Глава 40. Информационные системы и информационные технологии в таможенном деле
Статья 423. Информационные системы, информационные технологии и средства их обеспечения, используемые таможенными органами
1. Разработка, создание и использование информационных систем и информационных технологий, в том числе основанных на электронных способах обмена информацией, и средств их обеспечения осуществляются таможенными органами в соответствии с настоящим Кодексом и другими федеральными законами.
2. Внедрение информационных систем и информационных технологий с использованием средств вычислительной техники и связи осуществляется в соответствии со стандартами, действующими в Российской Федерации, и международными стандартами.
3. Информационные системы, информационные технологии и средства их обеспечения, разрабатываемые и производимые таможенными органами или приобретаемые ими, находятся в федеральной собственности. Правомочия собственника осуществляются федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с законодательством Российской Федерации.
4. Использование таможенными органами не находящихся в федеральной собственности информационных систем, информационных технологий и средств их обеспечения осуществляется на договорной основе.
5. Условия и порядок использования для таможенных целей информационных систем, информационных технологий и средств их обеспечения устанавливаются федеральным органом исполнительной власти, уполномоченным в области таможенного дела.
Комментарий
Для принятия обоснованных решений на всех стадиях деятельности таможенных органов требуются анализ и обобщение больших объемов данных, подвергшихся серьезной предварительной обработке, полученных как из открытых, так и из конфиденциальных источников. Это обусловливает необходимость создания и применения современных систем на базе использования средств вычислительной техники, связи и информационных технологий. Эти системы необходимы для автоматизации методик по выполнению функций таможенных органов, для решения комплекса задач сбора, накопления, обработки и анализа больших объемов необходимых данных, а также для обеспечения регламентированного взаимодействия с информационными ресурсами других государственных и правоохранительных органов и учреждений.
Разработка, создание и использование комплексной информационной системы является сложной научно-практической задачей. Решение этой задачи предусматривает реализацию комплекса мер организационного, правового, научно-технического, кадрового, материального и финансового характера.
Разработка информационных систем таможенных органов основывается на соблюдении ряда основных принципов, которые должны обеспечить качественное и своевременное достижение поставленных перед системой целей.
К числу базовых принципов выбора организационных и программно-технических решений следует отнести:
1) функциональность.
Означает, что предлагаемые решения не должны входить в противоречие с существующими системами, они должны обеспечивать реализуемость всех задач, решаемых системой, и ее функционирование на различных уровнях объектов автоматизации. Условия и порядок использования для таможенных целей информационных систем, информационных технологий и средств их обеспечения устанавливаются федеральным органом исполнительной власти, уполномоченным в области таможенного дела;
2) экономичность.
Предполагает обязательность экономии средств на этапах разработки, внедрения и эксплуатации системы за счет:
сокращения сроков разработки путем применения современных методов проектирования программ;
сокращения времени внедрения, возможности функционирования на различных технических платформах, операционных системах, базах данных; сокращения затрат на этапе сопровождения и обучения за счет использования механизмов администрирования распределенной среды обработки данных и удаленного обслуживания технических и программных средств;
3) гарантированность безопасности информации.
Предполагает обязательность проведения комплекса организационно-технических мероприятий, направленных на гарантированное предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, недоступность информации или сбой в работе средств информатизации, исключение несанкционированного доступа к обрабатываемой или хранящейся информации.
Значимость и обязательность соблюдения этого принципа обусловливаются уязвимостью информационных и телекоммуникационных систем, которая в свою очередь вызвана большой концентрацией вычислительных ресурсов, их территориальной распределенностью, долговременным хранением больших объемов данных, одновременным доступом к ресурсамбольшого числа пользователей различных категорий;
4) масштабируемость.
Означает, что при разработке проектов информатизации требуется иметь в виду время жизни данной системы и возможные изменения, которые произойдут с объемами обработки (количественными характеристиками) и типами обработки (качественными характеристиками). Изменение масштаба системы не должно приводить к переработке прикладного программного обеспечения и к коренному изменению задач управления системой.
Основываясь на мировом опыте, разрабатываемая система должна обеспечивать легкое наращивание вычислительной мощности, объемов хранения, пропускной способности;
5) преемственность.
Выбранные решения должны обеспечивать максимальную преемственность с точки зрения использования имеющихсятехнических, программных средств, знаний коллектива. Кроме того, они базируются на принципах и технологиях создания открытых информационных систем, обладающих функциональной гибкостью, реализующих возможности для переноса разработанных приложений на широкий спектр программно-технических платформ, используемых ФОНП, и для совместной работы с другими приложениями на локальных и удаленных системах;
6) переносимость.
При внедрении программного обеспечения на объекты информатизации требуется обеспечить переносимость его на различные технические платформы.
Разработка функциональной части проекта должна вестись на высоком уровне абстракции, с тем чтобы привязка к конкретной реализации (техника, операционная система и т. д.) осуществлялась на последнем этапе разработки;
7) поэтапность проведения работ по созданию программно-технической платформы. Предусматривает возможность использования для решения оперативно-служебных задач объектов автоматизации по мере их сдачи в эксплуатацию до полномасштабного развертывания всей информационной системы.
Такой подход имеет особую важность, поскольку значительная географическая распределенность объектов автоматизации и неодинаковость на местах условий внедрения системы объективно порождают существенный разброс по времени их готовности. Увязывание начала эксплуатации отдельного объекта автоматизации в автономном или частично автономном режиме с готовностью всей информационной системы фактически будет приводить к безосновательному простаиванию программно-технической платформы со всеми вытекающими отсюда негативными последствиями для информационно-аналитического обеспечения оперативно-служебных задач;
9) стандартизация.
Разработка информационных систем осуществляется с обеспечением максимальной унификации технических решений, опускающих их тиражирование и максимальную инвариантность.
Информационные системы, информационные технологии и средства их обеспечения, разрабатываемые и производимые таможенными органами или приобретаемые ими, находятся в федеральной собственности. Правомочия собственника осуществляются федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с законодательством Российской Федерации.
Схема прохождения информационных потоков должна обеспечивать стыковку входной первичной информации об объектах наблюдения, процессуальных документов, образующихся в результате собственной оперативно-служебной деятельности, а также документов системы оперативно-справочных, розыскных, криминалистических и иных учетов таможенных органов. Осуществление данной схемы стыковки возможно только в рамках ведения интегрированных банков данных таможенных органов.
В результате в таможенных органах как объекты автоматизации выделяются три взаимосвязанных уровня.
1. Федеральный уровень (ГТК России);
2. Региональный уровень (региональные таможенные управления);
3. Местный уровень (таможни и таможенные посты).
Использование таможенными органами не находящихся в федеральной собственности информационных систем, информационных технологий и средств их обеспечения осуществляется на договорной основе.
Статья 424. Сертификация информационных систем, информационных технологий, средств их обеспечения и защиты
Информационные системы, информационные технологии, средства их обеспечения, а также программно-технические средства защиты информации, применяемые в таможенном деле, подлежат сертификации в случаях и порядке, которые предусмотрены законодательством Российской Федерации.
Комментарий
Информационные системы таможенных органов базируются на использовании серийно выпускаемых зарубежных и отечественных средств автоматизации, хорошо зарекомендовавших себя в ходе эксплуатации и адаптируемых к условиям функционирования в таможенном деле. При этом осуществляется максимальная унификация технических решений, допускающих их тиражирование и максимальную инвариантность при изменениях различных аспектов деятельности таможенных органов, благодаря чему уровень типизации может достигнуть большой величины. При этом все информационные системы, информационные технологии, средства их обеспечения, а также программно-технические средства защиты информации, применяемые в таможенном деле, подлежат сертификации в случаях и порядке, которые предусмотрены законодательством Российской Федерации.
Обязательная сертификация всех программ (операционной системы, систем программирования, систем управления базами данных и другого общего и специального программного обеспечения) и их доработок направлена на создание замкнутой контролируемой программной среды, исключающей разработку и внедрение не сертифицированных с точки зрения безопасности программ и несанкционированные модификации используемых программ, применение средств обнаружения и предотвращения проникновения и распространения компьютерных вирусов.
На основе требований ГОСТа и сертификатов Минсвязи и других ведомств в таможенных органов достигнута высокая стандартизация общесистемной программно-аппаратной платформы и создаваемого прикладного обеспечения, что создает эффективное управление процессами внедрения, обучения и обновления средств информатизации на большом количестве объектов.
Статья 425. Информационные ресурсы таможенных органов
1. Информационные ресурсы таможенных органов составляют документы и сведения, представляемые лицами при совершении таможенных операций в соответствии с настоящим Кодексом, а также иные документы и сведения, имеющиеся в распоряжении таможенных органов в соответствии с настоящим Кодексом и другими федеральными законами.
2. Информационные ресурсы таможенных органов являются федеральной собственностью. Правомочия собственника осуществляются федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с законодательством Российской Федерации.
3. Порядок формирования и использования информационных ресурсов таможенных органов, требования к документированию информации устанавливаются федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с законодательством Российской Федерации.
4. Документы, представление которых предусмотрено настоящим Кодексом или в определенном им порядке, в том числе таможенная декларация, могут представляться посредством электронных способов обмена информацией при соблюдении требований к документированию информации, установленных федеральным органом исполнительной власти, уполномоченным в области таможенного дела, а также иных требований, установленных законодательством Российской Федерации.
5. Порядок получения лицами информации, содержащейся в информационных ресурсах, находящихся в ведении таможенных органов, определяется федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с настоящим Кодексом и другими федеральными законами.
Комментарий
Информационные ресурсы таможенных органов являются составной частью информационного обеспечения (ИО), которое в свою очередь представляет собой совокупность форм документов, классификаторов и самой информации, подвергаемой автоматизированной обработке, а также реализованных решений по ее объемам, размещению и формам существования. Они образуются из документов и сведений, представляемых лицами при совершении таможенных операций в соответствии, а также иных документов и сведений, имеющихся в распоряжении таможенных органов. Информационные ресурсы таможенных органов являются федеральной собственностью. Правомочия собственника осуществляются федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с законодательством Российской Федерации, который устанавливает порядок формирования и использования информационных ресурсов таможенных органов, требования к документированию информации.
Информация, циркулирующая в таможенных органах и подвергаемая автоматизированной обработке, включает в себя:
— информацию, подлежащую обработке, а также информацию, являющуюся результатом этой обработки;
— информацию, содержащуюся в информационном фонде;
— нормативно-справочную информацию.
Основой создающей предпосылки для проведения комплексного анализа циркулирующей в таможенных органах информации является ее классификация, т. е. отнесение к тому или иному виду, типу и т. д. на основании признаков, положенных в основу этой классификации. Рассмотрение всей совокупности информации, ее анализ проводятся с точки зрения классификации этой информации по предметному признаку, механизму использования, способу представления и характеру информационного взаимодействия.
В соответствии с классификацией информации по предметному признаку, т. е. с точки зрения использования этой информации в решении стоящих перед таможенными органами задач, вся информация может быть разделена на оперативную, уголовно-процессуальную, информационно-аналитическую, нормативно-справочную и управленческую.
Наряду с приведенной выше классификацией по предметному признаку информация может быть также классифицирована с точки зрения ее использования и внешнего представления, т. е. по виду, форме, содержанию, степени достоверности, степени конфиденциальности (ограничения доступа к информации).
В состав банка данных (банка данных общего пользования — БДОП) входят информационные ресурсы, не подпадающие под понятие государственной тайны и принадлежащие как таможенным органам, так и правоохранительным, контролирующим и учетно-регистрационным органам.
Для успешного выполнения задач по борьбе с нарушениями таможенного законодательства в своей практической деятельности таможенным органам необходимы информационные ресурсы сторонних организаций.
Большинство имеют доступ к базам данных сторонних организаций, но потребности в таких информационных массивах различны.
Базы данных сторонних организаций, имеющиеся на местах, располагают информационными массивами:
— налоговых органов;
— органов внутренних дел;
— органов статистики;
— органов юстиции;
— региональных органов Пенсионного фонда Российской Федерации;
— органов всех ветвей власти (законодательной, исполнительной, судебной) и управления;
— регистрационных палат;
— подразделений Центрального банка России и др.
Получение внешних информационных ресурсов для БДОП может осуществляться инициативно информационно-технологическими подразделениями, либо с учетом предложений линейных подразделений посредством заключения новых двусторонних соглашений с соответствующими органами или за счет расширения рамок уже имеющихся. Документы, представление которых предусмотрено настоящим Кодексом или в определенном им порядке, в том числе таможенная декларация, могут представляться посредством электронных способов обмена информацией при соблюдении требований к документированию информации, установленных федеральным органом исполнительной власти, уполномоченным в области таможенного дела, а также иных требований, установленных законодательством Российской Федерации.
Порядок получения лицами информации, содержащейся в информационных ресурсах, находящихся в ведении таможенных органов, определяется федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с настоящим Кодексом и другими федеральными законами.
Статья 426. Информационные системы, информационные технологии и средства их обеспечения, используемые участниками внешнеэкономической деятельности
1. Федеральный орган исполнительной власти, уполномоченный в области таможенного дела, устанавливает требования, которым должны отвечать информационные системы, информационные технологии и средства их обеспечения, используемые:
1) лицами при применении специальных упрощенных процедур (статья 68);
2) владельцами складов временного хранения, владельцами таможенных складов, таможенными брокерами, иными лицами по их желанию для представления документов и сведений, предусмотренных настоящим Кодексом.
2. Использование для таможенных целей указанных объектов допускается только после проверки их соответствия установленным требованиям. Проверка осуществляется федеральным органом исполнительной власти, уполномоченным в области таможенного дела.
Комментарий
Одной из характерных особенностей современного процесса информатизации является приоритетность работ по созданию единого информационно - телекоммуникационного пространства в соответствующих сферах деятельности, что обеспечивает для участников информационного взаимодействия наилучшие условия для доступа к информационным ресурсам. В настоящее время процессы интеграции происходят не только на межведомственном, но и государственном и межгосударственном уровне. Все шире в информационном обеспечении учитываются интересы других участников таможенной деятельности. Так, ГТК устанавливает требования, которым должны отвечать информационные системы, информационные технологии и средства их обеспечения, используемые лицами при применении специальных упрощенных процедур, владельцами складов временного хранения, владельцами таможенных складов, таможенными брокерами, иными лицами по их желанию для представления документов и сведений, предусмотренных настоящим Кодексом.
Объективной основой такого взаимодействия является безусловная экономическая эффективность решения таких вопросов, как:
— поиск и внедрение апробированных технологий в рамках единых типовых решений;
— возможность оперативного получения актуализированных данных из внешних информационных ресурсов;
— совместное использование одной телекоммуникационной среды и т. д.
От повышения эффективности циркуляции информации и поступления ее до заинтересованного потребителя выигрывают все участники взаимодействия, что существенно удешевляет и убыстряет окупаемость довольно затратных программно-технических средств. Вместе с тем необходимо отметить, что использование для таможенных целей всего этого допускается только после проверки их соответствия установленным требованиям. Проверка осуществляется федеральным органом исполнительной власти, уполномоченным в области таможенного дела.
Статья 427. Защита информации и прав субъектов, участвующих в информационных процессах и информатизации
1. Разработка, создание и использование специальных программно-технических средств защиты информации, совместимых со средствами обеспечения информационных систем и информационных технологий, осуществляются таможенными органами в целях защиты информации и прав субъектов, участвующих в информационных процессах и информатизации, в соответствии с настоящим Кодексом и другими федеральными законами.
2. Уровень защиты информации, обеспечиваемый средством защиты информации, должен соответствовать категории информации. Соответствие уровня защиты информации определенной категории информации обеспечивается таможенными органами, в ведении которых находятся информационные ресурсы.
3. Контроль за соблюдением требований к защите информации и эксплуатации средств защиты информации осуществляют федеральный орган исполнительной власти, уполномоченный в области таможенного дела, и иные государственные органы в соответствии с законодательством Российской Федерации.
Комментарий
Актуальность и важность проблемы защиты информационных систем и технологий таможенных органов обусловлены следующими причинами:
— резким увеличением производительности современных средств вычислительной техники при одновременном упрощении их эксплуатации;
— увеличением информации, накапливаемой, хранимой и обрабатываемом в таможенных органах с помощью средств автоматизации;
— сосредоточением в единых базах данных и учетах информации различной категории доступности;
— использованием общесистемных и прикладных программных средств, не удовлетворяющих требованиям нормативных документов по безопасности информации;
— становлением информационных ресурсов как собственности и предмета имущества;
— распространением сетевых технологий и объединением локальных сетей в глобальные и рядом других причин.
Под безопасностью информационных систем и технологий таможенных органов следует понимать их защищенность от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а также попыток хищения, изменения и разрушения их компонентов. Безопасность достигается принятием мер по обеспечению конфиденциальности информации, а также доступности и целостности компонентов и ресурсов.
Для достижения безопасности информационных ресурсов производятся разработка, создание и использование специальных программно-технических средств защиты информации, совместимых со средствами обеспечения информационных систем и информационных технологий, осуществляются таможенными органами в целях защиты информации и прав субъектов, участвующих в информационных процессах и информатизации, в соответствии с настоящим Кодексом и другими федеральными законами.
Поскольку под безопасностью информационных систем таможенных органов понимается ее защищенность от случайного или преднамеренного несанкционированного вмешательства в нормальные действия сети, а также от попыток хищения, модификации или разрушения ее компонентов, то ее обеспечение предполагает защиту всех компонентов системы: оборудования, программного обеспечения, данных и персонала. Все каналы проникновения в систему и каналы утечки информации разделяют на прямые и косвенные. Под косвенными понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы. Для использования прямых каналов такое проникновение необходимо.
Прямые каналы могут использоваться без внесения изменений в компоненты системы или с изменениями компонентов (установление «закладных устройств», или программ типа «троянских коней»).
По типу основного средства, используемого для реализации угрозы, все возможные каналы можно условно разделить на три группы, где таковыми средствами являются: человек, программа или аппаратура.
Особо необходимо отметить такую категорию нарушителей, как программист-злоумышленник. Принципиальным является требование невозможности создания злоумышленником программы на рабочем месте, получающей доступ к основным данным системы. Контроль авторизации доступа обязан происходить в серверной части комплекса, и ни один пользователь не должен иметь прямого доступа к серверам или базам данных.
С целью обеспечения защиты информации ограниченного доступа от угроз нарушения ее конфиденциальности, целостности и доступности в ИСИНПОЛ создается система комплексной защиты информации. Система комплексной защиты информации ИСИНПОЛ создается для каждого контура и включает в себя:
— типовые организационные, организационно-технические, программно-технические решения по обеспечению безопасности конфиденциальной информации и информации, отнесенной к государственной тайне, для всех типов объектов информатизации ИСИНПОЛ федерального, регионального, территориального и местного уровней;
— защищенные объекты информатизации в федеральных органах налоговой полиции различных уровней (федерального, регионального, территориального, местного), предназначенные для обработки, хранения и передачи конфиденциальной информации и информации, отнесенной к государственной тайне.
Система комплексной защиты информации таможенных органов строится на следующих основных принципах:
1. Законности.
Разработка системы комплексной защиты информации осуществляется в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем.
Пользователи и обслуживающий персонал должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (ст.ст. 272, 273, 274 Уголовного кодекса РФ и т. п.).
2. Системности.
Системный подход к построению системы комплексной защиты информации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации.
При создании системы комплексной защиты информации учитываются все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты строится с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
3. Комплексности
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Внешняя защита обеспечивается физическими средствами, организационными и правовыми мерами.
4. Непрерывности защиты.
Зашита информации — не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
5. Равнопрочности.
При создании системы комплексной защиты используется принцип равнопрочности защиты, при котором в системе отсутствуют элементы, снижающие уровень защищенности на отдельных ее участках.
6. Своевременности.
Предполагает упреждающий характер мер обеспечения безопасности информации, т. е. постановку задач по комплексной защите информации и реализацию мер обеспечения безопасности информации. Разработка системы комплексной защиты информации ведется параллельно с разработкой и развитием самой защищаемой системы.
7. Использования существующей базы.
Базой для системы комплексной защиты информации является существующая система, находящаяся в процессе развития. При этом в системе комплексной защиты информации максимально задействуются штатные механизмы защиты информации, имеющиеся в аппаратных и программных компонентах (на серверах, рабочих станциях, маршрутизаторах, в операционных системах, прикладном программном обеспечении).
8. Использовании серийных решений.
В системе комплексной защиты информации максимально используются серийно выпускаемое отечественное и зарубежное оборудование и программное обеспечение, адаптируемое к конкретным условиям эксплуатации и положительно себя зарекомендовавшее.
9. Преемственности и совершенствования.
Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИСИНПОЛ и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
10. Разумной достаточности (экономической целесообразности, сопоставимости возможного ущерба и затрат).
Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
11. Рубежности.
Для каждой подсистемы используется принцип «рубежности» — многоуровневой системы доступа к защищаемой информации. Одними из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС — это та часть компьютерной системы, которая управляет использованием всех ее ресурсов.
12. Разделения на подсистемы.
Для обеспечения защиты информации ограниченного доступа двух уровней (отнесенной к государственной тайне и конфиденциальной) используется принцип разделения на две независимые подсистемы:
— уровень «А» — подсистема защиты информации, отнесенной к государственной тайне (подсистема А);
— уровень «Б» — подсистема защиты конфиденциальной (служебной) информации (подсистема Б).
13. Персональной ответственности.
Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий.
14. Принципа минимизации полномочий.
Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в тех случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.
15. Гибкости системы защиты.
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности средства защиты обладают определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установка средств защиты осуществляется на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются.
Механизмы защиты являются интуитивно понятными и простыми в использовании. Применение средств защиты не связывается со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не требует от пользователя выполнения рутинных, малопонятных ему операций.
16. Научной обоснованности и технической реализуемости.
Информационные технологии, технические и программные средства, средства и меры защиты информации реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и соответствуют установленным нормам и требованиям по безопасности информации.
17. Обязательности контроля.
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль за соблюдением требований к защите информации и эксплуатации средств защиты информации осуществляют федеральный орган исполнительной власти, уполномоченный в области таможенного дела, и иные государственные органы в соответствии с законодательством Российской Федерации.
Контроль деятельности любого пользователя, «каждого средства защиты и в отношении любого объекта защиты осуществляется на основе применения средств оперативного контроля и регистрации и охватывает как несанкционированные, так и санкционированные действия пользователей.
По способам осуществления все меры обеспечения безопасности информационных систем подразделяются на: нормативные правовые, организационные (административные), инженерно-технические (физические), морально-этические и аппаратно-программные.
К нормативным правовым мерам защиты относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного доступа и ответственность за их нарушения, препятствуя тем самым несанкционированному ее использованию, и являющиеся сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными.
Организационные меры защиты — это меры, регламентирующие процессы функционирования информационной системы, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
Инженерно-технические меры защиты — это разного рода механические или электромеханические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам.
Программно-аппаратными средствами защиты называются различные электронные устройства и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т. д.).
В защиту входит проверка аппаратных средств на наличие спецвложений, строгий контроль физического доступа к техническим средствам, обязательная сертификация всех программ (операционной системы, систем программирования, систем управления базами данных и другого общего и специального программного обеспечения) и их доработок, создание замкнутой контролируемой программной среды, исключающей разработку и внедрение не сертифицированных с точки зрения безопасности программ и несанкционированные модификации используемых программ, применение средств обнаружения и предотвращения проникновения и распространения компьютерных вирусов.
Защита конфиденциальной информации и информации, отнесенной к государственной тайне, при передаче по телекоммуникационным каналам связи между структурными уровнями таможенных органов осуществляется при помощи средств криптографической защиты информации. Использование средств криптографической защиты информации (СКЗИ) позволяет обеспечивать конфиденциальность и целостность информации, в том числе при передаче по открытым общедоступным каналам. При этом для каждой из подсистем используются свое телекоммуникационное оборудование и каналы передачи информации.