Единая автоматизированная информационная система таможенных органов

 

Введение

Проблема защиты информации от несанкционированного доступа к ней появилась давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем, или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Специалисты называют много способов несанкционированного доступа к информации: просмотр, копирование и подмена данных, ввод ложных команд, программ и сообщений и т. д. Для того, чтобы остановить нарушителя, необходимо определить возможные точки приложения его усилий на автоматизированной системе обработки данных и установить на его пути систему соответствующих преград достаточной прочности. Это и называется защитой информации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.Единая автоматизированная информационная система таможенных органов

Единая автоматизированная информационная система (ЕАИС) ФТС России представляет собой автоматизированную систему управления процессами таможенной деятельности.

Основным назначением ЕАИС таможенной службы РФ является -  повышение эффективности формирования и осуществления единой таможенной политики государства и деятельности таможенных органов.

ЕАИС понимается как инструмент реализации основных информационных технологий таможенной службы. Развитие ЕАИС есть не что иное, как процесс поэтапной разработки и внедрения в отрасли новых информационных технологий, базирующихся на современном программно-техническом комплексе.

Исходя из этого, назначением ЕАИС является:

 1) обеспечение подразделений ФТС России и правительственных органов информацией, необходимой для ведения таможенной статистики;

2) совершенствование    системы   организационно-экономического управления таможенными органами на всех уровнях Управления;

3) автоматизация таможенного  оформления документов на товары;

4) повышение эффективности  таможенного контроля за багажом следующих через границу пассажиров;

5) обеспечение   централизованного   взимания   и контроля начисления таможенных платежей;

6) информационная поддержка  борьбы с контрабандой и нарушениями таможенных правил;

7) совершенствование методов  и средств нетарифного регулирования и контроль исполнения лицензий и квот;

8) создание   информационной  технологии  таможенно-банковского контроля внешнеэкономической деятельности с целью осуществления

 

валютного контроля и др.

Основная цель создания ЕАИС заключается в совершенствовании существующих, а также в обеспечении создания и развития новых информационных автоматизированных таможенных технологий, базирующихся на современных программно-технических средствах.

Обоснование необходимости создания ЕАИС. 

Особенностью созданной ЕАИС является и то, что она ориентирована на информационное обеспечение различных по документообороту объектов. Основной объем документооборота и исходной (первичной) информации в таможенных органах России составляют таможенные декларации. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»

2.1. Общие положения  

Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа, являющейся частью общей проблемы безопасности информации.

Концепция предназначена для заказчиков, разработчиков и пользователей СВТ (Средства вычислительной техники) и АС (Автоматизированные системы), которые используются для обработки, хранения и передачи требующей защиты информации.

Концепция является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач: 
        1) выработка требований по защите СВТ и АС от НСД к информации; 
       2) создание защищенных от НСД (Несанкционированный доступ к информации СВТ и АС;

3) сертификация защищенных СВТ и АС. 
Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.

Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. 
       Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации. 
       В связи с этим, если понятия защищенность (защита) информации от НСД в АС и защищенность (защита) АС от НСД к информации эквивалентны, то в случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой оно предназначено. 
       При этом защищенность средств вычислительной техники есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять несанкционированный доступ к информации в дальнейшем при использовании средств вычислительной техники в автоматизированных системах.

2.2. Определение несанкционированного доступа 

При анализе общей проблемы безопасности информации выделяются те направления, в которых преднамеренная или непреднамеренная деятельность человека, а также неисправности технических средств, ошибки программного обеспечения или стихийные бедствия могут привести к утечке, модификации или уничтожению информации.

Известны такие направления исследования проблемы безопасности информации, как радиотехническое, побочные электромагнитные излучения и наводки, акустическое, НСД и др.

НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.

Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

2.3.  Основные принципы защиты от несанкционированного доступа

Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.

Защита СВТ обеспечивается комплексом программно-технических средств. 
       Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС). 
        Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты. 
        Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.

2.4. Модель нарушителя в автоматизированных системах

В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. 
        Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации. 
        Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. 
        

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. 
        Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Основные способы несанкционированного доступа

К основным способам НСД относятся:       

1) непосредственное обращение к объектам доступа;    

2) создание программных и технических средств, выполняющих обращение к    объектам доступа в обход средств защиты;     3) модификация средств защиты, позволяющая осуществить НСД;      4) внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

3.1. Основные направления обеспечения защиты от НСД

Обеспечение защиты СВТ и АС осуществляется системой разграничения доступа (СРД) субъектов к объектам доступа; 

Основными функциями СРД являются:

1) реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;

2) реализация ПРД субъектов и их процессов к устройствам создания твердых копий;

3) изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;

4) управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа;

5) реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.    

Обеспечивающие средства для СРД выполняют следующие функции: 

1) идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;

2) регистрацию действий субъекта и его процесса;

3) предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;

4) реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;

5)тестирование;

6) очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;

7) учет выходных печатных и графических форм и твердых копий в АС;

8) контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств. 
Ресурсы, связанные как с СРД, так и с обеспечивающими ее средствами, включаются в объекты доступа.

Способы реализации СРД зависят от конкретных особенностей СВТ и АС.

Возможно применение следующих способов защиты и любых их сочетаний:   

1) распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);       

2) СРД в рамках операционной системы, СУБД или прикладных программ;             3) СРД в средствах реализации сетевых взаимодействий или на уровне приложений;            4) использование криптографических преобразований или методов непосредственного контроля доступа;

5) программная и (или) техническая реализация СРД.

3.2. Классификация автоматизированных систем

Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем. В основу системы классификации АС должны быть положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:

1) информационные, определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;

2) организационные, определяющие полномочия пользователей;

3)технологические, определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т.д.), время циркуляции (транзит, хранение и т.д.), вид АС (автономная, сеть, стационарная, подвижная и т.д.).

3.3. Организация работ по защите от несанкционированного доступа  

Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации. 
Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых заказчиком и согласуемых с разработчиком. 
       Эти требования задаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде определенного, соответствующего этому уровню перечня требований.

Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты. Организационные мероприятия для АС реализуются заказчиком. 

Ответственность за разработку КСЗ (Комплекс средств защиты) возлагается на главного конструктора СВТ или АС. 
Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.).

По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право разработчику на использование и (или) распространение их как защищенных.

Разработка мероприятий по защите должна проводиться одновременно с разработкой СВТ и АС и выполняться за счет финансовых и материально-технических средств (ресурсов), выделенных на разработку СВТ и АС.