Интересный "подарок" от Минтранса, очень схожий с требованиями Минздрава. Прошло 2 года с публикации 187-ФЗ, а Правительство продолжает устанавливать требования исключительно по 149-ФЗ и 152-ФЗ. В данном случае еще и 16-ФЗ добавлен. А как же КИИ?
Итак:
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ ОТ 24 ИЮЛЯ 2019 Г. N 955 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ, К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ, К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДКА ЕЕ ПОРЯДКА ЕЕ ФУНКЦИОНИРОВАНИЯ"
Начало действия документа - 31.10.2021.
ТРЕБОВАНИЯ
К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ
ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ,
К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ
РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ,
К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ,
СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДОК ЕЕ ФУНКЦИОНИРОВАНИЯ
1. Настоящий документ в части определения требований к автоматизированным информационным системам оформления воздушных перевозок (далее - автоматизированные системы) и их операторам разработан с учетом положений, установленных Приложением 9 к Конвенции о международной гражданской авиации от 7 декабря 1944 г. и Федеральным законом "О персональных данных".
2. Автоматизированные системы как комплекс самостоятельных взаимодействующих между собой систем (компонентов) должны обеспечивать:
суверенитет Российской Федерации над информационными потоками при выполнении внутренних воздушных перевозок на основе эксплуатации на территории Российской Федерации отечественных компонентов автоматизированных систем организациями - резидентами Российской Федерации;
конфиденциальность персональных данных пассажиров;
реализацию мер противодействия актам незаконного вмешательства в соответствии с законодательством Российской Федерации в области обеспечения транспортной безопасности;
хранение и отображение информации о расписании рейсов, наличии мест, тарифах и сборах на рейсах перевозчиков;
бронирование и продажу (оформление) внутренних воздушных перевозок и дополнительных услуг для пассажиров с последующим хранением записей о пассажирах;
регистрацию пассажиров и багажа при выполнении внутренних воздушных перевозок.
3. В состав автоматизированных систем должны входить в том числе:
справочные информационные системы;
инвенторные системы бронирования;
системы регистрации пассажиров и багажа;
автоматизированные распределительные (дистрибутивные) системы;
системы взаиморасчетов.
9. Базы данных и обрабатывающие вычислительные комплексы (серверы), базы данных систем, обеспечивающих оформление внутренних воздушных перевозок пассажиров, должны располагаться на территории Российской Федерации.
При оформлении внутренних воздушных перевозок пассажиров, выполняемых российскими перевозчиками в рамках соглашений о совместной эксплуатации рейсов, базы данных и обрабатывающие их вычислительные комплексы (серверы) систем взаиморасчетов могут располагаться за пределами территории Российской Федерации при условии исключения обработки в них персональных данных пассажиров при оформлении внутренних воздушных перевозок.
10. Операторы автоматизированных систем должны быть зарегистрированы как юридические лица в соответствии с законодательством Российской Федерации, являться резидентами Российской Федерации.
11. Организация операторами и пользователями автоматизированных систем обработки персональных данных пассажиров и контроль трансграничного перемещения этих данных должны осуществляться в соответствии с законодательством Российской Федерации в области персональных данных в порядке, установленном договорами между операторами и пользователями автоматизированных систем.
13. Меры по защите информации, содержащейся в автоматизированных системах, реализуются операторами автоматизированных систем посредством обеспечения конфиденциальности и целостности информации, передаваемой через общедоступные каналы связи, с применением сертифицированных средств криптографической защиты информации.
14. Функционирование автоматизированных систем осуществляется в соответствии с требованиями законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
Если вы думаете, что Минтранс не в курсе существования 187-ФЗ, то мнение ошибочное:
1. В Минтрансе создана не только своя комиссия по категорированию, но и комиссия по согласованию перечней объектов у подведомственных организаций.
2. При согласовании проекта обсуждаемого ПП, Минэконоразвития прямо указала Минтрансу о необходимости включения в ПП требований по соблюдению 187-ФЗ.
ЗАКЛЮЧЕНИЕ от 26 февраля 2019 Г. N 53 52-СШ/Д26И
"обращаем внимание разработчика на то, что вопросы обеспечения безопасности автоматизированных систем урегулированы федеральным законом от 26 июля 2017 г. n 187-ФЗ ..
в этой связи считаем необходимым разработчику проработать вопрос целесообразности установления требований к аис овп в целях обеспечения суверенитета российской федерации при выполнении воздушных перевозок в проекте акта. в случае необходимости установления указанных требований считаем необходимым их утверждение в рамках законодательства о критической информационной инфраструктуре."
Более того, Минэконоразвития в своем заключения однозначно отнесла данные системы к ОКИИ:
"таким образом, информационные системы оформления воздушных перевозок, используемые российскими авиакомпаниями, являясь объектами критической информационной инфраструктуры, в настоящее время уже подлежат защите от угроз устойчивого функционирования."
Вывод: Минтранс, как государственный регулятор в сфере транспорта, принял осознанное решение о том, что следующие системы не относятся к объектам КИИ:
-справочные информационные системы;
-инвенторные системы бронирования;
-системы регистрации пассажиров и багажа;
-автоматизированные распределительные (дистрибутивные) системы;
-системы взаиморасчетов.
+ ИТКС, обеспечивающая функционирование этих ИС (судя по названию документа).
Напрямую это указывается для авиасообщений, но аналогичные системы есть и у железнодорожников, водного транспорта.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Этот комментарий был удален автором.
ОтветитьУдалитьСерверы и БД большинства указанных в выводе систем расположены за границей, и принадлежат иностранным юр.лицам. Т.о. указанные системы не попадают под действие 187-ФЗ в части определения "субъект КИИ". Мы изучали такие системы в рамках работы с туроператора и в контексте ПДн. Например, часть систем бронирования билетов и регистрации багажа на международные рейсы расположены в Германии, и принадлежат юр.лицу, зарегистрированному в Германии.
ОтветитьУдалитьТак в ПП прямо сказано про внутренних резидентов, про обязательность размещения серверов и баз данных на территории РФ и т.д.
УдалитьОрганизации-владельцы систем в России не зарегистрированы. К их системам подключаясь юр.лица из других стран, в том числе России. Деятельность таких компаний регулируется нормативной в области международных перевозок и транспорта.
УдалитьТак вот ПП И требует их регистрации и размещения на территории РФ
УдалитьТак это же ПП предписывает подобным организациям обзавестись представительствами на территории РФ (см. п. 10).
ОтветитьУдалитьо каком ПП речь?
УдалитьПП, который обсуждается в заметке - "ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ ОТ 24 ИЮЛЯ 2019 Г. N 955 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ, К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ, К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДКА ЕЕ ПОРЯДКА ЕЕ ФУНКЦИОНИРОВАНИЯ"
Удалить10. Операторы автоматизированных систем должны быть зарегистрированы как юридические лица в соответствии с законодательством Российской Федерации, являться резидентами Российской Федерации.
УдалитьВообще-то по закону, бортовая АСУ любого самолета есть объект КИИ, причем значимый.
ОтветитьУдалитьИнтересно, будут ли Минтранс, ФСТЭК и ФСБ требовать от авиакомпаний создавать систему безопасности на каждый такой объект и подключать его к ГосСОПКА? А если не будут, то почему?
В чем проблема? Система безопасности создаётся в организациии, а не в самолёте. К госсопки вообще никто не подключается, с ней просто информационное взаимодействие организации и нкцки осуществляется.
УдалитьАвиакомпания создаст у себя отдел безопасности кии, информацию о компьютерных инцидентах на самолёт ных асу будет передовать в нкцки.
УдалитьПроблема в том, что создается система безопасности значимого объекта КИИ, коим и является бортовая АСУ. И эта система безопасности подразумевает выполнение множества мер (т.е. применения СЗИ). А установка на самолет любого СЗИ (или даже изменение настроек установленного ПО) может потребовать пересертификации самолета.
ОтветитьУдалитьПлюс в течение 2 часов нужно проанализировать информацию об инциденте и передать ее в ГосСОПКА. Интересно посмотреть на такую передачу, если продолжительность полета часов 5-6. Экипаж бросит все дела и будет анализировать инцидент?
Система безопасности создается в организации. Самолет он не сам по себе, это ведь комплекс наземного и бортового оборудования.Зачем только на бортовом замыкаться?
УдалитьА почему именно самолеты так внимание привлекли? Поезда, корабли, да и автомобильный транспорт сейчас достаточно автоматизирован.
ОтветитьУдалить