- не проводятся комплексные исследования деятельности персонала информационных систем таможенных органов Российской Федерации, в том числе методов повышения мотивации, морально - психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией; - в Российской Федерации в настоящее время отсутствуют средства обеспечения информационной безопасности; - отсутствуют критерии и методы оценки защищенности автоматизированных систем и оценки эффективности средств информационной безопасности и их сертификации; - ослаблен контроль со стороны руководителей таможенных органов и структурных подразделений за соблюдением подчиненными должностными лицами должностных инструкций и регламентов. Вопр45
Создание программных и программно-аппаратных средств защиты информации (СЗИ) проводится, как правило, на основе общепринятой методологии разработки программно-технических решений в области информатики. Процесс разработки в приложении к защите информации можно представить в качестве совокупности таких этапов, как:
1) детализация предметной области — это в основном определение целевой функции разрабатываемой системы (например, система защиты от копирования (СЗК), система аутентификации, система разграничения доступа и т. д.). На этом этапе должна учитываться дополнительная априорио заданная информация, сужающая предметную область (например, аутентификация без аппаратного носителя или защита от копирования, базирующаяся на электронных ключах);
2) описание модели злоумышленника и модель защиты. Модель злоумышленника включает собственно определение злоумышленника (как субъекта) и его целевой функции (например, злоумышленником для систем защиты от копирования является легальный пользователь программного продукта, имеющий целевой функцией получение нормально работающих дополнительных копий).
3) определение основных компонентов (подсистем), составляющих данную систему. Перечень компонентов программно-технических средств защиты информации определяется как результат первого и второго этапов. Компоненты могут разделяться на необходимые и дополнительные.
4) определение свойств компонентов системы (качественных или количественных). Свойства компонентов защиты могут быть описаны указанием противодействия либо конкретному средству нападения, либо целому их классу (по принцип у работы или стоимостному критерию). Очевидно, что заказные средства нападения (например, для СЗК — специализированные отладчики и др.) имеют существенно более высокую стоимость, чем стандартные средства. После выполнения вышеперечисленных этапов формулируются средства реализации и гарантирования некоторой политики безопасности для разрабатываемого программно-аппаратного средства защиты. Так, механизм чтения не дублируемого признака для СЗК является механизмом реализации политики безопасности (которая предусматривает невозможность дублирования носителя), а механизмы защиты от исследования — механизмами обеспечения гарантий политики безопасности. Процесс разработки СЗИ может реализовываться в рамках методологии необходимых или достаточных условий.
46) Применение информационных систем и технологий в таможенной сфере без должного использования средств защиты представляется довольно опасным, что в конечном итоге неминуемо приведет к невозможности нормального функционирования всей системы в целом. Так было в Украине, когда в связи со сбоем центрального таможенного сервера в начале 2005 г. на неделю была парализована вся внешнеэкономическая деятельность.
Применение средств вычислительной техники в процессах создания, обработки, использования, хранения и передачи информации создало целую группу новых угроз информационной безопасности, под которыми понимается совокупность условий, процессов и факторов, препятствующих реализации интересов или создающих им опасность. Критерий выделения таких угроз в отдельную группу заключается в уязвимости информационной среды для противоправных посягательств, совершаемых при помощи средств вычислительной техники, при которых информация, представленная в электронном виде и циркулирующая в автоматизированной системе (компьютерная информация), является предметом противоправного посягательства.
В настоящее время в таможенных органах России с помощью средств вычислительной техники выполняются многие операции: начиная от таможенного оформления при помощи КАСТО "АИСТ-М" и заканчивая сбором статистических данных. Акты ЕврАзЭС не дают толкования термина "компьютерная информация". В этом случае представляется целесообразным обратиться к Соглашению о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации, которое определяет компьютерную информацию как информацию, находящуюся в памяти компьютера, на машинных или иных носителях в форме, доступной восприятию ЭВМ, или передающуюся по каналам связи.
Согласно ст. 43 ТК ТС (Таможенный кодекс Таможенного союза (приложение к Договору о Таможенном кодексе Таможенного союза, принятому решением Межгосударственного Совета Евразийского экономического сообщества от 27 ноября 2009 г. N 17)) таможенные операции могут совершаться с использованием информационных систем и информационных технологий, в т.ч. основанных на электронных способах передачи информации, а также средств их обеспечения. Внедрение информационных систем и информационных технологий осуществляется с учетом соответствующих международных стандартов и обеспечения требований информационной безопасности, установленных законодательством государств - членов Таможенного союза.
В соответствии со ст. 44 ТК ТС информационные ресурсы таможенных органов, сформированные на базе документов и сведений, представляемых при совершении таможенных операций, а также документов, необходимых для их совершения, имеют ограниченный доступ. Порядок формирования информационных ресурсов и доступа к ним определяется законодательством государств - членов Таможенного союза.
Под информационными ресурсами таможенных органов понимается организованная совокупность документированной информации, включающая в себя базы данных, создаваемые, обрабатываемые и накапливаемые в информационных системах таможенных органов.
Информационные ресурсы таможенных органов, касающиеся таможенного законодательства Таможенного союза, являются открытыми и общедоступными.
Общедоступные информационные ресурсы размещаются на сайтах таможенных органов и Комиссии Таможенного союза. Порядок получения лицами информации, содержащейся в информационных ресурсах, имеющих ограниченный доступ, находящихся в ведении таможенных органов, определяется законодательством государств - членов Таможенного союза. В соответствии со ст. 45 ТК ТС защита информации и прав субъектов, участвующих в информационных процессах и информатизации, осуществляется в порядке, установленном законодательством государств - членов Таможенного союза.
Согласно ст. 46 ТК ТС обмен информацией между таможенными органами осуществляется в соответствии с международными договорами государств - членов Таможенного союза.