учебник хахаева. Хахаев_ИТТ. Информационные таможенные технологии

сертифицированные Федеральной службой по техническому и экспортному контролю (далее — ФСТЭК России) по требованиям безопасности информации;
• программное обеспечение ИС ЭПС должно быть включено в реестр оформленных и выданных свидетельств ПО ИС ЭПС.
Требования, предъявляемые к техническим средствам и средствам защиты информации ИС ЭПС:
• на средства вычислительной техники ИС ЭПС в обязательном порядке должны быть установлены лицензионные средства антивирусной защиты информации, сертифицированные ФСТЭК России и Федеральной службой безопасности России (далее — ФСБ России) по требованиям безопасности информации;
• для обеспечения целостности и юридической значимости передаваемой информации в процессе информационного взаимодействия должны использоваться сертифицированные ФСБ России средства криптографической защиты информации и электронной цифровой подписи, совместимые с системой ведомственных удостоверяющих центров таможенных органов (далее
— СВУЦТО);
• должны быть обеспечены разграничение и контроль доступа должностных лиц Заявителя к ресурсам ИС ЭПС с использованием сертифицированных средств защиты информации (ИС ЭПС должна быть аттестована по требованиям безопасности информации).
При организации данной схемы необходимо обеспечить:
• со стороны оборудования:
◦
интернет-канал со статическим IP;
◦
аппаратно-программный комплекс шифрования (АПКШ )
«Континент»;
◦
систему защиты информации от несанкционированного доступа типа
«Аккорд» или «Соболь»;
• со стороны программного обеспечения:
◦
операционную систему Microsoft Windows не старше Windows XP
(сертифицированную Федеральной службой по техническому и экспортному контролю (далее — ФСТЭК));
◦
антивирусное программное обеспечение (сертифицированное
ФСТЭК);
◦
средство криптографической защиты информации «КриптоПро CSP»
версий 3.6 или более новое, включая процедуру получения ЭЦП в
Главном научно-информационном вычислительном центре (ГНИВЦ)
ФТС России (приобретается самостоятельно);
81

◦
программное обеспечение, прошедшее сертификацию в ЦИТТУ;
◦
наличие сертификата соответствия требованиям безопасности информации (аттестация на соответствие рабочего места или сегмента локальной сети требованиям безопасности информации) (приказ ФТС
России от 24 января 2008 г. No 52);
◦
подготовку и отправку заявки в ЦИТТУ в соответствии с приказом No
52. По истечении срока рассмотрения заявки в случае положительного решения заключить с ЦИТТУ соглашение на подключение к системе
ЭД;
◦
подготовку и отправку заявки в ЦИТТУ на получение ЭЦП.
Принимая во внимание вышесказанное, становится ясно, что прямая схема является достаточно затратным мероприятием, как финансово, так и по времени.
Рассмотрим прямую схему работы.
Специалист по таможенному оформлению подготавливает электронный пакет, состоящий из ТД, ДТС и описи, проставляет свою ЭЦП и отправляет в
ЦИТТУ, где проверяется право доступа конкретного участника ВЭД к системе
ЭД и достоверность его ЭЦП. Затем происходит пересылка пакета документов из ГНИВЦ по таможенной транспортной технологической подсистеме (ТТП) в базу данных регионального таможенного управления (РТУ), где ТД и другие документы проходят первичный форматный контроль, после чего поступают на таможенный пост, на котором и происходит осуществление таможенных операций.
После начала осуществления таможенных операций от таможни может прийти запрос на дополнительные документы. В ответ необходимо будет подготовить и отправить электронный документ. В случае необходимости проведения досмотра таможня присылает уведомление о досмотре, получение которого надо будет подтвердить. После проведения досмотра декларанту высылается акт досмотра.
Сообщение о завершении таможенных операций (или о переводе на общеустановленный порядок таможенных операций) поступает к участнику
ВЭД, проходя обратно по таможенным каналам.
Алгоритм информационного взаимодействия для электронного декларирования показан на рис. 30.
В случае организации схемы взаимодействия через информационного оператора (рис. 31) возникают следующие преимущества:
• нет необходимости закупать дорогостоящее оборудование;
• нет необходимости согласовывать схему подключения;
• нет необходимости держать в штате квалифицированного
82

IT-специалиста;
• нет необходимости проходить процесс сертификации;
• для работы с системой достаточно даже низкоскоростного интернет-канала;
• наличие квалифицированной технической поддержки со стороны оператора по вопросам связи с таможней.
При организации данной схемы необходимо обеспечить:
•
со стороны оборудования:
◦
свободный USB-порт;
◦
интернет-канал;
◦
VPN -ключ предоставляется информационным оператором.
VPN-key® — представляет собой персональное средство защиты информации, предназначенное для выполнения криптографических преобразований, строгой аутентификации, безопасного хранения ключевой информации и аутентификационных данных (предоставляется информационным оператором);
◦
USВ-токен RuToken — аппаратную реализацию российского стандарта электронной цифровой подписи. RuToken предназначен для аутентификации пользователей при доступе к секретной информации,
для безопасного хранения и использования ключей шифрования и
ЭЦП, паролей, цифровых сертификатов. Может применяться для решения задач авторизации и разделения доступа в сетях, обеспечения необходимого уровня безопасности при работе с электронной почтой,
для безопасного подключения удалённых пользователей. Покупка
RuToken относится к дополнительным (необязательным) услугам;
•
со стороны программного обеспечения:
◦
операционную систему Microsoft Windows не старше Windows XP;
◦
антивирусное программное обеспечение;
◦
средство криптографической защиты информации «Крипто-Про CSP»
версий 3.0, 3.6 или более новое (приобретается самостоятельно);
◦
программное обеспечение, прошедшее сертификацию в ЦИТТУ ФТС
России.
83

Рис. 30. Взаимодействие участника ВЭД и таможенных органов при электронном декларировании.
84

Рис. 31. Схема электронного декларирования через информационного оператора.
Фактически информационный оператор устанавливает у себя сервер маршрутизации с лицензированной операционной системой и антивирусным программным обеспечением, аппаратно-программный комплекс шифрования
(АПКШ ) «Континент», а также обеспечивает выполнение всех требований безопасности вплоть до защиты от несанкционированного доступа в помещение, в котором установлен сервер маршрутизации.
По всем параметрам данная схема является наиболее оптимальной для конечного пользователя. Информационный оператор — организация, которая предоставляет канал передачи информации и обеспечивает выполнение требований безопасности при пересылке сведений в системе ЭД через
Интернет. Информационный оператор фактически берет на себя роль связующего звена между участниками ВЭД и таможенными органами, а также может оказывать техническую поддержку по настройке каналов передачи информации, установке и обслуживанию программных продуктов,
сертифицированных для работы с системой ЭД.
К разным участникам описанной выше схемы взаимодействия предъявляются разные требования в части их технического оснащения.
Участники ВЭД должны получить ЭЦП и установить у себя программное обеспечение для оформления ТД и сопутствующих документов, прошедшее сертификацию в ЦИТТУ.
Список информационных операторов, с которыми у ЦИТТУ заключены соглашения об информационном взаимодействии при представлении сведений в электронной форме с использованием международной ассоциации сетей
«Интернет», можно найти на портале Федеральной Таможенной службы www.customs.ru в разделе «Информация для участников ВЭД».
Ряд операторов в своей деятельности использует КПС «Декаларант
ЭДТиТС» – ЗАО «НПО «Персей», ООО «ТЛЦ», ЗАО «МСИ-сервис», ЗАО
«Филип Моррис Ижора».
В 2008 г. ФТС России разработала концепцию переноса таможенных операций в районы, приближенные к таможенной границе РФ.
85

Благодаря электронному декларированию через Интернет участники ВЭД
могут оформлять свои грузы на любой пограничной таможне, не тратя деньги на оборудование офисов и перевод специалистов в приграничные районы.
Кроме того, система привлекательна для осуществления таможенных операций с некоторыми специфическими грузами, например продукцией морского промысла. При подключении к системе электронного декларирования такую продукцию фактически можно будет оформлять до захода судна в порт, что ведёт к упрощению процесса таможенного контроля.
Внедрение данной технологии в процесс таможенного контроля должно создать условия для приведения таможенных процедур в Российской
Федерации в соответствие с положениями Международной конвенции об упрощении и гармонизации таможенных процедур.
С 1.01.2014 использование электронного декларирования является обязательным.
Современная система электронного декларирования (ЭД-2) работает с использованием каналов Интернет. В технологии ЭД-2 не предусмотрена передача сканированных версий ТД. ДТС,и других таможенных документов.
Однако при использовании ЭД-2 есть возможность передавать дополнительные документы, не предусмотренные форматом ЭТД (формат «free-doc»).
При обработке декларации в технологии ЭД-2 реализуются этапы,
показанные на рис. 32.
Рис. 32. Этапы прохождения электронной декларации по технологии ЭД-2.
Таким образом, реализация информационных технологий в ЕАИС ФТС
Российской федерации основана на телекоммуникационном оборудовании Cisco
Systems (США), программном обеспечении для Web-сервисов и доставки сообщений XML-RPC и SOAP от компании IBM (США), серверах баз данных компании Oracle (США) и системном программном обеспечении Microsoft
(США). Для обеспечения криптографической защиты информации используются отечественные программно-аппаратные решения — АПКШ
«Континент» (разработка ООО «Код Безопасности»), средства защиты информации «Аккорд» (ОКБ САПР) и «Соболь» (ООО «Код Безопасности»),
электронные ключи VPN-key и RuToken (ЗАО «Актив-cофт»), а также средства
86

шифрования «КриптоПро» (продукт ООО «Крипто-Про»), основанные на технологиях Microsoft CSP (Cryptographic Service Provider).
Антивирусная защита обеспечивается в основном антивирусными пакетами отечественных компаний «Лаборатория Касперского» и Dr.Web.
КАСТО и КПС, включая программное обеспечение для электронного декларирования разрабатываются и поддерживаются отечественными компаниями - ЗАО «Тамга», ОАО «НИЦ СПб ЭТУ», ЗАО «НПО «Персей»,
ООО «СофтЛэнд», ЗАО «Инмар», ООО «Альта-Софт», ООО «СТМ», ООО
«ТКС.РУ» и другими.
Основы информационной безопасности в
АИС
Основные понятия информационной безопасности
Информационная безопасность (ИБ) – защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (угроз), которые могут нанести неприемлемый ущерб субъектам информационных отношений,
в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Основными составляющими информационной безопасности, касающейся информационного обеспечения АИС, являются:
•
Доступность – возможность в приемлемое время получить требуемую информационную услугу
•
Целостность – актуальность и непротиворечивость информации, её
защищённость от разрушения и несанкционированного изменения
•
Конфиденциальность – защита от несанкционированного доступа к информации
С практической точки зрения абсолютной защищённости не существует.
Важно соотношение ущерба от нарушения ИБ и стоимости мер по её
обеспечению.
Защита информации – комплекс мероприятий, направленных на обеспечение ИБ.
Источник угрозы – это субъект, материальный объект или физическое явление, создающий угрозу безопасности защищаемой информации.
Источники угроз делятся на субъективные (зависят от действий персонала и устраняются организационными мерами и программно-аппаратными средствами) и
объективные
(зависят от особенностей построения и технических характеристик оборудования).
87

Внешними субъективными источниками угроз являются:
•
внесение аппаратных закладок в технические средства
•
удалённое внедрение вредоносного ПО
•
перехват защищаемой информации в каналах передачи данных
•
подбор аутентифицирующей информации пользователей («взлом паролей»)
Внутренними субъективными источниками угроз являются действия лиц, имеющих доступ к работе и (или) допуск в пределы контролируемой зоны.
Объективные источники угроз подразделяются на две категории.
А. Стихийные источники потенциальных угроз информационной безопасности, под которыми понимаются прежде всего природные явления
(пожары, землетрясения, наводнения и т.п.).
Б. Источники, связанные с техническими средствами, а именно
•
передача информации по беспроводным, проводным и волоконно-оптическим каналам
•
дефекты, сбои и отказы технических средств
•
отказы и сбои программных средств обработки информации.
Все возможные виды угроз также подразделяются на две категории:
•
Атаки
•
Угрозы, не являющиеся атаками.
Атака является целенаправленным действием нарушителя с использованием технических и (или) программных средств, с целью нарушения заданных характеристик безопасности защищаемых ресурсов или с целью создания условий для этого.
Атаки могут осуществляться через технические каналы утечки информации, а также за счёт несанкционированного доступа (НСД) к техническим и программным средствам АИС с применением соответствующих программных и программно-аппаратных средств.
Среди угроз, не являющихся атаками, можно выделить следующие:
•
угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления)
•
угрозы социально-политического характера (забастовки, саботаж,
локальные конфликты и т.д.)
•
угрозы техногенного характера (отключение электропитания,
разрушение инженерных сооружений, неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания и заземления, помехи и наводки, приводящие к сбоям в работе аппаратных средств и т.д.)
•
ошибочные или случайные действия и (или) нарушения тех или
88

иных требований лицами, взаимодействующими с ресурсами информационной системы в рамках своих полномочий
(непреднамеренные действия пользователей).
Модель угроз информационной безопасности: описание существующих угроз ИБ, их актуальности, возможности реализации и последствий.
Состав модели угроз:
•
описание источников угроз ИБ
•
описание методов реализации угроз ИБ
•
описание объектов, пригодных для реализации угроз ИБ
•
описание уязвимостей, используемых источниками угроз ИБ
•
описание типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов)
•
оценка масштабов потенциального ущерба
Назначение модели угроз: выявление существующих угроз, разработка эффективных контрмер, оптимизация затрат на защиту.
Некоторые важные нормативные документы в области
ИБ
1. Доктрина информационной безопасности РФ (утверждена
Президентом РФ 9 сентября 2000 г. N Пр-1895). Этот документ является основой дляформирования государственной политики в области обеспечения информационной безопасности Российской Федерации, подготовки предложений по совершенствованию правового, методического,
научно-технического и организационного обеспечения информационной безопасности Российской Федерации, а также разработки целевых программ обеспечения информационной безопасности Российской Федерации.
2. Конституция РФ в статье 23 гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. В статье 29 п. 4 гарантируется право свободно искать,
получать, передавать, производить и распространять информацию любым законным способом.
3. Федеральный закон «О государственной тайне» N 5485-1 от 21
июля 1993 г. определяет перечень сведений, на которые не распространяется право получения, передачи и распространения информации в соответствии с п.
4 ст. 29 Конституции РФ.
4. Федеральный закон «Об информации, информационных
технологиях и защите информации» N 149-ФЗ от 27 июля 2006 г. регулирует отношения, возникающие при:осуществлении права на поиск, получение,
передачу, производство и распространение информации, применении
89

информационных технологий и обеспечении защиты информации.
5. Федеральный закон «О персональных данных» N 152-ФЗ от 27
июля 2006 г. вводит понятие и классификацию персональных данных и регулирует отношения, связанные с обработкой персональных данных,
осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и
(или) доступ к таким персональным данным. Данный закон обеспечивает реализацию конституционного права на защиту информации о частной жизни
(ст. 24 п. 1 Конституции РФ).