Приложение N 2. Положение по обеспечению безопасности информации при подключении сторонних организаций к ведомственной интегрированной телекоммуникационной сети таможенных органов РФ (Положение ОБИ СО). Приказ Федеральной таможенной службы от 30.10.2006 N 1062 "Об обеспечении безопасности информации при информационном взаимодействии таможенных органов с участниками внешнеэкономической деятельности и сетям общего пользования" (с изменениями и дополнениями) (утратил силу)

Приложение N 2

к приказу Федеральной таможенной службы

от 30 октября 2006 г. N 1062

Положение
по обеспечению безопасности информации при подключении сторонних организаций к ведомственной интегрированной телекоммуникационной сети таможенных органов Российской Федерации
(Положение ОБИ СО)

I. Общие положении#

1. Настоящее Положение по обеспечению безопасности информации при подключении сторонних организаций к ведомственной интегрированной телекоммуникационной сети таможенных органов Российской Федерации (далее - Положение ОБИ СО) устанавливает условия и единый в ФТС России, таможенных органах, организациях и учреждениях, находящихся в ведении ФТС России (далее - таможенные органы), порядок подключения автоматизированных информационных систем сторонних организаций к ведомственной интегрированной телекоммуникационной сети (далее - ВИТС) или локальным вычислительным сетям (далее - ЛВС) Единой автоматизированной информационной сети (далее - ЕАИС) таможенных органов Российской Федерации.

2. Требования Положения ОБИ СО обязательны для всех должностных специалистов таможенных органов.

3. Положение ОБИ СО разработано на основе:

- Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. 1), ст. 3448);

- Федеральный закон от 07 июля 2003 г. N 126-ФЗ "О связи" (Собрание законодательства Российской Федерации, 2003, N 28, ст. 2895; 2004 N 35, ст. 3607, N 45, ст. 4377; 2005, N 19, ст. 1752; 2006, N 6, ст. 636, N 10, ст. 1069, N 31 (ч. 1), ст. 3452);

- Указа Президента Российской Федерации от 12 мая 2004 г. N 611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (Собрание законодательства Российской Федерации, 2004, N 20, ст. 1938; 2005, N 13, ст. 1137; 2006, N 10, ст. 1090);

- Нормативно-методического документа "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. N 282.

- временной типовой схемы обеспечения безопасности информации при представлении информации для декларирования товаров и грузов в электронной форме, согласованной с Центром безопасности связи ФСБ России и утвержденной начальником Главного управления информационной технологии 18 октября 2005 г.

4. Сторонними организациями являются организации независимо от формы собственности, не являющиеся подведомственными ФТС России и осуществляющие информационное взаимодействие с таможенными органами.

5. Положение ОБИ СО не распространяется на организацию информационного взаимодействия с федеральными органами исполнительной власти Российской Федерации и с таможенными службами иностранных государств.

6. Основной целью подключения автоматизированных информационных систем сторонних организаций к ВИТС или ЛВС таможенных органов является создание условий для декларирования товаров путем заявления таможенному органу в таможенной декларации или иным способом, предусмотренным Таможенным кодексом Российской Федерации, в электронной форме сведений о товарах, о таможенном режиме и других сведений, необходимых для таможенных целей.

7. Основными угрозами безопасности информации при подключении автоматизированных информационных систем сторонних организаций к ВИТС или ЛВС таможенных органов являются:

- заражение информационно-вычислительных ресурсов таможенных органов программными вирусами;

- несанкционированный доступ внешних пользователей к информационно-вычислительным ресурсам таможенных органов (в т.ч. сетевые атаки);

- внедрение в автоматизированные информационные системы таможенных органов программных закладок;

- несанкционированная передача служебной информации ограниченного доступа должностными лицами таможенных органов в стороннюю организацию.

8. Основными методами обеспечения безопасности информации при подключении автоматизированных информационных систем сторонних организаций к ВИТС или ЛВС таможенных органов для предотвращения указанных угроз являются:

- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;

- использование сертифицированных средств защиты информации, обеспечивающих целостность и доступность, в том числе криптографических;

- использование сертифицированных средств антивирусной защиты информации с актуальными базами антивирусных сигнатур;

- мониторинг вторжений (атак) со стороны сторонней организации, нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);

- использование смарт-карт, электронных замков и других носителей информации для надежной идентификации, аутентификации и разграничения доступа должностных лиц таможенных органов и сторонних организаций;

- контроль информации, передаваемой между таможенным органом и сторонней организацией;

- шифрование информации при ее передаче за пределы контролируемой зоны, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;

- сбор статистических данных об информационном взаимодействии со сторонней организацией.

9. Подключение сторонних организаций к ВИТС или ЛВС таможенных органов осуществляется через абонентский пункт сторонней организации (далее - АП СО), представляющий собой комплекс средств автоматизации со средствами связи, позволяющий осуществить доступ к ВИТС или ЛВС таможенных органов.

10. В состав АП СО могут входить как автономные рабочие станции, так и выделенные автономные ЛВС сторонней организации, не имеющие подключения к сетям общего пользования, информационным сетям других организаций или другим сегментам ЛВС сторонней организации.

11. Подключение сторонних организаций к ВИТС и ЛВС осуществляется в зависимости от территориального расположения сторонней организации и. пропускной способности каналов связи преимущественно через узлы связи и телекоммуникаций ближайшего таможенного органа.

12. Основные виды подключения АП СО:

- при расположении АП СО и таможенного органа в пределах одной контролируемой зоны подключение может осуществляется по прямому кабелю (Ethernet).

- на территориально разнесенных площадках вне пределов одной контролируемой зоны подключение может осуществляться по прямому оптоволоконному кабелю либо по выделенному или коммутируемому каналу связи с применением сертифицированных криптографических средств защиты информации, рекомендованных к применению в таможенных органах.

II. Порядок подключения сторонних организаций

13. Подключение сторонней организации осуществляется на основании ее заявки на подключение к ВИТС или ЛВС таможенных органов.

Заявка на подключение, оформленная сторонней организацией, должна содержать:

- наименование сторонней организации;

- юридические реквизиты сторонней организации;

- наименование таможенного органа, через который предполагается обеспечить подключение сторонней организации;

- обоснование необходимости подключения сторонней организации к ВИТС или ЛВС таможенных органов;

- характеристику предполагаемого информационного взаимодействия и перечень объектов ВИТС таможенных органов, к которым предполагается доступ;

- характеристику предполагаемого канала связи;

- состав и технические характеристики оборудования (в том числе средств защиты информации), с помощью которого предполагается обеспечить подключение;

- сведения о сотрудниках сторонней организации, для которых запрашивается право работы на АП СО.

14. Заявка, подписанная уполномоченным должностным лицом сторонней организации, поступает в адрес таможенного органа, через который сторонняя организация предполагает подключение к ВИТС или ЛВС таможенных органов.

15. В случае положительного заключения по результатам рассмотрения заявки информационно-технической службой и ее согласования со службами собственной безопасности и организации таможенного контроля таможенного органа сторонняя организация, подавшая заявку, и таможенный орган должны подготовить на основании заявки на подключение проект соглашения об информационном взаимодействии (далее - проект Соглашения).

16. В проекте Соглашения должны быть отражены следующие сведения:

- предмет соглашения;

- описание информационного обмена;

- обязательства сторон;

- права сторон;

- ответственность сторон;

- действие форс-мажорных обстоятельств;

- порядок разрешения споров;

- порядок изменения и расторжения Соглашения;

- прочие условия;

- юридические адреса и банковские реквизиты сторон.

17. К проекту Соглашения в рамках описания информационного обмена в обязательном порядке должны быть приложены следующие документы:

- схема подключения сторонней организации к ВИТС или ЛВС таможенных органов;

- технические условия на подключение сторонней организации;

- схема технологии информационного обмена между сторонней организацией и таможенным органом;

- пояснительная записка к схеме технологии информационного обмена между сторонней организацией и таможенным органом.

18. На схеме подключения сторонней организации к ВИТС или ЛВС таможенных органов должны быть указаны:

- месторасположение АП СО и таможенного органа, через который осуществляется подключение к ВИТС или ЛВС таможенных органов, с четким обозначением территориальных границ и их адреса;

- модель, марка телекоммуникационного и каналообразующего оборудования;

- используемые линии передачи (среда передачи, тип, категория, марка кабеля и т.д.), пропускная способность каналов передачи;

- интерфейсы взаимодействия сетевого оборудования;

- IP-адреса всех телекоммуникационных элементов схемы;

- типы каналов передачи данных и их полосы пропускания;

- расположение сертифицированного межсетевого экрана на территории, контролируемой таможенным органом;

- условные обозначения (при необходимости) изображенных на схеме элементов.

Кроме того, на схеме необходимо указать то, что АП СО представлен автономной рабочей станцией или автономной локальной ЛВС сторонней организации, не имеет выхода и сети общего пользования, информационные сети других организаций, а также не входит в состав средств международного информационного обмена (в том числе в сети "Интернет").

Технические условия должны содержать конкретный способ подключения, места размещения оборудования (в том числе средств защиты информации), абонентских устройств, технические параметры в точках соединения, информацию об обеспечении телекоммуникационного оборудования бесперебойным питанием.

19. Информационно-технические подразделения таможенного органа, осуществляющего подключение сторонней организации, разрабатывают проект Соглашения, в котором технические условия на подключение сторонней организации разрабатываются в соответствии с требованиями Федерального закона от 07 июля 2003 г. N 126-ФЗ "О связи". Срок разработки и выдачи технических условий сторонней организации не должен превышать 30 дней со дня получения заявки. Срок действия технических условий - от 3 месяцев до 1 года в зависимости от объема строительно-монтажных работ.

20. Схема подключения сторонней организации к ВИТС или ЛВС таможенных органов, копия технических условий на подключение сторонней организации, схема технологии информационного обмена между сторонней организацией и таможенным органом с пояснительной запиской для всех таможен, за исключением таможен, непосредственно подчиненных ФТС России, должны быть согласованы начальником таможенного органа, осуществляющего подключение сторонней организации, и представлены вместе с копиями заявки на подключение и проекта Соглашения в соответствующее региональное таможенное управление для согласования и утверждения.

В таможнях, непосредственно подчиненных ФТС России, данные документы утверждает начальник таможни.

21. Если АП СО организовывается для целей применения электронной формы декларирования, то в составе пакета документов для включения таможенного органа в Перечень таможенных органов, имеющих достаточную техническую оснащенность для применения электронной формы декларирования, необходимо представить сведения о назначении штатных должностных лиц, ответственных за информационную безопасность и техническую защиту информации в таможенном органе.

22. Оснащение, монтаж, установку, инсталляцию и настройку программно-аппаратных средств, необходимых для подключения АП СО, после принятия решения о подключении производит сторонняя организация.

23. После завершения работ по монтажу, установке, инсталляции и настройке программно-аппаратных средств АП СО, приказом таможенного органа создается комиссия для его подключения к ВИТС или ЛВС таможенных органов. В состав комиссии в обязательном порядке должно быть включено должностное лицо подразделения информационной безопасности и технической защиты информации таможенного органа. Результаты работы комиссии оформляются актом (Форма АП СО-1) (приложение к настоящему Положению) и после утверждения начальником таможенного органа направляются в соответствующее региональное таможенное управление и в Главное управление информационных технологий ФТС России. В Главное управление информационных технологий ФТС России также направляется копия утвержденной схемы подключения сторонней организации к ВИТС и технические условия на подключение.

24. Дальнейший информационный обмен и взаимодействие между сторонней организацией и таможенным органом, через который организовано подключение, производится в соответствии с утвержденным проектом Соглашения между таможенным органом и сторонней организацией.

25. Срок действия соглашения составляет не более одного года.

III. Условия подключения АП СО

26. Условия подключения АП СО к ВИТС и ЛВС таможенных органов включают в себя:

- требования, предъявляемые к АП СО;

- требования, предъявляемые к подключению АП СО.

27. Требования, предъявляемые к АП СО:

- комплекс средств автоматизации АП СО размещаются в помещении, доступ в которое ограничен;

- комплекс средств автоматизации АП СО не должен иметь логических и физических связей с другими техническими средствами сторонней организации;

- на средства вычислительной техники АП СО в обязательном порядке должно быть установлено лицензионное операционные системы, сертифицированные по требованиям безопасности информации;

- на средства вычислительной техники АП СО в обязательном порядке должны быть установлены лицензионные средства антивирусной защиты информации, сертифицированные по требованиям безопасности информации;

- на средства вычислительной техники АП СО должно быть установлено только программное обеспечение, заявленное при обосновании необходимости подключения;

- должно быть обеспечено разграничение и контроль доступа сотрудников сторонней организации к АП СО.

28. Требования, предъявляемые к подключению АП СО в таможенном органе:

- подключение АП СО должно осуществляться только через сертифицированный межсетевой экран, рекомендованный к применению в таможенных органах;

- при использовании выделенного или коммутируемого канала связи необходимо применять сертифицированные криптографические средства защиты информации, рекомендованные к применению в таможенных органах;

- правила фильтрации потоков, передаваемых через точку подключения при информационном взаимодействии, должны быть документально оформлены и подписаны ответственным за защиту информации в таможенном органе, представителем службы собственной безопасности таможенного органа и утверждены начальником таможенного органа;

- запрещается изменять правила фильтрации потоков без документального оформления внесенных изменений.

29. При эксплуатации АП СО категорически запрещается подключать к нему другие средства вычислительной техники.

IV. Заключительные положения

30. Контроль обеспечения безопасности информации при информационном взаимодействии АП СО и ВИТС (ЛВС) таможенного органа осуществляется ответственным за защиту информации в таможенном органе, а также комиссиями вышестоящих таможенных органов в соответствии с установленным порядком.

31. Начальник таможенного органа имеет право, на приостановление или отказ в выдаче разрешения на подключение в случае невыполнения сторонней организацией условий соглашения об информационном взаимодействии.

32. О необходимости отключения АП сторонней организации от ВИТС и ЛВС начальник таможенного органа извещает руководство соответствующей сторонней организации не позднее двух недель до даты отключения.

33. Отключение сторонней организации от ВИТС при нарушении последней требований технических условий осуществляется в трехдневный срок со дня письменного уведомления, при этом демонтаж оборудования и абонентских устройств осуществляется в срок не более трех месяцев.

34. В случае нарушения или изменения сторонней организацией утвержденной схемы подключения АП СО отключение осуществляется незамедлительно и без письменного уведомления. Восстановление подключения осуществляется после приведения телекоммуникаций в соответствие с утвержденной схемой с обязательным составлением акта.

Начальник Главного управления информационных технологий

А.Е. Шашаев