A4 Безопасность

A4.1 Имеется ли в вашей стране стратегия обеспечения безопасности информационно-коммуникационных технологий?

Предпосылки

Компьютерная безопасность, кибербезопасность или информационная безопасность (ИТ-безопасность) - меры безопасности, применяемые для защиты компьютерных систем, а также компьютерных сетей от повреждения их аппаратного или программного обеспечения, изменения или уничтожения данных, а также для защиты предоставляемых ими услуг от случайного или несанкционированного доступа. Безопасность информационных технологий и систем безбумажной торговли должна обеспечивать уверенность пользователей в необходимости отказа от бумажных документов и перехода на электронный обмен информацией и данными. 

Страна, планирующая внедрить системы безбумажной торговли, должна разработать стратегию в области кибербезопасности на национальном уровне. Обеспечение кибербезопасности на национальном уровне – комплексная задача, требующая общей ответственности и скоординированных действий со стороны государственных органов, частного сектора и гражданского общества по обнаружению, сопоставлению, реагированию и устранению угроз. Основной целью кибербезопасности является обеспечение конфиденциальности, целостности и доступности (КЦД) данных и услуг.

Возможные ответы
  • Да - В стране разработана стратегия в области кибербезопасности на национальном уровне, например, в форме закона о кибербезопасности, политики или руководящих принципов в области ИТ-безопасности, утвержденных главой Правительства/Кабинетом министров или Министерством ИКТ/цифровой экономики.
  • Нет - В стране не разработана стратегия в области кибербезопасности на национальном уровне.
Передовая практика

Необходимо, чтобы в стране была разработана стратегия в области кибербезопасности на национальном уровне, например, в форме закона о кибербезопасности, политики или руководящих принципов в области ИТ-безопасности. Данная политика и соответствующая практика в области кибербезопасности должны быть утверждены по крайней мере для критически важной для страны ИТ-инфраструктуры и систем ИКТ. Необходимо повышать уровень информированности и поощрять развитие навыков и компетенций в области кибербезопасности среди граждан и организаций.

Стратегия в области кибербезопасности как правило включает в себя определение общих руководящих принципов, концепции и сферы применения, целей, задач, подходов к управлению рисками и т.д.

Ссылки и тематические исследования

A4.2 Если внедрены какие-либо из систем, упомянутых в пункте А2.1 «Электронные системы», какие имеются меры безопасности для защиты этих систем от несанкционированного доступа?

Предпосылки

Безопасность в данном контексте понимается как способности системы защищать данные и информацию от несанкционированного доступа. Вредоносное действие, предпринятое против компьютерной системы, называется кибератакой и может принимать различные формы. Это может быть несанкционированная попытка получить доступ к данным или услугам и их изменение, или препятствование предоставлению услуг авторизованным пользователям.

Необходимо разработать ряд мер безопасности, направленных на обеспечение защиты действующих в стране электронных систем безбумажной торговли, в частности, систем электронной таможни, электронных портов, электронных лицензий, электронных сертификатов и электронных разрешений, от несанкционированного доступа и кибератак.

Возможные ответы
  • Да - Для систем, упомянутых в разделе А2, были разработаны все необходимые меры безопасности.
  • Partially Yes - Не для всех систем, упомянутых в разделеА2, были разработаны меры безопасности, или были разработаны лишь некоторые, но не все необходимые меры безопасности.
  • Нет - Меры безопасности разработаны не были, или были разработаны лишь некоторые, но не все необходимые меры безопасности, так что системы, упомянутые в разделе А2, не могут считаться полностью защищенными от попыток несанкционированного доступа или все еще подвержены высокому риску кибератак.
Передовая практика

Для обеспечения высокого уровня защиты платформ безбумажной торговли и системы «единого окна» рекомендуется, чтобы их инфраструктура была спроектирована с учетом стратегии углубленной защиты, например, архитектура системы ИТ-безопасности основного и резервного (аварийного) центров обработки данных может быть разработана по типу множественных колец защиты.  Использование многоуровневых архитектур для решения проблем безопасности могут способствовать снижению риска кибератак или несанкционированного доступа.

Необходимо разработать ряд мер обеспечения информационной безопасности с применением аппаратных и программных средств, которые, в частности, включают: защиту от атак типа «распределенный отказ в обслуживании» (DDoS), сетевую защиту с использованием брандмауэров, криптографию, защиту от постоянной угрозы повышенной сложности (APT), разработку безопасного программного обеспечения, проведение регулярной оценки рисков, применение тестирования на проникновение и оценки уязвимости.

Ссылки и тематические исследования
  • Структура архитектуры безопасности для критической инфраструктуры с множественными кольцами защиты, https://ieeexplore.ieee.org/abstract/document/8426099
  • Национальный институт стандартов и технологий (НИСТ): Общие руководящие принципы по кибербезопасности, https://www.nist.gov/cyberframework
  • ИСО/МЭК 27001: Управление рисками информационной безопасности, https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment
  • ИСО/МЭК 27031:2011: Информационные технологии - Методы и средства обеспечения безопасности — Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
  • ИСО/МЭК 29147:2018: Информационные технологии — Методы обеспечения безопасности — Раскрытие уязвимостей.

A4.3 Какой механизм аутентификации применяется для обеспечения безопасности информации, передаваемой в электронном виде?

Предпосылки

Аутентификация — это процесс подтверждения личности пользователя с целью предоставления ему доступа к компьютерной системе. В отличие от идентификации, которая представляет собой процесс распознавания пользователя или объекта в системе по его идентификатору, аутентификация — это процедура проверки подлинности такого идентификатора. Существует несколько механизмов аутентификации, используемых для обеспечения безопасности данных, передаваемых в электронном виде конкретным идентифицированным лицом.

Возможные ответы
  • Да - Применяется механизм аутентификации для обеспечения безопасности данных, передаваемых в электронном виде между пользователями или системами.
  • Нет - Механизм аутентификации не применяется или не обеспечена безопасность данных, передаваемых в электронном виде между пользователями или системами.
Передовая практика

Существует три основных категории факторов аутентификации, а именно:

  • То, что вы знаете – обычно это пароль, PIN-код или кодовая фраза, или набор секретных вопросов и соответствующие ответы на них, известные только пользователю. Все, что пользователь может запомнить, а затем ввести, сказать, сделать, выполнить или иным образом вспомнить, когда это необходимо, относится к данной категории.
  • То, что у вас есть – физические устройства, например, ключи, смартфоны, смарт-карты, USB-накопители, аппаратные токены. Аппаратный токен генерирует новый пароль с определенным интервалом времени (токен с синхронно динамическим паролем) или предоставляет расшифрованный вызов сервера (токен вызов-ответ).
  • Часть вас – биометрические данные человека, например, отпечатки пальцев, рисунок ладони, изображение лица, сетчатка и радужная оболочка глаза, голос.

Для предоставления доступа к системе рекомендуется использовать механизм многофакторной аутентификации, которая требует от пользователя представления двух или более доказательств личности. Многофакторная аутентификация является предпочтительным методом аутентификации, так как значительно усложняет для злоумышленника процесс заполучения доступа к устройству или системе. Например, при однофакторной аутентификации по паролю злоумышленнику требуется провести лишь одну успешную атаку, тогда как при многофакторной аутентификации ему будет необходимо провести несколько одновременных успешных атак, что является довольно сложным.

Для обеспечения конфиденциальности обмена данными между любыми двумя сторонами или системой необходимо использовать протоколы безопасной передачи данных, например, расширенный защищенный протокол передачи гипертекста (HTTPS). При необходимости обеспечения более высокого уровня конфиденциальности может быть использован дополнительный алгоритм шифрования на уровне прикладного программного обеспечения.

Ссылки и тематические исследования

A4.4 Какой тип протокола связи используется в настоящее время для электронного обмена данными?

Предпосылки

Существует несколько видов протоколов связи, которые могут быть использованы для электронного обмена данными в системах безбумажной торговли или системах «единого окна». Сбор и анализ информации, касающийся применения различных протоколов передачи данных в стране, может быть полезен для изучения накопленного опыта и будущего сотрудничества.

Передовая практика

Разные страны имеют разнообразный опыт применения протоколов связи для электронного обмена данными. Можно выделить, к примеру, протокол передачи файлов (FTP), протокол передачи файлов прикладного уровня (SFTP), протокол передачи гипертекста (HTTP), протоколы ASx, службу обмена сообщениями ebXML, архитектурный стиль взаимодействия компонентов распределённого приложения в сети REST, веб-сервисы, не привязанные к HTTP и т.д.

Ссылки и тематические исследования

A4.5 Каков план вашей страны в отношении будущей деятельности по повышению уровня безопасности, упомянутой в пунктах А4.1 и А4.2, и каковы намеченные временные рамки для этого?

Предпосылки

Компьютерная безопасность или кибербезопасность, понимаемая как меры безопасности, применяемые для защиты информационных систем от различного рода угроз, таких как кибератаки и несанкционированный доступ, имеет решающее значение для повышения доверия и лояльности пользователей к системам безбумажной торговли. Соответствующему органу следует рассмотреть вопрос об определении временных рамок и разработке плана по повышению уровня безопасности таких электронных систем их инфраструктуры.

Передовая практика

Стране необходимо обеспечить проведение регулярной оценки рисков критически важной инфраструктуры и систем ИКТ, например, на основе методологии, разработанной ИСО (ИСО/МЭК 27001: Управление рисками информационной безопасности, https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment), а также процедур тестирования на проникновение и оценки уязвимости. Данные результаты должны быть использованы для разработки конкретных мер безопасности, а на их основе - плана по повышению уровня безопасности, который будет способствовать повышению уровня безопасности критически важной инфраструктуры и систем ИКТ в стране.

Ссылки и тематические исследования

 

Glossary
  1. Под «безбумажной торговлей» понимается перевод всей соответствующей информации в цифровой формат, включая представление торговых данных и документов и создание условий для обмена ими в электронном виде. Проще говоря, такую торговлю можно представить как трансграничные торговые операции с использованием электронных данных вместо бумажных документов. Еще...

  2. «Система электронной таможни (e-Таможня)» – это автоматизированная система таможенного администрирования с несколькими электронными вспомогательными функциями для упрощения и эффективного регулирования таможенных процедур.

    Если говорить более конкретно, то можно выделить следующие ключевые функции электронной таможенной системы: электронная подача таможенных деклараций с использованием онлайн-сервисов, использование программного обеспечения для управления рисками для сокращения времени таможенной очистки и физического досмотра грузов, автоматизированный расчет и электронные платежи для упрощения сбора пошлин и налогов, а также услуги по обеспечению единообразного применения законов и нормативных актов. Еще...

  3. «Система электронного порта (e-Порт) или Информационная система портового сообщества (ИСПС)» представляет собой нейтральную и открытую электронную платформу, обеспечивающую интеллектуальный и безопасный обмен информацией между участниками и заинтересованными сторонами из государственного и частного секторов в целях повышения конкурентоспособности морских и воздушных портов.

    E-порт содействует оптимизации, управлению и автоматизации портовых и логистических процессов за счет единовременного представления данных и связывания воедино транспортных и логистических цепочек.

    Система электронного порта обеспечивает электронное взаимодействие в портах между частными транспортными операторами (судоходными линиями, агентами, экспедиторами, стивидорами, терминалами, складами), внутренними районами (до и во время перевозки автомобильным, железнодорожным и внутренним водным транспортом), импортерами и экспортерами, портовой администрацией, таможенными и другими органами. Еще...

  4. «Система электронных лицензий (e-Лицензии)» – это программное приложение государственного учреждения, предназначенное для выдачи импортных и экспортных лицензий. Некоторые ключевые функции и электронные сервисы системы электронных лицензий включают: электронная подача заявок, проверка представленных данных, услуги по утверждению и выдаче лицензий. Еще...

  5. «Система электронных сертификатов (e-Сертификаты)» для экспорта – разработанное уполномоченной организацией программное приложение, предназначенное для выдачи экспортных сертификатов, например, сертификатов происхождения (СП), фитосанитарных и санитарных сертификатов. Некоторые ключевые функции и электронные сервисы системы электронных сертификатов включают: электронная подача заявок, проверка представленных данных, услуги по утверждению и выдаче сертификатов.

    Для выдачи некоторых сертификатов требуется проведение предварительных физических или лабораторных испытаний. Система электронных сертификатов могла бы предоставлять электронные услуги для содействия координации и работе с отчетами о лабораторных испытаниях в сочетании с другими функциями, связанными с выдачей сертификатов.

    «Система электронных сертификатов (e-Сертификаты)» для импорта – это электронная система, которая позволяет контролирующим органам в стране импорта получать зарубежные сертификаты в цифровом формате, например, фитосанитарные и санитарные сертификаты на импорт продовольственной и сельскохозяйственной продукции. Еще...

  6. «Система электронных разрешений (e-Разрешения)» – это система, которая улучшает и автоматизирует все бизнес-процессы, связанные с выдачей разрешений на импорт/экспорт и их обменом, а также операциями и процедурами контроля и отчетности. Еще...
  7. «Единое окно» означает механизм, позволяющий сторонам, участвующим в торговых операциях, представлять данные и документы в электронной форме с использованием единого пропускного канала в целях выполнения всех регулирующих требований, касающихся импорта, экспорта и транзита. Рекомендация № 33 СЕФАКТ ООН: Рекомендация и Руководящие принципы по созданию механизма «единого окна»
  8. «Электронный обмен данными (ЭОД)» – технология автоматизированного обмена бизнес-данными в стандартизированном электронном формате между бизнес-партнерами. «Стандарт ООН для электронного обмена данными в управлении, торговле и на транспорте (ЭДИФАКТ ООН)», разработанный Европейской экономической комиссией (ЕЭК), является главным стандартом электронного обмена данными (ЭОД), который принят во всем мире и активно используется национальными таможенными службами и международными судоходными компаниями. Стандарт ООН для электронного обмена данными в управлении, торговле и на транспорте» (ЭДИФАКТ ООН).