Информационная безопасность аэропорта реферат

Обновлено: 02.07.2024

- Я всю свою карьеру занимаюсь информационной безопасностью. Мне посчастливилось одному из первых в России получить профильное образование в 1998 г. в институте МИРЭА. Тогда профессия только создавалась, и было интересно, какой она станет. Новизна мне импонировала. С тех пор мне удалось пройти долгий путь обеспечения информационной безопасности в разных организациях.

В аэропорту, наверное, наиболее суровые требования к информационной безопасности, какие только бывают. Аэропорт – это объект КИИ, здесь особенно высоко внимание к вопросам безопасности, поскольку риски выше. Правила очень строги, и нет той вольности, которая для других видов бизнеса может быть позволительна.

- В аэропорту работать сложнее?

- Конечно сложнее. Исключения в правилах не допустимы, ведь цена ошибки крайне высока. В ритейле, где я работал раньше, могут случаться инциденты ИБ, но в аэропорту риски прямо связаны с жизнями людей, и ответственность намного больше.

- Какие основные задачи стоят перед службой ИБ Шереметьево, одного из ведущих аэропортов страны?

- Когда человек приезжает в аэропорт, он своими глазами видит принимаемые меры физической безопасности, и пусть меры ИБ менее заметны, но при этом информационная безопасность не менее важна. Начнем с того, что физическая безопасность в аэропорту зависит от информационной, так как все современные средства физической безопасности – это сложные ИТ-системы, и их нужно очень серьезно защищать, причем не только от террористов – вообще ото всех.

Главное отличие информационной безопасности от физической заключается в свойствах нарушителя: в случае физической безопасности мы его видим, он сам к нам пришел. А злоумышленник с точки зрения ИБ – потенциально любой человек из почти восьми миллиардов населения Земли. Эта ситуация намного сложнее, ведь нужно предусматривать больше рисков и принимать больше превентивных мер защиты.

- Собственные сотрудники часто угрожают ИБ?

- Это происходит нечасто, но последствия могут быть существенными, поэтому таким случаям уделяется больше внимания. Внешний нарушитель прежде чем добраться до систем должен пройти много этапов, где его можно обнаружить и остановить. Собственный же сотрудник уже находится внутри. Его возможности, если он захочет стать злоумышленником, гораздо шире, особенно если ему выданы повышенные привилегии. Повторюсь, такие случаи возникают очень редко, но каждый раз они требуют большого расследования, и на выходе всегда формируется кейс, который надолго остается в памяти.

- Все ли расследования приводят к уголовным делам?

- Далеко не все, ведь чтобы дошло до уголовного дела, действия сотрудника должны привести к ущербу, а мы до ущерба не доводим. У нас есть возможности препятствовать злоумышленнику на ранних стадиях, когда еще у человека только формируется замысел: мы видим, что он начинает сидеть на хакерских форумах, гуглить подозрительные темы. И если срабатывают подобные триггеры, мы обращаем на сотрудника повышенное внимание.

Есть несколько кейсов, которые мне особенно запомнились. Их общая черта в том, что нам бросили вызов, и это всегда самое увлекательное. Вот пример: когда только появились USB-модемы с сим-картой, один наш сотрудник решил, что если он будет выходить в интернет с помощью такого модема, его не удастся отследить. Он уделял своим личным проектам огромное количество времени и очень был удивлен, когда ему все-таки начали задавать вопросы.

Был еще случай, когда человек стал целенаправленно искать информацию о видах систем безопасности и способах их обхода, устанавливал специальное ПО, которое автоматически делало снимки экранов в определенные моменты. Конечно, и эта ситуация не прошла мимо нашего внимания.

- Для аэропорта важно использовать DLP-системы в целях контроля сотрудников, или это лишняя трата денег?

- Я никакие системы ИБ не считаю лишней тратой денег. Для аэропортов уровень рисков максимален, а сами риски разнообразны, – именно на их основе мы делаем выводы о приобретении тех или иных средств ИБ. DLP вообще обязательная система для любого крупного бизнеса, а иногда и для среднего, и даже малого. Но в аэропортах DLP-система может использоваться не только по прямому назначению как средство защиты от утечек, а еще и как система контроля и мониторинга ситуации в целом – она хорошо для этого подходит. Этот контроль очень важен.

- На ваш взгляд, за какое время должна окупаться DLP-система и другие системы в информационной безопасности?

- Срок окупаемости порой очень сложно посчитать, но, как говорит статистика, в среднем раз в год где-нибудь в мире случается громкий кибер-инцидент в аэропорту, в авиакомпании или вообще в крупном бизнесе, и примерно понятно, какими могут быть финансовые потери. С этой точки зрения DLP-система должна окупаться, по моим оценкам, за год или два – где-то быстрее, где-то медленнее, но так как в аэропорту риски очень дорогостоящие, то и средства их предотвращения окупаются очень быстро.

- Как у вас в отделе распределяются роли между специалистами по ИБ? Какие направления вы контролируете?

- Своей деятельностью мы закрываем все направления современной ИБ. Есть защита от утечек информации, защита конфиденциальных, персональных данных, – и это не только требования законодательства, но вопрос безопасности для всех нас. Системных попыток увести на сторону персональные данные у нас не было, но периодически возникают случаи, когда кто-то отправляет ПДн по незнанию письмом, на внешний носитель и т.д. Но системы отрабатывают такие случаи, проблем с пресечением таких инцидентов нет, ведь часть сотрудников занимаются только этим.

Другое большое направление – это обеспечение непрерывности работы, ведь все ИТ-системы должны работать гарантированно непрерывно, и это в том числе забота ИБ-службы. У нас есть внутренний пентест, но мы привлекаем и внешних подрядчиков. Наши сотрудники оценивают инфраструктуру, вносят предложения по ее модернизации. В принципе в авиационной отрасли такая культура – мы постоянно готовимся к нештатным ситуациям. Эта готовность со временем у сотрудников впитывается и становится нормой жизни.

Кроме того, мы выделили направление по реагированию на инциденты. Как я говорил, непрерывность – это наша религия, и для нас очень важно реагировать на инциденты мгновенно. Так что мы сформировали Security Operation Center – сейчас это модное словосочетание. Выделенные сотрудники круглосуточно отслеживают инциденты кибербезопасности, получая данные от всех систем мониторинга. Их задача – быстро принять решение, максимально оперативно пресечь нежелательную активность. Дальше мы уже не спеша расследуем причины.

- Что изменилось, когда в прошлом году вы переходили на удаленку?

- Останется ли удаленка с нами навсегда?

- Тренд наметился до всякой эпидемии и сейчас только ускорился. Пандемия дала ему толчок, но с удаленкой теперь придется иметь дело всегда, и в ближайшей перспективе большая часть сотрудников будет находиться вне периметра. Это вызов для информационной безопасности, на который нам предстоит найти комплексные ответы.

- Какой главный вывод вы можете сделать по прошедшему 2020 году?

- В 2020 году кибербезопасность стала еще более важной, чем раньше. В 2021 году всем компаниям на ИБ нужно будет выделять еще больше ресурсов, и не только нам, аэропорту.

По разным данным число кибератак в мире растет от 50% до 100% в год. Отсюда главный вывод: дальше кибербезопасностью придется заниматься больше и, наверное, всем. Звонки от якобы службы безопасности банка – это тоже кибератака, только с использованием социальной инженерии. Поэтому сейчас каждый человек, а не только представитель бизнеса или банка, должен быть в курсе, что происходит в информационной безопасности. Так что будущее ИБ – в постоянном росте.

- Предыдущее поколение специалистов по ИБ представляли по сути выходцы из правоохранительных структур. Вы никогда не носили погонов поэтому относитесь скорее к новому поколению. Каким будет следующее?

- Вы видите, что сотрудник стал рассылать резюме в другие компании. Какие твои действия – уволить сразу или пытаться разобраться?

- Пытаться разобраться с руководителем.

- Как поступить с нарушителем, который что-то сливает, возможно, за деньги: уволить сразу или попытаться сделать информатором?

- Личное мнение – уволить сразу.

- Какой подход тебе ближе: все запретить или все разрешить, но контролировать?

- Мне лично ближе разрешить и контролировать, но у нас строгие регламенты, и так получается не всегда, поэтому некоторые вещи приходится жестко запрещать.

- Какой у тебя основной драйв от профессии, что доставляет больше всего морального удовлетворения?

- Когда случается настоящий инцидент и приходится постараться для того, чтобы реально предотвратить угрозу. Это заводит.

Разработка системы контроля и управления доступом аэропорта. Системы видеонаблюдения, методы контроля различных зон аэропорта, система информационной безопасности. Специальные техники и технологии для противодействия актам террора на объектах аэропорта.

Подобные документы

Анализ рисков информационной безопасности в отделении ОАО "Банк Москвы". Проектирование комплекса программно-аппаратных средств системы контроля и управления доступом в ОАО "Банк Москвы". Анализ экономической эффективности предлагаемых мероприятий.

дипломная работа, добавлен 23.11.2016

Дискреционные, мандатные модели контроля и управления доступом. Модель Харрисона-Руззо-Ульмана, Белла-ЛаПадулы. Модель контроля и управления доступом операционной системы Linux. Методы моделирования политик безопасности. Графовые и логические методы.

дипломная работа, добавлен 30.01.2016

Изучение особенностей разработки базы данных для аэропорта. Характеристика основ информационной системы. Анализ аспектов систем управления базами данных. Исследование структуры таблиц. Создание пользовательского интерфейса для разрабатываемой программы.

курсовая работа, добавлен 01.05.2015

Принципы обеспечения информационной безопасности. Механизмы управления доступом. Недостатки существующих стандартов и рекомендаций безопасности. Угрозы, которым подвержены современные компьютерные системы. Криптографические методы защиты информации.

курсовая работа, добавлен 02.10.2012

Анализ информационных ресурсов и технических средств информационной системы ВУЗа. Определение и классификация источников угроз и уязвимостей безопасности системы. Разработка комплекса мер, направленного на обеспечение информационной безопасности ВУЗа.

дипломная работа, добавлен 22.01.2016

Характеристика предприятия и анализ средств информационной безопасности ЗАО КФ "Линия звезд". Меры, методы и средства защиты информации, применяемые на предприятии. Угрозы информационной безопасности. Модель информационной системы с позиции безопасности.

курсовая работа, добавлен 03.02.2011

Ознакомление с преимуществами системы охранной сигнализации, пожарной сигнализации, видеонаблюдения, контроля и управления доступом. Характеристика основного признака интегрированной системы безопасности. Рассмотрение примера релейной интеграции.

статья, добавлен 10.03.2018

Определение параметров контроля информационной безопасности инновационного предприятия и регламентирование его периодичности. Проверка работы предприятия с точки зрения обеспечения информационной безопасности в приемлемое время и с приемлемой точностью.

статья, добавлен 29.07.2017

Нормативно-правовая база обеспечения информационной безопасности телекоммуникационных систем. Модель системы мониторинга информационной безопасности системы. Алгоритмы обнаружения и предупреждения появления несанкционированных информационных потоков.

дипломная работа, добавлен 21.12.2012

Понятие информационной безопасности, ее составляющие. Наиболее распространенные угрозы. Обзор российского законодательства в области информационной безопасности. Идентификация и аутентификация, управление доступом. Экранирование и анализ защищенности.

Воздушный транспорт представляет собой не только удобное, но и наиболее массовое средство передвижения на дальние расстояния. В процессе стирания границ между государствами объемы перевозок возрастают. Вместе с ними увеличивается и количество персональных данных, которые обрабатываются в системах, обеспечивающих оформление перевозок пассажиров. Сочетание необратимости последствий инцидентов и охвата огромных, удаленных на большие расстояния друг от друга территорий требует относиться к безопасности особенно внимательно.


Специфика авиации подразумевает обслуживание пассажиров разными юридическими лицами. Происходит непрерывный процесс обмена информацией между всеми звеньями системы: при продаже билета, при осуществлении полета, при наземном обслуживании пассажиров, при подготовке воздушного судна к полету. Информация о перевозках должна передаваться только по защищенным каналам с обязательным соблюдением требований об исключении любых неправомерных действий с этими данными. Персональные данные авиапассажиров передаются также между коммерческими организациями и государственными службами. В рамках международного сотрудничества в области транспортной безопасности осуществляется обмен персональными данными между государствами.

В области противодействия терроризму в транспортном комплексе есть достаточно стройный ряд нормативных актов:

  • постановление Правительства Российской Федерации от 22 июня 1999 г. № 660 "Перечень органов исполнительной власти, участвующих в пределах своей компетенции в предупреждении, выявлении и пресечении террористической деятельности";
  • Указ Президента Российской Федерации от 15 февраля 2006 г. № 116 "О мерах по противодействию терроризму";
  • Федеральный закон от 6 марта 2006 г. № 35-ФЗ "О противодействии терроризму";
  • и завершающий эту тему Федеральный закон № 16-ФЗ "О транспортной безопасности", подписанный президентом Российской Федерации 9 февраля 2007 г.

Основным субъектом и координатором деятельности по обеспечению транспортной безопасности выступает Минтранс России. Во взаимодействии с заинтересованными федеральными органами исполнительной власти ему необходимо разработать и утвердить:

  • порядок проведения оценки уязвимости объектов транспортной инфраструктуры и транспортных средств;
  • порядок установления количества категорий и критерии категорирования объектов;
  • порядок ведения реестров категорированных объектов транспортной инфраструктуры и транспортных средств;
  • порядок разработки планов обеспечения транспортной безопасности;
  • порядок информирования субъектами транспортной инфраструктуры и перевозчиками об угрозах совершения актов незаконного вмешательства.

Стандарты информационной безопасности в российской авиации фактически отсутствуют. Согласно закону "О транспортной безопасности" создана Единая государственная информационная система обеспечения транспортной безопасности, состоящая в том числе и из автоматизированных централизованных баз персональных данных о пассажирах и членах экипажа. В том же законе указывается, что передача данных, содержащихся в проездных билетах (Ф.И.О. пассажира, его место рождения, вид и номер документа, по которому приобретается билет), т.е. информация, позволяющая идентифицировать личность, должна передаваться в базы данных в соответствии с ФЗ "О персональных данных".

По этому закону в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки данных, если иное не предусмотрено федеральными законами, а также уведомить об этом субъекта персональных данных. Примерно того же от процессоров требует европейский регламент GDPR. Возникает вопрос, что считать моментом достижения целей обработки, и если этот момент не определен, то не будет ли являться нарушением закона неограниченное во времени пользование персональной информацией?

Совершенно очевидно, что удалять данные пассажира через три дня после авиаперелета нет никакой возможности. Это связано как минимум с претензионной работой авиакомпаний, осуществление которой напрямую связано с персональными данными пассажиров.

Технология электронного билета имеет существенные преимущества как для пассажира (дополнительные каналы приобретения билетов, невозможно потерять билет), так и для авиакомпаний, предоставляя им дополнительные возможности для контроля процесса продаж авиаперевозок, сокращения эксплуатационных расходов, повышения эффективности интерлайн-соглашений. Однако ее внедрение и эксплуатация ставит немало проблем.

Требования с учетом закона о безопасности КИИ

С повышением роли информационных систем в основных бизнес-процессах предприятий гражданской авиации повышаются и требования к интегрированности с системами обеспечения защиты. Из основных требований GDPR также вытекает необходимость глубокой интеграции инструментов информационной безопасности в инфраструктуру компании как на уровне потоков данных, так и на уровне корпоративных бизнес-процессов. Постоянно повышаются и требования государственных структур к различным аспектам безопасности. При этом надо помнить и о том, что обрабатываемая на предприятиях гражданской авиации информация, которая нуждается в защите, – это не только персональные данные. Сведения, которые содержатся в планах обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, являются информацией ограниченного доступа, а некоторые из них являются сведениями, составляющими государственную тайну.


В соответствии с вступившим в силу 01.01.2018 г. Федеральным законом № 187 "О безопасности критической информационной инфраструктуры Российской Федерации" и вступившим в силу 21.02.2018 г. постановлением Правительства РФ "Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" информационно-вычислительная система любого воздушного судна является объектом критической информационной инфраструктуры РФ, так как попадает под определение автоматизированной системы управления, функционирующей в сфере транспорта. Согласно требованиям данных актов, все значимые объекты КИИ РФ должны быть оборудованы программными и программно-аппаратными средствами защиты, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. При этом далеко не все наземные службы, задействованные в обеспечении полетов, попадают под данные требования даже по формальным признакам. Прежде всего это связано с несоответствием условиям, которые описаны в ст. 2 в части владения информационными системами на праве собственности, аренды или на ином законном основании. Для того чтобы пользоваться той или иной системой, не обязательно ей владеть. Владельцем же системы, с помощью функционала которой субъект транспортной инфраструктуры оказывает услуги пассажирам или авиапредприятию, зачастую является разработчик программного обеспечения. И он не попадает под требования 187-ФЗ, у него другая сфера деятельности по ОКВЭД.

Игнорирование проблем ИБ в гражданской авиации может обойтись особенно дорого. К общим проблемам добавляются специфические источники информационных угроз, такие как:

  • недостаточная разработанность нормативной правовой базы;
  • недостаточная правоприменительная практика;
  • недостаточная взаимоувязанность деятельности регуляторов и федеральных органов власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности в гражданской авиации.

Легко ли работать при отсутствии отраслевых стандартов

В жестких условиях интенсивного развития технологий, тяжести последствий инцидентов и юридической неопределенности основные задачи построения системы управления информационной безопасностью остаются неизменными. Процесс обеспечения ИБ должен представлять собой скоординированный комплекс организационных и технических средств защиты информации и выполнять функции разграничения доступа к компонентам информационных систем, защиты информации, регистрации действий субъектов доступа и событий, обеспечение целостности программных средств, предотвращение вторжений, контроль и анализ защищенности. Встраивание процесса управления безопасностью в систему процессов управления ИТ, которое так полюбилось многими, следует применять с осторожностью. Преимущества в виде единого бюджета с ИТ и непрерывности развития системы информационной безопасности вместе с развитием ИТ-инфраструктуры и сервисов могут на практике оказаться недостатками.

Система обеспечения информационной безопасности объектов гражданской авиации должна быть интегрирована в сервисы, но оставаться независимой от объектов защиты. При этом должна предусматриваться возможность отключения системы обеспечения информационной безопасности в особых случаях. Соблюдение данных требований при создании и эксплуатации систем информационной безопасности объектов гражданской авиации позволит обеспечить более надежную защиту информации и информационных ресурсов.

Определяя взаимосвязи процессов, можно прийти к трехуровневой процессно-сервисной модели системы управления ИБ, соответствующей требованиям стандарта ISO 27001. Применив к результату ролевую модель, получаем вполне понятный специалисту по ИБ фронт работ.

Отдельно надо сказать про защиту персональных данных. При создании локальных правовых актов совершенно очевидна необходимость совмещения требований 152-ФЗ и GDPR. Оба документа определяют нормы и правила для защиты интересов субъектов персональных данных. Цель регламента GDPR – сделать так, чтобы пользователи понимали, как используются их данные в Интернете, и в любой момент могли закрыть к ним доступ или удалить их. Цель 152-ФЗ – сделать так, чтобы регулятор при необходимости получил представление, с какой целью оператор собирает персональные данные, не собирает ли их больше, чем нужно, сколько хранит персональные данные и т.д. Так или иначе, оба документа предполагают наличие законных оснований для обработки персональных данных и политики обработки. Разработка отдельного пакета документов для каждого из этих направлений – тупиковый путь.

Остается неопределенность в вопросах передачи данных от одного оператора другому с сохранением конфиденциальности личной информации граждан, разработки и вводе в действие международного Положения о порядке формирования и использования единых баз данных, в котором должно быть предусмотрено создание согласованных процедур и единого формата сведений о пассажирских и грузовых перевозках.

Есть вопросы и к Единой государственной информационной системе обеспечения транспортной безопасности, которая должна представлять собой защищенную иерархическую многоуровневую и территориально распределенную автоматизированную систему. Эта система должна строиться на основе интеграции ресурсов существующих и создаваемых информационных систем органов исполнительной власти, а также субъектов транспортной инфраструктуры и перевозчиков для решения задач транспортной безопасности.

Таким образом, одним из важнейших внутриотраслевых вопросов информационной безопасности сегодня является проблема взаимосвязанности действий государственных структур. Меры, предлагаемые в законе "О транспортной безопасности" и сопутствующих документах, не учитывают международных аспектов деятельности и в целом требуют более детальной проработки в плане их реализации в сфере гражданской авиации.

Довольно часто можно встретить материалы по защите систем, обрабатывающих персональные данные в интересных местах, критических важных объектов или автоматизированных систем управлениях техническими процессами.

Когда-то я хотел написать диссертацию, связанную со своим увлечением авиацией. Как оказалось, найти какие-либо данные связанные с информационной безопасностью в авиационной отрасли оказалось попросту затруднительно, а иногда и вовсе невозможно.

For blog1

Так что ради интереса, я подготовил краткий и вольный план-конспект интересного и полезного документа.

Состав информационной системы управления гражданской авиации США

Управление воздушным пространством происходит следующим образом:

  • 500 диспетчерских вышек контролируют полеты в пределах аэропорта.
  • 160 локаторов обеспечивают УВД в радиусе 40 миль от аэропорта и до 10000 футов.
  • 22 центра управления воздушным движением (ARTCC) контролируют и отслеживают самолеты на территории США. Контроль траффика идет на уровне 17000 футов или выше, зона ответственности 100000 квадратных миль. Кроме этого существует три центра УВД для полетов над океанами.
  • Центр командной системы управления воздушным движением. Это ситуационный центр, регулирующий воздушное движение в сложных метеоусловиях, неисправности мат.части или иных ЧП, затрагивающих безопасность полетов.

FAA использует около 100 систем УВД для обработки и контроля полетов во всем мире. Эти сложные и высокоавтоматизированные АС обрабатывают широкий спектр поступающей информации, начиная от флайтпланов и заканчивая управлением локаторами. Очень важно чтобы эти системы составляли единое целое, согласно FAA треть систем УВД основаны на протоколе IP.

FAA модернизирует информационную систему УВД, называя ее следующую версию — NextGen. Она состоит из:

Нормативно-правовая база информационной безопасности критически важных объектов, включая авиационную отрасль и систему управления воздушным движением.

Несмотря на то, что многие технологии управления воздушным движением являются устаревшими, в системе NAS, в том числе в NextGen, все чаще используют IP технологии для взаимодействия компьютерных сетей. Интеграция критически важных систем инфраструктуры с сетевыми технологиями создает проблему значительно меньшей изоляции сетей от внешнего мира, которая приводит к большей вероятности реализации внешних угроз.

Рассмотрим какие требования и нормативные документы применяются для обеспечения ИБ КВО и УВД:

Прежде всего, федеральный закон об управлении информационной безопасностью (FISMA 2002). Этот закон требует от NIST разработки для систем, отличных от систем национальной безопасности, стандартов и руководящих документов, которые обеспечивают:

  • Классификацию информации и ИС в учреждениях с целью формирования надлежащего уровня ИБ.
  • Директивы с рекомендациями по обработке информации и выбора категорий ИС.
  • Минимальные требования к ИБ и ИС в каждой категории.

Federal Information Processing Standard 199. Standards for Security Categorization of Federal Information and Information Systems. Документ определяет минимальные требования к типам информационных систем в зависимости от потенциала возможного ущерба и типа нарушителя.

Federal Information Processing Standard 200, Minimum Security Requirements for Federal Information and Information Systems. Документ определяет минимальные требования ИБ для информационных систем и процессов на основе подхода риск-менеджмента.

NIST Special Publication 800-34, Contingency Planning Guide for Federal Information Systems. Руководство по управлению информационными системами в чрезвычайных ситуациях на этапах жизненного цикла ИС.

Слабые стороны системы информационной безопасности FAA

Несмотря на принятые меры для защиты автоматизированных систем управления воздушным движением, существуют значительные недостатки в обеспечении ИБ, связанные с NAS системами и сетями. FAA обеспечило защиту периметра межсетевыми экранами для охраны информационной среды NAS. Тем не менее, значительное количество недостатков выявлено в системах контроля доступа, изменений конфигурации ИС. Так же выявлены недостатки межсетевого взаимодействия ИС NAS и прочих ИС. FAA не полностью реализует программу повышения уровня осведомленности и повышения уровня ИБ в своих учреждениях.

Основной причиной недостаточности обеспечения процесса ИБ в FAA является отсутствие эффективной программы ИБ и системы управления рисками.

Процедуры идентификации и аутентификации субъектов доступа к объектам доступа выполняются не в полном объеме. Несмотря на наличие политики безопасности, FAA не защищал границу своих сетей от возможных проникновений.

Недостаточная изоляция сетей. FAA реализованы многочисленные элементы разграничения NAS от не-NAS систем, но этого не всегда достаточно для защиты или ограничения взаимодействия между внешними и внутренними сетями. Чрезмерное межсетевое взаимодействие между рассмотренными системами увеличивает риск компроментации критически важных систем управления воздушным движением.

Слабые пароли. Безграмотная реализация механизма управления идентификацией и аутентификацией пользователей, несмотря на политику безопасности и рекомендации NIST. К серверам и приложениям, используемым в системе NAS применяли слабый пароль.

Слабый контроль управления доступом. FAA не всегда убеждалось, что доступ пользователей к ключевым системам управления воздушным движением был полномочен. В ряде случаев FAA и его подрядчики ошибались в предоставлении прав доступа. Пользователи системы также имели больше полномочий, чем требовалось для осуществления своей работы.

Мониторинг состояния ИБ и самооценка проводятся не в полном объеме. FAA недостаточно реализовало процедуру мониторинга состояния текущего уровня ИБ и проведение самооценки. Например, FAA не всегда контролировал сетевой трафик или системы NAS не всегда реагировали на важные события в системе информационной безопасности. В результате — невозможность обнаружения НСД в системах УВД.

Отслеживание изменений в конфигурации ИС проводится не в полном объеме. Существуют слабые места в управлении конфигурацией ИТКС, что увеличивает риск раскрытия, несанкционированного доступа, модификации и потери информации. Кроме этого в ряде задач для обслуживания ИС управления воздушным движением используется неквалифицированный и слабо подготовленный персонал на подряде.

Политики и процедуры реагирования на инциденты установлены не в полном объеме. В четырех системах NAS политики и процедуры отчетности на инциденты ИБ не всегда указывают требуемые сроки отчетности или необходимости выявления инцидентов. Без доработки правил реагирования на инциденты FAA сталкивается с повышенным рисков невозможности реагировать на инциденты должным образом.

Недостаток осведомленности персонала, обслуживающего критичные системы относительно механизмов обеспечения ИБ.Политика FAA утверждает, что весь персонал агентства гражданской авиации и подрядчики должны проходить ежегодные тренинги — повышение осведомленности в сфере информационной безопасности, а персонал связанный с обеспечением ИБ должен получать обучение согласно их ролям в системе обеспечения ИБ. Однако это не так:

  • а) Подрядчики не были должным образом проинформированы относительно обеспечения ИБ в организации;
  • б) FAA не занимался периодическим обучением специалистов в области ИБ;
  • в) FAA недостаточно документировал и обучал персонал реагированию на инциденты ИБ в системах NAS.

Меры по обнаружению инцидентов ИБ в системах управления воздушным движением выполняются не в полном объеме.

  • а) Персонал не имеет достаточного доступа и полномочий для оперативного мониторинга сетевой активности. Анализ сетевого трафика и аномальных данных в крупнейших точках сетевого обмена не производится. Персонал не имеет доступа к данным с сетевых датчиков, расположенных на сетевых шлюзах и не может полностью контролировать сетевые шлюзы.
  • б) В 26 из 35 систем NAS на основе IP не обеспечивается журналирование событий безопасности
  • в) Система базы данных информационной безопасности, содержащая централизованные журналы безопасности, не эффективна в связи с низким качеством функции поиска.
  • г) Отсутствие формального процесса анализа или документирования потенциального воздействия инцидентов на деятельность систем NAS.
  • д) Недостаточность тестирования возможностей реагирования на инциденты ИБ.

11. Планы непрерывности не завершены или не протестированы должным образом. FAA не обеспечила готовность резервных планов для систем управления воздушным движением и диспетчерской службы. Несмотря на наличие документов для трех рассмотренных нами систем NAS, они не включали важную информацию для действий в условиях ЧС, например методы и средства связи с ведущими специалистами. Так же планы обеспечения непрерывности были слабо или в не полной мере протестированы.

Рекомендации по устранению выявленных угроз и недостатков ИБ

Чтобы полностью реализовать программу ИБ в авиационной отрасли и системах управления воздушным движением, снизить ненужные риски нужно выполнить 13 общих из 168 частных заклинаний:

  1. Завершить создание политики реагирования на инциденты. Определить время отчетности и необходимость отчета о определенных типах инцидентов.
  2. Создать механизм ежегодного обучения и повышения уровня осведомленности персонала.
  3. Создать механизм, чтобы все сотрудники СОИБ получали надлежащее образование, согласно их роли в системе обеспечения ИБ FAA.
  4. Создать механизм, чтобы персонал, ответственный за реагирование на инциденты ИБ прошел подготовку и обеспечить документирование процесса обучения.
  5. Принять меры для того, что самооценка системы ИБ была полной, всесторонней и включала рассмотрение результатов проведения предыдущих самооценок, чек листов изменений и документированных сведений.
  6. Принять меры, связанные с адекватным применением корректирующих мер защиты информации для реагирования на выявленные угрозы в заданные сроки.
  7. Обеспечить СОИБ программным обеспечением для захвата и анализа сетевых пакетов и отслеживания сетевых аномалий на крупнейших сетевых точках.
  8. Интегрировать сетевой трафик в систему запросов ИБ.
  9. Обеспечить доступ СОИБ к ключевым компонентам сети, сетевым шлюзам, средствам сетевой безопасности и сетям передачи данных.
  10. Обеспечить СОИБ журналами для всех NAS на основе IP.
  11. Улучшить алгоритм поиска в журналах базы данных безопасности.
  12. Разработать и формализовать процесс оценки потенциального влияния инцидентов ИБ на системы управления воздушным движением и NAS.
  13. Убедиться, что планы действий в ЧС достаточно задокументированы и испытания системы восстановления непрерывности протестированы не для галочки.

Рекомендации по созданию интегрированного подхода к обеспечению ИБ в управлении гражданской авиации США:

  • Четко определить и разграничить организационные обязанности по обеспечению информационной безопасности для систем NAS и УВД.
  • Обновить стратегическую политику обеспечения информационной безопасности FAA с учетом текущих условий, в том числе в условиях более широкого условия использования IP сетей и назначение управлению гражданской авиации статуса критически важной системы федерального значения
  • Создания приверженности учреждения к надлежащему обеспечению, планированию и поддержанию уровня информационной безопасности.

Читайте также: