Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 1
к приказу Федеральной таможенной службы
от 30 октября 2006 г. N 1062
Положение
по обеспечению безопасности информации при использовании информационно-вычислительных сетей общего пользования в таможенных органах Российской Федерации
(Положение ОБИ ИВС ОП)
I. Общие положения
1. Настоящее Положение по обеспечению безопасности информации при использовании информационно-вычислительных сетей общего пользования в таможенных органах Российской Федерации (далее - Положение ОБИ ИВС ОП) устанавливает условия и единый в ФТС России, таможенных органах, организациях и учреждениях, находящихся в ведении ФТС России (далее - таможенные органы), порядок использования информационно-вычислительных сетей общего пользования (далее - ИВС ОП), включая международную ассоциацию сетей "Интернет", а также основные требования по обеспечению безопасности информации.
2. Требования Положения ОБИ ИВС ОП обязательны для всех должностных лиц таможенных органов.
3. Положение ОБИ ИВС ОП разработано на основе:
- Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3448);
- Указа Президента Российской Федерации от 12 мая 2004 г. N 611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (Собрание законодательства Российской Федерации, 2004, N 20, ст. 1938; 2005, N 13, ст. 1137; 2006, N 10, ст. 1090);
- постановления Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" (Собрание законодательства Российской Федерации, 2003, N 7, ст. 658);
- нормативно-методического документа "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. N 282;
- временной типовой схемы обеспечения безопасности информации при представлении информации для декларирования товаров и грузов в электронной форме, согласованной с Центром безопасности связи ФСБ России и утвержденной начальником Главного управления информационной технологии 18 октября 2005 г.
4. Основными целями использования ИВС ОП в таможенных органах являются:
- обеспечение в соответствии с постановлением Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" свободного доступа к информации о деятельности Федеральной таможенной службы с использованием информационных технологий;
- получение общедоступной информации из ИВС ОП;
- размещение заказов на поставки товаров, выполнение работ, оказание услуг о интересах таможенных органов;
- создание условий для декларирования товаров путем заявления таможенному органу в таможенной декларации или иным способом, предусмотренным Таможенным кодексом Российской Федерации, в электронной форме сведений о товарах, о таможенном режиме и других сведений, необходимых для таможенных целей.
5. Основными угрозами безопасности информации при использовании ИВС ОП в таможенных органах являются:
- заражение информационно-вычислительных ресурсов таможенных органов программными вирусами;
- несанкционированный доступ внешних пользователей к информационно-вычислительным ресурсам таможенных органов (в т.ч. сетевые атаки);
- внедрение и автоматизированные информационные системы таможенных органов программных закладок;
- загрузка трафика нежелательной корреспонденцией (спамом);
- несанкционированная передача служебной информации ограниченного доступа должностными лицами таможенных органов в ИВС ОП;
- блокировка межсетевого взаимодействия с ИВС ОП путем нарушения целостности данных о настройках коммуникационного оборудования, обеспечивающего взаимодействие с ИВС ОП;
- нарушение целостности и достоверности открытых и общедоступных информационных ресурсов таможенных органов, размещаемых в ИВС ОП в соответствии с постановлением Правительства Российской Федерации от 12 февраля 2003 N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти".
6. Основными методами обеспечения безопасности информации при использовании ИВС ОП для предотвращения указанных угроз являются:
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;
- использование сертифицированных средств защиты информации, обеспечивающих целостность и доступность, в том числе криптографических для подтверждения достоверности открытых и общедоступных информационных ресурсов таможенных органов (официальный WEB-сайт ФТС России, автоматизированная система таможенной статистики внешней торговли (далее - АС ТСВТ) и т.д.);
- использование сертифицированных средств антивирусной защиты информации с актуальными базами антивирусных сигнатур;
- мониторинг вторжений (атак) из ИВС ОП, нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);
- использование смарт-карт, электронных замков и других носителей информации для надежной идентификации, аутентификации и разграничения доступа должностных лиц таможенных органов к ресурсам ИВС ОП;
- контроль информации, передаваемой в ИВС ОП или загружаемой из ИВС ОП;
- запрет обращения к нежелательным ресурсам ИВС ОП;
- шифрование информации при ее передаче по ИВС ОП, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;
- сбор статистических данных о работе должностных лиц таможенных органов с ресурсами ИВС ОП.
7. Использование ИВС ОП в таможенных органах возможно через:
- абонентский пункт ИВС ОП (далее - АП ИВС ОП);
- автоматизированную систему внешнего доступа (далее - АСВД).
II. Условия и порядок создания, подключения и использования АП ИВС ОП в таможенных органах, организациях и учреждениях, находящихся в ведении ФТС России
8. АП ИВС ОП представляет собой комплекс средств автоматизации со средствами связи, позволяющий осуществлять доступ к ИВС ОП.
9. В. состав технических средств АП ИВС ОП могут входить отдельные персональные электронно-вычислительные машины (далее - ПЭВМ) или несколько ПЭВМ, объединенных в один сегмент локальной вычислительной сети.
10. Запрещается подключение технических средств АП ИВС ОП к локальной вычислительной сети таможенного органа (организации и учреждения, находящихся в ведении ФТС России) или к Ведомственной интегрированной телекоммуникационной сети таможенных органов.
11. Создание АП ИВС ОП в таможенных органах (организациях и учреждениях, находящихся в ведении ФТС России) осуществляется на основании решения начальника Главного управления информационных технологий (далее - ГУИТ) (Форма ИВСОП-1) (приложение 1 к настоящему Положению) по мотивированной заявке (Форма ИВС ОП-2) (приложение 2 к настоящему Положению).
12. После получения решения на создание АП ИВС ОП в таможенном органе (организации или учреждения, находящегося в ведении ФТС России) производится:
- разработка проекта Инструкции по эксплуатации АП ИВС ОП;
- монтаж оборудования АП ИВС ОП в соответствии с утвержденной телекоммуникационной схемой АП ИВС ОП;
- установка и настройка программного обеспечения АП ИВС ОП в соответствии с эксплуатационной документацией и решением о создании АП ИВС ОП;
- установка и настройка средств защиты информации в соответствии с эксплуатационной документацией и решением о создании АП ИВС ОП;
- утверждение Инструкции по эксплуатации АП ИВС ОП;
- ввод АП ИВС ОП в эксплуатацию.
13. Инструкцию по эксплуатации АП ИВС ОП подписывает должностное лицо, назначенное ответственным за работу АП ИВС ОП, согласовывают подразделения собственной безопасности и подразделения по информационной безопасности и технической защите информации и утверждает начальник таможенного органа (руководитель организации и учреждения, находящихся в ведении ФТС России).
14. В Инструкции по эксплуатации АП ИВС ОП должны быть определены:
- порядок допуска и регистрации пользователей АП ИВС ОП;
- порядок оформления разрешений для пользователей АП ИВС ОП для передачи информации в ИВС ОП;
- порядок применения средств защиты информации на АП ИВС ОП при взаимодействии с ИВС ОП;
- обязанности должностных лиц по защите информации, работающих в ИВС ОП;
- порядок входа, регистрации и работы пользователей АП ИВС ОП и правила разграничения доступа к способам взаимодействия с ИВС ОП;
- порядок применения средств защиты информации от несанкционированного доступа на АП ИВС ОП, правил разграничения доступа, средств антивирусной защиты при входе и проведении сеансов связи в ИВС ОП;
- обязанности и ответственность должностных лиц подразделения по защите информации, ответственных за эксплуатацию АП ИВС ОП, и пользователей АП ИВС ОП при взаимодействии с ИВС ОП;
- порядок контроля за выполнением мероприятий по обеспечению информационной безопасности при эксплуатации АП ИВС ОП.
15. Для приемки в эксплуатацию АП ИВС ОП приказом таможенного органа (организации и учреждения, находящегося в ведении ФТС России) создается комиссия по вводу в эксплуатацию АП ИВС ОП. В состав комиссии включаются представители подразделений информационно-технической службы, подразделений информационной безопасности и технической защиты информации и подразделений собственной безопасности.
16. Результаты работы комиссии оформляются актом, в котором отражаются:
- типы и номера технических средств, их состав и конфигурация;
- состав общего и специального программного обеспечения, настройки, конфигурация средств, используемых для взаимодействия с ИВС ОП;
- перечень установленных средств защиты информации, включая средства антивирусной защиты информации, и их настройки;
- типы и номера каналов связи;
- мероприятия по защите информации.
17. На основании утвержденного акта АП ИВС ОП вводится в эксплуатацию приказом таможенного органа (организации и учреждения, находящихся в ведении ФТС России).
18. Копии приказа о вводе в эксплуатацию АП ИВС ОП и акта проверки АП ИВС ОП направляются в ГУИТ.
19. Для защиты АП от заражения компьютерными вирусами используются антивирусные средства ЗАО "Лаборатория Касперского", сертифицированные по требованиям безопасности информации ФСБ России и ФСТЭК России. Должностное лицо, ответственное за эксплуатацию АП ИВС ОП, не реже одного раза в 3 часа обновляет антивирусные базы через службу технической поддержки Лаборатории Касперского в сети "Интернет". Вся информация, полученная из ИВС ОП и сохраненная на жестком диске или других носителях информации, должна быть проверена на наличие программных вирусов сканером антивирусного средства.
20. Аналогичные действия проводятся при получении электронной почты.
21. Для контроля работы пользователей с ресурсами ИВС ОП используются средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB).
22. Решение задач, связанных с функционированием средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB), осуществляет администратор безопасности АП ИВС ОП (назначается приказом из числа должностных лиц подразделения информационной безопасности и технической защиты информации в таможенном органе). Администратор безопасности АП ИВС ОП обеспечивает функционирование средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB), назначает идентификаторы пользователей и распределяет полномочия пользователей системы, а также блокирует при помощи встроенных средств WEB-sweeper доступ пользователей к нежелательным сайтам (не предназначенным для исполнения служебных обязанностей).
23. Рекомендации по применению средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB):
- если в пределах одного здания планируется подключить несколько АП, то целесообразно объединить их в один сегмент локальной сети (не имеющий точек соприкосновения с локальной вычислительной сетью таможенного органа) и установить в зависимости от количества (более трех) автоматизированных рабочих мест (АРМ) на одном из них или на выделенном сервере средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB);
- если АП ИВС ОП состоит из одного или двух АРМов, допускается не устанавливать средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB) (в этом случае ответственный должен вести журнал учета работы на АП);
24. Функционирование средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB) должно происходить в соответствии со следующей политикой безопасности:
- присвоение пользователям персональных идентификаторов производить в соответствии с шаблоном: "подразделение"_"Фамилия", например, opoi_pupkov;
- каждому пользователю назначается пароль, который должен быть индивидуален для каждого пользователя, трудноподбираем и не сочетаться с именем пользователя.
- разрешается использовать лишь те ресурсы ИВС ОП, которые необходимы для выполнения функциональных обязанностей и которые заявлены в обосновании необходимости подключения;
- запрещается использовать ресурсы ИВС ОП в личных целях.
25. По мере накопления статистических данных об использовании ресурсов ИВС политика безопасности может быть дополнена.
III. Условия и порядок доступа к информационно-вычислительным ресурсам международной ассоциации сети "Интернет" должностных лиц центрального аппарата ФТС России и ГНИВЦа ФТС России
26. Должностным лицам центрального аппарата ФТС России и ГНИВЦа ФТС России доступ к информационно-вычислительным ресурсам международной ассоциации сети "Интернет" предоставляется через АП ИВС ОП ГНИВЦа ФТС России.
27. АП ИВС ОП ГНИВЦа ФТС России (рис. 1) представляет собой комплекс средств автоматизации со средствами связи, позволяющие осуществлять доступ к ИВС ОП.
28. Для контроля работы пользователей с ресурсами ИВС ОП используются средства контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB).
29. Администрирование средств контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB) осуществляет администратор безопасности АП ИВС ОП ГНИВЦа ФТС России, назначаемый приказом директора ГНИВЦа ФТС России из числа должностных лиц отдела информационной безопасности ГНИВЦа ФТС России.
30. Решение о предоставлении должностным лицам центрального аппарата ФТС России к ИВС ОП принимает начальник ГУИТ на основании заявки, представляемой начальником структурного подразделения ФТС России, согласованной с заместителем руководителя ФТС России, курирующим данное подразделение.
31. В заявке указываются:
- задачи, которые планируется решать с использованием ресурсов ИВС ОП;
- количество пользователей с указанием фамилии, имени, отчества и должностей.
32. В зависимости от технических возможностей доступ должностным лицам центрального аппарата ФТС России к ресурсам ИВС ОП предоставляется с использованием:
- автономной рабочей станции, подключенной к АП ИВС ОП ГНИВЦ ФТС России через модемный пул;
- рабочей станции, подключенной к выделенному сегменту АП ИВС ОП ГНИВЦ ФТС России и не имеющей логических или физических связей с сегментами ЛВС структурных подразделений ФТС России.
33. Решение о предоставлении должностным лицам ГНИВЦа ФТС России доступа к ИВС ОП принимает директор ГНИВЦа ФТС России на основании заявки, представляемой начальником подразделения. Заявка должна быть согласована с отделом информационной безопасности ГНИВЦа ФТС России.
34. На основании принятых решений администратор безопасности АП ИВС ОП ГНИВЦа ФТС России назначает персональные идентификаторы и доводит их пользователям.
35. Сведения о персональных идентификаторах пользователей АП ИВС ОП ГНИВЦа ФТС России сообщаются в ГУИТ ФТС России.
IV. Условия и порядок использования АСВД
36. Автоматизированная система внешнего доступа предназначена для создания условий для декларирования товаров путем заявления таможенному органу в таможенной декларации или иным способом, предусмотренным Таможенным кодексом Российской Федерации, в электронной форме сведений о товарах, о таможенном режиме и других сведений, необходимых для таможенных целей.
37. Типовая схема сегмента АСВД (рис. 2) представляет собой комплекс средств автоматизации, предоставляющий возможность двустороннего информационного взаимодействия между Единой автоматизированной информационной системой таможенных органов и информационными системами участников внешнеэкономической деятельности с использованием в качестве транспортной сети ИВС ОП.
38. Создание АСВД в таможенных органах осуществляется на основании отдельного приказа ФТС России.
V. Заключительные положения
39. При использовании ИВС ОП запрещается:
- подключать к АП ИВС ОП или АСВД иные средства вычислительной техники и автоматизированные системы;
- изменять состав и конфигурацию программных и технических средств АП ИВС ОП или АСВД;
- использовать информационные ресурсы ИВС ОП, не предназначенные для исполнения функциональных обязанностей должностными лицами, допущенными к работе в ИВС ОП;
- обрабатывать на АП ИВС ОП информацию ограниченного доступа.
40. Ответственность за выполнение мероприятий по обеспечению безопасности информации при использовании ИВС ОП несут должностные лица, осуществляющих эксплуатацию и использование АП ИВС ОП или АСВД.
41. Контроль выполнения мероприятий по обеспечению безопасности информации таможенных органов при использовании ИВС ОП возлагается на:
- начальников структурных подразделений ФТС России;
- начальника таможенного органа или организаций и учреждений, находящихся в ведении ФТС России;
- штатных должностных лиц, ответственных за информационную безопасность и техническую защиту информации в таможенном органе;
- ответственных должностных лиц по защите информации в структурных подразделениях ФТС России.
Начальник Главного управления |
А.Е. Шашаев |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.