Ф Е Д Е Р А Л Ь Н А Я Т А М О Ж Е Н Н А Я С Л У Ж Б А
П Р И К А З
07 октября 2010 г.
№
Москва
Об утверждении Положения по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации
Разрыв раздела. Удалять не рекомендуется
В целях совершенствования обеспечения информационной безопасности таможенных органов п р и к а з ы в а ю:
1. Утвердить прилагаемое Положение по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации (далее – Положение).
2. Главному управлению информационных технологий (ГУИТ) (А.Е. Шашаев) обеспечить:
а) учет количества введенных в эксплуатацию автоматизированных систем доступа к ресурсам сети Интернет (далее - АСД Интернет) в таможенных органах;
б) оснащение (дооснащение) таможенных органов, учреждений, находящихся в ведении ФТС России совместно с Главным управлением тылового обеспечения (В.В. Горский) и ГНИВЦ ФТС России (А.Ю. Дуров) средствами вычислительной техники, телекоммуникационным оборудованием и средствами защиты информации, необходимыми для создания (модернизации) АСД Интернет таможенных органов, автоматизированной системы внешнего доступа таможенных органов (АСВДТО);
в) разработку, утверждение совместно с ГНИВЦ ФТС России (А.Ю. Дуров) и согласование с Управлением собственной безопасности (В.Н. Кузьмин) до 1 января 2011 г. инструкции пользователя по эксплуатации автоматизированного рабочего места доступа к сети Интернет;
г) контроль выполнения должностными лицами таможенных органов требований Положения при проведении функциональных проверок таможенных органов.
3. ГНИВЦ ФТС России (А.Ю. Дуров) обеспечить:
а) своевременное назначение (переназначение) администраторов безопасности АСД Интернет ГНИВЦ ФТС России и АСВДТО приказом ГНИВЦ ФТС России;
б) эксплуатацию АСД Интернет ГНИВЦ ФТС России для предоставления доступа к информационно-телекоммуникационным сетям международного информационного обмена должностным лицам структурных подразделений ФТС России, должностным лицам и работникам ГНИВЦ ФТС России;
в) эксплуатацию АСВДТО.
4. Начальникам таможенных органов, руководителям учреждений, находящихся в ведении ФТС России, обеспечить:
а) выполнение требований Положения;
б) своевременное оформление (переоформление) решения о создании автоматизированной системы доступа к сети Интернет таможенного органа в соответствии с требованиями Положения при внесении изменений в правовые акты, регламентирующие работу автоматизированного рабочего места (АРМ) доступа, обусловленных организационно-штатными мероприятиями;
в) своевременное назначение (переназначение) приказом администратора безопасности АСД Интернет таможенного органа;
г) разработку и утверждение до 1 января 2011 г. инструкции по эксплуатации автоматизированной системы доступа к сети Интернет и инструкции пользователя по эксплуатации АРМ доступа к сети Интернет.
5. Начальникам структурных подразделений ФТС России обеспечить:
а) выполнение требований Положения;
б) назначение должностных лиц, ответственных за эксплуатацию АРМ доступа, для каждого АРМ доступа в структурном подразделении ФТС России из числа допущенных к работе на нем должностных лиц;
в) направление списка ответственных за эксплуатацию АРМ доступа с указанием фамилии, имени, отчества, телефона и номера кабинета расположения АРМ доступа в ГНИВЦ ФТС России и ГУИТ;
г) своевременное переназначение ответственных за эксплуатацию АРМ доступа в случае перевода по службе или увольнения, а также доведение до сведения ГУИТ и ГНИВЦ ФТС России информации о вновь назначенных должностных лицах.
6. Считать утратившими силу:
а) приложение № 1 к приказу ФТС России от 30 октября 2006 г. № 1062 «Об обеспечении безопасности информации при информационном взаимодействии таможенных органов с участниками внешнеэкономической деятельности и сетями общего пользования»;
б) приказ ФТС России от 15 июня 2007 г. № 736 «О внесении изменения в приказ ФТС России от 30 октября 2006 г. № 1062»;
в) приказ ФТС России от 18 декабря 2007 г. № 1563 «О внесении изменений в приказ ФТС России от 30 октября 2006 г. № 1062»;
г) приказ ФТС России от 26 марта 2008 г. № 325 «О внесении изменений в приказ ФТС России от 30 октября 2006 г. № 1062 «Об обеспечении безопасности информации при информационном взаимодействии таможенных органов с участниками внешнеэкономической деятельности и сетями общего пользования».
7. Контроль за исполнением настоящего приказа возложить на первого заместителя руководителя ФТС России В.М.Малинина.
Руководитель
действительный государственный советник таможенной службы Российской Федерации
А.Ю. Бельянинов
Н.В.Батракова
449 76 97
Приложение
к приказу ФТС России
от___________2010 г. №____
Положение по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации
I. Общие положения
1. Настоящее Положение по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена в таможенных органах Российской Федерации (далее – Положение) определяет условия и единый порядок использования в структурных подразделениях ФТС России, таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России (далее – таможенные органы), информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети «Интернет».
2. Требования Положения обязательны для исполнения всеми должностными лицами и работниками таможенных органов.
3. Положение разработано на основании:
Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31 (ч. 1), ст. 3448);
Федерального закона от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» (Собрание законодательства Российской Федерации, 2009, № 7, ст. 776);
Указа Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (Собрание законодательства Российской Федерации, 2008, № 12, ст. 1110, № 43, ст. 4919);
постановления Правительства Российской Федерации от 24 ноября 2009 г. № 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, № 48, ст. 5832);
постановления Правительства Российской Федерации от 18 мая 2009 г. № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» (Собрание законодательства Российской Федерации, 2009, № 21, ст. 2573);
Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895;
нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
4. Основными целями использования сегмента международной компьютерной сети «Интернет» (далее – сеть «Интернет») в таможенных органах являются:
обеспечение в соответствии с постановлением Правительства Российской Федерации от 24 ноября 2009 г. № 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» свободного доступа к информации о деятельности Федеральной таможенной службы с применением информационных технологий;
размещение таможенными органами достоверной и своевременно обновленной информации о своей деятельности в сети «Интернет»;
поиск и получение общедоступной информации из сети «Интернет»;
размещение заказов на поставки товаров, выполнение работ, оказание услуг в интересах таможенных органов;
создание условий для предварительного информирования о товарах и транспортных средствах, декларирования товаров путем заявления таможенному органу в таможенной декларации в электронной форме сведений о товарах, о таможенном режиме и других сведений, необходимых для таможенных целей;
получение общедоступной информации по направлению деятельности структурных подразделений с целью оперативного решения вопросов.
5. Основными угрозами безопасности информации при использовании сети «Интернет» в таможенных органах являются:
заражение информационно-вычислительных ресурсов таможенных органов программными вирусами;
несанкционированный доступ внешних пользователей к информационно-вычислительным ресурсам таможенных органов (в т.ч. целенаправленные сетевые атаки);
внедрение в автоматизированные информационные системы таможенных органов программных закладок;
несанкционированная передача информации ограниченного доступа должностными лицами таможенных органов в сеть «Интернет»;
блокировка межсетевого взаимодействия с сетью «Интернет» путем нарушения целостности данных о настройках коммуникационного оборудования, обеспечивающего взаимодействие с сетью «Интернет»;
нарушение целостности и достоверности открытых и общедоступных информационных ресурсов таможенных органов, размещаемых в сети «Интернет», в соответствии с постановлением Правительства Российской Федерации от 24 ноября 2009 г. № 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти».
6. Основными методами обеспечения безопасности информации при использовании сети «Интернет» для предотвращения указанных угроз являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;
использование сертифицированных средств защиты информации, обеспечивающих целостность и доступность, в том числе криптографических для подтверждения достоверности открытых и общедоступных информационных ресурсов таможенных органов (официальный сайт ФТС России, автоматизированная система таможенной статистики внешней торговли (далее – АС ТСВТ) и т.д.);
использование электронных замков, персональных средств идентификации и аутентификации, других носителей информации для надежной идентификации, аутентификации и разграничения доступа должностных лиц таможенных органов к ресурсам сети «Интернет»;
использование сертифицированных средств антивирусной защиты информации с актуальными базами антивирусных сигнатур;
мониторинг вторжений (атак) из сети «Интернет», нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);
контроль информации, передаваемой в сеть «Интернет» или загружаемой из сети «Интернет»;
запрет обращения к нежелательным ресурсам в сети «Интернет»;
шифрование информации при ее передаче по сети «Интернет», а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;
сбор и анализ статистических данных о работе должностных лиц таможенных органов с ресурсами сети «Интернет».
7. Доступ к ресурсам сети «Интернет» должностных лиц таможенных органов должен быть организован с использованием выделенного автоматизированного рабочего места (далее – АРМ) доступа к сети «Интернет», входящего в состав автоматизированной системы доступа к ресурсам сети «Интернет» (далее – АСД Интернет) таможенного органа либо организации, находящейся в ведении ФТС России.
8. Запрещается использовать ресурсы сети «Интернет» следующего характера:
сайты эротического и порнографического содержания;
сайты развлекательного характера;
сайты, связанные с форумами для встреч, общения;
сайты, связанные с хакерством, взломом систем различного характера;
9. Любые взаимодействия компонентов Единой автоматизированной информационной системы (ЕАИС) таможенных органов с информационно-телекоммуникационными сетями международного обмена (в т.ч. взаимодействие с таможенными органами зарубежных стран по выделенным каналам связи) и иными возможны только при организации взаимодействия с использованием автоматизированной системы внешнего доступа таможенных органов (далее – АСВДТО).
II. Условия и порядок доступа к сети «Интернет» должностных лиц структурных подразделений ФТС России и ГНИВЦ ФТС России
10. Должностным лицам структурных подразделений ФТС России и ГНИВЦ ФТС России доступ к сети «Интернет» предоставляется через АСД Интернет ГНИВЦ ФТС России, являющейся подсистемой АСВДТО.
11. АСД Интернет ГНИВЦ ФТС России представляет собой комплекс средств вычислительной техники со средствами связи, используемых для обеспечения доступа в сеть «Интернет».
12. Должностным лицам структурных подразделений ФТС России доступ к ресурсам сети «Интернет» предоставляется с АРМ доступа к сети «Интернет», входящих в состав АСД Интернет ГНИВЦ ФТС России.
13. Для контроля работы пользователей с ресурсами сети «Интернет» используются средства контроля доступа (СКД) пользователей к ресурсам сети «Интернет». На территории комплекса зданий объекта «Фили» может осуществляться опытная эксплуатация СКД с целью дальнейшего оснащения ими таможенных органов.
14. Администрирование СКД к сети «Интернет» структурных подразделений ФТС России осуществляет администратор безопасности АСД Интернет ГНИВЦ ФТС России, назначаемый приказом ГНИВЦ ФТС России из числа должностных лиц отдела информационной безопасности ГНИВЦ ФТС России.
15. Решение о предоставлении доступа должностным лицам структурных подразделений ФТС России к сети «Интернет» принимает руководитель ФТС России или заместитель руководителя ФТС России, координирующий и контролирующий данное структурное подразделение, на основании заявки, представляемой начальником структурного подразделения ФТС России.
16. В заявке указывается количество необходимых АРМов доступа к сети «Интернет», их место расположения и информация о наличии или отсутствии необходимых средств вычислительной техники. К заявке прикладывается список пользователей с указанием фамилии, имени, отчества и должности, допущенных к работе на АРМах доступа к сети «Интернет» в структурном подразделении ФТС России, подписанный начальником структурного подразделения. В заявке также указываются задачи, которые планируется решать с использованием ресурсов сети «Интернет», фамилия, имя, отчество, должность, телефон лица, назначенного ответственным за эксплуатацию АРМ доступа в сеть «Интернет» в структурном подразделении ФТС России[4].
17. На основании резолюции руководителя ФТС России или заместителя руководителя ФТС России на заявке начальник Главного управления информационных технологий ФТС России (далее - ГУИТ ФТС России) дает указание ГНИВЦ ФТС России о подключении должностных лиц структурных подразделений ФТС России к сети «Интернет».
18. Решение о предоставлении должностным лицам ГНИВЦ ФТС России доступа к сети «Интернет» принимает директор ГНИВЦ ФТС России на основании заявки, представляемой начальником структурного подразделения ГНИВЦ ФТС России. Заявка должна быть согласована с отделом информационной безопасности ГНИВЦ ФТС России.
19. На основании утвержденных заявок администратор безопасности АСД Интернет ГНИВЦ ФТС России создает на каждого пользователя свою учетную запись, назначает пароль входа и регистрирует их в базе пользователей.
20. Учетная запись и пароль выдается пользователю в запечатанном конверте ответственным за защиту информации в структурном подразделении ФТС России под подпись после ознакомления с Инструкцией пользователя по эксплуатации автоматизированного рабочего места доступа к сети «Интернет».
21. Сведения о зарегистрированных пользователях в АСД Интернет ГНИВЦ ФТС России, а также статистика посещаемых ими ресурсов и введенных в эксплуатацию новых АРМ доступа к сети «Интернет» направляются ежеквартально в ГУИТ ФТС России.
22. При необходимости вывода из эксплуатации введенного в эксплуатацию АРМ доступа в сеть «Интернет», организованного в структурном подразделении ФТС России (структурном подразделении ГНИВЦ ФТС России), направляется заявка в произвольной форме в адрес ГУИТ ФТС России (ГНИВЦ ФТС России). В заявке обязательно указывается место расположения выводимого из эксплуатации АРМ доступа в сеть «Интернет», а также фамилия, имя, отчество, должность, телефон лица, назначенного ответственным за эксплуатацию АРМ доступа в сеть «Интернет».
