И снова про КИИ на транспорте.

И снова про КИИ на транспорте.

    Интересный "подарок" от Минтранса, очень схожий с требованиями Минздрава . Прошло 2 года с публикации 187-ФЗ, а Правительство продолжает устанавливать требования  исключительно по 149-ФЗ и 152-ФЗ. В данном случае еще и 16-ФЗ добавлен. А как же КИИ?
name='more'>
Итак: 
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ ОТ 24 ИЮЛЯ 2019 Г. N 955 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ, К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ, К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДКА ЕЕ ПОРЯДКА ЕЕ ФУНКЦИОНИРОВАНИЯ"
Начало действия документа - 31.10.2021.

ТРЕБОВАНИЯ
К АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ОФОРМЛЕНИЯ
ВОЗДУШНЫХ ПЕРЕВОЗОК, К БАЗАМ ДАННЫХ, ВХОДЯЩИМ В ЕЕ СОСТАВ,
К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ, ОБЕСПЕЧИВАЮЩЕЙ
РАБОТУ УКАЗАННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ,
К ЕЕ ОПЕРАТОРУ, А ТАКЖЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ,
СОДЕРЖАЩЕЙСЯ В НЕЙ, И ПОРЯДОК ЕЕ ФУНКЦИОНИРОВАНИЯ

1. Настоящий документ в части определения требований к автоматизированным информационным системам оформления воздушных перевозок (далее - автоматизированные системы) и их операторам разработан с учетом положений, установленных Приложением 9 к Конвенции о международной гражданской авиации от 7 декабря 1944 г. и Федеральным законом "О персональных данных".
2. Автоматизированные системы как комплекс самостоятельных взаимодействующих между собой систем (компонентов) должны обеспечивать:
суверенитет Российской Федерации над информационными потоками при выполнении внутренних воздушных перевозок на основе эксплуатации на территории Российской Федерации отечественных компонентов автоматизированных систем организациями - резидентами Российской Федерации;
конфиденциальность персональных данных пассажиров;
реализацию мер противодействия актам незаконного вмешательства в соответствии с законодательством Российской Федерации в области обеспечения транспортной безопасности;
хранение и отображение информации о расписании рейсов, наличии мест, тарифах и сборах на рейсах перевозчиков;
бронирование и продажу (оформление) внутренних воздушных перевозок и дополнительных услуг для пассажиров с последующим хранением записей о пассажирах;
регистрацию пассажиров и багажа при выполнении внутренних воздушных перевозок.
3. В состав автоматизированных систем должны входить в том числе:
справочные информационные системы;
инвенторные системы бронирования;
системы регистрации пассажиров и багажа;
автоматизированные распределительные (дистрибутивные) системы;
системы взаиморасчетов.
9. Базы данных и обрабатывающие вычислительные комплексы (серверы), базы данных систем, обеспечивающих оформление внутренних воздушных перевозок пассажиров, должны располагаться на территории Российской Федерации.
При оформлении внутренних воздушных перевозок пассажиров, выполняемых российскими перевозчиками в рамках соглашений о совместной эксплуатации рейсов, базы данных и обрабатывающие их вычислительные комплексы (серверы) систем взаиморасчетов могут располагаться за пределами территории Российской Федерации при условии исключения обработки в них персональных данных пассажиров при оформлении внутренних воздушных перевозок.
10. Операторы автоматизированных систем должны быть зарегистрированы как юридические лица в соответствии с законодательством Российской Федерации, являться резидентами Российской Федерации.
11. Организация операторами и пользователями автоматизированных систем обработки персональных данных пассажиров и контроль трансграничного перемещения этих данных должны осуществляться в соответствии с законодательством Российской Федерации в области персональных данных в порядке, установленном договорами между операторами и пользователями автоматизированных систем.
13. Меры по защите информации, содержащейся в автоматизированных системах, реализуются операторами автоматизированных систем посредством обеспечения конфиденциальности и целостности информации, передаваемой через общедоступные каналы связи, с применением сертифицированных средств криптографической защиты информации.
14. Функционирование автоматизированных систем осуществляется в соответствии с требованиями законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

    Если вы думаете, что Минтранс не в курсе существования 187-ФЗ, то мнение ошибочное:
    1. В Минтрансе создана не только своя комиссия по категорированию, но и комиссия по согласованию перечней объектов у подведомственных организаций .
    2. При согласовании проекта обсуждаемого ПП, Минэконоразвития прямо указала Минтрансу о необходимости включения в ПП требований по соблюдению 187-ФЗ.
   ЗАКЛЮЧЕНИЕ от 26 февраля 2019 Г. N 53 52-СШ/Д26И
"обращаем внимание разработчика на то, что вопросы обеспечения безопасности автоматизированных систем урегулированы федеральным законом от 26 июля 2017 г. n 187-ФЗ ..
в этой связи считаем необходимым разработчику проработать вопрос целесообразности установления требований к аис овп в целях обеспечения суверенитета российской федерации при выполнении воздушных перевозок в проекте акта. в случае необходимости установления указанных требований считаем необходимым их утверждение в рамках законодательства о критической информационной инфраструктуре."
   Более того, Минэконоразвития в своем заключения однозначно отнесла данные системы к ОКИИ:
"таким образом, информационные системы оформления воздушных перевозок, используемые российскими авиакомпаниями, являясь объектами критической информационной инфраструктуры, в настоящее время уже подлежат защите от угроз устойчивого функционирования."

    Вывод: Минтранс, как государственный регулятор в сфере транспорта, принял осознанное решение о том, что следующие системы не относятся  к объектам КИИ:
-справочные информационные системы;
-инвенторные системы бронирования;
-системы регистрации пассажиров и багажа;
-автоматизированные распределительные (дистрибутивные) системы;
-системы взаиморасчетов.
+ ИТКС, обеспечивающая функционирование этих ИС (судя по названию документа).
    Напрямую это указывается для авиасообщений, но аналогичные системы есть и у железнодорожников, водного транспорта.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности