25.07.2014

Транспортная безопасность теперь еще и от кибератак

На портале, информирующем о разработке новых нормативных актов, появилось два финальных варианта Постановлений Правительства, касающихся транспортной безопасности:

  • "Об утверждении Требований по обеспечению транспортной безопасности (в том числе требования к антитеррористической защищенности объектов (территорий), учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств морского и речного транспорта, включая Особенности исполнения Требований по обеспечению транспортной безопасности при создании, эксплуатации и использовании во внутренних морских водах, в территориальном море, исключительной экономической зоне, на континентальном шельфе Российской Федерации установок и сооружений, создаваемых на основе морской плавучей (передвижной) платформы"
  • "Об утверждении Требований по обеспечению транспортной безопасности (в том числе требований к антитеррористической защищенности объектов (территорий), учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств воздушного транспорта".
Постановления очень схожи и отличаются только типом регулируемого транспорта - морской или воздушный. Поэтому и требования, касающиеся защиты информации, в них также схожи. Ничего сверхъестественного в них нет - подозреваю, что ни ФСТЭК и 8-й Центр или ЦИБ ФСБ к его экспертизе не привлекались. Поэтому касательно "нашей" темы там всего два пункта:

  1. Необходимо обеспечивать защиту баз данных пропусков от доступа посторонних.
  2. Необходимо обеспечивать защиту технических средств обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств от несанкционированного доступа к элементам управления, обработки и хранения данных.
Как обеспечивать такую защиту в нормативном акте не сказано, но на эту тему у нас есть 31-й приказ ФСТЭК, который недавно был утвержден Минюстом. Как написано в преамбуле к 31-му приказу, он распространяется и на область транспортной безопасности.

Единственное, что стоило бы авторам включить в постановление - это отсылку на необходимость выполнения объектами транспортной инфраструктуры требований ФСТЭК в области защиты информации. Чтобы не было двойных толкований и вопросов - а может ли ФСТЭК регулировать вопросы защиты информации на транспорте.

Все-таки поднимаемый мной уже неоднократно вопрос о несогласованности терминологии в области критически важных объектов сильно мешает координировать усилия по обеспечению различных видов безопасности - транспортной, информационной, промышленной и т.п.