Задачи, стоящие перед Федеральной таможенной службой (ФТС) в настоящее время, предполагают все более активное использование информационных ресурсов, как в интересах государства, так и для развития коммерческой деятельности. Но этот процесс не должен сопровождаться повышением вероятности утечки конфиденциальных данных. О том, как в этих условиях проблема информационной безопасности решается в Федеральной таможенной службе рассказывают сотрудники этого ведомства, отвечающие за обеспечение информационной безопасности. Наши собеседники - начальник отдела методологии обеспечения информационной безопасности Главного управления информационных технологий ФТС России Владимир Скиба и заместитель начальника директора Главного научно-информационного вычислительного центра ФТС России Владимир Шмойлов.
Intelligent Enterprise: Наверное, прежде чем говорить о более конкретных вопросах целесообразно обозначить общие направления работы таможенных органов в области обеспечения информационной безопасности?
Владимир Шмойлов: Для начала было бы неплохо сказать несколько слов о задачах Федеральной таможенной службы. Перед таможенными органами стоят три основных задачи:
- исполнение фискальной функции - сбор платежей;
- правоохранительная составляющая - борьба с контрабандой и нарушениями в таможенной сфере;
- содействие развитию предпринимательской деятельности участников внешне-экономической деятельности.
Из этих задач уже ясно, что информацию мы должны и открывать и защищать. Далее, Федеральная таможенная служба, как и любая государственная структура, обязана жестко следовать букве закона, а основным законом для нас является Таможенный кодекс РФ. Если внимательно прочитать некоторые из его статей (например, статьи 10 и 387), станет ясно, что речь, с одной стороны идет о существенных ограничениях в использовании информации, а с другой, об ее открытости. Например, любой участник внешне-экономической деятельности "имеет право на доступ к имеющейся у таможенных органов документированной информации о себе и на уточнение этой информации". Есть закон "О международном информационном обмене", есть указы Президента Российской Федерации, которые также заставляют нас вести открытую информационную политику, одновременно соблюдая ограничения, подчас очень жесткие, в распространении информации.
Владимир Скиба: Всю нашу работу по обеспечению информационной безопасности таможенных органов можно разбить по направлениям. В соответствии с Доктриной информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации, под информационной безопасностью понимается состояние защищенности интересов Российской Федерации в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Соответственно, под обеспечением информационной безопасности таможенных органов следует понимать защищенность этих интересов в информационной сфере деятельности таможенных органов. Обычно имеется в виду состояние защищенности информации, обрабатываемой в автоматизированных системах. В таможенных органах осуществляется комплексный подход к обеспечением информационной безопасности, одной из составляющей которого как раз и является обеспечение защищенности информации в автоматизированных системах. Поэтому в нашем разговоре ограничимся в основном этой составляющей. В ее рамках можно выделить следующие основные направления обеспечением информационной безопасности таможенных органов.
Первое связано с обеспечением антивирусной защиты. Заражение информационно-вычислительных ресурсов таможенных органов может привести к нарушениям в процессах таможенного оформления и к несвоевременному перечислению денег в федеральный бюджет, нанеся тем самым экономический ущерб как государству, так и участникам внешнеэкономической деятельности.
Следующее направление связано с защитой данных, передаваемых между таможенными органами: таможенными постами, таможнями, региональными таможенными управлениями, Главным научно-информационным вычислительным центром (ГНИВЦ) и подразделениями центрального аппарата Федеральной таможенной службы России. Другими словами, в таможенных органах внедряются и используются сертифицированные средства криптографической защиты информации для построения защищенных магистральных каналов передачи данных.
Структура ведомственной интегрированной телекоммуникационной сети таможенных органов включает как собственные выделенные каналы, так и каналы, арендуемые у различных операторов. Поэтому еще одним направлением информационной безопасности таможенных органов является использование сертифицированных межсетевых экранов, обеспечивающих безопасность межсетевого взаимодействия.
Самостоятельным направлением является использование сертифицированных средств защиты информации от несанкционированного доступа, когда обеспечивается однозначная идентификация пользователей при выполнении их функциональных обязанностей с использованием средств вычислительной техники.
Еще одно направление связано с использованием электронной цифровой подписи и систем электронного документооборота. В Таможенном кодексе существует целый ряд статей, предусматривающих для участников внешне-экономической деятельности возможность подачи тех или иных сведений, включая грузовую таможенную декларацию, в электронной форме.
Очень важна задача обеспечения безопасности информации при организации международного информационного обмена. Хорошим примером тому может служить реализация проектов новых информационных таможенных технологий "зеленый коридор", "калининградский транзит". Здесь перед Федеральной таможенной службой стоит в том числе задача максимально способствовать участникам внешне-экономической деятельности в их предпринимательской деятельности, а это вряд ли возможно без тесного взаимодействия с таможенными органами Евросоюза.
И последнее направление связано с организацией контроля и анализа защищенности информационных ресурсов, а также выявлением и предотвращением различных атак.
Складывается впечатление, что некоторые из приведенных только что тезисов могли бы войти в меморандум об открытости информационных ресурсов Федеральной таможенной службы.
В. Ш.: Защита информации и открытость информационных ресурсов - два тесно взаимосвязанных и совершенно не противоречащих друг другу направления. Хочу привести практические примеры, характеризующие взаимосвязь архитектурных аспектов ИС, технологии обработки информации с проблемами защиты информации. Таможенная декларация, которую подает брокер, является открытой. Однако на этапе ее обобщения, поступления в центральную базу данных, обработки она приобретает статус конфиденциальной информации. Тут речь идет уже не о факте пересечения границы партией товаров, а об объемах торговли, средних ценах, преимущественном поступлении товаров в те или иные регионы. Конфиденциальность информации увеличивается пропорционально ее объему и степени логической агрегации. В ГНИВЦ Федеральной таможенной службы России она уже имеет максимальную степень конфиденциальности. Иными словами, по цепочке формирования все более обобщенной информации мы имеем различную ее ценность, и соответственно на каждом этапе нами подбираются адекватные технические средства защиты.
Другой пример связан с нашими планами внедрения электронного декларирования через предоставление участникам внешне-экономической деятельности доступа к автоматизированным системам таможенных органов через ограниченное число "точек доступа" (информационных шлюзов). Это гораздо более удобная для них модель, принятие которой как раз и позволяет способствовать развитию предпринимательской деятельности. Однако, при этом мы, по сути, во всеуслышание объявляем о наличии единого ресурса, к которому наверняка проявят интерес и злоумышленники. Задача обеспечения информационной безопасности соответственно усложняется.
Кстати, в таких сложных ситуациях часто говорят о приоритете борьбы с внутренними угрозами, борьбе с хищениями информации внутри организации и, как следствие, особом значении организационных мер, способствующих защите информации. Вы применяете таковые?
В. Ш.: Организационным мерам, являющимся дополнением к техническим, уделяется большое внимание. Хорошо известно, что безопасность информации обеспечивается за счет трех компонентов: конфиденциальности, целостности и доступности. В соответствии же с большинством международных стандартов мы должны рассматривать и еще один компонент - подотчетность доступа к информации. Имеется в виду непрерывный аудит определенных событий: кто работал, с какой информацией, кто и когда вносил в нее изменения и т. д. В таможенных органах существует персональная ответственность любого должностного лица за выполнение требований по защите информации. Если сотрудник что-либо поменял, отключил антивирусную программу или допустил утечку информации, то он несет персональную ответственность.
Давайте тогда и поговорим более подробно о том, какие технологические инструменты вы применяете в своей работе.
В. С.: Необходимо отметить, что Федеральная таможенная служба России как федеральный орган исполнительной власти в первую очередь должен обеспечить выполнение нормативно-правовых актов Российской Федерации, Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, уполномоченных в области государственной безопасности, противодействия иностранным техническим разведкам и защиты информации. Как следствие, политика обеспечения информационной безопасности ФТС России существенно отличается от аналогичной политики коммерческих организаций. В частности, мы должны применять только средства защиты информации, сертифицированные в Российской Федерации по соответствующему классу, отказываясь от ряда, возможно, технологически более продвинутых решений, вполне распространеных в коммерческом секторе.
Что касается функционального спектра, тут мы имеем, пожалуй, очень богатый, если не полный арсенал. В таможенных органах эксплуатируются антивирусное ПО, межсетевые экраны, средства криптографической защиты информации, средства защиты информации от несанкционированного доступа, средства анализа защищенности и обнаружения атак. В соответствии с решениями Совета по информационной безопасности таможенных органов и Научно-технического совета в каждой группе в качестве базового используется одно конкретное средство. Это существенно уменьшает финансовые затраты на техническое сопровождение эксплуатации средств защиты информации и обучение должностных лиц таможенных органов. Вместе с тем мы точечно применяем и иные средства. Так, например, в качестве базового межсетевого экрана используется экран, разработанный по заказу таможенных органов, а для закрытого сегмента центральной базы данных используется уже другое более мощное средство.
В. Ш.: Хотелось бы также отметить, что мы применяем множество специализированных разработок, созданных внешними подрядчиками в соответствии с нашим техническим заданием. Это обычная практика в формировании систем автоматизации таможенных органов в целом, в том числе и механизмов защиты информации. Мы стараемся максимально учитывать специфику таможенных органов, и поэтому у нас есть уникальные технические решения, в том числе и по использованию типовых средств.
Отдельно можно сказать несколько слов о ведомственном удостоверяющем центре, Одном из первых в стране. Мы - шестая таможенная служба в мире, которая начала использовать такое решение. Применяется оно в течение двух лет, и официальному переводу его в промышленную эксплуатацию препятствует лишь отсутствие необходимой законодательной базы в России. Экспериментируем мы также с защищенной электронной почтой.
Хотелось бы также, чтобы вы рассказали, как организационно выстроена внутри Федеральной таможенной службы России структура, отвечающая за обеспечение информационной безопасности.
В. С.: Работы по обеспечения информационной безопасности в целом координирует Совет по информационной безопасности таможенных органов, возглавляемый одним из заместителей Федеральной таможенной службы России. В состав Совета входят сотрудники структурных подразделений центрального аппарата ФТС России, ГНИВЦ ФТС России и региональных таможенных управлений. В структуре центрального аппарата ФТС России есть Главное управление информационных технологий, в составе которого создан отдел методологии обеспечения информационной безопасности таможенных органов, отвечающий за разработку и реализацию технической политики обеспечения информационной безопасности таможенных органов. Во всех подразделениях центрального аппарата Федеральной таможенной службы России назначены ответственные по защите информации. Во всех таможенных органах предусмотрено создание штатных подразделений по защите информации. В основном должностными лицами таможенных органов, отвечающими за обеспечения информационной безопасности, являются бывшие сотрудники Минобороны, ФСБ, Гостехкомиссии, бывшего ФАПСИ либо выпускники профильных вузов (РГГУ, МИФИ, МВТУ). Кроме того, большое значение мы придаем обучению вопросам безопасности специалистов, работающих в смежных областях, например, администраторов баз данных. Для этого привлекаются учебные центры, имеющие не только образовательную лицензию, но и лицензию Гостехкомиссии России.
В. Ш.: В составе ГНИВЦ, в свою очередь, есть отдел информационной безопасности. В него входят также специалисты, осуществляющие эксплуатацию ведомственного удостоверяющего центра.
А как вы могли бы оценить результаты своей деятельности?
В. С.: Здесь, безусловно, можно было бы говорить о целом ряде весьма специфических нюансов, характеризующих эффективность нашей работы. Но в рамках нашего не слишком углубленного в профессиональные термины разговора хотелось бы привести следующий пример, косвенно характеризующий эффективность принимаемых мер. Лет пять-шесть назад достоверность информации, продаваемой на пиратских CD, достигала 95 - 99 процентов. Сегодня, по оценкам специалистов ГНИВЦ, отвечающих за выявление и предотвращение каналов утечки информации из центральной базы данных, достоверность этих источников не превышает 60 процентов. В связи с этим, пользуясь удобным случаем, хочется предостеречь предпринимателей, которые планируют свою деятельность, используя такие сомнительные источники. Приняв решение на основе недостоверной информации, можно очень серьезно просчитаться и понести существенные убытки. Предпринимателям, некоторые из которых уже сильно погорели, в этой ситуации можно посоветовать перестать играть по принципу "орел-решка". К тому же таможенные органы постоянно совершенствуют применяемые меры по обеспечению информационной безопасности, и достоверность данных из таких источников будет только снижаться.