Нажимая "ок", вы даете согласие на обработку файлов Cookies и других пользовательских данных, в соответствии с Политикой конфиденциальности
ок
Подтверждение соответствия
Интеллектуальная собственность
Реестры Минпромторга и Минцифры
Проведение испытаний
Разработка технологической
и конструкт. документации
Государственная поддержка
обратный звонок
SAVECONS
+7 (499) 229-91-91
+7 (499) 229-81-81
info@savecons.ru
О нас
Контакты
Блог
Карьера
    •  
    •  
    •  
    •  
  • website icon
© 2024 Сертификат+
Отраслевые особенности
Категорирования в сфере ТРАНСПОРТа

ОТРАСЛЕВЫЕ ОСОБЕННОСТИ КАТЕГОРИРОВАНИЯ В СФЕРЕ ТРАНСПОРТА

Сегодня невозможно представить самолет без бортового компьютера, поезд - без автоматической системы торможения, а крупный транспортный узел - без единого диспетчерского центра. Именно поэтому регулятор подошел к категоризации объектов критической информационной инфраструктуры на транспорте с особой тщательностью, создав один из самых детализированных отраслевых перечней.

ПАК, ПО И НОРМАТИВНАЯ БАЗА

Категорирование на транспорте: от общих принципов к конкретным системам

Долгое время транспортные компании существовали в двух параллельных реальностях. С одной стороны, их обязывали соблюдать требования транспортной безопасности, включая физическую защиту объектов и антитеррористические меры. С другой - на них, как и на всех, распространялось действие 187-ФЗ, требовавшего защищать объекты КИИ от цифровых угроз.

Разрыв между этими реальностями устраняют два документа: уже утвержденный перечень типовых объектов КИИ в сфере транспорта (Распоряжение 360-р) и проект отраслевых особенностей категорирования для транспортной сферы (он был подготовлен минтрансом ещё в 2025 году, на момент написания этой статьи проект прошел антикоррупционную экспертизу).

Вместе они формируют единый подход: информационная безопасность больше не рассматривается как второстепенный аспект транспортной безопасности, а является ее неотъемлемой составляющей.


Главное изменение - переход от абстрактных рассуждений о «критических процессах» к работе с конкретным перечнем систем. Теперь транспортной компании не нужно гадать, что именно считать объектом КИИ. Достаточно открыть раздел III распоряжения и найти там свои системы: от управления аэропортом до диспетчеризации метрополитена. А отраслевые правила категорирования объектов транспортной инфраструктуры можно будет увидеть в постановлении правительства, о проекте которого шла речь выше.

Правила категорирования объектов транспортной инфраструктуры: сложная арифметика значимости

В основе категоризации объектов КИИ в сфере транспорта лежат несколько ключевых показателей, и здесь отраслевая специфика проявляется особенно ярко. Если, например,  для банков главным стал объем транзакций, а для медицины - количество потенциально пострадавших пациентов, то транспортные компании оценивают сразу по нескольким пересекающимся шкалам.

  • География последствий.
    Сбой в системе управления светофорами в отдельном городе - это одно. А нарушение работы диспетчерской службы, контролирующей движение поездов через несколько областей, - совсем другое. Проект отраслевых особенностей четко разграничивает: вышел ли инцидент за пределы муниципалитета, охватил ли целый регион или приобрел межрегиональный масштаб.
  • Пассажиропоток.
    Регулятор оценивает не просто ущерб, а количество людей, оставшихся без транспортного сообщения. Миллион пассажиров, не выехавших из города, - это уже не просто цифра в отчете, а социальный коллапс. Отдельно учитываются грузы: перевозка стройматериалов и транспортировка опасных веществ - категории разного веса.
  • Географический фактор для опасных грузов.
    Для систем, управляющих грузоперевозками оценка значимости, зависит от юрисдикции. Перевозка опасных грузов внутри одного региона — это один уровень риска. Если информационная система занимается обработкой данных о транспортировке и хранении опасных грузов, которые пересекают границы двух или более субъектов Российской Федерации, то она относится к категории с наивысшим значением соответствующего показателя.Причем регулятор сделал важную оговорку: даже если физически груз границу региона не пересек, но система способна обрабатывать такие мультирегиональные маршруты, она все равно получает наивысшую оценку.
  • Категория объекта транспортной инфраструктуры.
    Речь здесь идёт не о категориях объектов КИИ, а о категориях самих объектов транспортной инфраструктуры (вокзалов, аэропортов и т.д.). Здесь происходит любопытное пересечение двух регуляторных систем. Федеральный закон «О транспортной безопасности» уже давно делит вокзалы, аэропорты и порты на категории (самая высокая категория - первая, самая низкая - четвёртая). Проект постановления устанавливает прямую корреляцию: чем выше категория самого объекта, тем серьезнее требования к управляющим им информационным системам и тем более высокая категория будет присвоена объектам КИИ на нём.

Перечень типовых объектов КИИ в сфере транспорта: от самолетов до фуникулеров

Перечень подлежащих категорированию объектов транспортной инфраструктуры поражает своей детализацией. В нём нашлось место всему - от сложных систем управления воздушным движением до вполне обыденных, но критически важных городских решений.


В авиации под прицел попали не только очевидные вещи вроде диспетчерских служб и комплексов регистрации пассажиров. Регулятор включил в перечень даже системы измерения коэффициента сцепления взлетно-посадочной полосы. Логика очевидна: в авиации мелочей не бывает, и сбой даже во вспомогательной системе может привести к цепочке событий с фатальным исходом.


Железнодорожный раздел - это отдельная история. Здесь собраны системы, которые в прямом смысле держат поезда на рельсах: от диспетчерской централизации до управления стрелками и светофорами.


Городской транспорт и метрополитены выделены в отдельные блоки. Системы управления светофорами в адаптивном режиме, диспетчеризация трамваев и троллейбусов, контроль оплаты проезда - все это теперь объекты КИИ. Метрополитен и вовсе представлен целым спектром систем: от управления эскалаторами до поездной радиосвязи и контроля доступа пассажиров.

Как проходит категоризация в транспортной сфере

Процедура категорирования в транспортной отрасли внешне похожа на другие отрасли, но с важными содержательными отличиями. Её нюансы будут утверждены в отраслевом постановлении по категорированию объектов транспортной инфраструктуры, но уже сейчас можно судить о ней, ориентируясь на проект ПП.

Создание экспертной комиссии
Помимо ИТ-специалистов и безопасников, в неё обязательно входят производственники: те, кто отвечает за эксплуатацию подвижного состава, безопасность перевозок, работу с опасными грузами. Без участия опытного диспетчера оценить риски сбоя в системе управления движением невозможно. Это не формальность, а острая необходимость.
Сверка с перечнем из распоряжения правительства 360-р
Комиссия выявляет все системы, попадающие под типовые объекты. Здесь важно не пропустить ничего: от глобальной системы бронирования до локального пульта управления стрелками на малоактивной станции.
Оценка последствий.
Комиссия моделирует наихудшие сценарии: каковы будут последствия в случае несанкционированного доступа к системе управления диспетчерским центром? Как долго сможет работать аэропорт без системы управления багажом? И главное - выйдут ли последствия за пределы одного региона и не затронут ли перевозку опасных грузов.
Присвоение категории.
Здесь действует правило наивысшего показателя. Если сбой в системе грозит жизни и здоровью людей (первая категория по социальной значимости), она получит первую категорию, даже если экономические потери от ее простоя минимальны.

Можно ли объединять объекты КИИ

Одной из главных проблем транспортной отрасли является высочайшая степень интеграции систем. Билетная система завязана на CRM, CRM — на турникеты, турникеты — на диспетчеризацию, и всё это как-то связано с информационными табло. Попробуй разбери, что тут критика, а что нет.


Проект отраслевых особенностей даёт комиссиям по категорированию три рабочих инструмента.


Первый — объединение. Если падение одной системы автоматически кладёт соседнюю (скажем, багажный конвейер намертво завязан на регистрацию пассажиров), системы можно слить в один объект КИИ. Один периметр, одни средства защиты, одна пачка документов. Меньше бюрократии, понятнее архитектура.


Второй — разделение. Допустим, есть монолитная АСУ, где в одну кучу свалены управление движением поездов и портал для пассажирских жалоб. Первое — явная критика, второе — явно нет. Особенности позволяют их разделить, но вот в чём загвоздка: переписать схему на бумаге недостаточно. Регулятор требует реальной модернизации — физически или логически разорвать связи между подсистемами. Только после этого каждая часть может получить свою категорию, а что-то и вовсе может выпасть из-под требований категорирования КИИ.


Третий — самостоятельное категорирование нестандартных решений. Технологии в транспортной сфере развиваются быстрее, чем пишутся законы. Представьте: компания внедрила какую-то уникальную систему — скажем, нейросеть для управления трафиком или специфический IoT-комплекс — и выясняется, что её просто нет в перечне типовых объектов (Распоряжение № 360-р). Что делать?

Проект особенностей закрывает эту брешь: если руководство понимает, что сбой такой системы накроет перевозки в масштабах, дотягивающих до критериев ущерба, субъект КИИ вправе сам присвоить ей категорию значимости и направить данные регулятору. После чего подобные системы будут внесены в типовые перечни.

Для транспорта, где исторически высока доля западных решений - от систем бронирования до диспетчерского ПО и бортовых комплексов, - это означает масштабную программу замещения. И тут возникает проблема: мало найти продукт в реестре, нужно убедиться, что он подходит для конкретных задач и совместим с остальной инфраструктурой.
Постановление № 1912 ввело понятие доверенного программно-аппаратного комплекса (ПАК). Недостаточно российского софта (реестр Минцифры) - оборудование тоже должно быть из реестра Минпромторга. В случае когда комплекс выполняет функции защиты информации, потребуются еще и сертификаты ФСТЭК или ФСБ.
К 31 декабря 2029 года доля доверенных ПАК на значимых объектах КИИ в сфере транспорта должна составлять 100 процентов. Уже сейчас любой новый ПАК, приобретаемый для значимого объекта должен быть доверенным.
Исключение - только если Минпромторг выдаст заключение об отсутствии российских аналогов.
Когда категория присвоена и объект внесен в реестр значимых, перед транспортной компанией встает новый вопрос: на чем теперь все это должно работать? Здесь в игру вступает Постановление Правительства № 1478, которое вводит жесткое правило: на значимых объектах КИИ разрешено использовать только ПО из российского или евразийского реестров.
ПО И ПАК
ДЛЯ КИИ В ТРАНСПОРТНОЙ СФЕРЕ
ВКЛЮЧИТЬСЯ ВО ВСЕ РЕЕСТРЫ
ЧИТАТЬ СТАТЬЮ О ДПАК

Что все это значит для транспортной отрасли?

Категорирование само по себе — это только первый шаг.
Дальше начинается самое сложное: наполнение защищенных объектов реальным оборудованием и софтом с реестровыми записями.
Процесс закупок информсистем меняется. Прежде чем объявить тендер, необходимо проверить наличие потенциальных поставщиков в реестрах. Если российский аналог существует, закупить иностранное решение без согласования с Минтрансом и, в отдельных случаях, с Минцифры, не получится.
Чтобы уверенно ориентироваться в реестрах, понимать, какие продукты и производители действительно соответствуют требованиям, и правильно оформлять закупки, нужны специализированные знания. Особенно это касается ситуаций, когда российский аналог вроде бы есть, но его функционал вызывает вопросы, или когда требуется доказать Минтрансу отсутствие альтернативы.
Здесь, как показывает практика, без помощи специалистов, разбирающихся в процедурных особенностях реестров и законодательства, обойтись все труднее.
Оставайтесь в курсе всех изменений в законодательстве и нормативных актах
Подписывайся
Поделиться в социальных сетях:
СВЯЗАТЬСЯ СО СПЕЦИАЛИСТОМ
Другие новости