Авиакомпаниям, аэропортам, MRO и ИТ-провайдерам в Казахстане, Узбекистане, Грузии и Кыргызстане всё чаще нужно отвечать сразу двум логикам: отраслевой (авиационной) и управленческой (корпоративной). Поэтому EASA Part-IS в СНГ становится не просто новым требованием, а удобным триггером: перестроить безопасность так, чтобы она реально поддерживала бесперебойные полёты и сервис, а не жила в отдельной папке с политиками.
Почему информационная безопасность авиации — это про операции, а не только про ИТ
В авиации сбой в цифровых сервисах быстро превращается в сбой в процессе: задержки, отмены, потеря данных, невозможность планировать или обслуживать. Отсюда важный нюанс: информационная безопасность авиации — это про управление рисками, которые способны повлиять на операционную устойчивость. Неважно, где сломалось — в сети, у подрядчика или в облаке — последствия проявляются в расписании и безопасности обслуживания.
ISO/IEC 27001: управленческий двигатель, на который удобно ставить авиационные требования
ISO/IEC 27001 — это система менеджмента ИБ (ISMS): контекст, риски, меры, контроль, улучшение. В регионе запрос на ISO 27001 в Казахстане и соседних странах часто идёт от бизнеса, работающего с международными цепочками поставок, финсектором и крупными заказчиками: стандарт понятен, проверяем и помогает разруливать ответственность.
Чтобы быстро сверить, что входит в сертификацию и обучение, можно опереться на услугу ISO/IEC 27001:2022 — сертификация и обучение — там хорошо видна логика построения системы от подготовки до подтверждения.
В чём отличие Part-IS и почему его нельзя внедрять рядом с ISO
EASA Part-IS усиливает отраслевую часть: ожидания к управлению угрозами и инцидентами, изменениям в критичных системах, взаимодействию с поставщиками и доказуемости контроля. Главная ошибка — делать отдельную Part-IS-систему, параллельную ISO: два реестра рисков, два процесса инцидентов, разные роли и отчётность.
Рабочий подход — интеграция EASA Part-IS и ISO 27001 в одном контуре управления. Тогда у вас появляется единая система информационной безопасности, где ISO отвечает за «как управляем», а Part-IS — за «что именно критично для авиации и как это доказать».
Практическая схема интеграции: один процесс — два набора ожиданий
Сначала определите, какие процессы реально «держат небо»: эксплуатация, инженерное обслуживание, наземные сервисы, коммуникации, управление изменениями, планирование, доступы подрядчиков. Затем соберите единую матрицу «процесс → риски → меры → доказательства».
Перед списком важный принцип: лучше один сильный процесс и один набор записей, чем два слабых комплекта документов.
- Scope по-авиационному: включите не только ИТ-отдел, а все системы и подрядчиков, которые участвуют в критичных авиационных процессах (включая облака, SOC, сервис-деск, каналы связи).
- Единый реестр рисков: оценивайте влияние на операции (срывы обслуживания/планирования/связи), а не только «техничность» уязвимости.
- Управление изменениями: любое изменение в критичных системах проходит оценку рисков, тестирование и «принятие» владельцем процесса (не только админом).
- Инциденты и учения: одна схема классификации, одно окно управления, регулярные тренировки (включая сценарии у поставщиков и недоступности облака).
- Поставщики и доступы: требования к подрядчикам, контроль привилегированных доступов, обязательства по уведомлениям, проверка факта исполнения мер.
- Непрерывность: планы восстановления, RTO/RPO, резервирование и обязательные тесты восстановления — «проверено», а не «запланировано».
После такого сшивания у вас остаётся один управляемый контур, который закрывает отраслевые ожидания и корпоративные требования без дублирования.
Где чаще всего ломаются проекты Part-IS + ISO (и как заранее подстелить соломку)
Обычно проблемы возникают там, где нужно не написать документ, а показать, что процесс живёт: записи, логи, протоколы, результаты учений, решения по рискам, контроль поставщиков.
Чтобы не выявлять эти пробелы на внешней проверке, стоит заранее пройти внутреннюю проверку и подготовку доказательной базы. Здесь полезен материал “Как подготовиться к внутреннему аудиту ISO: пошаговый гайд” — его структура хорошо переносится и на авиационный контур.
Что выбрать: 27001:2013 или 27001:2022 (и почему это влияет на интеграцию)
Если вы строите систему с нуля или обновляете существующую, логично сразу ориентироваться на актуальную редакцию. Для понимания базовых принципов можно начать с объясняющей статьи: Что такое ISO/IEC 27001 и как его внедрить, а затем посмотреть требования новой версии ISO/IEC 27001:2022. Так проще подвязать авиационные ожидания к современным контролям и не переделывать систему через год.
Если нужна помощь в сборке такой модели под региональные реалии, «Систем Менеджмент» в СНГ обычно начинает с короткой диагностики и матрицы соответствия, чтобы быстро определить критичные процессы, обязательные доказательства и план внедрения без лишней бюрократии.