9. Информационная безопасность

9. Информационная безопасность

Область информационной безопасности, определяемая потребностями рынка беспилотной авиации Российской Федерации, не подлежит системной координации и (или) централизованному планированию.

На сегодняшний день функционирование систем управления и контроля за полетами беспилотной авиации по большей части основано на иностранных технологиях, реализованных преимущественно на зарубежном оборудовании и программном обеспечении.

Рост производительности и пропускной способности оборудования приводит к усложнению алгоритмов обработки данных и миграции их реализации из программной в аппаратную часть. В связи с этим существенно снижается эффективность применения наложенных средств защиты, повышается риск компьютерных атак.

При этом необходимо отметить, что в настоящее время в информационном пространстве увеличивается не только число угроз компьютерной безопасности, но и усложняется их техническая структура, повышается скоординированность атак. Угрозы происходят в том числе от специальных служб иностранных государств, экстремистских и террористических организаций. Такие действия могут быть направлены на выведение полностью или частично из строя объектов беспилотной авиации, причинение ущерба государственному управлению, а также нарушение устойчивости экономики.

Одним из способов обеспечения информационной безопасности в беспилотных авиационных системах является применение криптографических методов защиты информации. При этом, несмотря на достигнутые успехи в разработке российских криптографических механизмов, предназначенных для защиты информации в беспилотных авиационных системах, а также на придание им официального статуса документов национальной системы стандартизации, их практическое внедрение зачастую ограничивается государственными информационными системами. Существенным фактором, препятствующим широкому внедрению российской криптографии, является то, что российские стандарты криптографии не представлены в международных стандартах телекоммуникационных протоколов.

Системы управления и контроля за полетами беспилотной авиации, созданные на основе зарубежного оборудования, продолжают наследовать зарубежные механизмы защиты информации, тем самым не позволяют обеспечить требуемый уровень доверия даже за счет замены зарубежного оборудования российским: изменению, как правило, подвергается только программная составляющая, а не логика работы, заложенная в аппаратной части. Полноценную замену существующих технологий систем управления и контроля за полетами беспилотной авиации "доверенным" оборудованием в ближайшее время произвести практически невозможно, в том числе из-за отсутствия высококвалифицированных кадров, осуществляющих научные исследования, разработку, внедрение и техническую поддержку современных и перспективных информационно-телекоммуникационных технологий.

Положения и рекомендации, закрепленные в действующих нормативных документах, направленные на обеспечение информационной безопасности, требуют усиления внимания участников отрасли и совершенствования в части инструментов и способов практической оценки защищенности, а также экономических механизмов, стимулирующих ответственное поведение диспетчеров систем управления и контроля за полетами беспилотной авиации.

Важным аспектом устойчивого функционирования систем управления и контроля за полетами беспилотной авиации также является заложенная при их проектировании физическая защищенность и структурная живучесть.

Таким образом, текущий уровень информационной безопасности, который отражается в том числе на перспективах развития отрасли беспилотной авиации в Российской Федерации, формирует следующие предпосылки:

иностранное оборудование и программное обеспечение, используемые в беспилотной авиации, являются источниками серьезных угроз информационной безопасности;

наложенные средства защиты информации в условиях низкого доверия к среде их функционирования не позволяют обеспечить высокую эффективность их использования;

рост автоматизации и производительности оборудования в беспилотной авиации повышает роль информационной безопасности и усложняет ее обеспечение;

дефицит кадров для научных исследований, а также отсутствие системы определения "доверенного" оборудования, электронной компонентной базы и программного обеспечения затрудняют переход систем управления и контроля за полетами беспилотной авиации на российские "доверенные" разработки.

Приоритетами в сфере обеспечения информационной безопасности в области беспилотных авиационных систем на период до 2035 года, обусловленными необходимостью обретения контроля над инфраструктурой беспилотных авиационных систем Российской Федерации, а также повышения ее надежности, безопасности и отказоустойчивости, достаточных для обеспечения национального суверенитета и устойчивого развития страны, должны стать:

предотвращение несанкционированного контроля над функционированием систем управления и контроля за полетами беспилотной авиации;

обеспечение бесперебойного и защищенного функционирования систем управления и контроля за полетами беспилотной авиации;

обеспечение безопасной среды оборота достоверной информации в беспилотных авиационных системах.

Для достижения обозначенных приоритетов в области информационной безопасности необходимо предпринять следующие шаги:

усовершенствовать методическую и нормативную правовую базу с целью обеспечения информационной безопасности систем управления и контроля за полетами беспилотной авиации;

создать технологические условия обеспечения информационной безопасности систем управления и контроля за полетами беспилотной авиации, основанные на актуальных научных разработках;

создать и внедрить средства и методы мониторинга и управления информационной безопасностью беспилотных авиационных систем.

Механизмы для практической реализации обозначенных шагов сосредоточены в рамках следующих инициатив.

Первая инициатива - развитие и внедрение в отрасли беспилотной авиации системы обеспечения доверия к программно-аппаратным средствам, включая электронную компонентную базу и телекоммуникационное оборудование, а также недопущение развития систем управления и контроля за полетами беспилотной авиации без учета требований информационной безопасности, включая:

обеспечение поэтапного перехода отрасли беспилотной авиации, в том числе информационных сервисов, телекоммуникационного оборудования, электронных компонентных баз, программного обеспечения, средств вычислительной техники, средств защиты информации, в том числе средств криптографической защиты информации, на сертифицированные Федеральной службой по техническому и экспортному контролю и (или) Федеральной службой безопасности Российской Федерации "доверенные" решения, соответствующие национальным требованиям по информационной безопасности;

внедрение непрерывного цикла разработки, апробации и применения средств и методов защиты информации, в том числе криптографических, для всей совокупности современных и перспективных технологий на базе научных исследований;

введение норм использования в отрасли беспилотной авиации программного обеспечения, созданного в соответствии со стандартом безопасной разработки и соответствующего требованиям по информационной безопасности;

обеспечение совместимости и взаимозаменяемости средств криптографической защиты информации, используемых в системах управления и контроля за полетами беспилотной авиации;

содействие международной стандартизации российских криптографических алгоритмов;

создание государственных и коммерческих российских репозиториев программного обеспечения, инфраструктуры разработки доверенного системного и прикладного программного обеспечения для использования в отрасли беспилотной авиации.

Вторая инициатива - развитие системы непрерывного мониторинга и оценки информационной безопасности в беспилотных авиационных системах, включая:

совершенствование системы и метрик оценки защищенности систем управления и контроля за полетами беспилотной авиации;

внедрение операторами беспилотной авиации систем непрерывного мониторинга защищенности систем управления и контроля за полетами беспилотной авиации;

развитие организационного и технического взаимодействия лиц, участвующих в централизованном управлении, при реагировании на угрозы устойчивости, безопасности и целостности функционирования на территории Российской Федерации систем управления и контроля за полетами беспилотной авиации;

создание условий для развития услуг и сервисов в области обеспечения информационной безопасности беспилотных авиационных систем, включая отраслевой центр мониторинга и реагирования на компьютерные инциденты, отраслевой центр компетенций обеспечения информационной безопасности, систему раннего предупреждения об угрозах информационной безопасности и защиты от противоправных действий с использованием информационных технологий;

создание юридически значимых механизмов оценки последствий компьютерных инцидентов, вызванных компьютерными атаками, и условий для развития системы страхования рисков информационной безопасности в отрасли беспилотной авиации.