针对应用程序、系统、基础设施或网络创建、传输和/或存储的个人信息和数据,近几年,全世界范围内陆续出台了《欧盟通用数据保护条例》(GDPR[1])和其他同类条例,以保护这些信息和数据的隐私和安全。在不同航空利益相关者之间流动并连接到飞行器的数据也属于这些法规的管辖范围。飞行器各域中对运营者的价值主张至关重要的是PIESD域。尽管PIESD不控制飞行器,但它与其他域同等重要,因为它是乘客的骨干网络,乘客只有在确定所连接的环境安全可靠且个人身份信息(PII)和数据的隐私得到妥善保护后才能放心使用网络。无论是在地面还是在空中,对隐私和安全的要求都是相同的,如果发生数据泄露,都将遭受罚款。
在组织层面,航空公司授权处理各种个人信息,当发生数据泄露(数据丢失、损坏或被盗等)时,会被要求支付数额不等的罚款。有些航空公司已经因为数据泄露被处以数亿美元或欧元的罚款。飞行器上的部分系统存储并传输个人信息,通常包括机组系统(如受PCI DSS约束的信用卡支付系统),还有向乘客提供的无线互联网连接系统,这些系统也会存储、传输或访问需要保护的个人信息或PII。需要对信息、系统和数据进行相应的识别、分级或分类并进行保护。要知道,乘客对乘客的网络攻击对企业的信任度和声誉有很大影响。针对可能发生或允许这种攻击的网络,应开发用例场景,部署安全措施和缓解措施,并定期评估,维护良好的网络安全状况。
[42]EU GDPR,欧洲议会和欧洲理事会2016年4月27日通过2016/679(EU)条例,就个人数据的处理及自由移动为自然人提供保护,就此废止 95/46/EC指令(通用数据保护条例).
https://csrc.nist.gov/publications/detail/nistir/8011/vol-4/final
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
本文始发于微信公众号(绿盟科技研究通讯):小蜜蜂公益译文 --航空网络安全指导手册第1部分:组织安全文化与状况(附录)
评论