Информационная безопасность на объектах авиационной транспортной инфраструктуры

Построение комплексной системы антитеррористической защищенности объектов транспортной инфраструктуры (ОТИ) воздушного транспорта строится на реализации требований авиационной и транспортной безопасности. Двойное нормативно-правовое регулирование деятельности порождает некоторые проблемы, необходима гармонизация законодательства в этой сфере. В связи с этим особенную актуальность имеет вопрос гармоничного встраивания системы информационной безопасности в антитеррористическую защищенность на ОТИ.

Подход к информационной безопасности в рамках авиационной безопасности

Информационная безопасность отражена в требованиях, предъявляемых к авиационной безопасности в рамках международного законодательства ICAO DOC 8973 – Руководстве по авиационной безопасности (ICAO DOC 8973). В главе 18 ICAO DOC 8973 "Киберугрозы критически важным авиационным системам информационных и связных технологий" указаны основные принципы построения информационной безопасности на авиапредприятиях. Они включают в себя порядок выявления, оценку риска, порядок защиты информационной среды. Эти аспекты должны быть учтены в программе авиационной безопасности аэропорта или авиакомпании.

В Федеральной системе обеспечения авиационной безопасности (национальная программа авиационной безопасности), одобренной Межведомственной комиссией по авиационной безопасности, безопасности полетов гражданской авиации и упрощению формальностей от 04.04.2019 г., конкретизируются задачи по организации информационной безопасности.

Так, в п. 117 "Защита критически важных систем и данных от кибератак" указано, что системы транспортной безопасности подлежат категорированию как критические информационные инфраструктуры (КИИ): "...В соответствии с оценкой риска, проводимой на основании и в соответствии с Федеральным законом от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и постановлением Правительства Российской Федерации от 08.02.2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, обеспечивает разработку надлежащих мер защиты конфиденциальности, целостности и доступности критически важных систем информационных и связных технологий и данных, используемых для целей гражданской авиации, от вмешательства, которое может поставить под угрозу безопасность гражданской авиации".

Однако в рамках транспортной безопасности подход к обеспечению информационной безопасности ОТИ напрямую не прописан.

Основные принципы построения информационной безопасности на авиапредприятиях включают в себя порядок выявления, оценку риска, порядок защиты информационной среды. Эти аспекты должны быть учтены в программе авиационной безопасности аэропорта или авиакомпании.

Круг проблем

В п. 1 постановления Правительства РФ от 26.09.2016 г. № 969 "Об утверждении требований к функциональным свойствам технических средств обеспечения транспортной безопасности и Правил обязательной сертификации технических средств обеспечения транспортной безопасности" отсутствует раздел, отражающий требования к оборудованию, которое обеспечивает информационную безопасность (как функциональное свойство). Раздел 9 постановления Правительства РФ № 969 "Требования к функциональным свойствам технических средств связи, приема и передачи информации" не включает в себя требования к программным компонентам.

В этой связи разработчики технических средств обеспечения транспортной безопасности (ТС ОТИ) могут не проходить сертификацию средств защиты информации и аттестацию объектов информатизации по требованиям безопасности информации.

Проблема построения защищенной информационной среды на ОТИ осложняется необходимостью исполнения п. 5 ч. 2 ст. 12 Федерального закона от 09.02.2007 г. № 16-ФЗ "О транспортной безопасности" – предоставления доступа к данным сторонним организациям.

На законодательном уровне установлено наличие двух уязвимостей информационной безопасности на ОТИ: подключение стороннего оборудования с выходом в Интернет и использование сторонних съемных носителей информации.

Согласно приказу Министерства транспорта Российской Федерации от 23.06.2021 г. № 208 "Об утверждении порядка обеспечения доступа к данным с технических средств обеспечения транспортной безопасности на объекте транспортной инфраструктуры или транспортном средстве подразделениям федерального органа исполнительной власти в области обеспечения безопасности Российской Федерации, федерального органа исполнительной власти, осуществляющего функции по выработке государственной политики и нормативно-правовому регулированию в сфере внутренних дел, федеральной службы по надзору в сфере транспорта и передачи таких данных в служебные помещения на объекте транспортной инфраструктуры, предоставленные (переданные) территориальным органам и (или) подразделениям указанных федеральных органов исполнительной власти для выполнения задач на объекте транспортной инфраструктуры в соответствии с установленными полномочиями", предусмотрено два главных способа передачи данных:

1. подключение оборудования уполномоченных подразделений федеральных органов исполнительной власти к ТС ОТБ, включая технические средства, обеспечивающие сбор и обработку в электронном виде данных с ТС ОТБ. Подключения до трех комплектов оборудования;
2. использование и копирование информации с ТС ОТБ, включая технические средства, обеспечивающие сбор и обработку в электронном виде данных с ТС ОТБ, на съемные носители в сроки, указанные в запросе уполномоченных подразделений федеральных органов исполнительной власти в соответствии с полномочиями.

Таким образом, на законодательном уровне установлено наличие двух уязвимостей информационной безопасности на ОТИ: подключение
стороннего оборудования с выходом в Интернет и использование сторонних съемных носителей информации.

Указанная проблематика сталкивается с имеющимися распространенными проблемами в информационной среде ОТИ:

• Обновление операционных систем и программных продуктов.
• Разработка и реализация пакета организационно-распределительной документации, в том числе проведение категорирования КИИ.
• Организация удаленного доступа.
• Обеспечение отказоустойчивости доступа к публичной сети "Интернет" за счет применения двух и более операторов связи, а также
  резервирования каналов связи в автоматическом режиме.
• Реализация доменной структуры.

Рис. 1. Реализация требований по импортозамещению

3 первостепенные задачи

В результате субъекты транспортной инфраструктуры воздушного транспорта в целях реализации системы информационной безопасности должны:

1. Преодолеть различия требований информационной и транспортной безопасности.
2. Реализовать требования по защите КИИ.
3. Реализовать требования по импортозамещению.

Фридрих Энгельс писал: "Все идеи извлечены из опыта, они – отражения действительности, верные или искаженные"¹. Опыт подсказывает, что решение данной проблематики в руках самих субъектов транспортной инфраструктуры (рис. 1).

¹ Маркс К., Энгельс Ф. Сочинения. Государственное издательство политической литературы. Москва, 1961. Издание 2-е, том 20. С. 639.

Опубликовано в журнале "Системы безопасности" № 4/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Источник фото: storage.myseldon.com