CC BY
5
УДК 349:004.056
ЗАКОН О КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЕ В АВИАЦИОННОЙ БЕЗОПАСНОСТИ
Е. А. Рогова Научный руководитель - А. А. Бабаева
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: rogowa.risa@mail.ru
Воздушное судно рассматривается как объект критической информационной инфраструктуры. Также соответствующие рассматриваются документы и их применение в авиационной безопасности.
Ключевые слова: критическая информационная инфраструктура, информационная безопасность, авиационная безопасность
THE LAW OF THE CRITICAL INFORMATION INFRASTRUCTURE
IN AVIATION SECURITY
E. A. Rogova Scientific Supervisor - A. A. Babaeva
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
E-mail: rogowa.risa@mail.ru
This article describes the aircraft as an object of critical information infrastructure. Documents on ensuring the security of critical information infrastructure and their application in aviation security are also considered.
Keywords: critical information infrastructure, information security, aviation security
1 января 2018 года вступил в силу Федеральный закон от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», существенно повлиявший на многие сферы деятельности, в числе которых и авиация. Стоит заметить, что конкретные стандарты, определяющие требования по защите информации именно в авиационной сфере, в Российской Федерации отсутствуют.
В данном законе содержатся два важных определения. Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, выполняющие функции в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в областях атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической
Актуальные проблемы авиации и космонавтики - 2020. Том 3
промышленностей, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей [1].
Как указано в Федеральном законе N 187-ФЗ и постановлении Правительства Российской Федерации от 8 февраля 2018 г. N 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», информационно-вычислительная система любого воздушного судна должна относиться к объектам критической информационной инфраструктуры, так как представляет собой автоматизированную систему управления, которая функционирует в транспортной сфере [2].
Из-за того, что многие критически важные объекты сферы авиации, в том числе и сами воздушные судна, уже находились в эксплуатации на момент появления этой группы документов, закон допускает реализацию новых требований в рамках модернизации или дооснащения подсистем безопасности [3]. Следовательно, по-прежнему должны выполнятся старые требования, сформулированные в приказе ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», который разделяет автоматизированную систему управления на три уровня:
а) верхний уровень, соответствующий операторскому управлению;
б) средний уровень, отвечающий за автоматическое управление;
в) нижний уровень, на котором происходят ввод и вывод данных исполнительных устройств.
Верхний уровень, помимо диспетчерских автоматизированных рабочих, также включает в себя каналы связи. Воздушные судна имеют различные каналы передачи данных для обслуживания множества функций: управление движением самолета; предоставление навигационной и технической информации экипажу и операционному центру; контролирование систем освещения; передача сообщений, информирование пассажиров, связь с аэропортом и т.д. [4].
Особое значение имеют радиоканалы, использующиеся для связи с землей. Они должны быть достаточно надежны, чтобы исключить мешающее действие со стороны других работающих радиостанций и атмосферных электрических разрядов, а также максимально исключить перехват информации противником. Для защиты информации, которая передаётся через каналы связи, на верхнем уровне применяется защищенный коммуникационный модуль, входящий в состав бортового защищенного сервера.
Средний уровень определяется техническими средствами, передающими данные между нижним и верхним уровнями. На воздушных суднах, чтобы защитить информацию на этом уровне, используется бортовой защищенный шлюз, фактически представляющий собой межсетевой экран, который осуществляет связь между авионикой и внешней средой.
Под нижним уровнем в сфере авиации следует понимать саму авионику, то есть комплекс электронных бортовых устройств, устанавливаемый на воздушном судне. К ней стоит дополнительно применять физические меры защиты.
Кроме самой информации, которая передается между тремя этими уровнями и обрабатывается на них, защите также подлежит и программно-аппаратный комплекс, входящий в состав автоматизированной системы управления [5; 6]. Таким образом, должно защищаться и само программное обеспечение, используемое при работе информационно-вычислительной системы на воздушном судне.
Постановление Правительства Российской Федерации N 127 определяет три категории значимости. Для принятия решения об отнесении системы к какой-либо категории
значимости используются четырнадцать критериев. Наиболее важными для сферы авиации являются критерии «Причинение ущерба жизни и здоровью людей» и «Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые по количеству людей, для которых могут быть недоступны транспортные услуги». Поэтому в зависимости от вместимости воздушных суден и их маршрутов автоматизированные системы управления на них могут попадать под любую из этих трёх категорий.
На основе того, к какой категории значимости была отнесена автоматизированная система управления, для неё определяется перечень мер защиты согласно приказу ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Если сравнивать базовые наборы мер, представленные в данном перечне, с теми, что применяются к критически важным объектам, то становится заметно, что базовые наборы мер для категорий значимости стали меньше, однако сам список мер защиты сохранился без изменений.
Группа документов по обеспечению безопасности критической информационной инфраструктуры внесла некоторую определённость и упорядоченность в информационную безопасность российской авиации. Появились правила определения категории значимости и более подходящие требования по защите, а также установился порядок осуществления государственного контроля. Однако данные документы описывают лишь общие меры защиты, их сфера действия слишком обширна. Российской авиации необходимы свои отраслевые стандарты.
Библиографические ссылки
1. Федеральный закон от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // Собрание законодательства Российской Федерации. 2017. № 31. ст. 4736.
2. Подмарев А. ИБ в гражданской авиации: некоторые вопросы обработки ПД и безопасности КПП [Электронный ресурс]. 2020. URL: http://www.itsec.ru/articles/ib-v-grazhdanskoj-aviacii-nekotorye-voprosy-obrabotki-pd-i-bezopasnosti-kii (дата обращения: 26.03.2020).
3. Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» // Министерство юстиции Российской Федерации. 2018. № 50524.
4. Обеспечение информационной безопасности на борту воздушного судна / Косьянчук В., Сельвесюк Н., Зыбин Е. и др. // Авиапанорама. 2018. № 6 (132). С. 4-15.
5. Приказ ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» // Министерство юстиции Российской Федерации. 2014. № 32919.
6. Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» // Собрание законодательства Российской Федерации. 2018. № 8. ст. 1204.
© Рогова Е. А., 2020
