Подробный разбор по теме в нашем закрытом телеграмм канале ВЭД Логика. В чате можно задать вопрос, посоветоваться с экспертами, поделиться новостью.
Генеральный инспектор обнаружил слабые места в средствах контроля безопасности FAA для высокоэффективных систем 10 апреля 2026 г. Кайли Билби: новости управления движением БПЛА
Федеральное управление гражданской авиации США (FAA) приступило к выбору и внедрению необходимых мер безопасности для своих высокоэффективных систем, поддерживающих национальную систему воздушного пространства (NAS), но в новом отчете Управления генерального инспектора (OIG) Министерства транспорта говорится, что пробелы остаются.
ФАУ полагается на критически важные информационные системы для выполнения своей миссии по безопасному и эффективному управлению воздушными перевозками в Соединенных Штатах. OIG впервые сообщил в августе 2021 года, что ФАУ переквалифицировало 45 информационных систем в категорию высокоэффективных систем. Наблюдательный орган также обнаружил, что ФАУ не возлагало на владельцев высокоэффективных систем ответственность за устранение недостатков базового контроля с высоким уровнем безопасности. Следовательно, учитывая потенциальные риски для NAS, если базовые меры безопасности с высоким уровнем воздействия не будут реализованы в полной мере, OIG провело новый аудит для оценки работы ФАУ по обеспечению безопасности систем с высоким уровнем воздействия.
Результаты этого нового аудита показывают, что ФАУ добилось прогресса, но не выбрало все необходимые меры безопасности с высоким базовым уровнем для своих систем, поддерживающих NAS. “Мы обнаружили, что в 15 из 45 проверенных нами высокоэффективных систем средства управления безопасностью были выбраны в соответствии с устаревшими стандартами NIST SP 800-53 версии 4 (ред. 4), а не текущими стандартами версии 5 (ред. 5),” Об этом говорится в отчете ОГИ за апрель 2026 года.
ОГИ обнаружило, что ФАУ также не в полной мере реализовало необходимые меры безопасности для систем, поддерживающих NAS. “Согласно системной документации, которую мы рассмотрели, ФАУ не полностью реализовало 1836 (11,3%) из 16245 необходимых элементов управления для 45 систем.”
OIG’в отчете отмечается, что в некоторых высокоэффективных системах по-прежнему отсутствуют базовые меры безопасности, согласно их системной документации. По данным ФАУ, эти пробелы существуют отчасти из-за технических и других проблем, связанных с системами ФАУ. Но OIG предупредил, что до тех пор, пока эти пробелы не будут устранены, эти системы могут быть уязвимы для кибератак, которые могут вызвать серьезные или катастрофические последствия для NAS.
По данным OIG, ФАУ не отслеживает и не устраняет уязвимости в системе учета Министерства транспорта, как это требуется, и не обеспечивает полную прозрачность по отношению к Департаменту при выявлении своих уязвимостей. Аудит также показал, что ФАУ не обеспечило полное обновление документации своей системы безопасности с учетом статуса всех уязвимостей.
Для устранения недостатков, выявленных в ходе аудита, OIG представило ФАУ четыре рекомендации:
- Определите все необходимые меры безопасности Национального института стандартов и технологий (NIST) Специальная публикация (SP) 800-53 Ред. 5, которые еще не были выбраны и реализованы, проведите анализ воздействия на безопасность, чтобы задокументировать потенциальные последствия для безопасности от нереализации выявленных мер безопасности, и разработайте планы действий и основные этапы.
- Определите и обновите системную документацию, в которой используются устаревшие меры безопасности NIST SP 800-53, задокументированные в Плане безопасности системы (SSP), и обновите всю документацию и приложения SSP, чтобы отразить текущий выбор и статус реализации мер безопасности.
- Разработать и внедрить процесс, гарантирующий, что уязвимости системы, которые в настоящее время отслеживаются только в системе управления безопасностью &управления безопасностью ФАУ’ Инструмент отчетности об оценке (SMART) полностью отслеживается в рамках оценки кибербезопасности и безопасности. Менеджмент (CSAM), ведомственная система учета.
- Обновлять и отслеживать усилия по смягчению последствий для всех выявленных мер безопасности с высоким базовым уровнем безопасности NIST SP 800-53 Ред. 5, которые были оценены как «отличные от удовлетворенных» или со статусом реализации как «не реализовано»; и точно документировать статус реализации средств управления в рамках SSP.
</мл>
</мл>
</мл>
</мл> <сильный>Для получения дополнительной информации</сильный> Публичная версия отчета OIG относительно высокоэффективных систем ФАУ