контроля и специальные функции по борьбе с контрабандой, иными преступлениями и административными правонарушениями. Руководство деятельностью ФТС России осуществляет Правительство Российской Федерации.
8. В соответствии с Доктриной информационной безопасности Российской Федерации Федеральная таможенная служба как федеральный орган исполнительной власти обеспечивает в установленной сфере деятельности исполнение законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации.
9. Опыт деятельности современных таможенных администраций в развитых странах мира относит информатизацию таможенного дела к одному из первостепенных факторов построения гибкой и эффективной системы таможенного контроля. Применяемые в таможенных органах информационные технологии обеспечивают реализацию информационных процессов - процессов сбора, обработки, накопления, хранения, поиска и распространения информации. Информационные системы таможенных органов представляют собой организационно упорядоченные совокупности информационных ресурсов и информационных технологий, в основном с использованием средств вычислительной техники и связи, обеспечивающие эффективную реализацию процедур таможенного оформления и таможенного контроля.
10. От эффективности деятельности таможенных органов в информационной сфере существенно зависит эффективность обеспечения экономической безопасности Российской Федерации.
11. Таким образом, под информационной безопасностью таможенных органов понимается состояние защищенности национальных интересов государства в информационной сфере деятельности таможенных органов.
Составляющие национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов Российской Федерации. Направления и задачи по обеспечению информационной безопасности таможенных органов Российской Федерации.
12. В соответствии с Доктриной информационной безопасности Российской Федерации выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов.
13. Первая составляющая национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения и использования таможенной информации. Для достижения этого требуется:
- на основании статьи 24 Таможенного кодекса Российской Федерации обеспечить возможность свободного доступа, в том числе с использованием информационных технологий, к информации о действующих правовых актах в области таможенного дела;
- на основании статьи 387 Таможенного кодекса Российской Федерации обеспечить конституционные права и свободы человека и гражданина на доступ к имеющейся у таможенных органов документированной информации о себе и на уточнение этой информации в целях обеспечения ее полноты и достоверности;
- на основании статьи 10 Таможенного кодекса Российской Федерации обеспечить конституционные права и свободы человека и гражданина на личную тайну, полученную таможенными органами в соответствии с актами таможенного законодательства, иными правовыми актами Российской Федерации, правовыми актами федерального министерства, уполномоченного в области таможенного дела, и федеральной службы, уполномоченной в области таможенного дела;
- обеспечить конституционные права и свободы человека и гражданина, являющегося должностным лицом таможенных органов Российской Федерации, на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени, а также на основании Федерального закона от 27.07.2006 N 152-ФЗ обеспечить защиту персональных данных должностных лиц таможенных органов;
- на основании главы 38 Таможенного кодекса Российской Федерации укрепить механизмы правового регулирования отношений в области защиты объектов интеллектуальной собственности, создать условия для соблюдения установленных законодательством Российской Федерации ограничений на доступ к конфиденциальной информации.
14. Вторая составляющая национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для достижения этого требуется на основании статьи 24 Таможенного кодекса Российской Федерации:
- обеспечить опубликование в своих официальных изданиях правовых актов, принятых ФТС России, а также актов таможенного законодательства и иных правовых актов Российской Федерации в области таможенного дела;
- обеспечить формирование открытых государственных информационных ресурсов в части таможенных органов и повысить эффективность их использования.
15. Третья составляющая национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. Для достижения этого требуется на основании статей 423 и 425 Таможенного кодекса Российской Федерации при организации научно-исследовательских и опытно-конструкторских разработок (НИОКР):
- развивать и совершенствовать Инфраструктуру автоматизированных систем таможенных органов как составляющую инфраструктуры единого информационного пространства Российской Федерации;
- принимать участие в развитии отечественной индустрии информационных услуг;
- повышать эффективность использования государственных информационных ресурсов, находящихся в ведении таможенных органов;
- принимать участие в государственной поддержке отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
16. Четвертая составляющая национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории Российской Федерации. В этих целях необходимо на основании статей 10, 420, 425, 427 Таможенного кодекса Российской Федерации:
- повысить безопасность информационных систем таможенных органов;
- содействовать развитию отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
- обеспечить защиту сведений, составляющих государственную тайну;
- расширять международное таможенное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
III. Состояние обеспечения информационной безопасности таможенных органов
Краткая характеристика текущего состояния обеспечения информационной безопасности таможенных органов
17. В ФТС России создана и функционирует ведомственная система обеспечения информационной безопасности таможенных органов.
18. Работы, проведенные за период с 1998 года по август 2006 года в таможенных органах в рамках реализации Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на ближайшую перспективу до 2000 года и на период до 2010 года, позволили:
- создать основы нормативного обеспечения информационной безопасности таможенных органов;
- создать организационную структуру ведомственной системы обеспечения информационной безопасности таможенных органов;
- обеспечить плановое проведение работ по технической защите информации на объектах информатизации таможенных органов, предназначенных для проведения работ со сведениями, составляющими государственную тайну;
- обосновать унифицированный комплекс средств защиты информации, применяемый в автоматизированных системах таможенных органов;
- обеспечить централизованное оснащение таможенных органов сертифицированными средствами защиты информации, их внедрение и ввод в эксплуатацию;
- реализовать ряд таможенных информационных технологий в защищенном исполнении;
- создать инфраструктуру открытых ключей пользователей автоматизированных систем таможенных органов и приступить к ее практическому использованию в служебной деятельности;
- обеспечить безопасность автоматизированных систем и локальных сетей таможенных органов при использовании сетей общего пользования;
- создать телекоммуникационную и программно-аппаратную инфраструктуру Единой автоматизированной информационной системы (далее - ЕАИС) таможенных органов, включая ведомственную интегрированную телекоммуникационную сеть таможенных органов с использованием средств криптографической защиты передаваемой информации;
- создать и внедрить ведомственную систему антивирусной защиты;
- разработать программу и организовать проведение обучения должностных лиц структурных подразделений ФТС России, региональных таможенных управлений и таможен, работников ГНИВЦа ФТС России по вопросам обеспечения информационной безопасности;
- организовать плановый контроль состояния обеспечения информационной безопасности таможенных органов.
19. В соответствии с выводом ФСТЭК России в 2005 году по результатам проверки состояния технической защиты информации в системе таможенных органов:
- организация работ и состояние технической защиты информации, содержащей сведения, составляющие государственную тайну, в ФТС России в основном соответствуют требованиям законодательных, нормативных и иных правовых актов, а также руководящих документов ФСТЭК России (Гостехкомиссии России), регламентирующих вопросы технической защиты информации в Российской Федерации; имеются отдельные недостатки в оформлении документов;
- организация работ по защите информации в ЕАИС таможенных органов соответствует не в полной мере требованиям законодательных, нормативных и иных правовых актов, а также руководящим документам ФСТЭК России (Гостехкомиссии России).
Основные факторы, влияющие на обеспечение информационной безопасности таможенных органов
20. Вместе с тем анализ состояния информационной безопасности таможенных органов показывает, что имеются факторы, снижающие или влияющие на эффективность принимаемых ФТС России мер.
21. К этим факторам можно отнести:
- не полностью сформирована штатная структура подразделений по обеспечению информационной безопасности и технической защите информации в таможенных органах; подразделения по информационной безопасности и технической защиты информации созданы не во всех таможенных управлениях; в ряде таможенных органов штатная численность должностных лиц, отвечающих за обеспечение информационной безопасности, не соответствует объему решаемых задач;
- недостаточность развития системы подготовки и переподготовки кадров для таможенных органов в сфере обеспечения информационной безопасности;
- ослаблен контроль со стороны руководителей таможенных органов, их структурных подразделений за состоянием информационной безопасности, выполнением подчиненными должностными лицами регламентов, должностных инструкций, нормативно-правовых актов;
- обострение криминогенной обстановки, рост числа компьютерных преступлений, связанных с проникновением криминальных элементов в компьютерные системы кредитно-финансовой сферы;
- несоответствие оплаты труда должностных лиц таможенных органов экономической значимости принимаемых ими решений;
- не проводятся комплексные исследования деятельности персонала информационных систем таможенных органов, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией;
- результатом проведения административной реформы является формирование новой структуры государственных органов, осуществляющих регулирование внешнеторговой деятельности, предполагающей комплексный подход к межведомственному взаимодействию и обеспечению баланса интересов в области таможенно-тарифных, налоговых мер, запретов и ограничений, установленных законодательством Российской Федерации;
- современные условия политического и социально- экономического развития Российской Федерации вызывают обострение противоречий между потребностями общества в расширении свободного доступа к информации в области таможенного дела и необходимостью сохранения регламентированных ограничений на ее распространение;
- расширение сотрудничества таможенных органов Российской Федерации с таможенными администрациями иностранных государств и международными экономическими и финансовыми институтами в области международной безопасности, в том числе в сфере противодействия распространению оружия массового уничтожения, борьбы с международным терроризмом и торговлей наркотиками, обеспечения ядерной и радиационной безопасности, требуют внедрения в таможенных органах Российской Федерации средств международного информационного обмена; при этом в Российской Федерации в настоящее время отсутствуют средства обеспечения информационной безопасности при международном информационном обмене, что затрудняет реализацию в таможенных органах Российской Федерации технологий предварительного информирования и представления сведений, необходимых для целей таможенного оформления и таможенного контроля, в электронной форме;
- недостаточное оснащение таможенных органов сертифицированными средствами защиты информации, что снижает эффективность использования применяемых при отдельных таможенных информационных технологиях средств и методов защиты информации;
- отставание отечественных информационных технологий вынуждает идти по пути закупок незащищенной импортной техники, из- за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость таможенных органов Российской Федерации от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения;
- отсутствуют критерии и методы оценки защищенности автоматизированных систем и оценки эффективности средств информационной безопасности и их сертификации в условиях постоянной модернизации и развития ЕАИС таможенных органов.
Объекты обеспечения информационной безопасности таможенных органов
22. В силу специфики деятельности таможенных органов обеспечение их информационной безопасности является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства.
23. В сфере экономики объектами обеспечения информационной безопасности таможенных органов являются:
- любая информация, полученная таможенными органами в соответствии с актами таможенного законодательства, иными правовыми актами Российской Федерации, правовыми актами федерального органа исполнительной власти, уполномоченного в области таможенного дела, и содержащая государственную, коммерческую, банковскую, налоговую или иную охраняемую законом тайну и другую конфиденциальную информацию (статья 10 Таможенного кодекса Российской Федерации, статья 5 Закона Российской Федерации "О государственной тайне", статья 13 Федерального закона "О коммерческой тайне", статья 102 Налогового кодекса Российской Федерации, статья 26 Федерального закона "О банках и банковской деятельности");
- документы и сведения, используемые для статистических целей (статья 28 Таможенного кодекса Российской Федерации);
- ЕАИС таможенных органов, включая ведомственную интегрированную телекоммуникационную сеть и локальные вычислительные сети таможенных органов, а также средства вычислительной техники и программного обеспечения;
- технические средства обработки информации (средства звукозаписи и звукоусиления, звукосопровождения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другой обработки информации);
- объекты интеллектуальной собственности.
24. В сфере внутренней политики Российской Федерации объектами обеспечения информационной безопасности таможенных органов являются:
- конституционные права и свободы человека и гражданина, являющегося должностным лицом таможенных органов;
- достоинство личности должностных лиц таможенных органов;
- персональные данные должностных лиц таможенных органов;
- неприкосновенность частной жизни, личная и семейная тайна должностных лиц таможенных органов;
- открытые информационные ресурсы таможенных органов (официальный сайт ФТС России, автоматизированная система "Таможенная статистика внешней торговли" и др.).
25. В сфере внешней политики Российской Федерации объектами обеспечения информационной безопасности таможенных органов являются информационные ресурсы представительств ФТС России за рубежом.
26. В области науки и техники объектами обеспечения информационной безопасности таможенных органов являются:
- результаты проведенных по заказу таможенных органов фундаментальных, поисковых и прикладных научных исследований, потенциально важных для научно-технического, технологического и социально- экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
- открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование, разработанные или полученные в интересах таможенных органов;
- научно-технические кадры таможенных органов и система их подготовки.
27. В общегосударственных информационных и телекоммуникационных системах объектами обеспечения информационной безопасности таможенных органов являются:
- информационные ресурсы таможенных органов, содержащие сведения, отнесенные к государственной тайне и конфиденциальную информацию, вне зависимости от форм хранения (статья 425 Таможенного кодекса);
- средства и системы информатизации (средства вычислительной техники, информационно - вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
- технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа;
- помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.
28. В правоохранительной и судебной сферах объектами обеспечения информационной безопасности таможенных органов являются информационные ресурсы подразделений таможенных органов, реализующих правоохранительные функции, содержащие специальные сведения и оперативные данные служебного характера.
29. В настоящее время значительно усилилось влияние таможенного регулирования как элемента государственного регулирования внешнеторговой деятельности на процессы международной интеграции российской экономики в международное экономическое пространство.
30. Информационная безопасность указанных объектов создает условия для надежного функционирования таможенных органов, что является жизненно важным условием обеспечения экономической безопасности государства.
Основные угрозы обеспечения информационной безопасности таможенных органов
31. В соответствии с Доктриной информационной безопасности Российской Федерации и спецификой деятельности таможенных органов Российской Федерации по своей общей направленности угрозы информационной безопасности таможенных органов подразделяются на следующие виды:
- угрозы конституционным правам и свободам человека и гражданина в информационной сфере деятельности таможенных органов;
- угрозы информационному обеспечению государственной политики в области таможенного дела;
- угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей таможенных органов в ее продукции, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов в области таможенного дела;
- угрозы безопасности информационных и телекоммуникационных средств и систем таможенных органов.
32. Угрозами конституционным правам и свободам человека и гражданина в в информационной сфере деятельности таможенных органов могут являться:
- нерациональное, чрезмерное ограничение доступа к общественно значимой информации в области таможенного дела;
- создание монополий на формирование, получение и распространение информации, обрабатываемой в таможенных органах, в том числе с использованием телекоммуникационных систем;
- неисполнение таможенными органами требований законодательства, регулирующего отношения в информационной сфере;
- неправомерное ограничение доступа граждан к открытым информационным ресурсам таможенных органов;
- нарушение конфиденциальности персональных данных должностных лиц таможенных органов;
- манипулирование информацией (дезинформация, сокрытие или искажение информации) в области таможенного дела.
33. Угрозами информационному обеспечению государственной политики Российской Федерации в области таможенного дела могут являться:
- монополизация информационного рынка таможенных органов отечественными и зарубежными информационными структурами;
- дефицит квалифицированных кадров, отсутствие системы формирования и реализации государственной информационной политики в области таможенного дела.
34. Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей таможенных органов в ее продукции, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов в области таможенного дела могут являться:
- закупка импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
- вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи.
35. Угрозами безопасности информационных и телекоммуникационных средств и систем таможенных органов могут являться:
- нарушения технологии обработки информации ограниченного доступа, обрабатываемой в таможенных органах;
- нарушение законных ограничений на распространение информации ограниченного доступа, обрабатываемой в таможенных органах;
- противоправные сбор и использование информации ограниченного доступа, обрабатываемой в таможенных органах;
- компрометация ключей и средств криптографической защиты информации;
- перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации или ее подмена;
- несанкционированный доступ к информации, находящейся в базах данных таможенных органов;
- внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
- разработка и распространение программ (компьютерных вирусов), нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
- уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
- воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
- утечка информации по техническим каналам;
- внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения таможенных органов;
- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
- использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии автоматизированных систем таможенных органов.
Источники угроз информационной безопасности таможенных органов
36. Источники угроз информационной безопасности таможенных органов делятся на внешние и внутренние.
37. В соответствии с Доктриной информационной безопасности Российской Федерации к внешним источникам угроз информационной безопасности таможенных органов относятся:
- разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, возможность несанкционированного доступа к ним;
- деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
- деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
- преступные действия международных групп, формирований и отдельных лиц, направленные против экономических интересов Российской Федерации;
- деятельность международных террористических организаций;
- стихийные бедствия и катастрофы.
38. В соответствии с Доктриной информационной безопасности Российской Федерации к внутренним источникам угроз информационной безопасности таможенных органов относятся:
- неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
- недостаточная координация деятельности таможенных органов и их подразделений по реализации единой политики в области обеспечения информационной безопасности;
- недостаточно разработанная нормативная правовая база, регулирующая отношения в информационной сфере, а также недостаточная правоприменительная практика;
- недостаточная активность в информировании общества о деятельности таможенных органов в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
- недостаточное финансирование мероприятий по обеспечению информационной безопасности таможенных органов;
- нарушения установленных регламентов сбора, обработки и передачи таможенной информации в ЕАИС таможенных органов;
- преднамеренные действия и непреднамеренные ошибки должностных лиц в информационных системах таможенных органов;
- снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
- отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.
Способы нарушения информационной безопасности таможенных органов Российской Федерации
39. Способы нарушения информационной безопасности подразделяются на информационные, программно - математические, физические, радиоэлектронные и организационно - правовые.
40. Информационные способы нарушения информационной безопасности:
- противозаконный сбор, распространение и использование информации;
- манипулирование информацией (дезинформация, сокрытие или искажение информации);
- незаконное копирование данных и программ;
- незаконное уничтожение информации;
- хищение информации из баз и банков данных;
- нарушение характеристик информационного обмена;
- нарушение технологии обработки данных и информационного обмена.
41. Программно-математические способы нарушения информационной безопасности:
- внедрение программ- вирусов;
- внедрение программных закладок на стадии проектирования или эксплуатации системы, приводящих к компрометации системы защиты информации.
42. Физические способы нарушения информационной безопасности:
- уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;
- уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;
- хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;
- воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз информационной безопасности;
- диверсионные действия по отношению к объектам информационной безопасности.
43. Радиоэлектронные способы нарушения информационной безопасности:
- перехват информации в технических каналах ее утечки;
- перехват и дешифрование информации в сетях передачи данных и линиях связи;
- внедрение электронных устройств перехвата информации в технические средства и помещения;
- навязывание ложной информации по сетям передачи данных и линиям связи;
- радиоэлектронное подавление линий связи и систем управления.
44. Организационно-правовые способы нарушения информационной безопасности:
- закупка несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;
- невыполнение требований законодательства Российской Федерации и задержки в разработке и принятии правовых актов в области информационной безопасности.
45. Результатами реализации угроз информационной безопасности и осуществления посягательств (способов воздействия) на информационные ресурсы, информационные системы, информационные процессы в общем случае являются:
- нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка, перехват и т.д.);
- нарушение целостности информации (уничтожение, искажение, подделка и т.д.);
- нарушение доступности информации и работоспособности информационных систем (блокирование данных и информационных систем, разрушение элементов информационных систем, компрометация системы защиты информации и т.д.).
Модель нарушителя информационной безопасности таможенных органов
46. В качестве вероятного нарушителя информационной безопасности таможенных органов в общем случае рассматривается субъект, имеющий возможность реализовывать, в том числе с помощью технических средств, угрозы информационной безопасности и осуществлять посягательства (способы воздействия) на информационные ресурсы и системы таможенных органов Российской Федерации.
47. По уровню предполагаемые угрозы и посягательства на информационные ресурсы и системы нарушителей можно классифицировать следующим образом:
- 1-ый уровень - внешний нарушитель (группа внешних нарушителей), самостоятельно осуществляющий (-ая) создание методов и средств реализации угроз, а также реализующий угрозы (атаки);
- 2-ой уровень - внутренний нарушитель, не являющийся пользователем информационных систем таможенных органов (группа нарушителей, среди которых есть по крайней мере один указанный выше внутренний нарушитель), самостоятельно осуществляющий (-ая) создание методов и средств реализации угроз, а также реализующий (-ая) угрозы (атаки);
- 3-ий уровень - внутренний нарушитель, являющийся пользователем информационных систем таможенных органов (группа нарушителей, среди которых есть по крайней мере один указанный выше внутренний нарушитель), самостоятельно осуществляющий (-ая) создание методов и средств реализации угроз, а также реализующий (-ая) угрозы (атаки);
- 4-ый уровень - группа нарушителей (среди которых есть внутренние, являющиеся пользователями информационных систем таможенных органов), осуществляющая создание методов и средств реализации угроз, а также реализующая их с привлечением отдельных специалистов, имеющих опыт разработки и анализа средств защиты информации, используемых в информационных системах таможенных органов;
- 5-ый уровень - группа нарушителей (среди которых есть внутренние, являющиеся пользователями информационных систем таможенных органов), осуществляющая создание методов и средств реализации атак, а также реализующая атаки с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа средств защиты информации (включая специалистов в области использования для реализации угроз (атак) недокументированных средств прикладного программного обеспечения таможенных органов);
- 6-ой уровень - спецслужбы иностранных государств, осуществляющие создание методов и средств реализации угроз, а также реализующие их с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа средств защиты информации (включая специалистов в области использования для реализации угроз (атак) недокументированных средств прикладного программного обеспечения).
Предполагается, что на этих уровнях нарушитель является специалистом высшей квалификации, знает все об информационной системе, о системе и средствах ее защиты и может при определенных обстоятельствах осуществить весь спектр посягательств на информационные ресурсы.
48. В своей противоправной деятельности вероятный нарушитель может использовать любое существующее в стране и за рубежом средство перехвата информации, воздействия на информацию и информационные системы таможенных органов, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.
49. Необходимо учитывать также цели посягательств вероятного нарушителя на информационные ресурсы и системы. Среди таких целей может быть хищение информации (шпионаж, в том числе экономический), намерение совершить корыстное преступление, любопытство, удовлетворение собственного тщеславия, месть, вандализм и др.
50. Для различных объектов обеспечения информационной безопасности таможенных органов модель нарушителя может быть различной и уточняется по мере необходимости.
IV. Принципы и основные направления обеспечения информационной безопасности таможенных органов
Цель обеспечения
51. Целью обеспечения информационной безопасности таможенных органов является защита национальных интересов государства в информационной сфере при осуществлении таможенными органами функций по выработке государственной политики и нормативному правовому регулированию, контролю и надзору в области таможенного дела, а также функций агента валютного контроля и специальных функций по борьбе с контрабандой, иными преступлениями и административными правонарушениями.
Основные принципы обеспечения информационной безопасности таможенных органов
52. Системность и комплексность включает:
- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, начиная с анализа ее секретности (конфиденциальности), на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования технических средств, при информационном взаимодействии с другими информационными системами;
- обеспечение надежной защиты информации от возможных угроз всеми доступными средствами, методами и мероприятиями;
- способность системы к развитию и совершенствованию в соответствии с возможными изменениями условий функционирования.
53. Своевременность. Упреждающий характер мер обеспечения информационной безопасности. Предполагает постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки ЕАИС таможенных органов в целом и ее системы защиты информации в частности, на основе анализа и прогнозирования состояния мирового рынка, технических, программных средств и информационных технологий, угроз информационной безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы государства.
54. Законность. Предполагает разработку системы защиты информации на основе законодательства Российской Федерации в области информатизации и защиты информации, правовых актов по безопасности информации, утвержденных федеральными органами исполнительной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры информационной безопасности не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством Российской Федерации случаях к информации конкретных абонентов ЕАИС таможенных органов.
55. научно-техническая обоснованность и реализуемость. Предлагаемые технические и программные средства и информационные технологии, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно и технически обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям по безопасности информации.
56. Экономическая целесообразность. Сопоставимость возможного ущерба и затрат. Предполагает адекватность уровня затрат на обеспечение информационной безопасности ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать экономические показатели работы ЕАИС таможенных органов, в которой эта информация циркулирует.
57. Специализация и профессионализм. Предполагает привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация этих мер и средств должна осуществляться профессионально подготовленными специалистами таможенных органов.
58. Взаимодействие и координация. Предполагает при обеспечении информационной безопасности таможенных органов взаимодействие с ФСТЭК России и ФСБ России, иными заинтересованными федеральными органами исполнительной власти, а также с предприятиями и организациями, привлекаемыми для выполнения работ по обеспечению информационной безопасности таможенных органов.
59. Обязательность и эффективность контроля. Предполагает обязательность и своевременность выявления и пресечения попыток нарушения системы обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
60. Преемственность и непрерывность совершенствования. Предполагает постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового аппарата, анализа функционирования системы защиты информации ЕАИС таможенных органов с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого отечественного и зарубежного опыта в этой области.
Политика ФТС России в области обеспечения информационной безопасности
61. Ключевым элементом политики ФТС России в области обеспечения информационной безопасности является отказ от взгляда на необходимость защиты каждого чувствительного информационного ресурса таможенных органов и осознание необходимости комплексного обеспечения информационной безопасности в соответствии с Доктриной информационной безопасности Российской Федерации.
62. Реализация политики ФТС России в области обеспечения информационной безопасности должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой, а отдельные разрабатываемые элементы ведомственной системы обеспечения информационной безопасности таможенных органов должны рассматриваться как часть единой системы при оптимальном соотношении организационных, правовых, организационно-технических, оперативно-розыскных и экономических мер.
63. В связи с этим ведомственная система обеспечения информационной безопасности таможенных органов представляет собой совокупность организационной структуры, правового и финансового обеспечения, организационно-технических методов и средств, оперативно-розыскных мер и персональной ответственности всех должностных лиц таможенных органов за выполнение требований по информационной безопасности.
64. Основой стратегии ФТС России по обеспечению информационной безопасности является ориентация на отечественных производителей средств вычислительной техники, программного обеспечения и средств защиты информации, имеющих соответствующие лицензии ФСТЭК России, ФСБ России и иных федеральных органов исполнительной власти.
65. В зависимости от типа защищаемых информационных ресурсов таможенных органов комплекс принятых мер обеспечения информационной безопасности должен обеспечивать выполнение требований, предъявляемых соответствующими правовыми актами.
Основные направления:
66. Совершенствование ведомственной системы обеспечения информационной безопасности таможенных органов в целом.
67. Соблюдение конституционных прав и свобод человека и гражданина в области получения и использования таможенной информации.
68. Информационное обеспечение государственной политики Российской Федерации, связанное с доведением до общественности достоверной информации и официальной позиции в области таможенного дела.
69. Развитие современных информационных таможенных технологий, обеспечение накопления, сохранности и эффективного использования информационных ресурсов таможенных органов.
70. Защита информационных ресурсов таможенных органов от несанкционированного доступа, обеспечение безопасности информации в ЕАИС таможенных органов.
71. Контроль состояния обеспечения информационной безопасности таможенных органов.
V. Ведомственная система обеспечения информационной безопасности таможенных органов
Основные элементы организационной структуры системы обеспечения информационной безопасности таможенных органов
72. Реализация мероприятий по обеспечению информационной безопасности (комплексной защите информации) является видом основной деятельности таможенных органов.
73. Ведомственная система обеспечения информационной безопасности таможенных органов является частью системы обеспечения информационной безопасности Российской Федерации.
74. Ведомственная система обеспечения информационной безопасности таможенных органов предназначена для реализации государственной политики в данной сфере в повседневной деятельности ФТС России,
75. Взаимодействие ведомственной системы обеспечения информационной безопасности таможенных органов с Советом Безопасности Российской Федерации, ФСБ России, ФСТЭК России и другими элементами организационной основы системы обеспечения информационной безопасности Российской Федерации осуществляется в соответствии с правовыми актами Президента Российской Федерации, Правительства Российской Федерации и иными правовыми актами Российской Федерации.
76. Общее руководство ведомственной системой информационной безопасности таможенных органов осуществляет руководитель ФТС России.
77. Непосредственное руководство деятельностью по обеспечению информационной безопасности таможенных органов осуществляет заместитель руководителя ФТС России, являющийся членом Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности и председателем Совета по информационной безопасности таможенных органов Российской Федерации.
78. Ответственность за организацию и состояние обеспечения информационной безопасности в структурном подразделении ФТС России или таможенного органа возлагается на соответствующего начальника (руководителя) подразделения или таможенного органа.
79. Организационная структура ведомственной системы обеспечения информационной безопасности строится на основе разграничения полномочий структурных подразделений ФТС России и таможенных органов.
80. Ведомственная система обеспечения информационной безопасности предполагает следующую организационную структуру:
- Руководитель ФТС России;
- Совет по информационной безопасности таможенных органов Российской Федерации с функциями постоянно действующей технической комиссии по защите государственной тайны;
- структурные подразделения центрального аппарата ФТС России, принимающие участие в соответствии со своими функциями и полномочиями в обеспечении информационной безопасности таможенных органов;
- иные структурные подразделения центрального аппарата ФТС России, соблюдающие требования по обеспечению информационной безопасности в служебной деятельности при выполнении возложенных функций и задач;
- Региональное таможенное управление радиоэлектронной безопасности объектов таможенной инфраструктуры (РТУ РЭБОТИ);
- ГНИВЦ ФТС России;
- советы по информационной безопасности региональных таможенных управлений;
- постоянно действующие технические комиссии по защите государственной тайны таможен;
- структурные подразделения таможенных органов, принимающие участие в соответствии со своими функциями и полномочиями в обеспечении информационной безопасности таможенных органов;
- иные структурные подразделения таможенных органов, соблюдающие требования по обеспечению информационной безопасности в служебной деятельности при выполнении возложенных на них функций и задач.
81. Функции, права и полномочия внештатных коллегиальных органов и структурных подразделений ФТС России, иных таможенных органов и учреждений, находящихся в ведении ФТС России, регламентируются Положением о разграничении полномочий и установлении ответственности подразделений ФТС России при обеспечении информационной безопасности таможенных органов Российской Федерации, утверждаемым приказом ФТС России, и соответствующими положениями о структурных подразделениях и внештатных коллегиальных органах.
Нормативно-правовая база обеспечения информационной безопасности таможенных органов
82. Структура нормативно-правовой базы обеспечения информационной безопасности таможенных органов включает в себя:
- законодательство Российской Федерации;
- правовые акты по обеспечению информационной безопасности таможенных органов в целом;
- правовые акты по обеспечению информационной безопасности в центральном аппарате ФТС России;
- правовые акты по обеспечению информационной безопасности таможенных органов уровня федерального округа (регионального таможенного управления);
- правовые акты по обеспечению информационной безопасности в иных таможенных органах.
83. Правовые акты по обеспечению информационной безопасности таможенных органов в целом включают в себя:
- настоящую Концепцию;
- Положение о разграничении полномочий и установлении ответственности структурных подразделений ФТС России при обеспечении информационной безопасности таможенных органов Российской Федерации;
- Положение о Совете по информационной безопасности таможенных органов Российской Федерации;
- перечень сведений, подлежащих засекречиванию в ФТС России;
- перечень сведений ограниченного распространения в ФТС России,
- правовые акты, регламентирующие порядок обеспечения информационной безопасности по отдельным направлениям или задачам;
- программу проведения обучения должностных лиц структурных подразделений ФТС России, региональных таможенных управлений и таможен, работников ГНИВЦа ФТС России по вопросам обеспечения информационной безопасности;
- типовые положения по подразделениям, отвечающим за обеспечение информационной безопасности таможенных органов.
84. Правовые акты по обеспечению информационной безопасности в центральном аппарате ФТС России включают в себя:
- положения о структурных подразделениях, отвечающих за обеспечение информационной безопасности в центральном аппарате ФТС России или в таможенных органах в целом;
- Типовое положение об ответственном должностном лице по защите информации в структурном подразделении ФТС России;
- руководства, положения, инструкции по организации работ в центральном аппарате ФТС России по обеспечению информационной безопасности по отдельным направлениям деятельности.
85. Правовые акты по обеспечению информационной безопасности таможенных органов на уровне федерального округа (регионального таможенного управления) включают в себя:
- Положение о Совете по обеспечению информационной безопасности регионального таможенного управления;
- положения о структурных подразделениях, отвечающих за обеспечение информационной безопасности в региональном таможенном управлении или в таможенных органах региона в целом;
- руководства, положения, инструкции по организации работ в региональном таможенном управлении по обеспечению информационной безопасности по отдельным направлениям деятельности.
86. Правовые акты по обеспечению информационной безопасности в таможенном органе включают в себя:
- Положение о постоянно действующей технической комиссии по защите государственной тайны;
- положения о структурных подразделениях, отвечающих за обеспечение информационной безопасности в таможенном органе;
- руководства, положения, инструкции по организации работ в таможенном органе по обеспечению информационной безопасности по отдельным направлениям деятельности.
Методы обеспечения информационной безопасности таможенных органов
87. В соответствии с Доктриной информационной безопасности Российской Федерации и спецификой деятельности можно выделить следующие методы обеспечения информационной безопасности таможенных органов:
- общие методы обеспечения информационной безопасности;
- методы обеспечения информационной безопасности в сфере экономики;
- методы обеспечения информационной безопасности в сфере внешней политики;
- методы обеспечения информационной безопасности в сфере духовной жизни;
- методы обеспечения информационной безопасности в общегосударственных информационных и телекоммуникационных системах;
- методы обеспечения информационной безопасности в правоохранительной и судебной сферах.
88.Общие методы обеспечения информационной безопасности включают в себя правовые, организационно-технические и экономические методы.
89. К правовым методам относится разработка и совершенствование правовых актов, регламентирующих отношения в информационной сфере деятельности таможенных органов и по вопросам обеспечения информационной безопасности таможенных органов.
90. Организационно-техническими методами обеспечения информационной безопасности таможенных органов являются:
- совершенствование ведомственной системы обеспечения информационной безопасности таможенных органов;
- усиление правоприменительной деятельности таможенных органов, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
- разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
- создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
- выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
- сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
- контроль за действиями должностных лиц таможенных органов в информационных системах,
- подготовка должностных лиц таможенных органов по вопросам обеспечения информационной безопасности;
- формирование системы мониторинга показателей и характеристик информационной безопасности таможенных органов.
91. Экономические методы обеспечения информационной безопасности таможенных органов включают в себя:
- совершенствование системы финансирования работ, связанных с обеспечением информационной безопасности таможенных органов;
- разработка долгосрочной программы обеспечения информационной безопасности таможенных органов и определение порядка ее финансирования.
92. Методы обеспечения информационной безопасности в сфере экономики являются дополнительными к общим методам обеспечения информационной безопасности и связаны со спецификой деятельности ФТС России как федеральной службы, уполномоченной в области таможенного дела. Основными мерами по обеспечению информационной безопасности таможенных органов в сфере экономики являются:
- организация и осуществление контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической информации и информации ограниченного доступа, обрабатываемой в таможенных органах;
- коренная перестройка системы государственной статистической таможенной отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения дисциплинарной ответственности должностных лиц таможенных органов за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;
- внедрение сертифицированных средств защиты информации в системы и средства сбора, обработки, хранения и передачи статистической информации и информации ограниченного доступа, обрабатываемой в таможенных органах;
- расширение использования участниками внешнеэкономической деятельности национальных защищенных систем электронных таможенных платежей на базе интеллектуальных карт.
93. Методы обеспечения информационной безопасности в сфере внешней и внутренней политик являются дополнительными к общим методам обеспечения информационной безопасности и связаны со спецификой деятельности ФТС России как федеральной службы, уполномоченной в области таможенного дела. Основными мерами по обеспечению информационной безопасности таможенных органов в сфере внешней и внутренней политик являются:
- разработка и реализация комплекса мер по усилению информационной безопасности инфраструктуры представительств ФТС России при таможенных службах иностранных государств и международных организациях;
- совершенствование информационного обеспечения ФТС России по вопросам внешнеполитической деятельности, которые входят в ее компетенцию.
- разработка действенных организационно- правовых механизмов доступа средств массовой информации и граждан к открытой информации о деятельности таможенных органов Российской Федерации.
94. Методы обеспечения информационной безопасности в общегосударственных информационных и телекоммуникационных системах являются дополнительными к общим методам обеспечения информационной безопасности и связаны со спецификой деятельности ФТС России как федерального органа исполнительной власти, уполномоченного в области таможенного дела. Основными мерами по обеспечению информационной безопасности таможенных органов в общегосударственных информационных и телекоммуникационных системах являются:
- предотвращение перехвата информации из помещений, предназначенных для ведения секретных переговоров, а также информации, передаваемой по каналам связи с помощью технических средств;
- исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;
- предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи;
- предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
- обеспечение информационной безопасности при подключении информационных и телекоммуникационных систем таможенных органов к внешним информационным сетям, включая международные;
- обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности;
- выявление внедренных на объекты и в технические средства электронных устройств перехвата информации;
- аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
- сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
- введение территориальных,частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
- создание и применение информационных и автоматизированных систем в защищенном исполнении.
95. Методы обеспечения информационной безопасности в правоохранительной и судебной сферах являются дополнительными к общим методам обеспечения информационной безопасности и связаны со спецификой деятельности ФТС России как федеральной службы, уполномоченной в области таможенного дела. Основными мерами по обеспечению информационной безопасности таможенных органов в правоохранительной и судебной сферах являются:
- создание защищенной многоуровневой системы интегрированных банков данных оперативно- розыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем;
- повышение уровня профессиональной и специальной подготовки пользователей информационных систем.
Организация контроля состояния обеспечения информационной безопасности таможенных органов
96. Контроль состояния обеспечения информационной безопасности таможенных органов осуществляется с целью своевременного выявления угроз национальным интересам Российской Федерации в информационной сфере деятельности таможенных органов и предотвращения их проявления, а также с целью контроля выполнения должностными лицами таможенных органов установленных требований по обеспечению информационной безопасности таможенных органов.
97. Контроль обеспечения информационной безопасности таможенных органов осуществляют:
- структурные подразделения центрального аппарата ФТС России, ответственные за обеспечение информационной безопасности таможенных органов в пределах своих полномочий;
- РТУ РЭБОТИ в пределах своих полномочий;
- федеральные органы исполнительной власти, уполномоченные проводить контроль состояния обеспечения информационной безопасности Российской Федерации в пределах их компетенций и полномочий.
98. Основными задачами контроля состояния обеспечения информационной безопасности таможенных органов являются:
- объективная оценка организации и эффективности обеспечения информационной безопасности таможенных органов (состояния защиты государственной тайны, информации ограниченного доступа, обеспечения антивирусной защиты информации, использование сертифицированных средств защиты информации и т.д.);
- выявление фактов нарушения установленных требований по обеспечению информационной безопасности, регламентов и должностных инструкций, а также фактов неправомерного использования таможенной информации.
99. Вспомогательными задачами контроля состояния обеспечения информационной безопасности таможенных органов являются:
- выработка предложений по совершенствованию ведомственной системы обеспечения информационной безопасности таможенных органов;
- оказание методической помощи должностным лицам таможенных органов в обеспечении информационной безопасности.
100. Контроль организации и эффективности обеспечения информационной безопасности таможенных органов заключается в проверке выполнения указов и распоряжений Президента Российской Федерации, законодательства Российской Федерации и других правовых актов Российской Федерации, регулирующих вопросы обеспечения информационной безопасности государства. При этом оценка эффективности защиты информации может проводиться с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
101. Контроль организации и эффективности обеспечения информационной безопасности в структурных подразделениях центрального аппарата ФТС России, региональных таможенных управлениях и таможнях, непосредственно подчиненных ФТС России, а также в учреждениях, находящихся в ведении ФТС России, осуществляется не реже одного раза в два года. Региональные таможенные управления осуществляют контроль обеспечения информационной безопасности в подчиненных таможнях не реже одного раза в два года.
102. Контроль организации и эффективности обеспечения информационной безопасности таможенных органов осуществляют комиссии (отдельные лица) на основании приказа о проведении проверки, подписанного начальником таможенного органа, организовавшего проверку.
103. Конкретные вопросы, подлежащие проверке в таможенных органах, указываются в задании на проверку, являющимся приложением к приказу о проведении контроля организации и эффективности обеспечения информационной безопасности.
104. Контроль (проверка) организации и эффективности обеспечения информационной безопасности осуществляется с обязательным уведомлением начальника (руководителя) проверяемого таможенного органа. Если по характеру проверки предполагается доступ членов комиссии (отдельных лиц) к сведениям, составляющим государственную тайну, то допуск к этим сведениям осуществляется после предъявления членами комиссии (отдельными лицами) документов, удостоверяющих личность, справок о доступе и предписаний на выполнение задания.
105. Проверяющие имеют право знакомиться со всеми документами, журналами и другими материалами, касающимися вопросов информационной безопасности, а также проводить беседы и консультации с должностными лицами и работниками проверяемого таможенного органа, требовать представления письменных объяснений, справок, отчетов по всем вопросам, входящим в компетенцию проверяющих. Все документы, имеющие отношение к проведению проверки, должны предоставляться проверяющему по первому требованию.
106. Организация обеспечения информационной безопасности считается эффективным, если принимаемые меры соответствуют установленным требованиям или нормам. Несоответствие мер установленным требованиям или нормам является нарушением. Нарушения по степени важности делятся на три категории:
- первая - невыполнение требований или норм по обеспечению информационной безопасности, в результате чего имелась или имеется реальная возможность появления угроз информационной безопасности Российской Федерации в информационной сфере деятельности таможенных органов;
- вторая - невыполнение требований по обеспечению информационной безопасности, в результате чего создаются предпосылки появления угроз информационной безопасности Российской Федерации в информационной сфере деятельности таможенных органов;
- третья - невыполнение других требований по обеспечению информационной безопасности.
107. Для координации контроля организации и эффективности обеспечения информационной безопасности таможенных органов ежегодно утверждаются планы контроля организации и эффективности обеспечения информационной безопасности.
108. По результатам работы комиссии (отдельных лиц) составляется акт с отражением в нем состояния организации и эффективности обеспечения информационной безопасности, недостатков и нарушений, предложений об их устранении. Акт представляется начальнику таможенного органа, организовавшего проверку, и начальнику (руководителю) таможенного органа.
109. Таможенный орган, в котором проводилась проверка, составляет план выполнения мероприятий по устранению недостатков и нарушений и реализации рекомендаций, содержащихся в акте проверки. Указанный план согласовывается с таможенным органом, проводившим проверку.
110. Проверенный таможенный орган информирует таможенный орган, организовавший проверку, о ходе устранения недостатков и нарушений информационной безопасности и реализации рекомендаций.
111. Организация контроля с целью выявления фактов нарушения установленных требований по обеспечению информационной безопасности, регламентов и должностных инструкций, а также фактов неправомерного использования таможенной информации осуществляется на постоянной основе.
112. Для выявления фактов нарушения установленных требований по обеспечению информационной безопасности используются средства мониторинга и контроля информационных потоков, контроля съемных носителей информации, система комплексного администрирования ЦБД ЕАИС таможенных органов, автоматизированная система выявления каналов утечки информации, протоколы регистрации деятельности должностных лиц, оперативно- розыскные меры и мероприятия.
113. В зависимости от используемых методов и средств может быть установлена различная периодичность обработки результатов контроля.
VI. Основные задачи обеспечения информационной безопасности таможенных органов на период до 2010 года
114. В соответствии с основными составляющими национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов и направлениями обеспечения информационной безопасности основными задачами обеспечения информационной безопасности являются:
1) совершенствование ведомственной системы обеспечения Информационной безопасности таможенных органов в целом, включая:
а) совершенствование нормативно-правовой базы обеспечения информационной безопасности таможенных органов Российской Федерации;
б) лицензирование деятельности оперативно-технических подразделений оперативных таможен региональных таможенных управлений в области защиты информации;
в) совершенствование организационно-штатной структуры подразделений таможенных органов, отвечающих за обеспечение информационной безопасности и технической защиты информации, включая формирование на базе оперативно- технических подразделений оперативных таможен подразделений, выполняющих специальные работы по противодействию иностранным техническим разведкам и технической защите информации в соответствии с лицензиями на право деятельности в области защиты информации;
г) обучение должностных лиц структурных подразделений центрального аппарата ФТС России и таможенных органов по вопросам обеспечения информационной безопасности таможенных органов;
д) организацию работы Совета по обеспечению информационной безопасности таможенных органов Российской Федерации;
е) материально- финансовое обеспечение информационной безопасности таможенных органов;
ж) оценку состояния обеспечения информационной безопасности таможенных органов и выработку предложений по совершенствованию ведомственной системы обеспечения информационной безопасности таможенных органов;
2) соблюдение конституционных прав и свобод человека и гражданина в области получения и использования информации, обрабатываемой в таможенных органах, включая:
а) обеспечение конституционных прав и свобод человека и гражданина на свободный поиск и получение информации о действующих правовых актах в области таможенного дела;
б) обеспечение конституционных прав и свобод человека и гражданина на доступ к имеющейся у таможенных органов документированной информации о себе и на уточнение этой информации в целях обеспечения ее полноты и достоверности;
в) защиту персональных данных должностных лиц таможенных органов;
г) защиту объектов интеллектуальной собственности;
з) информационное обеспечение государственной политики Российской Федерации, связанное с доведением до общественности достоверной информации и официальной позиции в области таможенного дела, включая:
а) опубликование в официальных изданиях правовых актов ФТС России, а также актов таможенного законодательства и иных правовых актов Российской Федерации в области таможенного дела;
б) формирование открытых информационных ресурсов таможенных органов и повышение эффективности их использования;
4) развитие современных информационных таможенных технологий, обеспечение накопления, сохранности и эффективного использования информационных ресурсов таможенных органов, включая:
а) совершенствование инфраструктуры автоматизированных информационных систем таможенных органов;
б) поддержку отечественных фундаментальных и прикладных исследований, разработки в сферах информатизации, телекоммуникации и связи;
в)повышение эффективности использования государственных
информационных ресурсов, находящихся в ведении таможенных органов;
5) защита информационных ресурсов таможенных органов от несанкционированного доступа, обеспечение безопасности информации в ЕАИС таможенных органов, включая:
а) защиту сведений, составляющих государственную тайну (обеспечение режима секретности в таможенных органах, проведение мобилизационной работы, обеспечение таможенных органов специальными видами связи, обеспечение безопасности информации на объектах информатизации таможенных органов, противодействие иностранным техническим разведкам), а также сведений ограниченного распространения;
6) обеспечение безопасности информации в ЕАИС таможенных органов, включая защиту сведений конфиденциального характера (предотвращение утечки информации из центральной базы данных ЕАИС таможенных органов, повышение защищенности информации в комплексных автоматизированных системах таможенного оформления, повышение защищенности информации, передаваемой по ведомственной интегрированной телекоммуникационной сети, обеспечение сетевой безопасности локальных вычислительных сетей таможенных органов, выявление должностных лиц таможенных органов, являющихся нарушителями установленных правил и требований по защите информации);
в) внедрение механизмов электронной цифровой подписи в практику деятельности таможенных органов (создание и внедрение системы ведомственных удостоверяющих центров таможенных органов и инфраструктуры сертификатов открытых ключей пользователей автоматизированных информационных систем таможенных органов);
г) обеспечение информационной безопасности таможенных органов Российской Федерации при международном и межведомственном информационном обмене и информационном взаимодействии с участниками внешнеэкономической деятельности (обеспечение безопасности информационных ресурсов таможенных органов при расширении международного таможенного сотрудничества Российской Федерации, при реализации рамочных стандартов безопасности и содействия торговле, при межведомственном информационном обмене и при информационном взаимодействии с участниками внешнеэкономической деятельности, а также при использовании должностными лицами информационных ресурсов сетей общего пользования);
д) поддержку развития отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
е) предотвращение заражения информационно-вычислительных ресурсов таможенных органов программными (компьютерными) вирусами;
6) контроль состояния обеспечения информационной безопасности таможенных органов, включая:
а) сопровождение проверок по вопросам обеспечения информационной безопасности таможенных органов, проводимых комиссиями Контрольного управления Президента Российской Федерации, ФСБ России, ФСТЭК России и иными федеральными органами исполнительной власти в соответствии с установленными полномочиями;
б) контроль выполнения требований по обеспечению информационной безопасности в структурных подразделениях центрального аппарата ФТС России;
в) ведомственный контроль состояния обеспечения информационной безопасности в специализированных региональных таможенных управлениях, региональных таможенных управлениях и таможнях, непосредственно подчиненных ФТС России, а также в учреждениях, находящихся в ведении ФТС России;
г) контроль состояния обеспечения информационной безопасности в таможнях, подчиненных региональным таможенным управлениям, и на таможенных постах;
д) периодический контроль на объектах информатизации таможенных органов, аттестованных по требованиям безопасности информации;
е) контроль санкционированных пользователей информационных систем таможенных органов;
ж) оперативно-розыскные мероприятия по выявлению нарушителей информационной безопасности.
VII. Механизмы реализации Концепции и финансирование мероприятий по обеспечению информационной безопасности
Реализация Концепции
115. Реализацию Концепции планируется осуществлять на основе планов первоочередных мероприятий по обеспечению информационной безопасности таможенных органов, утверждаемых ежегодно руководителем ФТС России.
116. Планы первоочередных мероприятий по обеспечению информационной безопасности таможенных органов должны разрабатываться с учетом:
- указов Президента Российской Федерации;
- федеральных законов в области обеспечения информационной безопасности и защиты информации;
- постановлений Правительства Российской Федерации;
- решений Межведомственной комиссии Совета безопасности Российской Федерации по информационной безопасности;
- организационно-распорядительных и руководящих документов ФСТЭК России (или Гостехкомиссии России) и ФСБ России.
117. Реализация Концепции потребует соответствующего ресурсного обеспечения планируемых в рамках федеральных целевых программ и ведомственных целевых программ мероприятий, направленных на обеспечение информационной безопасности таможенных органов.
118. Комплексная реализация Концепции позволит сформировать современную систему обеспечения интересов государства в информационной сфере таможенного дела, оказывать эффективное противодействие угрозам информационной безопасности Российской Федерации в пределах компетенции ФТС России, создать благоприятные условия для содействия и обеспечения безопасности мировой торговли.
Финансирование мероприятий по обеспечению информационной безопасности таможенных органов
119. Финансирование мероприятий по обеспечению информационной безопасности таможенных органов осуществляется за счет федерального бюджета, а также иных предусмотренных в соответствии с законодательством Российской Федерации источников финансирования.
120. Формирование бюджетной заявки на финансирование мероприятий по обеспечению информационной безопасности таможенных органов осуществляется ежегодно с учетом требований по защите сведений, составляющих государственную или иную охраняемую законом тайну.
121. Финансирование мероприятий по обеспечению информационной безопасности таможенных органов осуществляется в соответствии с самостоятельными разделами планов материально- технического оснащения таможенных органов, проведения НИОКР и обеспечения специальной эксплуатации и ремонта, утверждаемых ежегодно руководителем ФТС России, а также по сметам таможенных органов и учреждений, находящихся в ведении ФТС России.
Начальник
Главного управления
информационных технологий
А.Е.ШАШАЕВ
Приложение N 2
к приказу ФТС России
от 19.09.2006 N 900
РЕШЕНИЕ
КОЛЛЕГИИ ФТС РОССИИ ОТ 25 АВГУСТА 2006 ГОДА О КОНЦЕПЦИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПЕРИОД ДО 2010 ГОДА
Заслушав и обсудив доклад начальника Главного управления информационных технологий А.Е. Шашаева о Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года, коллегия отмечает, что обеспечение информационной безопасности является одним из приоритетных направлений деятельности ФТС России и служит основой для защиты национальных интересов государства в информационной сфере деятельности таможенных органов.
В настоящее время обеспечение информационной безопасности таможенных органов осуществляется в соответствии с Концепцией обеспечения информационной безопасности таможенных органов Российской Федерации на ближайшую перспективу до 2000 года и на период до 2010 года, утвержденной приказом ГТК России от 31.12.1998 N 906.
С момента утверждения Концепции проделана большая работа по совершенствованию нормативно- методической базы обеспечения информационной безопасности таможенных органов, созданию организационной структуры ведомственной системы обеспечения информационной безопасности таможенных органов, организации технической защиты информации и аттестации объектов информатизации, внедрению сертифицированных средств защиты информации в Единой автоматизированной информационной системе.
За период с 1998 года в таможенных органах Российской Федерации проделана большая работа по созданию ведомственной системы обеспечения информационной безопасности таможенных органов Российской Федерации, результаты которой позволили:
- создать основы нормативного обеспечения информационной безопасности таможенных органов Российской Федерации;
- создать организационную структуру ведомственной системы обеспечения информационной безопасности таможенных органов Российской Федерации;
- обеспечить плановое проведение работ по технической защите информации на объектах информатизации таможенных органов Российской Федерации, предназначенных для проведения работ со сведениями, составляющими государственную тайну;
- обосновать унифицированный комплекс средств защиты информации, применяемый в автоматизированных системах таможенных органов Российской Федерации;
- обеспечить централизованное оснащение таможенных органов Российской Федерации сертифицированными средствами защиты информации, их внедрение и ввод в эксплуатацию;
- реализовать ряд таможенных информационных технологий в защищенном исполнении;
- создать инфраструктуру открытых ключей пользователей автоматизированных систем таможенных органов Российской Федерации и приступить к ее практическому использованию в служебной деятельности;
- обеспечить безопасность автоматизированных систем и локальных сетей таможенных органов Российской Федерации при использовании в таможенных органах Российской Федерации сетей общего пользования;
- создать телекоммуникационную и программно-аппаратную инфраструктуру ЕАИС таможенных органов Российской Федерации, включая ведомственную интегрированную телекоммуникационную сеть таможенных органов с использованием средств криптографической защиты передаваемой информации;
- создать и внедрить ведомственную систему антивирусной защиты;
- разработать программу и организовать проведение обучения должностных лиц структурных подразделений ФТС России, региональных таможенных управлений и таможен, работников ГНИВЦа ФТС России по вопросам обеспечения информационной безопасности;
- организовать плановый контроль состояния обеспечения информационной безопасности таможенных органов Российской Федерации.
Активно работает Совет по информационной безопасности таможенных органов Российской Федерации.
Положительный результат проделанной работы по созданию и совершенствованию ведомственной системы обеспечения информационной безопасности таможенных органов неоднократно отмечался Контрольным управлением Президента Российской Федерации, Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности, Федеральной службой по техническому и экспортному контролю (ранее - Государственной технической комиссией при Президенте Российской Федерации). Должностные лица таможенных органов награждались за укрепление государственной системы защиты информации.
В тоже время с момента утверждения Концепции произошли следующие изменения исходных положений для обеспечения информационной безопасности таможенных органов:
- утверждена Президентом Российской Федерации Доктрина информационной безопасности Российской Федерации;
- введен в действие новый Таможенный кодекс Российской Федерации;
- утверждена распоряжением Правительства Российской Федерации от 27.09.2004 N 1244-р Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года;
- приняты новые правовые и нормативно-методические акты Российской Федерации в области обеспечения информационной безопасности;
- Всемирной таможенной организацией приняты Рамочные стандарты безопасности и облегчения мировой торговли;
- введены в действия новые руководящие документы ФСТЭК России и ФСБ России в области обеспечения информационной безопасности;
- проведена административная реформа федеральных органов исполнительной власти Российской Федерации;
- проведены организационно - структурные и организационно - штатные мероприятия в таможенных органах.
В связи с изложенным действующая Концепция требовала уточнения и доработки в части определения основных целей, задач, принципов и направлений обеспечения информационной безопасности таможенных органов, а также распределения полномочий и ответственности структурных подразделений ФТС России за обеспечение информационной безопасности.
Главным управлением информационных технологий совместно со Службой защиты государственной тайны и специальной документальной связи Управления делами, Управлением собственной безопасности, ГНИВЦем ФТС России и Региональным таможенным управлением радиоэлектронной безопасности объектов таможенной инфраструктуры подготовлен проект Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года.
Проект концепции обсужден на заседании Совета по информационной безопасности таможенных органов Российской Федерации и секции N 3 "Межведомственная консультативная рабочая группа" Совета по информационной безопасности таможенных органов Российской Федерации и рекомендован к утверждению. Проект Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года согласован со всеми заинтересованными структурными подразделениями ФТС России.
Коллегия ФТС России отмечает, что в настоящее время на обеспечение информационной безопасности таможенных органов Российской Федерации влияют следующие факторы, снижающие эффективность принимаемых мер:
- не полностью сформирована штатная структура подразделений по обеспечению информационной безопасности и технической защиты информации в таможенных органах Российской Федерации; подразделения по информационной безопасности и технической защиты информации созданы не во всех таможенных управлениях; в ряде таможенных органов штатная численность должностных лиц, отвечающих за обеспечение информационной безопасности, не соответствует объему решаемых задач;
- не проводятся комплексные исследования деятельности персонала информационных систем таможенных органов Российской Федерации, в том числе методов повышения мотивации, морально - психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией;
- в таможенных органах эксплуатируется две комплексные автоматизированные системы таможенного оформления "АИСТ-РТ21" и "АИСТ-М", что приводит к увеличению количества потенциальных уязвимых мест с точки зрения информационной безопасности;
- в Российской Федерации в настоящее время отсутствуют средства обеспечения информационной безопасности при международном информационном обмене, что затрудняет реализацию в таможенных органах Российской Федерации технологий предварительного информирования и представления сведений, необходимых для целей таможенного оформления и таможенного контроля, в электронной форме;
- отсутствуют критерии и методы оценки защищенности автоматизированных систем и оценки эффективности средств информационной безопасности и их сертификации в условиях постоянной модернизации и развития Единой автоматизированной информационной системы таможенных органов Российской Федерации;
- в настоящее время в ФТС России заключено более 20 соглашений с федеральными органами исполнительной власти, в соответствии с которыми на постоянной основе осуществляется в том или ином объеме передача информации из ЦБД ЕАИС таможенных органов;
- ослаблен контроль со стороны руководителей таможенных органов и структурных подразделений за соблюдением подчиненными должностными лицами должностных инструкций и регламентов, технологий обработки информации и выполнением требований по соблюдению требований по обеспечению информационной безопасности.
Коллегия ФТС России решила:
1. Одобрить Концепцию обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года.
2. В целях всестороннего обеспечения реализации положений Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года поручить:
- Главному управлению информационных технологий (А.Е. Шашаев) совместно с ГНИВЦем ФТС России (О.П. Пучков), Управлением собственной безопасности (В.П. Зайцев), Службой защиты государственной тайны и специальной документальной связи Управлением делами (И.В. Логинов), Региональным таможенным управлением радиоэлектронной безопасности объектов таможенной инфраструктуры (А.С. Никитин) и другими заинтересованным структурными подразделениями ежегодно до 20 декабря представлять на утверждение План практических мероприятий по обеспечению информационной безопасности таможенных органов на год;
- Главному финансово- экономическому управлению (А.В. Авдонин) совместно с Главным управлением информационных технологий (А.Е. Шашаев) и Главным управлением тылового обеспечения (С.Г. Комличенко) предусмотреть в пределах утверждаемых лимитов бюджетных обязательств ежегодное выделение необходимых денежных средств и финансирование мероприятий по обеспечению информационной безопасности, по дооснащению таможенных органов средствами защиты информации и по обучению должностных лиц таможенных органов в области обеспечения информационной безопасности;
- Управлению кадров (Г.Л. Кириллов) совместно с Главным управлением информационных технологий (А.Е. Шашаев) спланировать и осуществлять практические меры по укреплению подразделений информационной безопасности и технической защиты информации таможенных органов профессионально подготовленными кадрами специалистов.
3. Главному управлению информационных технологий (А.Е. Шашаев):
- совместно с заинтересованными структурными подразделениями ФТС России до 01.10.2006 подготовить совместное совещание руководства ФТС России с руководителями федеральных органов исполнительной власти, которым предоставляется информация из ЦБД ЕАИС таможенных органов, по вопросам принятия согласованных мер по защите таможенной информации;
- до 01.10.2006 представить предложения по приведению статуса, полномочий и штатной численности подразделений информационной безопасности и технической защиты информации в соответствии с действующим законодательством Российской Федерации и объемом решаемых задач.
4. Главному управлению информационных технологий (А.Е. Шашаев) совместно с ГНИВЦем ФТС России (О.П. Пучков):
- до 01.10.2006 организовать проведение расширенного совещания с руководителями информационно-технических служб РТУ и таможен по вопросу оценки текущего состояния и перспектив развития ЕАИС таможенных органов;
- до 01.10.2006 внести на утверждение проект нового приказа ФТС России "Об организации доступа к центральной базе данных Единой автоматизированной информационной системы таможенных органов", предусматривающий ограничение предоставления должностным лицам таможенных органов прямого доступа к ЦБД ЕАИС таможенных органов, сокращение количества пользователей ЦБД ЕАИС таможенных органов и отключение без уведомления руководителей соответствующих подразделений зарегистрированных пользователей, фактически не работающих с ЦБД ЕАИС таможенных органов;
- до 31.12.2006 подготовить предложения по оптимизации структуры ЦБД ЕАИС таможенных органов;
- принять меры по исключению предоставления пользователям ЦБД ЕАИС таможенных органов прав на выгрузку информации;
- активизировать работы по созданию интегрированной комплексной автоматизированной системы таможенных органов.
5. ГНИВЦу ФТС России (О.П. Пучков):
- с 01.10.2006 отключить всех пользователей ЦБД ЕАИС таможенных органов за исключением должностных лиц ГНИВЦ ФТС России;
- создать абонентский пункт доступа к ЦБД ЕАИС таможенных органов для работы должностных лиц центрального аппарата ФТС России;
- обеспечить допуск должностных лиц центрального аппарата ФТС России к абонентскому пункту доступа к ЦБД ЕАИС таможенных органов только на основании заявок соответствующих начальников структурных подразделений, согласованных с Управлением собственной безопасности и утвержденных курирующим заместителем руководителя ФТС России.
6. Рекомендовать Главному управлению информационных технологий (А.Е. Шашаев) продолжить совместную работу с Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности, ФСБ России и ФСТЭК России по обеспечению безопасности информации в ЕАИС таможенных органов, а также выработке критериев и методов оценки ее защищенности и эффективности средств защиты информации.
7. Правовому управлению (А.Б. Струков) совместно с Главным финансово- экономическим управлением (А.В. Авдонин), Главным управлением информационных технологий (А.Е. Шашаев), ГНИВЦем ФТС России (О.П. Пучков), Главным управлением тылового обеспечения (С.Г. Комличенко) и Управлением собственной безопасности (В.П. Зайцев) с учетом действующего законодательства Российской Федерации до 01.12.2006 представить предложения:
- по ограничению количества организаций, выполняющих работы по созданию информационных систем таможенных органов;
- предложения по ведению реестра недобросовестных поставщиков.
8. Управлению собственной безопасности (В.П. Зайцев) в месячный срок проанализировать:
- целесообразность, необходимость и правомочность предоставления различным категориям должностных лиц таможенных органов доступа к ЦБД ЕАИС таможенных органов;
- правомерность использования должностными лицами структурных подразделений ФТС России полученной из ЦБД ЕАИС таможенных органов информации.
9. Региональному таможенному управлению радиоэлектронной безопасности объектов таможенной инфраструктуры (А.С. Никитин) в месячный срок подготовить предложения с обоснованием целесообразности и необходимости создания региональных аттестационных центров.
10.Начальникам региональных таможенных управлений до 01.12.2006 доложить:
- о создании в управлениях подразделений информационной безопасности и технической защиты информации в соответствии с приложением N 2 к протоколу Организационно-структурной комиссии ФТС России от 20.09.2005 N 5/2005;
- о создании во всех подчиненных таможнях отделов (выделении штатных отдельных должностей) по информационной безопасности и технической защите информации в соответствии с приказом ФТС России от 27.12.2005 N 1224.
Председатель коллегии -
руководитель Федеральной
таможенной службы
А.Ю.БЕЛЬЯНИНОВ