ИБ в гражданской авиации: некоторые вопросы обработки ПД и безопасности КИИ

Специфика авиации подразумевает обслуживание пассажиров разными юридическими лицами. Происходит непрерывный процесс обмена информацией между всеми звеньями системы: при продаже билета, при осуществлении полета, при наземном обслуживании пассажиров, при подготовке воздушного судна к полету. Информация о перевозках должна передаваться только по защищенным каналам с обязательным соблюдением требований об исключении любых неправомерных действий с этими данными. Персональные данные авиапассажиров передаются также между коммерческими организациями и государственными службами. В рамках международного сотрудничества в области транспортной безопасности осуществляется обмен персональными данными между государствами.

В области противодействия терроризму в транспортном комплексе есть достаточно стройный ряд нормативных актов:

•  постановление Правительства Российской Федерации от 22 июня 1999 г. № 660 "Перечень органов исполнительной власти, участвующих в пределах своей компетенции в предупреждении, выявлении и пресечении террористической деятельности";
•  Указ Президента Российской Федерации от 15 февраля 2006 г. № 116 "О мерах по противодействию терроризму";
•  Федеральный закон от 6 марта 2006 г. № 35-ФЗ "О противодействии терроризму";
•  и завершающий эту тему Федеральный закон № 16-ФЗ "О транспортной безопасности", подписанный президентом Российской Федерации 9 февраля 2007 г.

Основным субъектом и координатором деятельности по обеспечению транспортной безопасности выступает Минтранс России. Во взаимодействии с заинтересованными федеральными органами исполнительной власти ему необходимо разработать и утвердить:

•  порядок проведения оценки уязвимости объектов транспортной инфраструктуры и транспортных средств;
•  порядок установления количества категорий и критерии категорирования объектов;
•  порядок ведения реестров категорированных объектов транспортной инфраструктуры и транспортных средств;
•  порядок разработки планов обеспечения транспортной безопасности;
•  порядок информирования субъектами транспортной инфраструктуры и перевозчиками об угрозах совершения актов незаконного вмешательства.

Стандарты информационной безопасности в российской авиации фактически отсутствуют. Согласно закону "О транспортной безопасности" создана Единая государственная информационная система обеспечения транспортной безопасности, состоящая в том числе и из автоматизированных централизованных баз персональных данных о пассажирах и членах экипажа. В том же законе указывается, что передача данных, содержащихся в проездных билетах (Ф.И.О. пассажира, его место рождения, вид и номер документа, по которому приобретается билет), т.е. информация, позволяющая идентифицировать личность, должна передаваться в базы данных в соответствии с ФЗ "О персональных данных".

По этому закону в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки данных, если иное не предусмотрено федеральными законами, а также уведомить об этом субъекта персональных данных. Примерно того же от процессоров требует европейский регламент GDPR. Возникает вопрос, что считать моментом достижения целей обработки, и если этот момент не определен, то не будет ли являться нарушением закона неограниченное во времени пользование персональной информацией?

Совершенно очевидно, что удалять данные пассажира через три дня после авиаперелета нет никакой возможности. Это связано как минимум с претензионной работой авиакомпаний, осуществление которой напрямую связано с персональными данными пассажиров.

Технология электронного билета имеет существенные преимущества как для пассажира (дополнительные каналы приобретения билетов, невозможно потерять билет), так и для авиакомпаний, предоставляя им дополнительные возможности для контроля процесса продаж авиаперевозок, сокращения эксплуатационных расходов, повышения эффективности интерлайн-соглашений. Однако ее внедрение и эксплуатация ставит немало проблем.

Требования с учетом закона о безопасности КИИ

С повышением роли информационных систем в основных бизнес-процессах предприятий гражданской авиации повышаются и требования к интегрированности с системами обеспечения защиты. Из основных требований GDPR также вытекает необходимость глубокой интеграции инструментов информационной безопасности в инфраструктуру компании как на уровне потоков данных, так и на уровне корпоративных бизнес-процессов. Постоянно повышаются и требования государственных структур к различным аспектам безопасности. При этом надо помнить и о том, что обрабатываемая на предприятиях гражданской авиации информация, которая нуждается в защите, – это не только персональные данные. Сведения, которые содержатся в планах обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, являются информацией ограниченного доступа, а некоторые из них являются сведениями, составляющими государственную тайну.

В соответствии с вступившим в силу 01.01.2018 г. Федеральным законом № 187 "О безопасности критической информационной инфраструктуры Российской Федерации" и вступившим в силу 21.02.2018 г. постановлением Правительства РФ "Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" информационно-вычислительная система любого воздушного судна является объектом критической информационной инфраструктуры РФ, так как попадает под определение автоматизированной системы управления, функционирующей в сфере транспорта. Согласно требованиям данных актов, все значимые объекты КИИ РФ должны быть оборудованы программными и программно-аппаратными средствами защиты, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. При этом далеко не все наземные службы, задействованные в обеспечении полетов, попадают под данные требования даже по формальным признакам. Прежде всего это связано с несоответствием условиям, которые описаны в ст. 2 в части владения информационными системами на праве собственности, аренды или на ином законном основании. Для того чтобы пользоваться той или иной системой, не обязательно ей владеть. Владельцем же системы, с помощью функционала которой субъект транспортной инфраструктуры оказывает услуги пассажирам или авиапредприятию, зачастую является разработчик программного обеспечения. И он не попадает под требования 187-ФЗ, у него другая сфера деятельности по ОКВЭД.

Игнорирование проблем ИБ в гражданской авиации может обойтись особенно дорого. К общим проблемам добавляются специфические источники информационных угроз, такие как:

•  недостаточная разработанность нормативной правовой базы;
•  недостаточная правоприменительная практика;
•  недостаточная взаимоувязанность деятельности регуляторов и федеральных органов власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности в гражданской авиации.

Легко ли работать при отсутствии отраслевых стандартов

В жестких условиях интенсивного развития технологий, тяжести последствий инцидентов и юридической неопределенности основные задачи построения системы управления информационной безопасностью остаются неизменными. Процесс обеспечения ИБ должен представлять собой скоординированный комплекс организационных и технических средств защиты информации и выполнять функции разграничения доступа к компонентам информационных систем, защиты информации, регистрации действий субъектов доступа и событий, обеспечение целостности программных средств, предотвращение вторжений, контроль и анализ защищенности. Встраивание процесса управления безопасностью в систему процессов управления ИТ, которое так полюбилось многими, следует применять с осторожностью. Преимущества в виде единого бюджета с ИТ и непрерывности развития системы информационной безопасности вместе с развитием ИТ-инфраструктуры и сервисов могут на практике оказаться недостатками.

Система обеспечения информационной безопасности объектов гражданской авиации должна быть интегрирована в сервисы, но оставаться независимой от объектов защиты. При этом должна предусматриваться возможность отключения системы обеспечения информационной безопасности в особых случаях. Соблюдение данных требований при создании и эксплуатации систем информационной безопасности объектов гражданской авиации позволит обеспечить более надежную защиту информации и информационных ресурсов.

Определяя взаимосвязи процессов, можно прийти к трехуровневой процессно-сервисной модели системы управления ИБ, соответствующей требованиям стандарта ISO 27001. Применив к результату ролевую модель, получаем вполне понятный специалисту по ИБ фронт работ.

Отдельно надо сказать про защиту персональных данных. При создании локальных правовых актов совершенно очевидна необходимость совмещения требований 152-ФЗ и GDPR. Оба документа определяют нормы и правила для защиты интересов субъектов персональных данных. Цель регламента GDPR – сделать так, чтобы пользователи понимали, как используются их данные в Интернете, и в любой момент могли закрыть к ним доступ или удалить их. Цель 152-ФЗ – сделать так, чтобы регулятор при необходимости получил представление, с какой целью оператор собирает персональные данные, не собирает ли их больше, чем нужно, сколько хранит персональные данные и т.д. Так или иначе, оба документа предполагают наличие законных оснований для обработки персональных данных и политики обработки. Разработка отдельного пакета документов для каждого из этих направлений – тупиковый путь.

Остается неопределенность в вопросах передачи данных от одного оператора другому с сохранением конфиденциальности личной информации граждан, разработки и вводе в действие международного Положения о порядке формирования и использования единых баз данных, в котором должно быть предусмотрено создание согласованных процедур и единого формата сведений о пассажирских и грузовых перевозках.

Есть вопросы и к Единой государственной информационной системе обеспечения транспортной безопасности, которая должна представлять собой защищенную иерархическую многоуровневую и территориально распределенную автоматизированную систему. Эта система должна строиться на основе интеграции ресурсов существующих и создаваемых информационных систем органов исполнительной власти, а также субъектов транспортной инфраструктуры и перевозчиков для решения задач транспортной безопасности.

Таким образом, одним из важнейших внутриотраслевых вопросов информационной безопасности сегодня является проблема взаимосвязанности действий государственных структур. Меры, предлагаемые в законе "О транспортной безопасности" и сопутствующих документах, не учитывают международных аспектов деятельности и в целом требуют более детальной проработки в плане их реализации в сфере гражданской авиации.