Защита информации в информационных технологиях. Обеспечение информационной безопасности в таможенных органах.

В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность (англ. information security)— все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

· конфиденциальность (англ. confidentiality)— состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;

· целостность (англ. integrity)— избежание несанкционированной модификации информации;

· доступность (англ. availability)— избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

· неотказуемость или апеллируемость (англ. non-repudiation)— невозможность отказа от авторства;

· подотчётность (англ. accountability)— обеспечение идентификации субъекта доступа и регистрации его действий;

· достоверность (англ. reliability)— свойство соответствия предусмотренному поведению или результату;

· аутентичность или подлинность (англ. authenticity)— свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

· Международные договоры РФ;

o Конституция РФ;

o Законы федерального уровня (включая федеральные конституционные законы, кодексы);

o Указы Президента РФ;

o Постановления правительства РФ;

o Нормативные правовые акты федеральных министерств и ведомств;

o Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

· Методические документы государственных органов России:

o Доктрина информационной безопасности РФ;

o Руководящие документы ФСТЭК (Гостехкомиссии России);

o Приказы ФСБ;

· Стандарты информационной безопасности, из которых выделяют:

o Международные стандарты;

o Государственные (национальные) стандарты РФ;

o Рекомендации по стандартизации;

o Методические указания.

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

· Комитет Государственной думы по безопасности;

· Совет безопасности России;

· Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

· Федеральная служба безопасности Российской Федерации (ФСБ России);

· Служба внешней разведки Российской Федерации (СВР России);

· Министерство обороны Российской Федерации (Минобороны России);

· Министерство внутренних дел Российской Федерации (МВД России);

· Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

· Служба экономической безопасности;

· Служба безопасности персонала (Режимный отдел);

· Отдел кадров;

· Служба информационной безопасности.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

· Защита объектов информационной системы;

· Защита процессов, процедур и программ обработки информации;

· Защита каналов связи;

· Подавление побочных электромагнитных излучений;

· Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;

3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. Определение требований к системе защиты;

5. Осуществление выбора средств защиты информации и их характеристик;

6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации.Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Таможенные операции могут совершаться с использованием информационных систем и информационных технологий, в том числе основанных на электронных способах передачи информации, а также средств их обеспечения.

Внедрение информационных систем и информационных технологий осуществляется с учетом соответствующих международных стандартов и обеспечения требований информационной безопасности, установленных законодательством государств-членов таможенного союза.

Таможенными органами применяются информационные системы, информационные технологии и средства их обеспечения, разрабатываемые, производимые или приобретаемые таможенными органами в соответствии с законодательством и (или) международными договорами государств-членов таможенного союза.

Условия и порядок использования для таможенных целей информационных систем, информационных технологий, средств их обеспечения и программных технических средств защиты информации, а также требования к ним при организации информационного взаимодействия, основанного на электронных способах обмена информации, определяются таможенным законодательством таможенного союза и законодательством государств-членов таможенного союза.

Для целей обеспечения взаимодействия таможенных органов на таможенной территории таможенного союза создаются интегрированные информационные системы и информационные технологии.

Защита информации и прав субъектов, участвующих в информационных процессах и информатизации, осуществляется в порядке, установленном законодательством государств-членов таможенного союза.

Уровень защиты информации, обеспечиваемый программным техническим средством защиты информации, должен соответствовать категории информации. Соответствие уровня защиты информации определенной категории обеспечивается таможенными органами, в ведении которых находятся информационные ресурсы.

Обмен информацией между таможенными органами осуществляется в соответствии с международными договорами государств-членов таможенного союза.

Таможенные органы участвуют в международном информационном обмене с таможенными органами иностранных государств, а также международными и иными организациями в порядке и на условиях, определяемых законодательством государств-членов таможенного союза.