Практические вопросы обеспечения �кибербезопасности

информационных систем в сфере гражданской авиации

ors.aero

Что такое счастье?

«Счастье — это состояние души»

Аристотель

​

«Счастье зависит только от нас самих»

Аристотель

​

«Нет пути к счастью, путь — это и есть счастье»

Будда

​

«Счастье — это когда то, о чем вы думаете, что говорите

и делаете, находится в согласии»

Махатма Ганди

​

«Счастье — это выбор, а не право или привилегия»

Дэвид Хилл

​

«Счастье зависит только от вашего мужества и работы»

Оноре де Бальзак

До 2022 года

• Хактивисты («школьники»)
• Инсайдеры (торговля данными)
• Шифровальщики (вымогательство)
• Кража данных (шантаж, продажа, шпионаж)
• Персональный фишинг (доступ к приватной информации и компрометация бизнес-систем)
• Компрометация банковских приложений и систем (кража денег)

После 2022 года

• Хактивисты (высокая квалификация, политическая мотивация, профессиональные инструменты)
• Инсайдеры (радикализм, нанесение ущерба)
• Шифровальщики (нанесение ущерба)
• Кража данных (публикация в СМИ, инфоповод, шпионаж)
• Персональный фишинг (шантаж, вербовка, доступ в системы предприятий)
• Компрометация банковских приложений и систем (дестабилизация финансовой инфраструктуры)

Требований КБ много…

Законы Российской Федерации

​

Ст. 16 AP №149-ФЗ от 2006 г.:

«Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:...»

… очень много

Требования к системе обеспечения безопасности в целом

Международные и национальные требования

Общие

Отраслевые

ICAO DOC 8973 и другие

Национальная программа авиационной безопасности

GDPR

ICAO Статегия и План

действий по обеспечению кибербезопасности

ISO 27k

Международные общие и отраслевые практики

и стандарты

Собственные требования владельца системы

Требования транспортной безопасности (ПП-1633)

Какой план?

План действий по обеспечению кибербезопасности

Какой план?

План действий

1. Возложить полномочия по обеспечению КБ на заместителя руководителя

​

1. Возложить полномочия по обеспечению КБ на заместителя руководителя

2. Создать подразделение обеспечивающее КБ

​

План действий

1. Возложить полномочия по обеспечению КБ на заместителя руководителя

2. Создать подразделение обеспечивающее КБ

3. Инвентаризировать основные бизнес-процессы

​

План действий

1. Возложить полномочия по обеспечению КБ на заместителя руководителя

2. Создать подразделение обеспечивающее КБ

3. Инвентаризировать основные бизнес-процессы

4. Выявить критические процессы

​

План действий

1. Возложить полномочия по обеспечению КБ на заместителя руководителя

2. Создать подразделение обеспечивающее КБ

3. Инвентаризировать основные бизнес-процессы

4. Выявить критические процессы

5. Описать актуальные угрозы

​

План действий

1. Возложить полномочия по обеспечению КБ на заместителя руководителя

2. Создать подразделение обеспечивающее КБ

3. Инвентаризировать основные бизнес-процессы

4. Выявить критические процессы

5. Описать актуальные угрозы

6. Категорировать ИТ-активы

План действий

1. Возложить полномочия по обеспечению КБ на заместителя руководителя

2. Создать подразделение обеспечивающее КБ

3. Инвентаризировать основные бизнес-процессы

4. Выявить критические процессы

5. Описать актуальные угрозы

6. Категорировать ИТ-активы

7. Выбрать меры защиты и создать систему безопасности

План действий

План действий

План для CEO

• Отрицание
• Гнев
• Торг
• Депрессия
• Принятие

​

Не забываем про культуру

Культура кибербезопасности в гражданской авиации

Проблемы с обработкой ПДн

• ст.3 152-ФЗ

оператор - …юридическое …лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.�

• ст.100 Воздушного кодекса РФ

Перевозчиком является эксплуатант, осуществляющий воздушные перевозки пассажиров, багажа, грузов или почты и имеющий лицензию на осуществление подлежащего лицензированию в соответствии с законодательством Российской Федерации вида деятельности в области авиации.�

• ст.103 Воздушного кодекса РФ

По договору воздушной перевозки пассажира перевозчик обязуется перевезти пассажира воздушного судна в пункт назначения с предоставлением ему места на воздушном судне, совершающем рейс, указанный в билете, а в случае воздушной перевозки пассажиром багажа также этот багаж доставить в пункт назначения и выдать пассажиру или управомоченному на получение багажа лицу.

​

Проблемы с обработкой ПДн

• ст.3 152-ФЗ

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных�

• ст.6 152-ФЗ

1. …Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;…

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, … на основании заключаемого с этим лицом договора… (далее - поручение оператора).

​

Проблемы с обработкой ПДн

• ст.9 152-ФЗ

Согласие субъекта персональных данных на обработку его персональных данных ч.4. …

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных

4) цель обработки персональных данных

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу

​

​

Проблемы с обработкой ПДн

ОБРАБОТЧИКИ ПДн

GDS

Amadeus, Sabre, Galileo, Apollo, Worldspan, travelsky, Abacus, Сирена-Трэвел

​

Сети передачи данных

SITA, AIRINC, MessageNet, TravelPort, IET HUB, BaggageNet, GOVIDNet

Взгляд со стороны КИИ

Субъекты критической информационной инфраструктуры - … российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере … транспорта...

​

Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих

в сфере транспорта

(утверждён Минтрансом 15.05.2023)

…российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

ОКВЭД в Уставе,

список бизнес-процессов организации

+

+

Процесс есть, а объекта нет

АИС ОВП принадлежит Перевозчику

Если АИС ОВП как сервис

​

С точки зрения 187-ФЗ и ПП127

Перевозчик

Провайдер АИС ОВП

​

Да

Да

​

Нет

Да

​

Нет

Да

Да

​

-

?

Субъект КИИ с принадлежащим ему объектом КИИ

?

?

Есть критический процесс в сфере транспорта (перевозка)?

Имеет ОИИ, реализующий процесс перевозки?

ОИИ, с точки зрения владельца, функционирует

в сфере транспорта?

Выводы:

Взгляд со стороны КИИ

Перевозчик

(субъект транспортной инфраструктуры)

АИС ОВП

• Цели, состав, условия и способы обработки ПДн
• Категорию объекта КИИ
• Угрозы безопасности информации
• Меры защиты информации

Участники процесса перевозки, подрядчики

Диктует

и контролирует

Владеет

Используют

по поручению

​

Определяет

СВЯЗАТЬСЯ С НАМИ

сd@ors.aero

Коммерческий департамент

​