ОАО «РЖД» сформирует собственную классификацию уязвимостей информационных систем

ОАО «РЖД» сформирует собственную классификацию уязвимостей информационных систем, сообщает Гудок.

Вопросами безопасности критической информационной инфраструктуры холдинга, а также проверкой существующих систем, экспертизой планируемой к закупке техники занимается Центра кибербезопасности АО «НИИАС».

В 2021 году «НИИАС» планирует проверить ещё восемь систем управления. Также институт будет развивать нормативную базу и создавать собственную методику для классификации уязвимостей. Кроме того, планируется разработать «Паспорт комплексной транспортной безопасности» – документ, в котором будут отражены вопросы информационной функциональной и транспортной кибер- и физической безопасности, а также вопросы импортозамещения.

Кроме того, Центр ведет разработку требований по кибербезопасности микропроцессорных систем управления движением поездов, локомотивами и электроснабжением, станционными системами. 

Согласно статистике НИИАСа, почти 20% всех выявленных уязвимостей носят критическую степень опасности, то есть при определённых обстоятельствах они могли привести к угрозам безопасности движения. Это связано в первую очередь с использованием устаревших программных компонентов с известными уязвимостями, отсутствием встроенных средств защиты, а также из-за того, что системы разрабатывались в то время, когда к ним не применялись требования по безопасности.