Особливості митного контролю при забезпеченні вимог захисту інформації

Міністерство  освіти та науки, молоді та спорту України

Академія  митної служби України

Контрольна  робота

з дисципліни «Контроль доставки вантажів»

на  тему «Особливості митного контролю при забезпеченні вимог захисту інформації»

 

 

 

 

 

 

 

Дніпропетровськ

2014

 

Інформаційна безпека  має велике значення для забезпечення життєво важливих інтересів будь-якої держави. Створення розвиненого  і захищеного середовища є неодмінною умовою розвитку суспільства та держави, в основі якого мають бути найновіші автоматизовані технічні засоби.

Останнім часом в Україні відбуваються якісні зміни у процесах управління на всіх рівнях, які зумовлені інтенсивним упровадженням новітніх інформаційних технологій. Швидке вдосконалення інформатизації, проникнення її в усі сфери життєво важливих інтересів зумовило, крім безперечних переваг, і появу низки стратегічних проблем. Посилюється небезпека несанкціонованого втручання в роботу комп'ютерних, інформаційних і телекомунікаційних систем.

Наскільки актуальна  проблема захисту інформації від різних загроз, можна побачити на прикладі даних, опублікованих Computer Security Institute (Сан-Франциско, штат Каліфорнія, США), згідно з якими порушення захисту комп'ютерних систем відбувається з таких причин:

несанкціонований доступ — 2 %

укорінення вірусів  — 3 %;

технічні відмови апаратури  мережі — 20 %;

цілеспрямовані дії  персоналу — 20 %;

помилки персоналу (недостатній  рівень кваліфікації) — 55%.

 

Таким чином, однією з  потенційних загроз для інформації в інформаційних системах слід вважати цілеспрямовані або випадкові деструктивні дії персоналу (людський фактор), оскільки вони становлять 75 % усіх випадків.

 

Відповідно до вимог  законів України "Про інформацію", "Про державну таємницю" та "Про  захист інформації в автоматизованих  системах" основним об'єктом захисту в інформаційних системах є інформація з обмеженим доступом, що становить державну або іншу, передбачену законодавством України, таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження.

Загалом, об'єктом захисту  в інформаційній системі є  інформація з обмеженим доступом, яка циркулює та зберігається у вигляді  даних, команд, повідомлень, що мають  певну обмеженість і цінність як для її власника, так і для  потенційного порушника технічного захисту інформації.

Вимоги національних стандартів і нормативних документів з питань технічного захисту інформації в Україні, а також досвід розвитку міжнародних стандартів безпеки  досліджено у працях М.С. Вертузаєва, О.М. Юрченка, В.В. Домарева.

Розглянемо можливі  канали витоку-інформації та варіанти несанкціонованого доступу до неї.

За відсутності законного  користувача, контролю та розмежування доступу до термінала кваліфікований порушник легко використовує його функціональні  можливості для несанкціонованого доступу до інформації, що підлягає захисту, шляхом уведення відповідних запитів або команд.

За наявності вільного доступу до приміщення можна візуально  спостерігати інформацію на засобах  відбиття і документування, викрасти паперовий носій, зняти зайву копію, а також викрасти інші носії з інформацією: лістинги, магнітні носії та ін.

Особливу загрозу становить  безконтрольне завантаження програмного  забезпечення, в якому можуть бути змінені установки, властивості, дані, алгоритми, введено "троянську" програму або вкорінено комп'ютерний вірус, що виконують деструктивні несанкціоновані дії. Наприклад, записування інформації на сторонній носій, незаконне передавання у канали зв'язку, несанкціоноване друкування документів, порушення їх цілісності, несанкціоноване копіювання важливої інформації, вагомість якої визначається та обмежується на дуже короткий або, навпаки, тривалий час.

Загрозливою є ситуація, коли порушник — санкціонований користувач інформаційної системи, який у зв'язку зі своїми функціональними обов'язками має доступ до однієї частини інформації, а користується іншою за межами своїх повноважень. З боку санкціонованого користувача є багато способів порушення роботи інформаційної системи й одержання, модифікування, поширювання або знищення інформації, що підлягає захисту. Для цього можна використовувати, насамперед, привілейовані команди введення-виведення, неконтрольованість санкціонованості або законності запиту і звернень до баз та банків даних, серверів тощо. Вільний доступ дає порушникові можливість звертатись до чужих файлів і баз даних та змінювати їх випадково або умисно.

 

Під час технічного обслуговування апаратури можуть бути виявлені залишки  інформації на її носіях (поверхні твердих  дисків, магнітні стрічки та інші носії). Стирання інформації звичайними методами (засобами операційних систем, спеціальних програмних утиліт) неефективне з погляду технічного захисту інформації. Порушник може поновити і прочитати її залишки, саме тому потрібні тільки спеціальні засоби стирання інформації, що підлягає захисту.

Під час транспортування  носіїв територією, яка не охороняється, виникає загроза перехоплення інформації, що підлягає захисту, і подальшого ознайомлення з нею сторонніх осіб.

Зловмисник може стати  санкціонованим користувачем інформаційної системи у режимі розподілу часу, якщо він попередньо якось визначив порядок роботи санкціонованого користувача або якщо він працює з ним на одних лініях зв'язку. Він може здійснити підключення до лінії зв'язку між терміналом та процесором ЕОМ. Крім того, без переривання роботи санкціонованого користувача порушник може продовжити її від його імені, анулювавши сигнали відключення санкціонованого користувача.

Обробка, передавання  та зберігання інформації апаратними засобами інформаційної системи забезпечуються спрацюванням логічних елементів на базі напівпровідникових приладів. Спрацювання логічних елементів зумовлено високочастотним зміщенням рівнів напруг і струмів, що призводить до виникнення в ефірі, ланках живлення та заземлення, а також у паралельно розміщених ланках й індуктивностях сторонньої апаратури електромагнітних полів, які несуть в амплітуді, фазі й частоті своїх коливань ознаки оброблюваної інформації. Використання порушником різних приймачів може призвести до несанкціонованого витоку та перехоплення дуже важливої інформації, що зберігається в інформаційній системі. Зі зменшенням відстані між приймачем порушника й апаратними засобами інформаційної системи ймовірність приймання таких інформаційних сигналів збільшується.

 

Окремим видом дуже небезпечної перспективної загрози професійних порушників є так звані радіочастотні засоби електромагнітного ураження, які спричиняють ураження напівпровідникової елементної бази за рахунок надпотужної енергетичної дії електромагнітних випромінювань радіочастотного діапазону, що може призвести до повної або тимчасової відмови в роботі інформаційної системи у найбільш відповідальних ситуаціях.

Несанкціоноване підключення  порушником приймальної апаратури  та спеціальних датчиків до ланцюгів електроживлення та заземлення, інженерних комунікацій і каналів зв'язку в трактах передачі даних може спричинити модифікацію та порушення цілісності інформації в комп'ютерних мережах.

Таким чином, порушники  технічного захисту інформації можуть створювати такі потенційні загрози для безпеки інформації в інформаційних системах:

• загрози конфіденційності (несанкціонованого одержання) інформації всіма потенційними і можливими каналами її витоку, особливо каналами побічних електромагнітних випромінювань і наведень, таємними каналами зв'язку в імпортному обладнанні та розвідувальними закладними пристроями;
• загрози цілісності (несанкціонованої зміни) інформації;
• загрози доступності інформації (несанкціонованого або випадкового обмеження) та ресурсів самої інформаційної системи;
• загрози спостереженості роботи інформаційної системи (порушення процедур ідентифікації та аутентифікації, процедур контролю доступу і дій користувачів, повна або часткова втрата керованості інформаційної системи, загрози від несанкціонованих атак і вторгнень порушників технічного захисту інформації до програмних, телекомунікаційних та апаратних засобів інформаційної системи, загрози для передачі даних і маніпуляцій з протоколами обміну (контролю) та із загальносистемним програмним забезпеченням, реєстрація, вірогідний канал, розподіл обов'язків, цілісність комплексу засобів захисту, самотестування, аутентифікація під час обміну, аутентифікація відправника (невідмова від авторства), аутентифікація одержувача (невідмова від одержання) та ін.);
• загрози проникнення комп'ютерних вірусів;
• загрози радіочастотних засобів електромагнітного ураження високопрофесійних порушників.

Загрози порушників технічного захисту інформації можуть здійснюватись:

• технічними каналами: акустичними, оптичними, хімічними тощо;
• каналами спеціального впливу шляхом формування полів і сигналів для руйнування системи захисту або порушення цілісності інформації;
• несанкціонованим доступом шляхом підключення до апаратури та ліній зв'язку, маскування під зареєстрованого користувача, подолання засобів захисту для використання інформації або нав'язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп'ютерних вірусів.

Засоби захисту  інформації в ЄАІС ДМСУ

Порядок організації захисту інформації під час здійснення митного контролю та митного оформлення товарів і транспортних засобів із застосуванням вантажної митної декларації розроблено відповідно до вимог законів України "Про інформацію", "Про державну таємницю", "Про захист інформації в автоматизованих системах", Порядку організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 2 жовтня 2003 р. № 1561-12, Інструкції про порядок обліку, зберігання й використання документів, справ, видань та інших матеріальних носіїв, які містять конфіденційну інформацію, що є власністю держави, затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 р. № 1893, Зводу відомостей, що становлять державну таємницю, затвердженого наказом Служби безпеки України від 1 березня 2001 р. № 52 і зареєстрованого в Міністерстві юстиції України 22 березня 2001 р. № 264/5455 (далі — ЗВДТ), та Розгорнутого переліку відомостей, що становлять державну таємницю в системі митних органів України, затвердженого наказом Держмит-служби України від 17 січня 2002 р. № 22, погодженого Службою безпеки України 15 грудня 2001 р. і зареєстрованого 27 грудня 2001 р. № 32, для захисту секретної та конфіденційної інформації, що є власністю держави, під час митного контролю й митного оформлення товарів і транспортних засобів із застосуванням вантажної митної декларації, яка має гриф обмеження доступу, а також конкретизації дій посадових осіб митних органів, спеціалізованих митних установ та організацій у процесі роботи з документами, що мають гриф обмеження доступу.

 

Порядок застосовується під час митного контролю й  митного оформлення товарів і  транспортних засобів, щодо яких оформлюється і подається митним органам вантажна митна декларація з грифом обмеження доступу: "Для службового користування", "Таємно" або "Цілком таємно", як у паперовому, так і в електронному вигляді, за всіх митних режимів.

Гриф обмеження доступу  паперовому й електронному носіям інформації, а саме вантажній митній декларації, за якою здійснюються митний контроль та митне оформлення товарів і транспортних засобів, відповідно до вимог законодавчих актів з питань охорони інформації з обмеженим доступом надає власник інформації.

Вимоги до забезпечення захисту інформації з обмеженим доступом, що є власністю держави

Перелік посадових осіб митного органу, спеціалізованої  митної установи та організації, що залучаються  до проведення митного контролю та митного оформлення товарів і  транспортних засобів із застосуванням вантажної митної декларації та її електронних копій, які мають гриф "Для службового користування", "Таємно" або "Цілком таємно", у тому числі ті, що здійснюють провадження у справах про порушення митних правил, затверджується наказом митного органу, спеціалізованої митної установи й організації.

Митний контроль та митне  оформлення товарів і транспортних засобів із застосуванням вантажної  митної декларації та її електронних  копій, які мають гриф "Для службового користування", "Таємно" або "Цілком таємно", здійснюються посадовими особами митного органу, спеціалізованої митної установи й організації, визначеними відповідно до п. 2.1 Порядку організації захисту інформації під час здійснення митного контролю та митного оформлення товарів і транспортних засобів із застосуванням вантажної митної декларації, у зонах митного контролю, на територіях і в приміщеннях підприємств, установ та організацій, що декларують відповідні товари, зберігають їх під митним контролем і повинні мати оформлений у встановленому порядку допуск до державної таємниці та доступ до державної таємниці відповідної форми або до конфіденційної інформації, що є власністю держави, наданий відповідно до вимог нормативно-правових актів з питань охорони інформації з обмеженим доступом, а також необхідні документи для забезпечення роботи з інформацією відповідної категорії.

 

 

Порядок митного  контролю та митного оформлення товарів  і транспортних засобів із застосуванням  вантажної митної декларації, яка  має гриф обмеження доступу

Митний контроль та митне оформлення товарів і транспортних засобів із застосуванням вантажної митної декларації, яка має гриф обмеження доступу, здійснюються відповідно до вимог Порядку здійснення митного контролю та митного оформлення товарів і транспортних засобів із застосуванням вантажної митної декларації, затвердженого наказом Держмитслужби України від 14 жовтня 2002 р. № 561 і зареєстрованого в Міністерстві юстиції України 7 листопада 2002 р. № 877/7165 (зі змій, і доп.).