Журнал "Information Security/ Информационная безопасность" #2, 2020

Возникают ситуации, когда реализовать какую-то из базовых мер безопасно- сти на отдельном объекте КИИ невозможно. Напри- мер, так случается на воз- душном судне (ВС) в силу запрета установки на него дополнительного программ- ного обеспечения, в том числе антивирусов. Жизненно необходимы российские технологии и технические средства, пред- назначенные для детектиро- вания и предотвращения компьютерных атак на бор- товые информационные системы. опасности, но реализованные с его использованием меры защиты будут соответствовать требованиям приказа Феде- ральной службы по техническо- му и экспортному контролю от 25.12.2017 г. № 239 "Об утвер- ждении Требований по обес- печению безопасности значи- мых объектов критической информационной инфраструк- туры Российской Федерации" (239-П). Возникают ситуации, когда реализовать какую-то из базо- вых мер безопасности на отдельном объекте КИИ невоз- можно. Например, так случается на воздушном судне (ВС) в силу запрета установки на него дополнительного программного обеспечения, в том числе анти- вирусов. В этом случае субъект вправе отказаться от такой меры безопасности, но при этом он должен оценить, реализация каких угроз становится при этом возможна, и принять какие-то иные меры для защиты от них. Приказ ФСТЭК № 239 это раз- решает и называет адаптацией базового набора мер безопас- ности. Очевидно, что такой адаптированный набор мер не позволяет нейтрализовать все угрозы. Но расширить этот набор дополнительными мера- ми, в том числе разработать дополнительные меры само- стоятельно, в большинстве слу- чаев будет означать нарушение условий эксплуатации ВС, кото- рые предписаны производите- лем. Отсутствие стандартов ИБ и импортозамещение Необходимо формирование единого отраслевого механизма непрерывного мониторинга кибербезопасности в сфере транспорта и обмен информа- цией со всеми заинтересован- ными участниками. Не хватает специфического методического сопровождения организаций сферы транспорта как в целом по вопросам информационной безопасности, так и в части исполнения 187-ФЗ. О проблемах взаимосвязан- ности действий государствен- ных структур РФ и отсутствии собственных стандартов инфор- мационной безопасности в гражданской авиации и плохой связанности с иностранным и международным законода- тельством в авиации я уже писал ранее 5 . Для примера возьмем ситуа- цию в гражданской авиации (ГА). По сути, ИС каждого ВС – цель для кибератаки и рас- сматривается как объект КИИ. Зарубежные стандарты и их краткое описание приведены в таблице. В России, к сожалению, нет стандартов информационной безопасности в ГА. Совершенно очевидно, что государству необходимо развитие отече- ственных отраслевых ИС, кото- рые обеспечивают полный цикл коммерческой деятельности, связанной с продажей авиапе- ревозок, от систем, обеспечи- вающих хранение и реализацию ресурса мест, до регистрации пассажиров и багажа в аэро- порту. Развитие этого направ- ления невозможно в отрыве от кибербезопасности и принятия собственных стандартов. Это потребует много сил, времени и средств, но станет настоящим шагом вперед в деле миними- зации рисков угроз националь- ной безопасности. Особое внимание должно быть уделено отечественным ИС и системам защиты. Для этого необходимо создание и развитие отечественных внут- риотраслевых стандартов ИБ и правил сертификации техни- ческих решений защиты, кото- рые можно было бы применить в ГА. Жизненно необходимы российские технологии и тех- нические средства, предназна- ченные для детектирования и предотвращения компьютерных атак на бортовые информацион- ные системы. Должны быть не только программные, но и пра- 14 • В ФОКУСЕ Стандарт Год принятия Название Описание ARINC 811 2005 Commercial aircraft information security concepts of operation and process framework Общее понимание концепций информационной безопасности. Основа для оценки безопасности бортовых сетевых систем ARINC 664 2005–2009 Aircraft data network Методы построения детерминированной борто- вой сети Определены домены информационной безопасности на борту ВС DO-178C 2011 Software considerations in airborne systems and equipment certification Стандарт в области безопасности программного обеспечения в авиационной отрасли ED-202 /DO-326 2014 Airworthiness security process specification Руководящие принципы процесса обеспечения информационной безопасности ED-202A /DO-326A 2018 ED-203 /DO-356 2014 Airworthiness security methods and considerations Методы и инструменты для достижения целей процесса обеспечения безопасности ED-203A /DO-356А 2018 ED-204 /DO-355 2014 Information security guidance for continuing airworthiness Руководство по обеспечению информационной безопасности для поддержания летной годности ATA Spec 42 2017 Aviation industry standards for digital information security Требования к взаимной идентификации и управлению доступом между отдельными узлами и агрегатами самолета HLCAS/2-WP/27 2018 Aircraft digital protection – an integrated approach Комплексный подход к управлению рисками для авиационных систем Таблица 5 Подробнее см. Подмарев А.В. ИБ в гражданской авиации: некоторые вопросы обработки ПД и безопасности КИИ // Information Security/ Информационная безопасность. 2020. № 1 . С. 6–7.