ПРИКАЗ

от 30 октября 2006 года N 1062

Об обеспечении безопасности информации при информационном

взаимодействии таможенных органов с участниками

внешнеэкономической деятельности и сетями общего пользования

В целях совершенствования обеспечения безопасности информации

при декларировании товаров путем заявления таможенным органам

сведений в электронной форме

приказываю:

1. Утвердить Положение по обеспечению безопасности информации

при использовании информационно-вычислительных сетей общего

пользования в таможенных органах Российской Федерации (далее -

Положение ОБИ ИВС ОП) (приложение N 1) и Положение по обеспечению

безопасности информации при подключении сторонних организаций к

ведомственной интегрированной телекоммуникационной сети таможенных

органов Российской Федерации (далее - Положение ОБИ СО) (приложение

N 2).

2. Таможенным органам, организациям и учреждениям, находящимся

в ведении ФТС России, эксплуатирующим абонентские пункты

информационно-вычислительной сети общего пользования (далее - АП ИВС

ОП) в соответствии с действующими решениями, руководствоваться

настоящим приказом после окончания срока действия указанных решений.

3. Таможенным органам, имеющим точки подключения абонентских

пунктов сторонних организаций к ведомственной интегрированной

телекоммуникационной сети (далее - ВИТС), пересмотреть технические

условия и схемы подключений к ВИТС после окончания срока действующих

соглашений об информационном взаимодействии, но не позднее одного

года с даты издания настоящего приказа.

4. Главному управлению информационных технологий (ГУИТ)

(А.Е.Шашаев) обеспечить:

- принятие и учет решений по заявкам на создание АП ИВС ОП в

таможенных органах;

- учет подключений сторонних организаций к ВИТС таможенных

органов Российской Федерации;

- организацию контроля выполнения Положения ОБИ ИВС ОП и

Положения ОБИ СО.

5. Главному научно-информационному вычислительному центру ФТС

России (О.П.Пучков) обеспечить:

- назначение администратора безопасности АП ИВС ОП ГНИВЦ ФТС

России;

- эксплуатацию АП ИВС ОП ГНИВЦ ФТС России для предоставления

доступа к международной ассоциации сетей "Интернет" должностным

лицам центрального аппарата ФТС России и ГНИВЦа ФТС России;

- создание, эксплуатацию и модернизацию автоматизированной

системы внешнего доступа (АСВД).

6. Начальникам таможенных органов, организаций и учреждений,

находящихся в ведении ФТС России, обеспечить:

- выполнение требований Положения ОБИ ИВС ОП и Положения ОБИ

СО;

- контроль выполнения Положения ОБИ ИВС ОП и Положения ОБИ СО;

- назначение штатных должностных лиц, ответственных за

информационную безопасность и техническую защиту информации в

таможенном органе.

7. Руководителям структурных подразделений ФТС России

обеспечить:

- выполнение Положения ОБИ ИВС ОП;

- своевременное внесение изменений в нормативные документы,

регламентирующие работу абонентского пункта ИВС, обусловленных

организационно-штатными мероприятиями, а также доведение до сведения

ГУИТ и ГНИВЦа ФТС России информации о вновь назначенных должностных

лицах.

8. Главному управлению тылового обеспечения (С.Г.Комличенко)

совместно с Главным управлением информационных технологий

(А.Е.Шашаев) в 2007 году предусмотреть приобретение средств

вычислительной техники и защиты информации, необходимых для

реализации Временной типовой схемы обеспечения безопасности

информации при представлении информации для декларирования товаров и

грузов в электронной форме в части создания сегментов АСВД в Главном

научно-информационном вычислительном центре ФТС России.

9. Главному финансово-экономическому управлению (А.В.Авдонин)

предусмотреть выделение необходимых денежных средств и обеспечить

финансирование работ в пределах утвержденных лимитов бюджетных

обязательств.

10. Считать утратившими силу приказы ГТК России от 20.01.2004 N

51 "Об обеспечении информационной безопасности при работе с

информационно-вычислительной сетью общего пользования", от

02.04.2002 N 303 "О введении в действие Временного положения о

порядке подключения абонентов сторонних организаций к ведомственной

интегрированной телекоммуникационной сети ГТК России" и приказ ФТС

России от 05.08.2005 N 708 "О внесении изменений в приказ ГТК России

от 02.04.2002 N 303".

11. Контроль за исполнением настоящего приказа возложить на

заместителя руководителя ФТС России В.М.Малинина.

Руководитель

генерал-полковник таможенной службы

А.Ю.Бельянинов

Приложение N 1

к приказу ФТС России

от 30 октября 2006 года N 1062

ПОЛОЖЕНИЕ

по обеспечению безопасности информации при использовании

информационно-вычислительных сетей общего пользования в таможенных

органах Российской Федерации

(Положение ОБИ ИВС ОП)

I. Общие положения

1. Настоящее Положение по обеспечению безопасности информации

при использовании информационно-вычислительных сетей общего

пользования в таможенных органах Российской Федерации (далее -

Положение ОБИ ИВС ОП) устанавливает условия и единый в ФТС России,

таможенных органах, организациях и учреждениях, находящихся в

ведении ФТС России (далее - таможенные органы), порядок

использования информационно-вычислительных сетей общего пользования

(далее - ИВС ОП), включая международную ассоциацию сетей "Интернет",

а также основные требования по обеспечению безопасности информации.

2. Требования Положения ОБИ ИВС ОП обязательны для всех

должностных лиц таможенных органов.

3. Положение ОБИ ИВС ОП разработано на основе:

- Федерального закона от 27 июля 2006 года N 149-ФЗ "Об

информации, информационных технологиях и о защите информации"

(Собрание законодательства Российской Федерации, 2006, N 31 (ч.1),

ст.3448);

- Указа Президента Российской Федерации от 12 мая 2004 года N

611 "О мерах по обеспечению информационной безопасности Российской

Федерации в сфере международного информационного обмена" (Собрание

законодательства Российской Федерации, 2004, N 20, ст.1938; 2005, N

13, ст.1137; 2006, N 10, ст.1090);

- постановления Правительства Российской Федерации от 12

февраля 2003 года N 98 "Об обеспечении доступа к информации о

деятельности Правительства Российской Федерации и федеральных

органов исполнительной власти" (Собрание законодательства Российской

Федерации, 2003, N 7, ст.658);

- нормативно-методического документа "Специальные требования и

рекомендации по технической защите конфиденциальной информации

(СТР-К)", утвержденного приказом Гостехкомиссии России от 30 августа

2002 года N 282;

- временной типовой схемы обеспечения безопасности информации

при представлении информации для декларирования товаров и грузов в

электронной форме, согласованной с Центром безопасности связи ФСБ

России и утвержденной начальником Главного управления информационной

технологии 18 октября 2005 года.

4. Основными целями использования ИВС ОП в таможенных органах

являются:

- обеспечение в соответствии с постановлением Правительства

Российской Федерации от 12 февраля 2003 года N 98 "Об обеспечении

доступа к информации о деятельности Правительства Российской

Федерации и федеральных органов исполнительной власти" свободного

доступа к информации о деятельности Федеральной таможенной службы с

использованием информационных технологий;

- получение общедоступной информации из ИВС ОП;

- размещение заказов на поставки товаров, выполнение работ,

оказание услуг в интересах таможенных органов;

- создание условий для декларирования товаров путем заявления

таможенному органу в таможенной декларации или иным способом,

предусмотренным Таможенным кодексом Российской Федерации, в

электронной форме сведений о товарах, о таможенном режиме и других

сведений, необходимых для таможенных целей.

5. Основными угрозами безопасности информации при использовании

ИВС ОП в таможенных органах являются:

- заражение информационно-вычислительных ресурсов таможенных

органов программными вирусами;

- несанкционированный доступ внешних пользователей к

информационно-вычислительным ресурсам таможенных органов (в т.ч.

сетевые атаки);

- внедрение в автоматизированные информационные системы

таможенных органов программных закладок;

- загрузка трафика нежелательной корреспонденцией (спамом);

- несанкционированная передача служебной информации

ограниченного доступа должностными лицами таможенных органов в ИВС

ОП;

- блокировка межсетевого взаимодействия с ИВС ОП путем

нарушения целостности данных о настройках коммуникационного

оборудования, обеспечивающего взаимодействие с ИВС ОП;

- нарушение целостности и достоверности открытых и

общедоступных информационных ресурсов таможенных органов,

размещаемых в ИВС ОП в соответствии с постановлением Правительства

Российской Федерации от 12 февраля 2003 года N 98 "Об обеспечении

доступа к информации о деятельности Правительства Российской

Федерации и федеральных органов исполнительной власти".

6. Основными методами обеспечения безопасности информации при

использовании ИВС ОП для предотвращения указанных угроз являются:

- межсетевое экранирование с целью управления доступом,

фильтрации сетевых пакетов и трансляции сетевых адресов;

- использование сертифицированных средств защиты информации,

обеспечивающих целостность и доступность, в том числе

криптографических для подтверждения достоверности открытых и

общедоступных информационных ресурсов таможенных органов

(официальный WEB-сайт ФТС России, автоматизированная система

таможенной статистики внешней торговли (далее - АС ТСВТ) и т.д.);

- использование сертифицированных средств антивирусной защиты

информации с актуальными базами антивирусных сигнатур;

- мониторинг вторжений (атак) из ИВС ОП, нарушающих или

создающих предпосылки к нарушению установленных требований по защите

информации, и анализ защищенности, предполагающий применение

специализированных программных средств (сканеров безопасности);

- использование смарт-карт, электронных замков и других

носителей информации для надежной идентификации, аутентификации и

разграничения доступа должностных лиц таможенных органов к ресурсам

ИВС ОП;

- контроль информации, передаваемой в ИВС ОП или загружаемой из

ИВС ОП;

- запрет обращения к нежелательным ресурсам ИВС ОП;

- шифрование информации при ее передаче по ИВС ОП, а также

использование электронно-цифровой подписи для контроля целостности и

подтверждения подлинности отправителя и/или получателя информации;

- сбор статистических данных о работе должностных лиц

таможенных органов с ресурсами ИВС ОП.

7. Использование ИВС ОП в таможенных органах возможно через:

- абонентский пункт ИВС ОП (далее - АП ИВС ОП);

- автоматизированную систему внешнего доступа (далее - АСВД).

II. Условия и порядок создания, подключения и использования АП ИВС

ОП в таможенных органах, организациях и учреждениях, находящихся в

ведении ФТС России

8. АП ИВС ОП представляет собой комплекс средств автоматизации

со средствами связи, позволяющий осуществлять доступ к ИВС ОП.

9. В состав технических средств АП ИВС ОП могут входить

отдельные персональные электронно-вычислительные машины (далее -

ПЭВМ) или несколько ПЭВМ, объединенных в один сегмент локальной

вычислительной сети.

10. Запрещается подключение технических средств АП ИВС ОП к

локальной вычислительной сети таможенного органа (организации и

учреждения, находящихся в ведении ФТС России) или к Ведомственной

интегрированной телекоммуникационной сети таможенных органов.

11. Создание АП ИВС ОП в таможенных органах (организациях и

учреждениях, находящихся в ведении ФТС России) осуществляется на

основании решения начальника Главного управления информационных

технологий (далее - ГУИТ) (Форма ИВС ОП-1) (приложение 1 к

настоящему Положению) по мотивированной заявке (Форма ИВС ОП-2)

(приложение 2 к настоящему Положению).

12. После получения решения на создание АП ИВС ОП в таможенном

органе (организации или учреждения, находящегося в ведении ФТС

России) производятся:

- разработка проекта Инструкции по эксплуатации АП ИВС ОП;

- монтаж оборудования АП ИВС ОП в соответствии с утвержденной

телекоммуникационной схемой АП ИВС ОП;

- установка и настройка программного обеспечения АП ИВС ОП в

соответствии с эксплуатационной документацией и решением о создании

АП ИВС ОП;

- установка и настройка средств защиты информации в

соответствии с эксплуатационной документацией и решением о создании

АП ИВС ОП;

- утверждение Инструкции по эксплуатации АП ИВС ОП;

- ввод АП ИВС ОП в эксплуатацию.

13. Инструкцию по эксплуатации АП ИВС ОП подписывает

должностное лицо, назначенное ответственным за работу АП ИВС ОП,

согласовывают подразделения собственной безопасности и подразделения

по информационной безопасности и технической защите информации и

утверждает начальник таможенного органа (руководитель организации и

учреждения, находящихся в ведении ФТС России).

14. В Инструкции по эксплуатации АП ИВС ОП должны быть

определены:

- порядок допуска и регистрации пользователей АП ИВС ОП;

- порядок оформления разрешений для пользователей АП ИВС ОП для

передачи информации в ИВС ОП;

- порядок применения средств защиты информации на АП ИВС ОП при

взаимодействии с ИВС ОП;

- обязанности должностных лиц по защите информации, работающих

в ИВС ОП;

- порядок входа, регистрации и работы пользователей АП ИВС ОП и

правила разграничения доступа к способам взаимодействия с ИВС ОП;

- порядок применения средств защиты информации от

несанкционированного доступа на АП ИВС ОП, правил разграничения

доступа, средств антивирусной защиты при входе и проведении сеансов

связи в ИВС ОП;

- обязанности и ответственность должностных лиц подразделения

по защите информации, ответственных за эксплуатацию АП ИВС ОП, и

пользователей АП ИВС ОП при взаимодействии с ИВС ОП;

- порядок контроля за выполнением мероприятий по обеспечению

информационной безопасности при эксплуатации АП ИВС ОП.

15. Для приемки в эксплуатацию АП ИВС ОП приказом таможенного

органа (организации и учреждения, находящегося в ведении ФТС России)

создается комиссия по вводу в эксплуатацию АП ИВС ОП. В состав

комиссии включаются представители подразделений

информационно-технической службы, подразделений информационной

безопасности и технической защиты информации и подразделений

собственной безопасности.

16. Результаты работы комиссии оформляются актом, в котором

отражаются:

- типы и номера технических средств, их состав и конфигурация;

- состав общего и специального программного обеспечения,

настройки, конфигурация средств, используемых для взаимодействия с

ИВС ОП;

- перечень установленных средств защиты информации, включая

средства антивирусной защиты информации, и их настройки;

- типы и номера каналов связи;

- мероприятия по защите информации.

17. На основании утвержденного акта АП ИВС ОП вводится в

эксплуатацию приказом таможенного органа (организации и учреждения,

находящихся в ведении ФТС России).

18. Копии приказа о вводе в эксплуатацию АП ИВС ОП и акта

проверки АП ИВС ОП направляются в ГУИТ.

19. Для защиты АП от заражения компьютерными вирусами

используются антивирусные средства ЗАО "Лаборатория Касперского",

сертифицированные по требованиям безопасности информации ФСБ России

и ФСТЭК России. Должностное лицо, ответственное за эксплуатацию АП

ИВС ОП, не реже одного раза в 3 часа обновляет антивирусные базы

через службу технической поддержки Лаборатории Касперского в сети

"Интернет". Вся информация, полученная из ИВС ОП и сохраненная на

жестком диске или других носителях информации, должна быть проверена

на наличие программных вирусов сканером антивирусного средства.

20. Аналогичные действия проводятся при получении электронной

почты.

21. Для контроля работы пользователей с ресурсами ИВС ОП

используются средства контроля вэб-трафика WEBsweeper (MIMEsweeper

for WEB).

22. Решение задач, связанных с функционированием средства

контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB), осуществляет

администратор безопасности АП ИВС ОП (назначается приказом из числа

должностных лиц подразделения информационной безопасности и

технической защиты информации в таможенном органе). Администратор

безопасности АП ИВС ОП обеспечивает функционирование средства

контроля вэб-трафика WEBsweeper (MIMEsweeper for WEB), назначает

идентификаторы пользователей и распределяет полномочия пользователей

системы, а также блокирует при помощи встроенных средств WEBsweeper

доступ пользователей к нежелательным сайтам (не предназначенным для

исполнения служебных обязанностей).