Построение комплексной системы антитеррористической защищенности объектов транспортной инфраструктуры (ОТИ) воздушного транспорта строится на реализации требований авиационной и транспортной безопасности. Двойное нормативно-правовое регулирование деятельности порождает некоторые проблемы, необходима гармонизация законодательства в этой сфере. В связи с этим особенную актуальность имеет вопрос гармоничного встраивания системы информационной безопасности в антитеррористическую защищенность на ОТИ.
Информационная безопасность отражена в требованиях, предъявляемых к авиационной безопасности в рамках международного законодательства ICAO DOC 8973 – Руководстве по авиационной безопасности (ICAO DOC 8973). В главе 18 ICAO DOC 8973 "Киберугрозы критически важным авиационным системам информационных и связных технологий" указаны основные принципы построения информационной безопасности на авиапредприятиях. Они включают в себя порядок выявления, оценку риска, порядок защиты информационной среды. Эти аспекты должны быть учтены в программе авиационной безопасности аэропорта или авиакомпании.
В Федеральной системе обеспечения авиационной безопасности (национальная программа авиационной безопасности), одобренной Межведомственной комиссией по авиационной безопасности, безопасности полетов гражданской авиации и упрощению формальностей от 04.04.2019 г., конкретизируются задачи по организации информационной безопасности.
Так, в п. 117 "Защита критически важных систем и данных от кибератак" указано, что системы транспортной безопасности подлежат категорированию как критические информационные инфраструктуры (КИИ): "...В соответствии с оценкой риска, проводимой на основании и в соответствии с Федеральным законом от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и постановлением Правительства Российской Федерации от 08.02.2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, обеспечивает разработку надлежащих мер защиты конфиденциальности, целостности и доступности критически важных систем информационных и связных технологий и данных, используемых для целей гражданской авиации, от вмешательства, которое может поставить под угрозу безопасность гражданской авиации".
Однако в рамках транспортной безопасности подход к обеспечению информационной безопасности ОТИ напрямую не прописан.
Основные принципы построения информационной безопасности на авиапредприятиях включают в себя порядок выявления, оценку риска, порядок защиты информационной среды. Эти аспекты должны быть учтены в программе авиационной безопасности аэропорта или авиакомпании.
В п. 1 постановления Правительства РФ от 26.09.2016 г. № 969 "Об утверждении требований к функциональным свойствам технических средств обеспечения транспортной безопасности и Правил обязательной сертификации технических средств обеспечения транспортной безопасности" отсутствует раздел, отражающий требования к оборудованию, которое обеспечивает информационную безопасность (как функциональное свойство). Раздел 9 постановления Правительства РФ № 969 "Требования к функциональным свойствам технических средств связи, приема и передачи информации" не включает в себя требования к программным компонентам.
В этой связи разработчики технических средств обеспечения транспортной безопасности (ТС ОТИ) могут не проходить сертификацию средств защиты информации и аттестацию объектов информатизации по требованиям безопасности информации.
Проблема построения защищенной информационной среды на ОТИ осложняется необходимостью исполнения п. 5 ч. 2 ст. 12 Федерального закона от 09.02.2007 г. № 16-ФЗ "О транспортной безопасности" – предоставления доступа к данным сторонним организациям.
На законодательном уровне установлено наличие двух уязвимостей информационной безопасности на ОТИ: подключение стороннего оборудования с выходом в Интернет и использование сторонних съемных носителей информации.
Согласно приказу Министерства транспорта Российской Федерации от 23.06.2021 г. № 208 "Об утверждении порядка обеспечения доступа к данным с технических средств обеспечения транспортной безопасности на объекте транспортной инфраструктуры или транспортном средстве подразделениям федерального органа исполнительной власти в области обеспечения безопасности Российской Федерации, федерального органа исполнительной власти, осуществляющего функции по выработке государственной политики и нормативно-правовому регулированию в сфере внутренних дел, федеральной службы по надзору в сфере транспорта и передачи таких данных в служебные помещения на объекте транспортной инфраструктуры, предоставленные (переданные) территориальным органам и (или) подразделениям указанных федеральных органов исполнительной власти для выполнения задач на объекте транспортной инфраструктуры в соответствии с установленными полномочиями", предусмотрено два главных способа передачи данных:
Таким образом, на законодательном уровне установлено наличие двух уязвимостей информационной безопасности на ОТИ: подключение
стороннего оборудования с выходом в Интернет и использование сторонних съемных носителей информации.
Указанная проблематика сталкивается с имеющимися распространенными проблемами в информационной среде ОТИ:
В результате субъекты транспортной инфраструктуры воздушного транспорта в целях реализации системы информационной безопасности должны:
Фридрих Энгельс писал: "Все идеи извлечены из опыта, они – отражения действительности, верные или искаженные"1. Опыт подсказывает, что решение данной проблематики в руках самих субъектов транспортной инфраструктуры (рис. 1).
1 Маркс К., Энгельс Ф. Сочинения. Государственное издательство политической литературы. Москва, 1961. Издание 2-е, том 20. С. 639.
Опубликовано в журнале "Системы безопасности" № 4/2022
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Источник фото: storage.myseldon.com