Информационная безопасность в таможенных органах. Эмирханова.К.Х_Тс06_1605_Эссе по ИБ_01.10.2020. 1. Назначение и основное содержание нормативной правовой базы обеспечения информационной безопасности и технической защиты информации в таможенных органах

Название	1. Назначение и основное содержание нормативной правовой базы обеспечения информационной безопасности и технической защиты информации в таможенных органах
Анкор	Информационная безопасность в таможенных органах
Дата	04.10.2020
Размер	39.35 Kb.
Формат файла
Имя файла	Эмирханова.К.Х_Тс06_1605_Эссе по ИБ_01.10.2020.docx
Тип	Документы #140834

Эмирханова.К.Х_Тс06_1605_01.10.2020

1. Назначение и основное содержание нормативной правовой базы обеспечения информационной безопасности и технической защиты информации в таможенных органах
Информация – важнейший стратегический ресурс. Информационное поле внешнеэкономической деятельности включает в себя совокупность самых разнообразных и разнородных информационных ресурсов, информационных потоков, алгоритмов и технологий их передачи, контроля и обработки.

Основной задачей информационных таможенных технологий является управление информацией внутри таможенной системы в интересах повышения эффективности таможенного оформления и контроля, создания максимально благоприятных условий для участников внешнеэкономической деятельности, при максимальном выявлении осуществляемых ими нарушений таможенных правил.

Информационная безопасность таможенных органов есть состояние защищённости национальных интересов государства в информационной сфере деятельности таможенных органов.

Содержание национальных интересов государства раскрывается в Доктрине информационной безопасности Российской Федерации и Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2020 года (далее - Концепция). Концепция выделяет четыре составляющих национальных интересов Российской Федерации в информационной сфере:

1. соблюдение конституционных прав и свобод человека и гражданина в области получения и использования таможенной информации, а также информации о сведениях и доказательствах, полученных в ходе оперативно-розыскной деятельности, уголовного и административного судопроизводства;

2. информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации с обеспечением доступа граждан к открытым государственным информационным ресурсам в таможенной сфере;

3.содействие развитию современных информационных технологий отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов, находящихся в ведении ФТС России.

4.защита информационных ресурсов таможенных органов Российской Федерации от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем как уже развёрнутых, так и создаваемых в интересах таможенных органов Российской Федерации.

Целью обеспечения информационной безопасности таможенных органов является защита национальных интересов государства в информационной сфере при осуществлении ФТС России (таможенными органами) функций по выработке государственной политики и нормативного правового регулирования, контроля и надзора в области таможенного дела, а также функций агента валютного контроля и специальных функций по борьбе с контрабандой, иными преступлениями и административными правонарушениями.

Одним из основных документов, посвященных вопросам безопасности информации является «Доктрина информационной безопасности Российской Федерации». В этом документе описаны способы, объекты, а также процедуры, необходимые для обеспечения информационной безопасности. Однако, следует отметить, что изучаемый вопрос безопасности информации данным набором правовых актов не ограничивается. Защита информации требует системного и комплексного подхода, так как представляет собой сложный комплекс мероприятий, подразумевающих большой круг различных процедур и явлений, связанных с противодействием угрозам безопасности.

Защита информации в таможенных органах разделяется два направления. С одной стороны, мероприятия по информационной безопасности таможенных органов выполняется для достижения национальной безопасности. С другой, определенные процедуры направлены для обеспечения своего естественного функционирования.

Острота проблемы отражена в приказе, которым утверждена «Концепция обеспечения информационной безопасности таможенных органов РФ на период до 2020 года». Данная Концепция определяет штатную структуру и основные задачи. Необходимо также указать, что, опираясь на Стратегию национальной безопасности и Доктрину информационной безопасности, в Концепции уделено внимание лишь защите информации в целях защиты национальных интересов, при этом упущенным остается уровень внутренней безопасности.

В положении «Стратегии развития таможенной службы Российской Федерации до 2020 года» в разделе 8 «Совершенствование информационно-технического обеспечения» установлено, что повышение уровня безопасности информационных ресурсов, увеличение форм и способов по обеспечению защиты информации, в том числе при организации защищенного об-мена информацией с федеральными органами исполнительной власти – это одна из главных задач, получение ответа на которую будет способствовать совершенствованию информационно-технического обеспечения деятельности таможенных органов.

Для государственных структур задача защиты информации всегда являлась актуальной. С совершенствованием механизмов организации кибератак она вышла на принципиально новый уровень.

Отсюда следует задача по защите информации и информационных систем от вирусных атак. В целях качественного построения системы антивирусной защиты действует приказ ФТС России от 28.05.2007 № 660 «О системе антивирусной защиты информации в таможенных органах Российской Федерации».

Данным приказом введено в действие положение об антивирусной защите в таможенных органах. Здесь подробно описана структура системы по борьбе с вирусной активностью, порядок оснащения программными и аппаратными средствами защиты таможенных органов, а также схема эксплуатации данной системы и распределение обязанностей между сотрудниками. Данная система позволяет предотвращать факты заражения компьютерными вирусами, а также нежелательными программами вычислительных ресурсов автоматизированных систем таможенных органов.

Отдельно остановимся на нормативных правовых актах ФТС России, направленных на обеспечение информационной безопасности таможенных органов. Данные подзаконные акты конкретизируют специфику правового регулирования в рамках правового режима обеспечения информационной безопасности таможенных органов. Следует уточнить, что ряд из них носит «грифованный характер», то есть их содержание отнесено к сведениям ограниченного обращения.

Раскрыть содержание их в «открытой» работе мы не можем, так что ограничимся лишь указанием на их существование.

Концепция обеспечения информационной безопасности таможенных органов Российской Федерации выделяет следующие нормативные правовые акты ФТС России, участвующие в регулировании обеспечения информационной безопасности таможенных органов:

Собственно Концепция обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2020 года, утвержденная приказом ФТС России №2401 от 13 декабря 2010 года. Данный нормативный правовой акт раскрывает роль и место обеспечения информационной безопасности таможенных органов Российской Федерации в обеспечении национальных интересов государства в информационной сфере посредством формулировки определения, что считать информационной безопасностью таможенных органов, освещения составляющих национальных интересов Российской Федерации в информационной сфере деятельности таможенных органов, обозначения объектов обеспечения информационной безопасности таможенных органов. В концепции описывается современное состояние информационной безопасности таможенных органов Российской Федерации, раскрывается политика и основные принципы обеспечения информационной безопасности таможенных органов.

Данный документ выделяет основные направления и задачи обеспечения информационной безопасности таможенных органов на период до 2020 года. Отдельный раздел концепции посвящён организации контроля за состоянием обеспечения информационной безопасности таможенных органов.

Положение о разграничении полномочий и установлении ответственности подразделений ФТС России при обеспечении информационной безопасности таможенных органов Российской Федерации, утвержденное приказом ФТС России №1011ДСП.
Положение о Совете по обеспечению информационной безопасности таможенных органов Российской Федерации, утверждённое приказом ФТС России №924 от 29 июля 2008 года. Совет по обеспечению информационной безопасности таможенных органов Российской Федерации имеет функцию постоянно действующей технической комиссии по защите государственной тайны. Положение раскрывает назначение, цели и задачи, стоящие перед данным органом, раскрывает его структурные особенности и т.п.
Перечень сведений, подлежащий засекречиванию в ФТС России, утверждённый приказом ФТС России №77ДСП от 29 января 2009 года.
Перечень сведений ограниченного распространения в ФТС Росси, утверждённый приказом ФТС России №1117ДСП от 11 сентября 2007 года (в редакции приказов ФТС Росси от 12 марта 2008 года №245ДСП, от 16 мая 2008 года №594ДСП).
Положение по проведению функциональных проверок таможенных органов Российской Федерации по вопросам организации и состояния обеспечения информационной безопасности и технической защиты информации, утверждённое приказом ФТС России №19 от 19 января 2009 года. Целевой установкой данного нормативного правового акта является регламентация проведения функциональных проверок таможенных органов Российской Федерации по вопросам организации и состояния обеспечения информационной безопасности и технической защиты информации, которая включает в себя органы, осуществляющие проверку, круг проверяемых и т.п. Его основной задачей является выявление нарушений в проверяемой сфере.
Программа проведения обучения должностных лиц структурных подразделений ФТС России, таможенных органов Российской Федерации и работников учреждений, находящихся в ведении ФТС России, по вопросам обеспечения информационной безопасности, утверждённая приказом ФТС №710 от 7 июня 2008 года. Данный нормативный правовой акт ставит цели, задачи, определяет направления проведения обучения должностных лиц структурных подразделений ФТС России, таможенных органов Российской Федерации и работников учреждений, находящихся в ведении ФТС России, по вопросам обеспечения информационной безопасности.
иные ведомственные нормативные правовые документы.

Следует сказать, что за нарушение правовых норм, регулирующих информационную безопасность таможенных органов, положены различные виды ответственности: дисциплинарная, гражданско-правовая, административная, уголовная.

Это обусловлено спецификой совершаемого правонарушения. Соответственно, применяемые меры ответственности носят достаточно широкий спектр, начиная от выговора, административного штрафа и оканчивая лишением свободы.

Таким образом, обобщая все вышеперечисленное, к основным нормативно-правовым актам в области обеспечения информационной безопасности таможенных органов относятся:

Международная конвенция об упрощении и гармонизации таможенных процедур (совершено в Киото 18.05.1973);
Федеральный закон от 03.08.2018 № 289-ФЗ «О таможенном регулировании в Российской Федерации и о внесении изменений в отдельные законодательные акты Российской Федерации»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
Указ Президента РФ от 30.11.1995 № 1203 (ред. от 08.08.2019) «Об утверждении Перечня сведений, отнесенных к государственной тайне»;
Указ Президента РФ от 06.03.1997 № 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера»;
Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»;
Указ Президента РФ от 12.12.2014 №К 1274 «О Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
Распоряжение Правительства РФ от 28.12.2012 № 2575-р (ред. от 10.02.2018) «О Стратегии развития таможенной службы Российской Федерации до 2020 года»;
Рекомендация Коллегии Евразийской экономической комиссии от 03.02.2015 № 2 «О перечне стандартов и рекомендаций в области информационно-телекоммуникационных технологий и информационной безопасности, применяемых при создании, эксплуатации и развитии интегрированной информационной системы внешней и взаимной торговли»;
Приказ ФТС России от 13.12.2010 № 2401 «Об утверждении Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2020 года»;
Приказ ФТС России от 22.08.2011 № 1702 «Об утверждении Положения и состава Совета по обеспечению информационной безопасности таможенных органов Российской Федерации»;
Приказ ФТС РФ от 07.10.2010 № 1866 «Об утверждении Положения по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации»;
Приказ ФТС России от 28.01.2011 № 165 «О внесении изменений в приказ ФТС России от 20 декабря 2010 года № 2484» (вместе с Типовым положением о подразделении информационной безопасности и технической защиты информации регионального таможенного управления (таможни, непосредственно подчиненной ФТС России; Типовым положением подразделения информационной безопасности и технической защиты информации таможни);
Приказ ФТС России от 22.01.2008 № 39 «Об утверждении Положения об Автоматизированной системе выявления каналов утечки информации из Центральной базы данных ЕАИС таможенных органов»;
Приказ ФТС России от 28.06.2012 № 1266 «Об утверждении Порядка эксплуатации средств криптографической защиты информации, реализующих механизмы электронной подписи, должностными лицами (работниками) таможенных органов Российской Федерации»;
Приказ ФТС России от 15.04.2009 № 683 «Об утверждении Положения о порядке эксплуатации персональных средств идентификации и аутентификации должностных лиц таможенных органов Российской Федерации»;
Приказ ФТС России от 21.10.2015 № 2133 «Об утверждении основных направлений развития информационно-коммуникационных технологий в таможенных органах Российской Федерации до 2030 года»;
Приказ ФСТЭК России от 11.02.2013 № 17 (ред. от 15.02.2017) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Приказ ФСБ РФ от 27.12.2011 № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»;
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения;
ГОСТ Р ИСО/МЭК ТО 18044-2007. Менеджмент инцидентов информационной безопасности;
Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»);
Приказ ФСТЭК России от 12.07.2012 № 83 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации».

Также отметим, что с совершенствованием механизмов организации кибератак задача защиты информации государственных структур вышла на принципиально новый уровень. В целях качественного построения системы антивирусной защиты действует приказ ФТС России от 28.05.2007 № 660 «О системе антивирусной защиты информации в таможенных органах Российской Федерации», в котором подробно описана структура системы по борьбе с вирусной активностью, порядок оснащения программными и аппаратными средствами защиты таможенных органов, а также схема эксплуатации данной системы и распределение обязанностей между сотрудниками.

Отдельно остановимся на нормативных правовых актах ФТС России, направленных на обеспечение ИБ ТО. Следует уточнить, что ряд из них носит «грифованный характер», то есть их содержание отнесено к сведениям ограниченного распространения:

Положение о разграничении полномочий и установлении ответственности подразделений ФТС России при обеспечении информационной безопасности таможенных органов Российской Федерации, утвержденное приказом ФТС России №1011ДСП;
Перечень сведений, подлежащий засекречиванию в ФТС России, утверждённый приказом ФТС России №77ДСП от 29.01.2009 г.;
Перечень сведений ограниченного распространения в ФТС России, утверждённый приказом ФТС России №1117ДСП от 11.09.2007 г.;
иные ведомственные нормативные правовые документы.

Итак, правовая база обеспечения информационной безопасности и технической защиты информации в таможенных органах РФ в настоящее время довольно обширна.

2. Ответственность за нарушения в сфере обеспечении информационной безопасности

Следует отметить, что за нарушение правовых норм, регулирующих информационную безопасность ТО, положены различные виды ответственности: дисциплинарная, гражданско-правовая, административная, уголовная. Это обусловлено спецификой совершаемого правонарушения. Соответственно, применяемые меры ответственности носят достаточно широкий спектр: от выговора, административного штрафа до лишения свободы (табл. 1).

Таблица 1

Виды наказаний в области информационной безопасности в соответствии с КоАП РФ

№ статьи	Название статьи	Максимальное наказание
13.11	Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	10000 руб.
13.14	Разглашение информации с ограниченным доступом	5000 руб.
13.12	Нарушение правил защиты информации	20000 руб. с конфискацией и приостановлением деятельности до 90 суток
13.13	Незаконная деятельность в области защиты информации	20000 руб. с конфискацией
5.27	Нарушение законодательства о труде и об охране труда	50000 руб. с приостановлением деятельности до 90 суток и дисквалификацией должностного лица до 3-х лет
5.39	Отказ в предоставлении гражданину информации	1000 руб.

Основные нарушения информационной безопасности:

1. Уголовный кодекс Российской Федерации:

Ст. 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации;
Ст. 159.6. Мошенничество в сфере компьютерной информации;
Ст. 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну;
Ст. 185.6. Неправомерное использование инсайдерской информации;
Ст. 272. Неправомерный доступ к компьютерной информации;
Ст. 273. Создание, использование и распространение вредоносных компьютерных программ;
Ст. 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей;
Ст. 283. Разглашение государственной тайны;
Ст. 283.1. Незаконное получение сведений, составляющих государственную тайну;
Ст. 284. Утрата документов, содержащих государственную тайну;
Ст. 310. Разглашение данных предварительного расследования.

2. Гражданский кодекс Российской Федерации:

Часть 2. Статья 727. Конфиденциальность полученной сторонами информации;
Часть 2. Статья 771. Конфиденциальность сведений, составляющих предмет договора.

3. Кодекс Российской Федерации об административных правонарушениях:

Ст. 5.53. Незаконные действия по получению и (или) распространению информации, составляющей кредитную историю;
Ст. 13.11. Нарушение законодательства Российской Федерации в области персональных данных;
Ст. 13.12. Нарушение правил защиты информации;
Ст. 13.13. Незаконная деятельность в области защиты информации;
Ст. 13.27.1. Нарушение требования о размещении на территории Российской Федерации технических средств информационных систем;
Ст. 13.33. Нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи;
Ст. 13.34. Неисполнение оператором связи, оказывающим услуги по предоставлению доступа к ИТС Интернет, обязанности по ограничению или возобновлению доступа к информации, доступ к которой должен быть ограничен или возобновлен на основании сведений, полученных от федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций;
Ст. 14.30. Нарушение установленного порядка сбора, хранения, защиты и обработки сведений, составляющих кредитную историю;
Ст. 15.21. Неправомерное использование инсайдерской информации;
Ст. 17.13. Разглашение сведений о мерах безопасности;
Ст. 20.23. Нарушение правил производства, хранения, продажи и приобретения специальных технических средств, предназначенных для негласного получения информации;
Ст. 20.24. Незаконное использование специальных технических средств, предназначенных для негласного получения информации, в частной детективной или охранной деятельности.

Например, в соответствии со ст. 274 УК РФ нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо:

исправительными работами от 6 месяцев до 1 года;
ограничением свободы на срок до 2 лет;
принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.

Деяние, предусмотренное ч. 1 ст. 274, если оно повлекло тяжкие последствия или создало угрозу их наступления, наказывается принудительными работами на срок до 5 лет, либо лишением свободы на тот же срок.

Таким образом, изучив нормативно – правовые акты в области нарушения информационной безопасности, рассмотрим примеры нарушений:

1. ООО «ИнжПроектКомплекс» получена лицензия (от 25 июля 2012 года, сроком до 27 сентября 2016 года) на осуществление работ с использованием сведений , составляющих государственную тайну, при условии получения услуг в области государственной тайны в ООО «НПК «СпецПроект». 15.09.2015 в адрес УФСБ России по Краснодарскому краю поступило уведомление от ООО «НПК «СпецПроект» о том, что ООО «ИнжПроектКомплекс» не принимаются меры по переоформлению лицензии в связи с изменением адреса места, осуществления лицензируемого вида деятельности.

В ходе проверки УФСБ России по Краснодарскому краю данной информации, было принято решение, что ООО «ИнжПроектКомплекс» нарушило требования п. 8 Положения о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, утвержденного Постановлением Правительства РФ от 15.04.1995 г. № 333, ООО «ИнжПроектКомплекс» в 15-дневный срок не подало в орган , уполномоченный на ведение лицензионной деятельности, заявления на переоформление лицензии.

В отношении общества при участии законного представителя Жукова А.С. был составлен протокол об АП по ч. 3 ст. 13.12 КоАП РФ. Постановлением об АП от 30.09.15 по делу № 3/3/3-98-15, общество было признано виновным в совершении административного правонарушения, выразившегося в нарушении законодательства о государственной тайне, ответственность за которое предусмотрено ч. 3 ст. 13.12 КоАП РФ, и назначило наказание в виде административного штрафа в сумме 20000 руб.

2. В соответствии с Решением Арбитражного суда Калининградской области от 20.12.2019 по делу № А21-13880/2019 Калининградский энергетический таможенный пост (со статусом ЮЛ) был правомерно привлечен к административной ответственности по ч. 2 ст. 13.12 КоАП РФ с назначением наказания в виде административного штрафа в размере 20000 руб. постановлением УФСБ РФ по Калининградской области № 3/157-19 от 02.09.2019. Таможенный пост был привлечен к ответственности за использование несертифицированной информационной системы.

3. Постановлением начальника УФСБ России по Смоленской области Сергеев П.В. признан виновным в совершении административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, и ему было назначено административное наказание в виде административного штрафа. Сергеева П.В. привлекли к административной ответственности за то, что он не применил средства криптографической защиты информации соответствующего класса.

В организации, где работал Сергеев П.В., функционирует информационная система персональных данных, которой определен 3 уровень защищенности персональных данных при их обработке в информационной системе. В соответствии с пп. «г» п. 13, п. 14 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, одним из обязательных требований для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах является требование об использовании «средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации» (приказ ФСТЭК России от 18.02.2013 № 21, приказ ФСБ России от 10.07.2014 № 378). Однако, в нарушение требований действующего законодательства обмен персональными данными при их обработке в информационной системе осуществлялся без применения средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации.