Kybernetická bezpečnost v oblasti ochrany civilního letectví před protiprávními činy

29.11.2021

Na základě Na základě novelizace Prováděcího nařízení komise EU 2015/1998 ve znění Prováděcího nařízení komise EU 2019/1583 a Prováděcího nařízení komise EU 2020/910, které posouvá platnost Prováděcího nařízení komise EU o rok, jsou od 1. 1. 2022 pro oblast kybernetické bezpečnosti vyžadovány nové povinnosti u subjektů a školitelů podílejících se na ochraně civilního letectví před protiprávními činy (dále jen „subjekty“):

1. Subjekty jsou povinny provést identifikaci kritických informačních a komunikačních systémů (IKS) za účelem určení, zda by narušení důvěrnosti, integrity nebo dostupnosti informací, uložených a používaných v těchto systémech, jejich funkcích a komponentech mohlo mít vliv na ochranu civilního letectví před protiprávními činy a na jeho základě stanovit rozsah zaváděných opatření v oblasti kybernetické bezpečnosti. 

Cílem zaváděných opatření je, aby subjekty identifikovaly a chránily svoje IKS a údaje před kybernetickými útoky, které by mohly ohrozit ochranu civilního letectví před protiprávními činy.

Opatření se dělí na bezpečnostní, organizační a technické. Tato opatření k zajištění kybernetické bezpečnosti jsou součástí celého souhrnu opatření k zabezpečení ochrany civilního letectví před protiprávními činy

Pro hodnocení aktiv, rizik, zranitelností a hrozeb lze využít Přílohy 1 – 3, Vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat č. 82/2018.

2. Níže jsou uvedeny pouze některé příklady dat, které jsou identifikovány jako kritické v oblasti ochrany civilního letectví před protiprávními činy:

  • databáze schválených agentů, známých odesílatelů, schválených dodavatelů palubních zásob a známých dodavatelů a dalších subjektů v oblasti zasilatelského řetězce;
  • přístupová databáze osob do neveřejných prostorů subjektů, ve kterých se manipuluje anebo ukládají letecké zásilky, palubní zásoby anebo letištní dodávky, přístupová databáze osob jiných než cestujících do neveřejného prostoru letiště, SRA/CSRA;
  • naprogramování a elektronické ovládání vjezdových/přístupových bran a vstupů, elektronický systém kontroly vstupu,  včetně poplachového systému (EZS, EPS);
  • čtečky palubních lístků;
  • CCTV systém včetně uložiště záznamů;
  • systém pro spojení cestujících a zapsaných zavazadel;
  • čtečky e-pasů;
  • bezpečnostní vybavení včetně jejich výstupů a síťových systémů;
  • databáze personálních dat obsahující údaje o odborných či průběžných odborných přípravách bezpečnostních pracovníků apod.;
  • zabezpečení úložišť, pracovních a serverových stanic a sítí, kde jsou uloženy dokumenty obsahující citlivé informace (bezpečnostní program, protokoly z kontrolní činnosti atd.);
  • systém pro odbavení cestujících včetně jeho úložiště;
  • informační systémy pro cestující včetně ovládání těchto systémů;
  • systém (zařízení) v němž jsou uloženy „briefingové“ materiály sloužící k bezpečnému provedení letu, včetně jeho plánovaní atd.;
  • systémy sloužící k přenosu dat letadlo – země, země – letadlo (ACARS) atd.;
  • systémy sloužící k navigaci a monitorování letounu ve vzdušném prostoru.

3. Na základě identifikace IKS je potřeba tyto systémy a informace v nich obsažené zabezpečit především proti neoprávněnému přístupu, změně a použití, zabránit narušení integrity nebo nedostupnosti, změně konfigurace IKS a zabránit neoprávněné manipulaci se systémy a jejich daty. Pro systematické nastavení zabezpečení u subjektů, které nespadají do působnosti zákona o kybernetické bezpečnosti, doporučujeme využít jako pomocný dokument „Minimální bezpečnostní standard“, připravený Národním úřadem pro kybernetickou a informační bezpečnost (dále jen NÚKIB“). Konkrétní opatření je nutno aplikovat na základě identifikace IKS a vyhodnocení rizik.

4. V bezpečnostních programech subjektů nebo v jiném relevantním dokumentu zaštiťujícím kybernetickou bezpečnost u subjektu, na který se bezpečnostní program odkazuje, se na základě posouzení rizik, která si zpracoval daný subjekt, podrobně stanoví opatření k zajištění ochrany před kybernetickými útoky, jejich odhalování a reakce na ně.

5. V oblasti odborné přípravy (výcvik) osob budou proškoleny všechny osoby, které musí absolvovat jinou odbornou přípravu dle NPBV a osoby, které mají přístup k aktivům dle bodu 2.  Toto školení bude realizováno v průběhu roku 2022.
a) Osoba odpovědná za kybernetickou bezpečnost, uvedená v Bezpečnostním programu subjektu (může být shodná s osobou odpovědnou za bezpečnost v oblasti ochrany civilního letectví před protiprávními činy – školení B17 dle NPBV), absolvuje školení a test „Šéfuj kyber!“ zpracovaný NÚKIB a zpřístupněný přes odbor bezpečnostní Úřadu. Tato osoba bude řídit a zabezpečovat odbornou přípravu v oblasti zajištění kybernetické bezpečnosti pro ostatní zaměstnance, kteří nespadají do skupiny osob, která má absolvovat školení a test „Dávej kyber!“.
b) Fyzické osoby, které mají přístup k informačním a komunikačním prostředkům (např. PC, telefony, kamery, datové sítě a jejich součásti, datové, obrazové nebo tiskové vstupy a výstupy, bezpečnostní zařízení apod.), které obsahují aktiva dle bodu 2., absolvují školení a test NÚKIB “Dávej kyber!”

Tento druh odborné přípravy je určen především pro všechny bezpečnostní pracovníky a pro jiné fyzické osoby, které se seznamují, manipulují, či zpracovávají aktiva dle bodu 2.
c) Ostatní fyzické osoby, které jsou povinny absolvovat odbornou přípravu dle stávajícího NPBV, musí absolvovat školení z oblasti kybernetické bezpečnosti, které provede osoba odpovědná za kybernetickou bezpečnost s platným školením dle bodu a. nebo daná fyzická osoba musí absolvovat školení dle bodu b.

Tento druh odborné přípravy je určen především pro pracovníky, kteří v rámci svých pracovních povinností nepoužívají bezpečnostní zařízení nebo výpočetní a komunikační prostředky pro zpracovávání, zobrazování nebo přenos aktiv dle bodu 2.

Absolvování odborné přípravy v oblasti kybernetické bezpečnosti dokládají osoby uvedené v bodech a) a b) certifikátem, který je jim v elektronické podobě vydán po absolvování školení. Absolvování odborné přípravy u osob uvedených v bodě c) dokládá subjekt v podobě prezenčních listin provedeného školení, ve které budou uvedeny minimálně tyto náležitosti:
a) jméno a příjmení školené osoby;
b) místo kde školení proběhlo;
c) datum a čas školení;
d) časová dotace školení;
e) jméno a příjmení včetně podpisu odpovědné osoby, jenž školení provedla;
f) podpis školeného pracovníka.

Pro oblast odborné přípravy v oblasti kybernetické bezpečnosti nejsou aplikovány požadavky dle ustanovení § 85x Zákona o civilním letectví a o změně a doplnění zákona č. 455/1991 SB., o živnostenském podnikaní (živnostenský zákon), ve znění pozdějších předpisu (dále  jen „letecký zákon“) jako na osoby poskytující odbornou přípravu dle NBPV (školitele).

Právnická nebo podnikající fyzická osoba je odpovědná za zabezpečení školení v oblasti kybernetické bezpečnosti pro své zaměstnance nebo členy (např. aerokluby). Vydání letištního identifikačního průkazu (IDC) nebo oprávnění k přístupu do neveřejného prostoru letiště není podmíněno předložením tohoto školení provozovateli letiště (subjektu, který IDC anebo oprávnění k přístupu do neveřejného prostoru letiště vydává).

6. Tato opatření se netýkají subjektů spadajících do působnosti Směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii a zákona o kybernetické bezpečnosti č. 181/2014 Sb., kteří jsou povinni naplnit požadavky stanovené těmito legislativními akty.

7. Upozorňujeme také na povinnost zajistit ověření spolehlivosti u osob s právy administrátora nebo s přístupem bez dozoru a bez omezení ke kritickým informačním a komunikačním systémům a údajům používaným k účelům ochrany civilního letectví před protiprávními činy, za podmínek stanovených pro provádění ověření spolehlivosti.

In case of any confusion or a problem, please leave us a message here
Site author: Security Department

Leave a message:

Thank you for your interest in contacting us. We will send you the answer to the email address you provided us below. In case of questions not related to this page, please use the options in the section Contacts.
Your complaint will be dealt with by: Security Department