Приложение. Положение по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации. Приказ Федеральной таможенной службы от 07.10.2010 N 1866 "Об утверждении Положения по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации"

Приложение
к приказу Федеральной таможенной службы
от 7 октября 2010 г. N 1866

Положение
по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации

I. Общие положения

1. Настоящее Положение по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации (далее - Положение) определяет условия и единый порядок использования в структурных подразделениях ФТС России, таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России (далее - таможенные органы), информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети "Интернет".

2. Требования Положения обязательны для исполнения всеми должностными лицами и работниками таможенных органов.

3. Положение разработано на основании:

Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. 1), ст. 3448);

Федерального закона от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" (Собрание законодательства Российской Федерации, 2009, N 7, ст. 776);

Указа Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110, N 43, ст. 4919);

постановления Правительства Российской Федерации от 24 ноября 2009 г. N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832);

постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям" (Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573);

Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г. N Пр-1895;

нормативно-методического документа "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. N 282.

4. Основными целями использования сегмента международной компьютерной сети "Интернет" (далее - сеть "Интернет") в таможенных органах являются:

обеспечение в соответствии с постановлением Правительства Российской Федерации от 24 ноября 2009 г. N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" свободного доступа к информации о деятельности Федеральной таможенной службы с применением информационных технологий;

размещение таможенными органами достоверной и своевременно обновленной информации о своей деятельности в сети "Интернет";

поиск и получение общедоступной информации из сети "Интернет"; размещение заказов на поставки товаров, выполнение работ, оказание услуг в интересах таможенных органов;

создание условий для предварительного информирования о товарах и транспортных средствах, декларирования товаров путем заявления таможенному органу в таможенной декларации в электронной форме сведений о товарах, о таможенном режиме и других сведений, необходимых для таможенных целей;

получение общедоступной информации по направлению деятельности структурных подразделений с целью оперативного решения вопросов.

5. Основными угрозами безопасности информации при использовании сети "Интернет" в таможенных органах являются:

заражение информационно-вычислительных ресурсов таможенных органов программными вирусами;

несанкционированный доступ внешних пользователей к информационно-вычислительным ресурсам таможенных органов (в т.ч. целенаправленные сетевые атаки);

внедрение в автоматизированные информационные системы таможенных органов программных закладок;

загрузка трафика нежелательной корреспонденцией (спамом);

несанкционированная передача информации ограниченного доступа должностными лицами таможенных органов в сеть "Интернет";

блокировка межсетевого взаимодействия с сетью "Интернет" путем нарушения целостности данных о настройках коммуникационного оборудования, обеспечивающего взаимодействие с сетью "Интернет";

нарушение целостности и достоверности открытых и общедоступных информационных ресурсов таможенных органов, размещаемых в сети "Интернет", в соответствии с постановлением Правительства Российской Федерации от 24 ноября 2009 г. N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти".

6. Основными методами обеспечения безопасности информации при использовании сети "Интернет" для предотвращения указанных угроз являются:

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;

использование сертифицированных средств защиты информации, обеспечивающих целостность и доступность, в том числе криптографических для подтверждения достоверности открытых и общедоступных информационных ресурсов таможенных органов (официальный сайт ФТС России, автоматизированная система таможенной статистики внешней торговли (далее - АС ТСВТ) и т.д.);

использование электронных замков, персональных средств идентификации и аутентификации, других носителей информации для надежной идентификации, аутентификации и разграничения доступа должностных лиц таможенных органов к ресурсам сети "Интернет";

использование сертифицированных средств антивирусной защиты информации с актуальными базами антивирусных сигнатур;

мониторинг вторжений (атак) из сети "Интернет", нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);

контроль информации, передаваемой в сеть "Интернет" или загружаемой из сети "Интернет";

запрет обращения к нежелательным ресурсам в сети "Интернет";

шифрование информации при ее передаче по сети "Интернет", а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;

сбор и анализ статистических данных о работе должностных лиц таможенных органов с ресурсами сети "Интернет".

7. Доступ к ресурсам сети "Интернет" должностных лиц таможенных органов должен быть организован с использованием выделенного автоматизированного рабочего места (далее - АРМ) доступа к сети "Интернет", входящего в состав автоматизированной системы доступа к ресурсам сети "Интернет" (далее - АСД Интернет) таможенного органа либо организации, находящейся в ведении ФТС России.

8. Запрещается использовать ресурсы сети "Интернет" следующего характера:

сайты эротического и порнографического содержания;

сайты развлекательного характера;

сайты, связанные с форумами для встреч, общения;

сайты, связанные с хакерством, взломом систем различного характера;

удаленные прокси-серверы*(1), анонимайзеры*(2), Интернет-пейджеры*(3); файлообменники.

9. Любые взаимодействия компонентов Единой автоматизированной информационной системы (ЕАИС) таможенных органов с информационно-телекоммуникационными сетями международного обмена (в т.ч. взаимодействие с таможенными органами зарубежных стран по выделенным каналам связи) и иными возможны только при организации взаимодействия с использованием автоматизированной системы внешнего доступа таможенных органов (далее - АСВДТО).

III. Условия и порядок создания, подключения и использования АСД Интернет в таможенных органах

23. Доступ к ресурсам сети "Интернет" должностных лиц таможенных органов осуществляется только с использованием АСД Интернет таможенного органа.

24. АСД Интернет таможенного органа представляет собой комплекс средств вычислительной техники, предназначенных для организации доступа к ресурсам сети "Интернет" совместно со средствами связи (в т.ч. канал связи, предоставляемый провайдером*(5)). В состав комплекса средств вычислительной техники СД Интернет входят отдельные АРМ доступа к сети "Интернет", сервер доступа к сети "Интернет" с установленным специализированным программным обеспечением разграничения доступа к ресурсам сети "Интернет"*(6).

25. Подключение к сети "Интернет" производится только с использованием специально предназначенных для этого средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством Российской Федерации.

26. Запрещается подключение средств вычислительной техники АСД Интернет таможенного органа к сегментам Ведомственной интегрированной телекоммуникационной сети или локальной вычислительной сети таможенного органа, рабочим станциям пользователей или к любым компонентам ЕАИС таможенных органов.

27. Создание АРМ доступа к сети "Интернет" осуществляется на основании решения о создании СД Интернет (далее - Решение), разработанного таможенным органом. Решение утверждается:

для таможен, непосредственно подчиненных ФТС России, а также для организаций, находящихся в ведении ФТС России, - начальником ГУИТ ФТС России согласно приложению N 1 к Положению;

для региональных таможенных управлений (далее - РТУ), - начальником регионального таможенного управления согласно приложению N 2 к Положению;

для таможен, - начальником таможни согласно приложению N 3 к Положению.

Решение, разработанное таможней, обязательно включает в себя сведения о наличии введенных в эксплуатацию АРМ доступа к сети "Интернет" таможенных постов. В РТУ оформляется единое Решение, включающее обобщенные сведения по РТУ и таможням. При необходимости внесения изменений в Решение производится его переоформление. Копия утвержденного Решения таможни незамедлительно направляется в адрес РТУ. РТУ два раза в год (II и IV квартал) готовит отчет о пользователях сети "Интернет" согласно приложению N 4 к Положению и направляет в адрес ГУИТ ФТС России.

28. После получения Решения в таможенном органе (организации, находящейся в ведении ФТС России) производится:

разработка проекта Инструкции пользователя по эксплуатации автоматизированного рабочего места доступа к сети "Интернет" (далее - Инструкция пользователя) и Инструкции по эксплуатации автоматизированной системы доступа к сети "Интернет" (далее - Инструкция по эксплуатации);

монтаж оборудования АСД Интернет таможенного органа в соответствии с телекоммуникационной схемой, включенной в Решение;

установка и настройка программного обеспечения в АСД Интернет таможенного органа в соответствии с перечнем программного обеспечения, приведенного в Решении;

установка и настройка средств защиты информации в соответствии с Решением;

утверждение Инструкции по эксплуатации;

утверждение Инструкции пользователя;

ввод АСД Интернет таможенного органа в эксплуатацию с составлением соответствующего акта.

29. Инструкцию по эксплуатации и Инструкцию пользователя подписывает начальник подразделения информационной безопасности и технической защиты информации таможенного органа, согласовывает начальник подразделении собственной безопасности, утверждает начальник таможенного органа (руководитель организации, находящейся в ведении ФТС России). В случае отсутствия подразделения информационной безопасности и технической защиты информации в таможенном органе инструкции подписывает должностное лицо, назначенное ответственным за информационную безопасность и техническую защиту информации в таможенном органе. В случае отсутствия подразделения собственной безопасности и подразделения информационной безопасности и технической защиты информации в организации, находящейся в ведении ФТС России, инструкции согласуются у курирующего должностного лица Управления собственной безопасности ФТС России и в отделе информационной безопасности ГУИТ ФТС России.

30. В Инструкции по эксплуатации должны быть определены:

порядок допуска и регистрации пользователей АРМ доступа к сети "Интернет";

порядок оформления разрешений для пользователей АРМ доступа к сети "Интернет" для передачи информации в сеть "Интернет";

порядок применения средств защиты информации на АРМ доступа к сети "Интернет", в том числе криптографических средств (при наличии);

порядок входа, регистрации и работы пользователей АРМ доступа к сети "Интернет";

правила разграничения доступа и способы взаимодействия с сетью "Интернет";

порядок применения средств защиты информации от несанкционированного доступа на АРМ доступа к сети "Интернет", средств антивирусной защиты при входе, подключении к сети "Интернет" и в процессе работы на АРМ доступа к сети "Интернет";

обязанности и ответственность должностных лиц подразделения информационной безопасности и технической защиты информации, ответственных за эксплуатацию АРМ доступа к сети "Интернет", и пользователей АРМ доступа к сети "Интернет" при взаимодействии с сетью "Интернет";

порядок контроля за выполнением мероприятий по обеспечению информационной безопасности при эксплуатации АРМ доступа к сети "Интернет".

31. В Инструкции пользователя должны быть определены:

порядок получения пользователем доступа к ресурсам сети "Интернет";

обязанности и ответственность пользователя, допущенного к работе на АРМ доступа к сети "Интернет";

порядок применения средств антивирусной защиты информации;

действия пользователя при обнаружении программных вирусов.

32. Для приемки в эксплуатацию АСД Интернет таможенного органа приказом по таможенному органу (учреждение, находящимся в ведении ФТС России) создается комиссия по вводу в эксплуатацию АСД Интернет таможенного органа. В состав комиссии включаются представители подразделений информационно-технической службы, подразделений информационной безопасности и технической защиты информации и подразделений собственной безопасности. В случае отсутствия в организации, находящейся в ведении ФТС России, подразделения информационно-технической службы, подразделения информационной безопасности и технической защиты информации и подразделения собственной безопасности в состав комиссии могут быть включены представители заинтересованных структурных подразделений, подразделений занимающихся эксплуатацией средств вычислительной техники и должностное лицо, ответственное за эксплуатацию АСД Интернет таможенного органа.

33. Результаты работы комиссии оформляются актом, в котором отражаются:

расположение АРМов доступа к сети "Интернет";

типы и серийные номера оборудования, его состав и конфигурация, используемого на АРМ доступа к сети "Интернет";

состав общего и специального программного обеспечения, настройки, конфигурация средств, используемых для взаимодействия с сетью "Интернет";

перечень установленных средств защиты информации, включая средства антивирусной защиты информации, а также криптографические средства (при их наличии) и их настройки;

34. На основании утвержденного акта АСД Интернет таможенного органа вводится в эксплуатацию приказом по таможенному органу.

35. Для защиты АРМ доступа к сети "Интернет" от заражения компьютерными вирусами используются антивирусные средства актуальной версии, используемые ФТС России. Должностное лицо, ответственное за эксплуатацию средств антивирусной защиты информации в таможенном органе, настраивает обновление антивирусных баз с Интернет-ресурсов в сети "Интернет" не реже одного раза в сутки. Вся информация, полученная из сети "Интернет", в том числе при получении электронной почты, и сохраненная на жестком диске или других носителях информации, должна быть проверена на наличие программных вирусов сканером антивирусного средства.

36. Для контроля работы пользователей с ресурсами сети "Интернет" используются СКД пользователей к ресурсам сети "Интернет", закупаемые централизованно ФТС России (или по поручению ФТС России - ГНИВЦ ФТС России).

37. Решение задач, связанных с функционированием СКД пользователей, осуществляет администратор безопасности АСД Интернет таможенного органа, назначаемый приказом из числа должностных лиц подразделения информационной безопасности и технической защиты информации в таможенном органе. Администратор безопасности АСД Интернет таможенного органа обеспечивает функционирование СКД, назначает учетные записи пользователей и распределяет полномочия пользователей системы, а также блокирует при помощи СКД доступ пользователей к нежелательным сайтам (не предназначенным для исполнения служебных обязанностей).

38. Функционирование СКД пользователей к ресурсам сети "Интернет" должно происходить в соответствии со следующей политикой безопасности:

для распределения политик доступа различных категорий пользователей, либо отделов к определенным ресурсам сети "Интернет", в АСД Интернет таможенного органа следует создавать соответствующие группы в настройках СКД;

присвоение пользователям учетных записей производить в соответствии с шаблоном: "подразделение"_"Фамилия", например, opoi_pupkov. При наличии нескольких пользователей, фамилии которых повторяются, следует добавлять инициал имени, например, opoi_apupkov. За использование учетной записи кем-либо кроме пользователя, которому она была присвоена и выдана под подпись, пользователь несет персональную ответственность;

каждому пользователю назначается пароль, который должен быть индивидуален. Пользователь должен запомнить пароль и держать его в тайне. Пароль должен состоять из символов латинского алфавита различных регистров, цифр и специальных символов, и быть длиной не менее 6 символов. Сохранение пароля пользователя в интернет - браузере*(7), фиксация пароля на общедоступных носителях информации (стикерах, записках, в текстовых файлах и т.д.), а также разглашение пароля третьим лицам запрещены. Пользователь несет персональную ответственность за сохранность в тайне своего персонального пароля.

разрешается использовать лишь те ресурсы сети "Интернет", которые необходимы для выполнения функциональных обязанностей и которые были заявлены в Решении.

39. По мере накопления статистических данных об использовании ресурсов сети "Интернет" политика безопасности СКД может быть дополнена администратором АСД Интернет таможенного органа по согласованию с начальником подразделения информационной безопасности и технической защиты информации таможенного органа.

IV. Условия и порядок использования АСВДТО

40. АСВДТО предназначена для создания организационных и технических условий международного информационного взаимодействия с таможенными службами иностранных государств и международных администраций, межведомственного информационного взаимодействия с заинтересованными федеральными органами исполнительной власти, информационного взаимодействия с организациями банковской сферы и участниками внешнеэкономической деятельности, организации доступа к сети "Интернет" должностных лиц структурных подразделений ФТС России и ГНИВЦ ФТС России и решения иных задач*(8).

41. АВСДТО состоит из следующих подсистем:

подсистема внешних обменов;

подсистема удаленного доступа;

подсистема синдикации ресурсов сети "Интернет";

подсистема администрирования и мониторинга событий;

подсистема защиты информации;

подсистема публикации внешних ресурсов.

42. Положение об АВСДТО утверждается отдельным приказом ФТС России.

V. Заключительные положения

43. При использовании сети "Интернет" запрещается:

подключать к АРМ доступа к сети "Интернет" иные средства вычислительной техники и автоматизированные системы, кроме указанных в Решении (в структурных подразделениях ФТС России - в заявке);

изменять состав и конфигурацию программных и технических средств АРМ доступа к сети "Интернет";

использовать информационные ресурсы информационно-телекоммуникационных сетей международного информационного обмена, не предназначенные для исполнения функциональных обязанностей должностными лицами, допущенными к работе в сети "Интернет";

работать на АРМ доступа к сети "Интернет" под чужой учетной записью;

хранить и обрабатывать на АРМ доступа к сети "Интернет" информацию, содержащую сведения, составляющие государственную тайну, либо информацию ограниченного доступа.

44. Персональную ответственность за ознакомление с требованиями Положения должностных лиц, допущенных к работе на АРМ доступа к сети "Интернет", возлагается на начальника структурного подразделения ФТС России.

45. Персональную ответственность за выполнение мероприятий по обеспечению безопасности информации при работе на АРМ доступа к сети "Интернет" несут пользователи АРМ доступа к сети "Интернет"

46. Персональную ответственность за соответствие АРМ доступа к сети "Интернет" требованиям настоящего Положения несут должностные лица, ответственные за соответствующие АРМ доступа к сети "Интернет".

47. Персональную ответственность за эксплуатацию АСД Интернет таможенного органа несут должностные лица, назначенные администраторами АСД Интернет в таможенном органе.

48. Контроль выполнения мероприятий по обеспечению безопасности информации таможенных органов при использовании сети "Интернет" возлагается на:

начальников структурных подразделений ФТС России;

начальника таможенного органа или учреждений, находящимся в ведении ФТС России;

штатных должностных лиц, ответственных за информационную безопасность и техническую защиту информации в таможенном органе;

ответственных должностных лиц по защите информации в структурных подразделениях ФТС России.

Начальник Главного управления информационных технологий

А.Е. Шашаев

------------------------------

*(1) Прокси-сервер - служба в компьютерных сетях, позволяющая выполнять косвенные запросы к другим сетевым службам.

*(2) Анонимайзер - это средство для скрытия информации о компьютере или пользователе в сети. Может быть программой, устанавливаемой на компьютер или специальным веб-сайтом.

*(3) Интернет-пейджер (программа мгновенного обмена сообщениями) - это программа для обмена сообщениями через сеть "Интернет" в реальном времени через службы мгновенных сообщений.

*(4) Допустимо назначение одного должностного лица, ответственного за эксплуатацию АРМ доступа к сети "Интернет", в отделе структурного подразделения ФТС России.

*(5) Провайдер - организация, предоставляющая услуги доступа к сети "Интернет" и иные связанные с сетью "Интернет" услуги.

*(6) При организации в таможенном органе или организации, находящейся в ведении ФТС России, АСД Интернет, состоящей из одного АРМ доступа, допустимо не устанавливать специализированный сервер доступа к сети "Интернет".

*(7) Интернет-браузер - программное обеспечение для просмотра веб-сайтов, то есть для запроса веб-страниц, их обработки, вывода и перехода от одной страницы к другой.

*(8) В соответствии с эксплуатационной документацией на АСВДТО.