Субъект КИИ, размер очереди имеет значение!

Субъект КИИ, размер очереди имеет значение!

   Как показали вопросы в тематическом телеграм-канале, часть субъектов КИИ внесли свои системы регистрации авиапассажиров в перечень ОКИИ, подлежащих категорированию. Ранее я уже затрагивал эту тему https://valerykomarov.blogspot.com/2019/08/blog-post.html .

    Но раз включили в перечень, то теперь наступил черед деятельности по категорированию. Попробуем смоделировать расчет категории значимости для системы регистрации пассажиров аэропорта.
name='more'>
    Основной вопрос возникает с расчетом по показателю № 3 ПП127.
Ключевой момент – указано, что последствия оцениваются от нарушения деятельности ОБЪЕКТА ТРАНСПОРТНОЙ ИНФРАСТРУКТУРЫ, а не ОКИИ. Для систем регистрации пассажиров и багажа получается, что оценивать по этому показателю надо для АЭРОПОРТА.
3.
Прекращение <1> или нарушение функционирования <2> объектов транспортной инфраструктуры, оцениваемые:




а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг;
в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения
выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения
выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения

б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек)
более или равно 2, но менее 1000
более или равно 1000, но менее 5000
более или равно 5000

    Показатель по территории очень спорный. С одной стороны, транспортная услуга не представляется только внутри самого аэропорта, то есть максимум 3 категория значимости. А с другой стороны, пассажиры не могут улететь в другие города. Скорее всего, придется смотреть на статус аэропорта. Под 1 категорию значимости попадают системы регистрации, размещенные в аэропортах из списка https://www.favt.ru/dejatelnost-ajeroporty-i-ajerodromy-perechen-aeroportov/ ,  и региональные аэропорты. Местные аэропорты попадают под 2 категорию значимости.
     Пример: а/п «Остафьево». Заявлен как международный https://www.favt.ru/dejatelnost-ajeroporty-i-ajerodromy-mezhdunarodnye-ajeroporty/ , но пропускная способность – 70 пасс/час. По количеству пассажиров система регистрации пассажиров никогда не будет ЗОКИИ, а вот статус «международный» оставляет вопросы с применением территориального показателя.

   По количеству людей ситуация более простая. Есть отдельный приказ Минтранса с методикой расчета от 24.02.2011 N 63 "Об утверждении Методики расчета технической возможности аэропортов и Порядка применения Методики расчета технической возможности аэропортов".
«6. Главный оператор аэропорта в срок до 15 марта (на предстоящий зимний сезон) и до 15 августа (на предстоящий летний сезон) производит расчет технической возможности аэропорта и публикует нормативы на официальном сайте аэропорта.»
   Надо понимать, что отказ системы регистрации, сам по себе, может вообще не повлиять на технические возможности аэропорта по перевозке пассажиров (редкие рейсы, время обслуживания самолетов намного больше времени регистрации пассажиров и т.д.). https://www.atorus.ru/news/press-centre/new/47383.html
    Можем ли мы упростить себе расчеты категории значимости с приемлемой аргументацией для ФСТЭК в последующем?
   Предлагаю воспользоваться приложениями к приказу Минтранса.
Приказ Минтранса РФ от 24.02.2011 N 63 "Об утверждении Методики расчета технической возможности аэропортов и Порядка применения Методики расчета технической возможности аэропортов"

Приложение N 6 к Методике. Время ожидания для обслуживания пассажиров по операциям
Технологическая операция по обслуживанию воздушной перевозки пассажиров в аэровокзале
Приемлемый минимум (мин.)
Приемлемый максимум (мин.)
Эконом-класс - регистрация
0-12
12-30
Первый класс, бизнес-класс - регистрация
0-3
3-5
Зона выдачи багажа
0-12
12-18

Приложение N 7 к Методике. Перечень основных показателей для определения пропускной способности технологических процессов
N
п/п
Наименование процесса (этапа)/канала обслуживания
Пропускная способность в пасс./мин., пасс./час
Удельная площадь в зоне обслуживания, м/пасс.
Максимальное время ожидания в зоне обслуживания, мин.
1
2
3
4
5
2
Регистрация
1,5 минуты
40 пасс./час на одну стойку регистрации
1,8
Зона ожидания у каждой пассажирской стойки с учетом зоны обслуживания, составляющей около 6 м
, должна быть не менее 42 м
30,0

Приложение N 8 к Методике. Пропускная способность одного пункта обслуживания воздушных перевозок пассажиров в аэровокзалах
Наименование зоны или пункта обслуживания
Пропускная способность зоны или пункта обслуживания
Пункт регистрации пассажиров и багажа
40 пассажиров в час

Приложение N 9 к Методике. Площади зон обслуживания воздушных перевозок пассажиров в аэропортах
Наименование зоны или канала обслуживания воздушных перевозок пассажиров в аэровокзале
Исходные данные для расчета
2. Зона регистрации пассажиров и багажа
1,8 м/пасс.
Приемлемое время ожидания в очереди - 30 мин.
3. Зона выдачи багажа
1,7 м/пасс.
Приемлемое время ожидания получения багажа - 18 мин.


   Указано, что максимальное время нахождения пассажира в зоне регистрации – 30 минут.
Если у вас предусмотрен штатный переход на ручную регистрацию, без использования атакованной системы, и вы укладываетесь в отведенный норматив по времени, то никаких последствий для пассажира не наступило. И никаких категорий значимости не присваиваете.
    То есть, все упирается в первоначальную избыточность при штатном функционировании.
    Если аэропорт «оптимизировал» размеры зала ожидания и количества стоек регистрации по верхней границе норматива, то переход на ручной режим автоматом приведет к транспортному коллапсу и высоким показателям категорий значимости у системы регистрации пассажиров.
    При категорировании системы регистрации, указываете в 236 форме в графе 3 показателя, что время обслуживания среднерасчетной группы пассажиров  - 12 минут, при отказе системы – 28 минут. (цифры для примера). Так как нет нарушения требований минтранса по времени ожидания, то нарушения процессов оказания транспортной услуги для населения нет и показатель не применим.
   Замечу, что цифры 30 минут Минтранс дает на ожидание в очереди, а не на обслуживание одного пассажира. Пассажир в штатном режиме должен быть обслужен за 1,5 минуты. Остальное решается наращиванием количества стоек регистрации.
     Рассмотрим для примера а/п Шереметьево: https://www.svo.aero/bitrix/upload/sprint.editor/189/1894634d82bbe10d47708878f10ac07c.pdf
    Заявлена пропускная способность аэровокзала - 4356,8 пассажира в час.
    По нормативу Минтранса на это требуется минимум 110 работающих стоек регистрации (40 пассажиров/час). К сожалению, а/п не указал приемлемое время ожидания пассажира. Но привел площадь зоны обслуживания – 47 кв.м.
   Если взять исходные данные для расчета из приложения № 8 и принять удельную площадь в зоне обслуживания  - 1,8 м /пасс, то получим расчетное время ожидания пассажира в очереди – 21,57 секунды. (47/(4356,8*1,8) *3600).
   Стоек регистрации в Шереметьево намного больше – около 400, дополнительно установлены стойки самообслуживания. Но это все в нормальном режиме функционирования.
   Если брать расчет в лоб, то для нас допустимо падение времени регистрации пассажира в 81 раз.
   В результате компьютерной атаки система регистрации пассажиров отключена. Стойки самообслуживания выпадают полностью. Стойки обслуживания перешли на аварийный вариант - ручную регистрацию. Сколько нам нужно стоек для обслуживания 4356,8 пассажиров при допустимом времени ожидания 0,5 часа? Если мы сможем обеспечить время ручного обслуживания пассажира при регистрации – 6 минут (падение в 17 раз), то система регистрации пассажиров - незначимый ОКИИ при любом времени восстановления после компьютерной атаки.
   Если реальное время ручного обслуживания – 15 минут на пассажира (падение в 42 раза), то 2756 (400*4=1600 пассажиров в час) не обслуженных пассажиров дадут нам 3 категорию значимости, при времени восстановления системы регистрации пассажиров – 1 час и более.
   Если мы будем восстанавливать систему регистрации пассажиров более 10 суток, то получим 2 категорию значимости.
    То есть, нам для расчета надо знать пассажиропоток в час и количество стоек (эти цифры табличные и известные). Дальше смотрите регламентное время на операцию ручной регистрации и определяете количество пассажиров, обслуженных за час в ручном режиме и время восстановления системы регистрации пассажиров. Получили 2000 не обслуженных пассажира – привет 3 категория. Не знаете этих цифр, значит определяете с секундомером длительность ручной регистрации в учебном режиме и оцениваете допустимое время ликвидации последствий компьютерной атаки. Остальное зависит от желания иметь ЗОКИИ, возможен маневр цифрами. Желательно не уходить в фантазии в показателях, не сможете ФСТЭК их обосновать при отправке формы по 236 приказу.
   Цифры необходимо легализовать. Утвердить регламент перехода на ручную регистрацию с приложением технологических карт. Регламент восстановительных работ и т.д. Тогда вы сможете сослаться на конкретные цифры в показателях при обосновании своей позиции в спорах с ФСТЭК.
    Скорее всего крупные аэропорты попадут в 3 категорию значимости по пассажиропотоку, все-таки за 10 дней вполне реально ликвидировать все последствия от компьютерной атаки.   У большинства аэропортов страны пассажиропоток еще меньше.
    А вот как в реальности будут считать в аэропортах, вот это вопрос интересный. Стойки принадлежат одним юрлицам, их передают в аренду другим юрлицам. Аэропорт передал авиакомпаниям. У одной 100 стоек, у другой 10. Как учитывать это разделение? Какие условия аренды прописаны и т.д. На всех ли стойках штатно присутствует рабочий персонал и т.д.
    В принципе, у аэропортов есть опыт реальных сбоев систем регистрации пассажиров и можно оперировать показателями из практики, п.10е 127ПП это допускает.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности