Журнал "Information Security/ Информационная безопасность" #1, 2020

Специфика авиации подразумевает обслуживание пассажиров разными юри- дическими лицами. Происходит непре- рывный процесс обмена информацией между всеми звеньями системы: при продаже билета, при осуществлении полета, при наземном обслуживании пассажиров, при подготовке воздушного судна к полету. Информация о перевоз- ках должна передаваться только по защищенным каналам с обязательным соблюдением требований об исключении любых неправомерных действий с этими данными. Персональные данные авиа- пассажиров передаются также между коммерческими организациями и госу- дарственными службами. В рамках меж- дународного сотрудничества в области транспортной безопасности осуществ- ляется обмен персональными данными между государствами. В области противодействия террориз- му в транспортном комплексе есть доста- точно стройный ряд нормативных актов: l постановление Правительства Рос- сийской Федерации от 22 июня 1999 г. № 660 "Перечень органов исполнитель- ной власти, участвующих в пределах своей компетенции в предупреждении, выявлении и пресечении террористиче- ской деятельности"; l Указ Президента Российской Федерации от 15 февраля 2006 г. № 116 "О мерах по противодействию терроризму"; l Федеральный закон от 6 марта 2006 г. №35-ФЗ "О противодействии терроризму"; l и завершающий эту тему Федераль- ный закон № 16-ФЗ "О транспортной безопасности", подписанный президен- том Российской Федерации 9 февраля 2007 г. Основным субъектом и координатором деятельности по обеспечению транс- портной безопасности выступает Минтранс России. Во взаимодействии с заинтересованными федеральными органами исполнительной власти ему необходимо разработать и утвердить: l порядок проведения оценки уязвимо- сти объектов транспортной инфраструк- туры и транспортных средств; l порядок установления количества категорий и критерии категорирования объектов; l порядок ведения реестров категори- рованных объектов транспортной инфра- структуры и транспортных средств; l порядок разработки планов обеспече- ния транспортной безопасности; l порядок информирования субъектами транспортной инфраструктуры и пере- возчиками об угрозах совершения актов незаконного вмешательства. Обработка и хранение персональных данных пассажиров Стандарты информационной безопас- ности в российской авиации фактически отсутствуют. Согласно закону "О транс- портной безопасности" создана Единая государственная информационная систе- ма обеспечения транспортной безопас- ности, состоящая в том числе и из авто- матизированных централизованных баз персональных данных о пассажирах и членах экипажа. В том же законе ука- зывается, что передача данных, содер- жащихся в проездных билетах (Ф.И.О. пассажира, его место рождения, вид и номер документа, по которому приобретается билет), т.е. информация, позволяющая идентифицировать лич- ность, должна передаваться в базы дан- ных в соответствии с ФЗ "О персональ- ных данных". По этому закону в случае достижения цели обработки персональных данных оператор обязан незамедлительно пре- кратить обработку и уничтожить соот- ветствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки данных, если иное не предусмотрено федеральными законами, а также уве- домить об этом субъекта персональных данных. Примерно того же от процессо- ров требует европейский регламент GDPR. Возникает вопрос, что считать моментом достижения целей обработки, и если этот момент не определен, то не будет ли являться нарушением закона неограниченное во времени пользование персональной информацией? Совершенно очевидно, что удалять данные пассажира через три дня после авиаперелета нет никакой возможно- сти. Это связано как минимум с пре- тензионной работой авиакомпаний, осуществление которой напрямую свя- зано с персональными данными пас- сажиров. Технология электронного билета имеет существенные преимущества как для пассажира (дополнительные каналы при- обретения билетов, невозможно поте- рять билет), так и для авиакомпаний, предоставляя им дополнительные воз- можности для контроля процесса продаж авиаперевозок, сокращения эксплуата- ционных расходов, повышения эффек- тивности интерлайн-соглашений. Однако ее внедрение и эксплуатация ставит немало проблем. Требования с учетом закона о безопасности КИИ С повышением роли информационных систем в основных бизнес-процессах предприятий гражданской авиации повы- шаются и требования к интегрированности с системами обеспечения защиты. Из основных требований GDPR также выте- кает необходимость глубокой интеграции инструментов информационной безопас- ности в инфраструктуру компании как на уровне потоков данных, так и на уровне корпоративных бизнес-процессов. Посто- янно повышаются и требования госу- дарственных структур к различным аспек- там безопасности. При этом надо помнить и о том, что обрабатываемая на пред- приятиях гражданской авиации инфор- мация, которая нуждается в защите, – 6 • В ФОКУСЕ ИБ в гражданской авиации: некоторые вопросы обработки ПД и безопасности КИИ оздушный транспорт представляет собой не только удобное, но и наиболее массовое средство передвижения на дальние расстояния. В процессе стирания границ между государствами объемы перевозок возрастают. Вместе с ними увеличивается и количество персональных данных, которые обрабатываются в системах, обеспечивающих оформление перевозок пассажиров. Сочетание необратимости последствий инцидентов и охвата огромных, удаленных на большие расстояния друг от друга территорий требует относиться к безопасности особенно внимательно. В Алексей Подмарев, CISO Сирена-Трэвел