CC BY
63информационная безопасность в таможенных органах
М.А. Рыльская
О ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОМ ИНФОРМАЦИИ В ТАМОЖЕННОМ ДЕЛЕ
Для выполнения своих функций таможенные органы нуждаются в различного рода информации о лицах, участвующих в таможенных правоотношениях. В статье 408 Таможенного кодекса РФ (ТК РФ) закрепляется положение о том, что «таможенные органы для выполнения возложенных на них функций обладают правомочиями... требовать документы, сведения, представление которых предусмотрено в ТК РФ». Документы и сведения, необходимые для таможенного оформления, являются объектом правового регулирования (ст. 63 ТК РФ). Порядок представления документов и сведений, необходимых для таможенного контроля, установлен в ст. 363 и 10 ТК РФ.
Следует отметить, что в ТК РФ особое внимание уделяется информационным системам и информационным технологиям в таможенном деле, эта проблематика выделена в отдельную главу 40.
Статья 10 ТК РФ содержит правило, в соответствии с которым любая информация, предоставляемая таможенным органам в соответствии с предписаниями таможенного законодательства, может быть использована исключительно в таможенных целях.
Особый режим устанавливается в отношении охраняемой законом тайны, а также конфиденциальной информации. Такая информация не должна разглашаться, использоваться должностными лицами таможенных органов в личных целях, передаваться третьим лицам, а также государственным органам (за исключением отдельных случаев, предусмотренных законодательством РФ, с целью поддержания правопорядка и режима законности).
Конфиденциальность информации - это свойство, указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Угроза ее нарушения может привести к ситуации, когда данная информация становится доступной для тех, кто не имеет полномочного доступа к ней.
С учетом нормативных документов, действующих на территории РФ, можно применить следующее разграничение информации по грифу конфиденциальности: от-
крытая информация (ОИ), для внутреннего использования (ДВИ), конфиденциальная информация (КИ).
Конфиденциальная информация в деятельности таможенных органов в основном включает в себя коммерческую, профессиональную и служебную тайну. В связи с этим представляется важным освещение существующей в настоящее время системы защиты указанного вида информации.
Итак, защита прав обладателя коммерческих секретов осуществляется способами, предусмотренными в первую очередь Гражданским кодексом РФ (ГК РФ). Среди них можно выделить следующие: пресечение действий, нарушающих право или создающих угрозу его нарушения; возмещение убытков, в том числе и упущенной выгоды (ст. 12 ГК РФ).
В статье 139 ГК РФ предусмотрено, что обладатель коммерческой тайны вправе требовать возмещения убытков:
от лиц, незаконными методами получивших информацию, составляющую коммерческую тайну, например путем похищения документов;
от работника, разгласившего коммерческую тайну вопреки трудовому договору. В этом случае работник получает информацию, содержащую коммерческую тайну, на законных основаниях, например в силу занимаемой должности, а ответственность наступает за незаконное ее разглашение. При этом обязательным является наличие условия о неразглашении коммерческой тайны в трудовом договоре. Работодатель обязан ознакомить работника под роспись с перечнем сведений, содержащих коммерческую тайну, который утверждается руководителем. В противном случае работник не может знать, является ли та или иная информация коммерческой тайной;
от контрагента, разгласившего коммерческую тайну вопреки гражданско-правовому договору. Под контрагентом следует понимать любое лицо, с которым у обладателя информации заключено соглашение о ее неразглашении. В этом соглашении обязательно должно быть указано, какая именно информация является коммерческой тайной;
в результате неправомерного разглашения коммерческой тайны должностными лицами государственных органов, получившими ее на законных основаниях. Возмещение ущерба осуществляется на основании ст. 16 и 1069 ГК РФ, а также норм законодательства, регулирующих деятельность этих органов или должностных лиц (например, ст. 102 НК РФ «Налоговая тайна» и п. 1 ст. 35 НК РФ «Ответственность налоговых органов, таможенных органов, органов государственных внебюджетных фондов, а также их должностных лиц»; ст. 15 Закона РФ от 22.03.1991 № 948-1 «О конкуренции и ограничении монополистической деятельности на товарных рынках»).
За исключением четырех вышеперечисленных случаев, нарушений коммерческой тайны не происходит, соответственно право на возмещение ущерба не появляется. Таким образом, любое лицо, самостоятельно и добросовестно ставшее обладателем информации, вправе распоряжаться ею по своему усмотрению, если, конечно, с обладателем не заключен договор о неразглашении.
Ответственность за «промышленный шпионаж» определена в ст. 183 Уголовного кодекса РФ (УК РФ). Она предусматривает ответственность за «незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну». Законом предусмотрены два состава этого преступления: «собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо не-
м.А. Рыльская
законного использования этих сведений» (ч. 1 ст. 183) или «незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб» (ч. 2 ст. 183).
Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.
Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.
Согласно ч. 2 данной статьи субъектом преступления могут быть также любые лица, включая должностных лиц, имевших доступ к сведениям, составляющим коммерческую тайну.
Далее в нашем рассмотрении следует профессиональная тайна. В общем случае - это
защищаемая по закону информация, доверенная или ставшая известной лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной и муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица, доверившего эти сведения (доверителя), и не являющаяся государственной или коммерческой тайной.
Служебная тайна в основном связана с интересами государственной службы. Правовая охрана служебной тайны носит опосредованный характер, так как прямого указания в статьях уК РФ (гл. 30) на пределы охраны должностной тайны нет.
Доступ к профессиональным сведениям закрытого характера определяется должностным статусом лица, которому эти сведения стали известны по службе. Поэтому при утечке этой информации страдают интересы службы (в отличие от интересов клиентов в случае профессиональной тайны).
Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.
Содержание сведений, составляющих служебную тайну, во многом совпадает с содержанием должностной служебной тайны.
К служебной тайне (в соответствии с Указом Президента РФ от 06.03.1997 № 188) относятся служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна).
Согласно Концепции информационной безопасности таможенных органов основные угрозы циркулирующей в сфере таможенной деятельности информации включают в себя [1]:
а) угрозы конституционным правам и свободам человека и гражданина в информационной сфере:
нерациональное, чрезмерное ограничение доступа к общественно значимой информации в области таможенного дела;
создание монополий на формирование, получение и распространение информации, обрабатываемой в таможенных органах, включая использование телекоммуникационных систем;
нарушение конфиденциальности персональных данных должностных лиц таможенных органов;
манипулирование информацией (дезинформация, сокрытие или искажение информации) в области таможенного дела;
б) угрозы информационному обеспечению государственной политики РФ в области таможенного дела:
монополизация информационного рынка таможенных органов отечественными и зарубежными информационными структурами;
дефицит квалифицированных кадров, отсутствие системы формирования и реализации государственной информационной политики в области таможенного дела;
в) угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей таможенных органов, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов в области таможенного дела:
закупка импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
г) угрозы безопасности информационных и телекоммуникационных средств и систем:
компрометация ключей и средств криптографической защиты информации; перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации или ее подмена.
Процессы по нарушению надежности информации подразделяют на случайные и злоумышленные (преднамеренные). Источниками случайных разрушительных процессов являются непреднамеренные, ошибочные действия людей, технические сбои. Злоумышленные нарушения появляются в результате умышленных действий людей [2].
Имеется достаточно много способов несанкционированного доступа к информации, в том числе: просмотр;
копирование и подмена данных;
ввод ложных программ и сообщений в результате подключения к каналам связи; чтение остатков информации на ее носителях;
прием сигналов электромагнитного излучения и волнового характера; использование специальных программ.
Злоумышленником может быть: разработчик компьютерных сетей, сотрудник из числа обслуживающего персонала, пользователь, а также постороннее лицо. Возможности оказания негативных действий в большей степени зависят от статуса злоумышленника.
М.А. Рыльская
Если в прошлом основную опасность для информационных ресурсов представляли хакеры, подключавшиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.
В качестве вероятного нарушителя (злоумышленника) информационной безопасности в общем случае рассматривается субъект, имеющий возможность реализовы-вать, в том числе с помощью технических средств, угрозы информационной безопасности и осуществлять посягательства (способы воздействия) на информационные ресурсы и системы.
По уровню предполагаемых угроз и посягательств на информационные ресурсы таможенных органов нарушителей можно классифицировать следующим образом [3]:
внешний нарушитель, самостоятельно осуществляющий создание методов и средств реализации угроз, а также реализующий угрозы;
внутренний нарушитель, не являющийся пользователем информационных систем таможенных органов, самостоятельно осуществляющий создание методов и средств реализации угроз, а также реализующий угрозы;
внутренний нарушитель, являющийся пользователем информационных систем таможенных органов, самостоятельно осуществляющий создание методов и средств реализации угроз, а также реализующий угрозы;
группа нарушителей, не являющаяся пользователем информационных систем таможенных органов, осуществляющая создание методов и средств реализации угроз, а также реализующая их с привлечением отдельных специалистов, имеющих опыт разработки и анализа средств защиты информации, используемых в информационных системах таможенных органов;
группа нарушителей, являющаяся пользователями информационных систем таможенных органов, осуществляющая создание методов и средств реализации атак, а также реализующая атаки с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа средств защиты информации (включая специалистов в области использования для реализации угроз недокументированных средств прикладного программного обеспечения таможенных органов).
Предполагается, что на этих уровнях нарушитель является специалистом высшей квалификации, знает все об информационной системе, о системе и средствах ее защиты и может при определенных обстоятельствах осуществить весь спектр посягательств на информационные ресурсы.
В своей противоправной деятельности вероятный нарушитель может использовать любое существующее в стране и за рубежом средство перехвата информации, воздействия на информацию и информационные системы таможенных органов, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.
Необходимо учитывать также цели посягательств вероятного нарушителя на информационные ресурсы и системы. Среди таких целей могут быть: хищение информации (шпионаж, в том числе экономический), намерение совершить корыстное преступление, любопытство, удовлетворение собственного тщеславия, месть, вандализм и др. Модель нарушителя может уточняться по мере необходимости. В заключение следует отметить, что важность проблемы обеспечения сохранности информации подтверждается затратами на защитные мероприятия. Для обеспечения надежной системы защиты необходимы значительные материальные и финан-
совые затраты. Перед построением системы защиты должна быть разработана оптимизационная модель, позволяющая достичь максимального результата при заданном или минимальном расходовании ресурсов. Расчет затрат, которые необходимы для предоставления требуемого уровня защищенности информации, следует начинать с выяснения нескольких фактов: полного перечня угроз информации, потенциальной опасности для информации каждой из угроз, размера затрат, необходимых для нейтрализации каждой из угроз.
Как показывает практика, для борьбы со всеми этими способами несанкционированного доступа необходимо разрабатывать, создавать и внедрять многоступенчатую непрерывную и управляемую архитектуру безопасности информации. Защищать следует не только информацию конфиденциального содержания. На объект защиты обычно действует некоторая совокупность дестабилизирующих факторов. При этом вид и уровень воздействия одних факторов могут не зависеть от вида и уровня других.
Возможна ситуация, когда вид и уровень взаимодействия имеющихся факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. В этом случае следует применять как независимые с точки зрения эффективности защиты средства, так и взаимозависимые. Для того чтобы обеспечить достаточно высокий уровень безопасности данных, надо найти компромисс между стоимостью защитных мероприятий, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе детального анализа многочисленных взаимодействующих факторов можно найти разумное и эффективное решение о сбалансированности мер защиты от конкретных источников опасности.
список использованных источников
1. Приказ ФТС России от 19.09.2006 № 900 «О решении, принятом на заседании коллегии ФТС России, о Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года»; приказ ФТС России от 30.10.2006 № 1062 «Об обеспечении безопасности информации при информационном взаимодействии таможенных органов с участниками внешнеэкономической деятельности и сетями общего пользования».
2. Козлова И.С. Информатика: Конспект лекций. М.: Высшее образование, 2007. С. 166.
3. Концепция обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года. Разд. III «Состояние обеспечения информационной безопасности таможенных органов». П. 39, 40.
