EASA publikuje opinię na temat „Zarządzania ryzykiem w zakresie bezpieczeństwa informacji”

Agencja Bezpieczeństwa Lotniczego Unii Europejskiej opublikowała Opinię na temat zarządzania ryzykiem związanym z bezpieczeństwem informacji, mającą na celu zabezpieczenie całego systemu lotnictwa cywilnego przed potencjalnymi skutkami dla bezpieczeństwa spowodowanymi cyberatakami.

Ponieważ systemy informatyczne stają się coraz bardziej połączone i coraz częściej są celem złośliwych działań (bezpośrednich lub pośrednich), ryzyko takich ataków, zdarzeń i incydentów w lotnictwie cywilnym stale rośnie. Proponowane nowe przepisy sprawią, że system lotniczy będzie bardziej odporny na tego rodzaju zdarzenia związane z bezpieczeństwem informacji.

„Celem takich ataków jest zazwyczaj najsłabsze ogniwo w łańcuchu” – powiedział dyrektor wykonawczy EASA Patrick Ky. „Musimy przyjąć holistyczną perspektywę, aby ustrzec się przed sytuacjami, w których jedno słabe ogniwo może narazić na szwank cały system lotniczy. Niniejsza opinia jest ważnym krokiem milowym w łagodzeniu tych pojawiających się i rosnących zagrożeń.”

Link do opinii 03/2021 ‘Management of information security risks’ ( wersja w j.angieslkim ) – link zewnętrzny

Opinia określa sposoby identyfikacji i zarządzania zagrożeniami dla bezpieczeństwa informacji, które mogą mieć wpływ na systemy i dane technologii łączności wykorzystywane do celów lotnictwa cywilnego, a więc z kolei mieć wpływ na bezpieczeństwo lotnicze. W szczególności proponuje się w niej wprowadzenie systemu zarządzania bezpieczeństwem informacji (ISMS) dla właściwych organów – w tym EASA – oraz dla organizacji we wszystkich dziedzinach lotnictwa, a także nakłada się na nie obowiązek zgłaszania incydentów i słabych punktów związanych z bezpieczeństwem informacji.

Ten ISMS będzie uzupełniał istniejące systemy zarządzania, które te organizacje i organy już posiadają.

Zakres organizacji objętych opinią jest następujący: organizacje produkcyjne i projektowe, przewoźnicy lotniczy, organizacje obsługowe, organizacje zarządzające ciągłą zdatnością do lotu (CAMO), organizacje szkoleniowe, ośrodki medycyny lotniczej, operatorzy szkoleniowych urządzeń symulacji lotu (FSTD), instytucje zapewniające zarządzanie ruchem lotniczym/służby żeglugi powietrznej (ATM/ANS), instytucje zapewniające służby przestrzeni powietrznej (U-space) oraz instytucje zapewniające pojedyncze wspólne służby informacyjne, operatorzy lotnisk i instytucje zapewniające służby zarządzania płytą postojową.

Proponowane przepisy obejmują wysokopoziomowe wymogi oparte na skuteczności działania i będą poparte akceptowalnymi sposobami spełnienia wymagań (AMC), materiałami zawierającymi wytyczne (GM) oraz normami branżowymi.

Link do opinii 03/2021 ( w j.angielskim) – link zewnętrzny

Proponowane środki powinny przyczynić się do stworzenia jednolitych i spójnych ram regulacyjnych, w których interfejsy między ochroną a bezpieczeństwem są odpowiednio uwzględnione, i w których szczególną uwagę zwraca się na unikanie luk, braków i powielania z innymi wymogami w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa, takimi jak wymogi zawarte w rozporządzeniu wykonawczym Komisji (UE) 2015/1998 oraz w wymogach krajowych wynikających z dyrektywy (UE) 2016/1148 (dyrektywa NIS).

Opinia została opracowana w ścisłej koordynacji, konsultacji i dyskusji z Europejską Strategiczną Platformą Koordynacyjną (ESCP). Obecnie wejdzie ona w proces przyjmowania przez Komisję Europejską. Przetłumacz z Tłumaczem DeepL (wersja darmowa).

The European Union Aviation Safety Agency (EASA) is the centrepiece of the European Union’s strategy for aviation safety. Our mission is to promote and achieve the highest common standards of safety and environmental protection in civil aviation. Based in Cologne, the Agency employs experts and administrators from all over Europe.

About European Union Aviation Safety Agency – EASA 

Poniżej zamieszczamy nieoficjalne, nasze własne tłumaczenie Podsumowania Opinii 03/2021 - prosimy ją traktować jak ogólną informację a nie oficjalne stanowisko redakcji czy też EASA:

Opinia 03/2021 – PEŁEN TEKST POD TYM LINKIEM ( link zewnętrzny )
Zarządzanie ryzykiem w zakresie ochrony informacji

Celem niniejszej opinii jest skuteczne przyczynienie się do ochrony systemu lotnictwa przed zagrożeniami dla bezpieczeństwa informacji oraz zwiększenie jego odporności na zdarzenia i incydenty związane z bezpieczeństwem informacji. Aby osiągnąć ten cel, w niniejszej opinii proponuje się wprowadzenie przepisów dotyczących identyfikacji zagrożeń dla bezpieczeństwa informacji i zarządzania nimi, które mogłyby mieć wpływ na systemy i dane technologii informacyjno-komunikacyjnych wykorzystywane do celów lotnictwa cywilnego, wykrywania zdarzeń zagrażających bezpieczeństwu informacji, identyfikacji zdarzeń uznawanych za incydenty zagrażające bezpieczeństwu informacji, reagowania na takie incydenty zagrażające bezpieczeństwu informacji i przywracania stanu normalnego w stopniu proporcjonalnym do ich wpływu na bezpieczeństwo lotnicze.

Przepisy te stosuje się do właściwych organów i organizacji we wszystkich dziedzinach lotnictwa (tj. organizacji produkujących i projektujących, operatorów lotniczych, organizacji obsługowych, organizacji zarządzających ciągłą zdatnością do lotu (CAMO), organizacji szkoleniowych, centrów medycyny lotniczej, operatorów szkoleniowych urządzeń symulacji lotu (FSTD), instytucji zapewniających zarządzanie ruchem lotniczym/służb żeglugi powietrznej (ATM/ANS), instytucji zapewniających przestrzeń kosmiczną U oraz instytucji zapewniających pojedynczą wspólną służbę informacyjną, operatorów lotnisk i instytucji zapewniających służby zarządzania płytą postojową), obejmują wysokopoziomowe wymogi oparte na skuteczności działania i są poparte akceptowalnymi sposobami spełnienia wymagań (AMC), materiałami zawierającymi wytyczne (GM) oraz normami branżowymi.

W niniejszej opinii proponuje się nowe rozporządzenie wykonawcze i nowe rozporządzenie delegowane (w zależności od uwzględnionych dziedzin lotnictwa) dotyczące systemów zarządzania ochroną informacji dla organizacji i właściwych organów.

Ponadto w niniejszej opinii proponuje się zmiany w rozporządzeniach Komisji (UE) nr 748/2012, nr 1321/2014, 2017/373, 2015/340, nr 139/2014, nr 1178/2011, nr 965/2012 i 2021/664 w celu wprowadzenia wymogów zgodności z proponowanymi nowymi rozporządzeniami wykonawczymi i delegowanymi opisanymi powyżej oraz dodania elementów niezbędnych właściwym organom do wykonywania ich działań w zakresie certyfikacji i nadzoru.

Do celów niniejszej opinii „ryzyko w zakresie ochrony informacji” oznacza ryzyko dla działań organizacyjnych lotnictwa cywilnego, majątku, osób i innych organizacji wynikające z możliwości wystąpienia zdarzenia związanego z ochroną informacji. Ryzyko w zakresie ochrony informacji związane jest z możliwością wykorzystania przez zagrożenia słabych punktów aktywów informacyjnych lub grupy aktywów informacyjnych.

UWAGA