fbpx

Kybernetická bezpečnost v oblasti ochrany civilního letectví před protiprávními činy

29.11.2021

Na základě novelizace Prováděcího nařízení komise EU 2015/1998 ve znění Prováděcího nařízení komise EU 2019/1583 a Prováděcího nařízení komise EU 2020/910, které posouvá platnost Prováděcího nařízení komise EU o rok, jsou od 1. 1. 2022 pro oblast kybernetické bezpečnosti vyžadovány nové povinnosti u subjektů a školitelů podílejících se na ochraně civilního letectví před protiprávními činy (dále jen „subjekty“):

1. Subjekty jsou povinny provést identifikaci kritických informačních a komunikačních systémů (IKS) za účelem určení, zda by narušení důvěrnosti, integrity nebo dostupnosti informací, uložených a používaných v těchto systémech, jejich funkcích a komponentech mohlo mít vliv na ochranu civilního letectví před protiprávními činy. Cílem zaváděných opatření je, aby subjekty identifikovaly a chránily svoje IKS a údaje před kybernetickými útoky, které by mohly ohrozit ochranu civilního letectví před protiprávními činy.

Tato opatření kybernetické bezpečnosti jsou součástí celého souhrnu opatření k zabezpečení ochrany civilního letectví před protiprávními činy.

2. Níže jsou uvedeny pouze některé příklady dat, které jsou identifikovány jako kritické v oblasti ochrany civilního letectví před protiprávními činy:

  • databáze schválených agentů, známých odesílatelů, schválených dodavatelů palubních zásob a známých dodavatelů a dalších subjektů v oblasti zasilatelského řetězce;
  • přístupová databáze osob do neveřejných prostorů subjektů, ve kterých se manipuluje anebo ukládají letecké zásilky, palubní zásoby anebo letištní dodávky, přístupová databáze osob jiných než cestujících do neveřejného prostoru letiště, SRA/CSRA;
  • naprogramování a elektronické ovládání vjezdových/přístupových bran a vstupů, elektronický systém kontroly vstupu,  včetně poplachového systému (EZS, EPS);
  • čtečky palubních lístků;
  • CCTV systém včetně uložiště záznamů;
  • systém pro spojení cestujících a zapsaných zavazadel;
  • čtečky e-pasů;
  • bezpečnostní vybavení včetně jejich výstupů a síťových systémů;
  • databáze personálních dat obsahující údaje o odborných či průběžných odborných přípravách bezpečnostních pracovníků apod.;
  • zabezpečení úložišť, pracovních a serverových stanic a sítí, kde jsou uloženy dokumenty obsahující citlivé informace (bezpečnostní program, protokoly z kontrolní činnosti atd.);
  • systém pro odbavení cestujících včetně jeho úložiště;
  • informační systémy pro cestující včetně ovládání těchto systémů.

3. Na základě identifikace IKS je potřeba tyto systémy a informace v nich obsažené zabezpečit především proti neoprávněnému přístupu, změně a použití, zabránit narušení integrity nebo nedostupnosti, změně konfigurace IKS a zabránit neoprávněné manipulaci se systémy a jejich daty. Pro systematické nastavení zabezpečení u subjektů, které nespadají do působnosti zákona o kybernetické bezpečnosti, doporučujeme využít jako pomocný dokument „Minimální bezpečnostní standard“, připravený Národním úřadem pro kybernetickou a informační bezpečnost (dále jen NÚKIB“). Konkrétní opatření je nutno aplikovat na základě identifikace IKS a vyhodnocení rizik. Pro stručný přehled opatření byla zpracována Metodika.

4. V bezpečnostních programech subjektů nebo v jiném relevantním dokumentu zaštiťujícím kybernetickou bezpečnost u subjektu, na který se bezpečnostní program odkazuje, se na základě posouzení rizik, která si zpracoval daný subjekt, podrobně stanoví opatření k zajištění ochrany před kybernetickými útoky, jejich odhalování a reakce na ně.

5. V oblasti odborné přípravy (výcvik) osob se předpokládá, že bude vždy proškolen pouze správce IKS subjektu, který dále zabezpečí vlastními silami odbornou přípravu pro ostatní zaměstnance subjektu. Toto školení bude realizováno v průběhu roku 2022, Bližší informace obdrží bezpečnostní manažeři subjektů. Pro odbornou přípravu zaměstnanců doporučujeme využít on-line školení a test NÚKIB „Dávej kyber!“.

6. Tato opatření se netýkají subjektů spadajících do působnosti zákona o kybernetické bezpečnosti, kteří jsou povinni naplnit požadavky stanovené tímto zákonem.

7. Upozorňujeme také na povinnost zajistit ověření spolehlivosti u osob s právy administrátora nebo s přístupem bez dozoru a bez omezení ke kritickým informačním a komunikačním systémům a údajům používaným k účelům ochrany civilního letectví před protiprávními činy, za podmínek stanovených pro provádění ověření spolehlivosti.

Máte nejasnosti? Zanechte nám vzkaz
Autor stránky: Sekce provozní

Zanechat vzkaz:

Děkujeme za váš zájem nás zkontaktovat. Odpověď zašleme na vámi uvedený email. V případě dotazů nesouvisejících s touto stránkou využijte prosím možnosti v sekci Kontakty.
Vaším podnětem se bude zabývat: Sekce provozní