среда, 7 августа 2019 г.

И снова про КИИ на транспорте.


    Интересный "подарок" от Минтранса, очень схожий с требованиями Минздрава. Прошло 2 года с публикации 187-ФЗ, а Правительство продолжает устанавливать требования  исключительно по 149-ФЗ и 152-ФЗ. В данном случае еще и 16-ФЗ добавлен. А как же КИИ?

Итак: 
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ ОТ 24 ИЮЛЯ 2019 Г. N 955 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ, К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ, К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДКА ЕЕ ПОРЯДКА ЕЕ ФУНКЦИОНИРОВАНИЯ"
Начало действия документа - 31.10.2021.

ТРЕБОВАНИЯ
К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ
ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ,
К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ
РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ,
К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ,
СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДОК ЕЕ ФУНКЦИОНИРОВАНИЯ

1. Настоящий документ в части определения требований к автоматизированным информационным системам оформления воздушных перевозок (далее - автоматизированные системы) и их операторам разработан с учетом положений, установленных Приложением 9 к Конвенции о международной гражданской авиации от 7 декабря 1944 г. и Федеральным законом "О персональных данных".
2. Автоматизированные системы как комплекс самостоятельных взаимодействующих между собой систем (компонентов) должны обеспечивать:
суверенитет Российской Федерации над информационными потоками при выполнении внутренних воздушных перевозок на основе эксплуатации на территории Российской Федерации отечественных компонентов автоматизированных систем организациями - резидентами Российской Федерации;
конфиденциальность персональных данных пассажиров;
реализацию мер противодействия актам незаконного вмешательства в соответствии с законодательством Российской Федерации в области обеспечения транспортной безопасности;
хранение и отображение информации о расписании рейсов, наличии мест, тарифах и сборах на рейсах перевозчиков;
бронирование и продажу (оформление) внутренних воздушных перевозок и дополнительных услуг для пассажиров с последующим хранением записей о пассажирах;
регистрацию пассажиров и багажа при выполнении внутренних воздушных перевозок.
3. В состав автоматизированных систем должны входить в том числе:
справочные информационные системы;
инвенторные системы бронирования;
системы регистрации пассажиров и багажа;
автоматизированные распределительные (дистрибутивные) системы;
системы взаиморасчетов.
9. Базы данных и обрабатывающие вычислительные комплексы (серверы), базы данных систем, обеспечивающих оформление внутренних воздушных перевозок пассажиров, должны располагаться на территории Российской Федерации.
При оформлении внутренних воздушных перевозок пассажиров, выполняемых российскими перевозчиками в рамках соглашений о совместной эксплуатации рейсов, базы данных и обрабатывающие их вычислительные комплексы (серверы) систем взаиморасчетов могут располагаться за пределами территории Российской Федерации при условии исключения обработки в них персональных данных пассажиров при оформлении внутренних воздушных перевозок.
10. Операторы автоматизированных систем должны быть зарегистрированы как юридические лица в соответствии с законодательством Российской Федерации, являться резидентами Российской Федерации.
11. Организация операторами и пользователями автоматизированных систем обработки персональных данных пассажиров и контроль трансграничного перемещения этих данных должны осуществляться в соответствии с законодательством Российской Федерации в области персональных данных в порядке, установленном договорами между операторами и пользователями автоматизированных систем.
13. Меры по защите информации, содержащейся в автоматизированных системах, реализуются операторами автоматизированных систем посредством обеспечения конфиденциальности и целостности информации, передаваемой через общедоступные каналы связи, с применением сертифицированных средств криптографической защиты информации.
14. Функционирование автоматизированных систем осуществляется в соответствии с требованиями законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

    Если вы думаете, что Минтранс не в курсе существования 187-ФЗ, то мнение ошибочное:
    1. В Минтрансе создана не только своя комиссия по категорированию, но и комиссия по согласованию перечней объектов у подведомственных организаций.
    2. При согласовании проекта обсуждаемого ПП, Минэконоразвития прямо указала Минтрансу о необходимости включения в ПП требований по соблюдению 187-ФЗ.
   ЗАКЛЮЧЕНИЕ от 26 февраля 2019 Г. N 53 52-СШ/Д26И
"обращаем внимание разработчика на то, что вопросы обеспечения безопасности автоматизированных систем урегулированы федеральным законом от 26 июля 2017 г. n 187-ФЗ ..
в этой связи считаем необходимым разработчику проработать вопрос целесообразности установления требований к аис овп в целях обеспечения суверенитета российской федерации при выполнении воздушных перевозок в проекте акта. в случае необходимости установления указанных требований считаем необходимым их утверждение в рамках законодательства о критической информационной инфраструктуре."
   Более того, Минэконоразвития в своем заключения однозначно отнесла данные системы к ОКИИ:
"таким образом, информационные системы оформления воздушных перевозок, используемые российскими авиакомпаниями, являясь объектами критической информационной инфраструктуры, в настоящее время уже подлежат защите от угроз устойчивого функционирования."

    Вывод: Минтранс, как государственный регулятор в сфере транспорта, принял осознанное решение о том, что следующие системы не относятся  к объектам КИИ:
-справочные информационные системы;
-инвенторные системы бронирования;
-системы регистрации пассажиров и багажа;
-автоматизированные распределительные (дистрибутивные) системы;
-системы взаиморасчетов.
+ ИТКС, обеспечивающая функционирование этих ИС (судя по названию документа).
    Напрямую это указывается для авиасообщений, но аналогичные системы есть и у железнодорожников, водного транспорта.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

15 комментариев:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. Серверы и БД большинства указанных в выводе систем расположены за границей, и принадлежат иностранным юр.лицам. Т.о. указанные системы не попадают под действие 187-ФЗ в части определения "субъект КИИ". Мы изучали такие системы в рамках работы с туроператора и в контексте ПДн. Например, часть систем бронирования билетов и регистрации багажа на международные рейсы расположены в Германии, и принадлежат юр.лицу, зарегистрированному в Германии.

    ОтветитьУдалить
    Ответы
    1. Так в ПП прямо сказано про внутренних резидентов, про обязательность размещения серверов и баз данных на территории РФ и т.д.

      Удалить
    2. Организации-владельцы систем в России не зарегистрированы. К их системам подключаясь юр.лица из других стран, в том числе России. Деятельность таких компаний регулируется нормативной в области международных перевозок и транспорта.

      Удалить
    3. Так вот ПП И требует их регистрации и размещения на территории РФ

      Удалить
  3. Так это же ПП предписывает подобным организациям обзавестись представительствами на территории РФ (см. п. 10).

    ОтветитьУдалить
    Ответы
    1. ПП, который обсуждается в заметке - "ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ ОТ 24 ИЮЛЯ 2019 Г. N 955 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ, К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ, К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДКА ЕЕ ПОРЯДКА ЕЕ ФУНКЦИОНИРОВАНИЯ"

      Удалить
    2. 10. Операторы автоматизированных систем должны быть зарегистрированы как юридические лица в соответствии с законодательством Российской Федерации, являться резидентами Российской Федерации.

      Удалить
  4. Вообще-то по закону, бортовая АСУ любого самолета есть объект КИИ, причем значимый.
    Интересно, будут ли Минтранс, ФСТЭК и ФСБ требовать от авиакомпаний создавать систему безопасности на каждый такой объект и подключать его к ГосСОПКА? А если не будут, то почему?

    ОтветитьУдалить
    Ответы
    1. В чем проблема? Система безопасности создаётся в организациии, а не в самолёте. К госсопки вообще никто не подключается, с ней просто информационное взаимодействие организации и нкцки осуществляется.

      Удалить
    2. Авиакомпания создаст у себя отдел безопасности кии, информацию о компьютерных инцидентах на самолёт ных асу будет передовать в нкцки.

      Удалить
  5. Проблема в том, что создается система безопасности значимого объекта КИИ, коим и является бортовая АСУ. И эта система безопасности подразумевает выполнение множества мер (т.е. применения СЗИ). А установка на самолет любого СЗИ (или даже изменение настроек установленного ПО) может потребовать пересертификации самолета.
    Плюс в течение 2 часов нужно проанализировать информацию об инциденте и передать ее в ГосСОПКА. Интересно посмотреть на такую передачу, если продолжительность полета часов 5-6. Экипаж бросит все дела и будет анализировать инцидент?

    ОтветитьУдалить
    Ответы
    1. Система безопасности создается в организации. Самолет он не сам по себе, это ведь комплекс наземного и бортового оборудования.Зачем только на бортовом замыкаться?

      Удалить
  6. А почему именно самолеты так внимание привлекли? Поезда, корабли, да и автомобильный транспорт сейчас достаточно автоматизирован.

    ОтветитьУдалить