Журнал "Information Security/ Информационная безопасность" #1, 2020

это не только персональные данные. Све- дения, которые содержатся в планах обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, являются инфор- мацией ограниченного доступа, а неко- торые из них являются сведениями, составляющими государственную тайну. В соответствии с вступившим в силу 01.01.2018 г. Федеральным законом № 187 "О безопасности критической информационной инфраструктуры Рос- сийской Федерации" и вступившим в силу 21.02.2018 г. постановлением Пра- вительства РФ "Об утверждении правил категорирования объектов критической информационной инфраструктуры Рос- сийской Федерации, а также перечня показателей критериев значимости объ- ектов критической информационной инфраструктуры Российской Федерации и их значений" информационно-вычис- лительная система любого воздушного судна является объектом критической информационной инфраструктуры РФ, так как попадает под определение авто- матизированной системы управления, функционирующей в сфере транспорта. Согласно требованиям данных актов, все значимые объекты КИИ РФ должны быть оборудованы программными и про- граммно-аппаратными средствами защи- ты, предназначенными для обнаружения, предупреждения и ликвидации послед- ствий компьютерных атак и реагирова- ния на компьютерные инциденты. При этом далеко не все наземные службы, задействованные в обеспечении поле- тов, попадают под данные требования даже по формальным признакам. Преж- де всего это связано с несоответствием условиям, которые описаны в ст. 2 в части владения информационными системами на праве собственности, аренды или на ином законном основа- нии. Для того чтобы пользоваться той или иной системой, не обязательно ей владеть. Владельцем же системы, с помощью функционала которой субъект транспортной инфраструктуры оказы- вает услуги пассажирам или авиапред- приятию, зачастую является разработчик программного обеспечения. И он не попадает под требования 187-ФЗ, у него другая сфера деятельности по ОКВЭД. Игнорирование проблем ИБ в граж- данской авиации может обойтись осо- бенно дорого. К общим проблемам добавляются специфические источники информационных угроз, такие как: l недостаточная разработанность нор- мативной правовой базы; l недостаточная правоприменительная практика; l недостаточная взаимоувязанность деятельности регуляторов и федераль- ных органов власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопас- ности в гражданской авиации. Легко ли работать при отсутствии отраслевых стандартов В жестких условиях интенсивного раз- вития технологий, тяжести последствий инцидентов и юридической неопреде- ленности основные задачи построения системы управления информационной безопасностью остаются неизменными. Процесс обеспечения ИБ должен пред- ставлять собой скоординированный ком- плекс организационных и технических средств защиты информации и выпол- нять функции разграничения доступа к компонентам информационных систем, защиты информации, регистрации дей- ствий субъектов доступа и событий, обеспечение целостности программных средств, предотвращение вторжений, контроль и анализ защищенности. Встраивание процесса управления без- опасностью в систему процессов управ- ления ИТ, которое так полюбилось мно- гими, следует применять с осторож- ностью. Преимущества в виде единого бюджета с ИТ и непрерывности развития системы информационной безопасности вместе с развитием ИТ-инфраструктуры и сервисов могут на практике оказаться недостатками. Система обеспечения информацион- ной безопасности объектов гражданской авиации должна быть интегрирована в сервисы, но оставаться независимой от объектов защиты. При этом должна предусматриваться возможность отключения системы обеспечения информационной безопасности в особых случаях. Соблюдение данных требова- ний при создании и эксплуатации систем информационной безопасности объектов гражданской авиации позволит обеспе- чить более надежную защиту информа- ции и информационных ресурсов. Определяя взаимосвязи процессов, можно прийти к трехуровневой процесс- но-сервисной модели системы управле- ния ИБ, соответствующей требованиям стандарта ISO 27001. Применив к резуль- тату ролевую модель, получаем вполне понятный специалисту по ИБ фронт работ. Отдельно надо сказать про защиту персональных данных. При создании локальных правовых актов совершенно очевидна необходимость совмещения требований 152-ФЗ и GDPR. Оба доку- мента определяют нормы и правила для защиты интересов субъектов персональ- ных данных. Цель регламента GDPR – сделать так, чтобы пользователи пони- мали, как используются их данные в Интернете, и в любой момент могли закрыть к ним доступ или удалить их. Цель 152-ФЗ – сделать так, чтобы регу- лятор при необходимости получил пред- ставление, с какой целью оператор соби- рает персональные данные, не собирает ли их больше, чем нужно, сколько хранит персональные данные и т.д. Так или иначе, оба документа предполагают наличие законных оснований для обра- ботки персональных данных и политики обработки. Разработка отдельного паке- та документов для каждого из этих направлений – тупиковый путь. Остается неопределенность в вопро- сах передачи данных от одного опера- тора другому с сохранением конфиден- циальности личной информации граж- дан, разработки и вводе в действие международного Положения о порядке формирования и использования единых баз данных, в котором должно быть предусмотрено создание согласованных процедур и единого формата сведений о пассажирских и грузовых перевозках. Есть вопросы и к Единой государст- венной информационной системе обес- печения транспортной безопасности, которая должна представлять собой защищенную иерархическую многоуров- невую и территориально распределен- ную автоматизированную систему. Эта система должна строиться на основе интеграции ресурсов существующих и создаваемых информационных систем органов исполнительной власти, а также субъектов транспортной инфраструктуры и перевозчиков для решения задач транспортной безопасности. Таким образом, одним из важнейших внутриотраслевых вопросов информа- ционной безопасности сегодня является проблема взаимосвязанности действий государственных структур. Меры, пред- лагаемые в законе "О транспортной безопасности" и сопутствующих доку- ментах, не учитывают международных аспектов деятельности и в целом тре- буют более детальной проработки в плане их реализации в сфере граж- данской авиации. l • 7 В ФОКУСЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru