Концепция обеспечения информационной безопасности таможенных органов

Для решения обозначенных проблемных вопросов обоснованно предлагается рассмотреть возможность создания органа по управлению вопросами обеспечения  безопасности информации Таможенного союза, наделения его полномочиями и возможностями их реализации, а также организовать разработку нормативно-правовой основы таможенной деятельности в области информационной безопасности на территории Таможенного союза.

Следует отметить, что проведение научных исследований в целях  обеспечения информационной безопасности деятельности Таможенного союза  с привлечением ученых и специалистов всех государств-участников является в настоящее время необходимым.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Концепция обеспечения  информационной безопасности таможенных органов.

В январе 2010 года в таможенных органах Российской Федерации отмечен 15-летний юбилей создания подразделений  информационной безопасности и технической  защиты информации. 

Впервые подобное подразделение  было сформировано в структуре Регионального  таможенного управления по эксплуатации объектов таможенной инфраструктуры и  социальному развитию в 1995 году. На него были возложены функции по технической  защите информации в системе Государственного таможенного комитета России, прежде всего, связанные с организацией защиты информации, содержащей сведения, составляющие государственную тайну.

Со временем функции и  задачи технической защиты информации значительно расширились. Это стало  результатом развития структуры  и функций таможенной службы, совершенствования  информационно-телекоммуникационной инфраструктуры Единой автоматизированной информационной системы (далее –  ЕАИС) таможенных органов, расширения международного информационного взаимодействия и внедрения перспективных информационных таможенных технологий.

Реализуемая в настоящее  время Концепция обеспечения  информационной безопасности таможенных органов Российской Федерации включает несколько основных направлений  обеспечения информационной безопасности и технической защиты информации в таможенных органах. В частности, Концепция предусматривает организацию  технической защиты информации, содержащей сведения, составляющие государственную  тайну или иную охраняемую законом  тайну; обеспечение безопасности информации при международном и межведомственном информационном взаимодействии, а также  при информационном взаимодействии с участниками внешнеэкономической  деятельности; организацию эксплуатации сертифицированных средств криптографической защиты информации и электронной цифровой подписи, средств защиты информации от несанкционированного доступа, межсетевых экранов, средств антивирусной защиты информации, средств обнаружения атак и анализа защищенности и др.

С изменением функций и  задач изменилась и структура  подразделений таможенных органов, призванных исполнять данные функции. Современная ведомственная система  обеспечения информационной безопасности таможенных органов Российской Федерации  включает в себя, в частности, отдел  информационной безопасности Главного управления информационных технологий, отделы информационной безопасности и  организации эксплуатации систем ведомственных  удостоверяющих центров таможенных органов Главного научно-информационного  вычислительного центра ФТС России, а также соответствующие подразделения  региональных таможенных управлений и  таможен.

По состоянию на декабрь 2009 года, в таможенных органах эксплуатируется  более 35 тыс. технических, программно-аппаратных и программных средств защиты информации.

С 2008 года значительный процент  ГТД заполняется электронно. На начало 2010 года около 20% перемещаемых через таможенную границу товаров имеют электронную ГТД. В 2011-м году процент электронных деклараций превысил 90% от общего числа поданных ГТД/ДТ.

Деятельность  ФТС России в области обеспечения  информационной безопасности и технической  защиты информации отмечена золотой  медалью и дипломом лауреата Национальной отраслевой премии «За укрепление безопасности России» (2007 г.) и дипломом Профессиональной премии в области информационной безопасности «Серебряный кинжал» (2009 г.). Должностные лица таможенных органов награждались медалями Федеральной  службы по техническому и экспортному  контролю «За укрепление государственной  защиты информации». 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Обеспечение информационной безопасности.

 

Формы обеспечения  информационной безопасности ЕАИС.

 

Для предохранения таможенной информации от несанкционированного доступа  выделяют следующие формы защиты:

• физические (препятствие);

• законодательные;

• управление доступом;

• криптографическое закрытие.

Физические формы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от "внешних" злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.

Законодательные формы защиты составляют нормативные документы ФТС России, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушение этих правил.

Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). В таможенных информационных системах регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т. д.

Управление доступом предусматривает  следующие функции защиты:

− идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора:имени, кода, пароля и т.п.);

− аутентификацию – опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;

− авторизацию – проверку полномочий (проверку соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

− разрешение и создание условий работы в пределах установленного регламента;

− регистрацию (протоколирование) обращений к защищаемым ресурсам;

− реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Установление подлинности  пользователя.

Самым распространенным методом  установления подлинности является метод паролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.). Если введенный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной этим паролем. Пароль можно использовать и независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д.

Парольная защита широко применяется  в системах защиты информации и характеризуется  простотой и дешевизной реализации, малыми затратами машинного времени, не требует больших объемов памяти. Однако парольная защита часто не дает достаточного эффекта по следующим  причинам.

1. Чрезмерная длина пароля, не позволяющая его запомнить,  стимулирует пользователя к записи  пароля на подручных бумажных  носителях, что сразу делает  пароль уязвимым.

2. Пользователи склонны  к выбору тривиальных паролей,  которые можно подобрать после  небольшого числа попыток тривиального  перебора.

3. Процесс ввода пароля  в систему поддается наблюдению  даже в том случае, когда вводимые  символы не отображаются на  экране.

4. Таблица паролей, которая  входит обычно в состав программного  обеспечения операционной системы,  может быть изменена, что нередко  и происходит. Поэтому таблица  паролей должна быть закодирована, а ключ алгоритма декодирования  должен находиться только у  лица, отвечающего за безопасность  информации.

5. В систему может быть  внесен "троянский конь", перехватывающий  вводимые пароли и записывающий  их в отдельный файл, поэтому  при работе с новыми программными  продуктами необходима большая  осторожность.

Основным методом защиты информации, хранящейся в ЕАИС, от несанкционированного доступа является метод обеспечения разграничения функциональных полномочий и доступа к информации, направленный на предотвращение не только возможности потенциального нарушителя «читать» хранящуюся в ПЭВМ информацию, но и возможности нарушителя модифицировать ее штатными и нештатными средствами.

Надежность защиты может  быть обеспечена правильным подбором основных механизмов защиты, некоторые  из них рассмотрим ниже.

Механизм регламентации, основанный на использовании метода защиты информации, создает такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности НСД к ней сводились бы к минимуму.

Механизм аутентификации. Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.

Криптографические методы защиты информации. Эти методы защиты широко применяются за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. Для реализации мер безопасности используются различные способы шифрования (криптографии), суть которых заключается в том, что данные, отправляемые на хранение, или сообщения, готовые для передачи, зашифровываются и тем самым преобразуются в шифрограмму или закрытый текст.

Санкционированный пользователь получает данные или сообщение, дешифрует  их или раскрывает посредством обратного  преобразования криптограммы, в результате чего получается исходный открытый текст.

Методу преобразования в  криптографической системе соответствует  использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (или битовой последовательностью), обычно называемым шифрующим ключом.

В современной криптографии существуют два типа криптографических алгоритмов:

1) классические алгоритмы,  основанные на использовании  закрытых, секретных ключей (симметричные);

2) алгоритмы с открытым  ключом, в которых используются  один открытый и один закрытый  ключ (асимметричные).

В настоящее время находят  широкое практическое применение в  средствах защиты электронной информации алгоритмы с секретным ключом.

 

Методы криптографической  защиты таможенной информации.

Симметричное  шифрование.

Симметричное шифрование применяемое в классической криптографии, предполагает использование всего лишь одной секретной единицы – ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или иных носителях информации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него.

Стойкость хорошей шифровальной системы определяется лишь секретностью ключа.

Все многообразие существующих криптографических методов сводят к следующим классам преобразований.

Moнo- и многоалфавитные подстановки – наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.

Перестановки – несложный метод криптографического преобразования, используемый, как правило, в сочетании с другими методами.

Гаммирование – метод, который заключается в наложении на открытые данные некоторой псевдослучайной последовательности, генерируемой на основе ключа.

Блочные шифры – представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем чистые преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров.

Метод гаммирования достаточно легко реализуем и заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом. Под гаммой шифра понимается псевдослучайная двоичная последовательность, вырабатываемая по заданному алгоритму, для шифрования открытых данных и расшифровывания зашифрованных данных.

Для генерации гаммы применяют  программы для ЭВМ, которые называются генераторами случайных чисел. При этом требуется, чтобы, даже зная закон формирования, но не зная ключа в виде начальных условий, никто не смог бы отличить числовой ряд от случайного.

Известны три основных требования к криптографически стойкому генератору псевдослучайной последовательности или гамме.

1. Период гаммы должен  быть достаточно большим для  шифрования сообщений различной  длины.