ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Украинский интегратор защиты персональных данных

Государственные стратегии кибербезопасности

ENISA

Создание государственной политики, нацеленной на усиление безопасности в киберпространстве

Европейское агентство по сетевой информационной безопасности (ENISA), 2012

Об ENISA

Европейское агентство по сетевой и информационной безопасности (ENISA) – это агентство Евросоюза, созданное с целью повышения эффективности функционирования внутреннего рынка. Агентство выступает в роли консультанта и центра передовых технологии в сфере сетевой и информационной безопасности для стран-членов и институтов Евросоюза. Кроме того, агентство содействует развитию связей между странами-членами Евросоюза, институтами Евросоюза, хозяйствующими субъектами и частным бизнесом.

1. Введение

Долгое время общественное благосостояние и экономическая стабильность опирались на надежную работу сетей передачи данных и вычислительных сервисов. На функционирование ключевых информационных систем общего пользования оказывают влияние многие факторы: Интернет-атаки, нарушения, вызванные физическим воздействием, выход из строя программного и аппаратного обеспечения, человеческие ошибки. Перечисленные явления наглядно демонстрируют, насколько современное общество зависит от стабильной работы информационных систем. Подобная мысль повторяется и в немецкой стратегии кибербезопасности: "Обеспечение доступности киберпространства, а также целостности, достоверности и конфиденциальности информации в киберпространстве стало одной из важнейших проблем 21-го столетия. Именно поэтому защита киберпространства становится главной задачей государства, экономики и общества, как на государственном, так и на международном уровне".

На некоторых собраниях Европейской комиссии особо отмечалась важность сетевой и информационной безопасности и необходимость создания единого Европейского Информационного Пространства. В существующих и продвигаемых правках нормативно-правовой базы, а также на последних собраниях Европейской комиссии, посвященных защите ключевой информационной инфраструктуры (CIIP), предлагаются практические меры и регулятивные нормы по усилению безопасности и надежности сетей общего пользования.

Кибербезопасность все чаще рассматривается, как стратегическая проблема государственной важности, затрагивающая все слои общества. Государственная политика кибербезопасности (National Cyber Security Strategy – NCSS) служит средством усиления безопасности и надежности информационных систем государства. В стратегии к проблеме кибербезопасности применяется высокоуровневый и нисходящий подход: выдвигается ряд государственных целей и приоритетов, которые необходимо достичь за определённый промежуток времени. Фактически, стратегия представляет собой модель решения задачи кибербезопасности внутри государства.

Для того чтобы поддержать страны-члены Евросоюза в важной миссии по разработке и поддержке государственной политики кибербезопасности, ENISA разрабатывает специальное руководство (Good Practice Guide). В руководстве даются рекомендации, а также передовая практика по разработке, внедрению и поддержке в актуальном состоянии стратегии кибербезопасности.

В настоящем документе представлены предварительные результаты, полученные при работе над руководством. Документ включает в себя краткий анализ текущего состояния стратегий кибербезопасности стран-членов Евросоюза, а также других стран; затем определяются общие черты и различия в стратегиях; и в самом конце приводится ряд выводов и рекомендаций.

2. Развитие стратегий кибербезопасности в странах-членах Евросоюза

Первые стратегии кибербезопасности начали появляться в начале предыдущего десятилетия. Одной из первых стран, которые стала воспринимать кибербезопасности, как вопрос государственной важности были Соединенные Штаты Америки. В 2003 году в США опубликована Национальная стратегия безопасности в киберпространстве (National Strategy to Secure Cyberspace). Документ являлся частью более общей Стратегии обеспечения национальной безопасности (National Strategy for Homeland Security), созданной в ответ на террористические атаки 11 сентября 2001 года.

В последующие годы по всей Европе начали распространяться планы мероприятий и стратегии, призванные решить подобную задачу. В 2005 году Германия принимает Государственный план защиты информационной инфраструктуры (National Plan for Information Infrastructure Protection – NPSI). В следующем году Швеция разрабатывает Стратегию усиления безопасности Интернета в Швеции (Strategy to Improve Internet Security in Sweden). Вслед за крупной кибератакой в 2007 году Эстония стала одной из первых стран-членов Евросоюза, опубликовавшей в 2008 году широкую государственную стратегию кибербезопасности. С тех пор в этой сфере на государственном уровне была проделана большая работа, и в последние четыре года десять стран-членов Евросоюза опубликовали свои государственные стратегии кибербезопасности. Краткое описание стратегий приводится ниже.

Некоторые страны, входящие в Евросоюз, в настоящий момент разрабатывают стратегии, которые уже близки к завершению. Кроме того, у нескольких стран-членов есть неофициальные или неформальные стратегии.

    Эстония (2008): Эстония придает особое значение необходимости защиты киберпространства в целом и ставит в центр внимания безопасность информационных систем. Рекомендуемые меры носят гражданский характер и основываются на правовом регулировании, обучении и сотрудничестве.

    Финляндия (2008): В основе стратегии лежит понимание кибербезопасности как проблемы экономического характера, тесно связанной с развитием финского информационного общества.

    Словакия (2008): Обеспечение информационной безопасности рассматривается в качестве необходимого условия нормального функционирования и развития общества. Поэтому цель стратегии – служить прочным фундаментом для защиты информации. Стратегия направлена как на предотвращение угроз, так и на обеспечение готовности и устойчивости средств их предотвращения.

    Чешская Республика (2011): Ключевые цели стратегии кибербезопасности включают в себя защиту информационно-коммуникационных систем от уязвимостей, которым эти системы подвергнуты, и уменьшение потенциального ущерба от атак на системы. Основной фокус стратегии приходится на проблемы свободного доступа к информационным сервисам, целостности и конфиденциальности данных в киберпространстве Чешской Республики. Стратегия хорошо согласуется с другими нормативно-правовыми документами Чешской Республики.

    Франция (2011): Франция ориентируется на то, чтобы информационные системы были способны противостоять событиям в киберпространстве, которые могут отрицательно повлиять на доступность, целостность и конфиденциальность информации. Франция делает упор на технические средства защиты информации, борьбу с киберпреступностью и установление киберзащиты.

    Германия (2011): Стратегия Германии закладывает основу для безопасности критически важных информационных систем. Германия сосредоточена на предотвращении и уголовном преследовании кибератак, а также на предотвращении выхода из строя IT-оборудования, вызванного случайными факторами. В особенности последнее касается критически важных информационных систем. В стратегии анализируется, нужно ли производить дополнительные действия (и если да, то где именно) по защите IT-систем путем предоставления основных функций безопасности, сертифицированных государством, а также поддержкой малого и среднего бизнеса посредством создания новой рабочей группы.

    Литва (2011): Литва ориентируется на определение целей и мероприятий, направленных на развитие оборота электронной информации, а также обеспечения ее конфиденциальности, доступности и целостности в киберпространстве. Кроме того, стратегия Литвы направлена на защиту персональных данных, телекоммуникационных сетей, информационных систем и критически важных инфраструктур от нарушения безопасности и кибератак. В стратегии также определены мероприятия, реализация которых будет гарантировать полною безопасность работы в киберпространстве.

    Люксембург (2011): Осознавая уязвимость информационно-коммуникационных технологий, стратегия утверждает, что важнее всего – общественная и экономическая безопасность. В стратегии также отмечается важность информационно-коммуникационных технологий для экономического роста, отдельных граждан и общества в целом. Стратегия работает по пяти направлениям: защита ключевой информационной инфраструктуры и своевременная реакция на инциденты безопасности; модернизация нормативно-правовой базы, государственное и международное сотрудничество; обучение и информирование; продвижение стандартов.

    Голландия (2011): Голландия, с одной стороны, стремится к безопасным и надежным информационно-коммуникационным системам, опасаясь серьезных нарушений в этих системах, а с другой стороны, признает необходимость свободы и открытости Интернет-пространства. В стратегии дается определение кибербезопасности. "Кибербезопасность – это защищенность от сбоев и неправильной эксплуатации информационно-телекоммуникационных систем. Сбои и неправильная эксплуатация может отрицательно повлиять на доступность и надежность информационно-телекоммуникационных систем, поставить под угрозу конфиденциальность и целостность информации, хранящейся в системах".

    Соединенное Королевство (2011): Подход Соединенного Королевства также направлен на развитие кибербезопасности. Цель: вывести Соединенное Королевство на первое место по инновациям, инвестициям и качеству сервисов в сфере информационно-телекоммуникационных технологий, и тем самым, в полной мере воспользоваться всеми преимуществами и достоинствами киберпространства. Необходимо исключить риски типа кибератак преступников, террористов и других государств с целью сделать киберпространство безопасным для граждан и экономики.

3. Стратегии кибербезопасности в странах, не входящих в Евросоюз

Ниже изложены краткие выдержки из стратегий трех стран, не входящих в Евросоюз. Помимо перечисленных, множество других стран также имеют опубликованные стратегии кибербезопасности, например: Индия, Австралия, Новая Зеландия, Колумбия, – и этими странами список далеко не исчерпывается. Тем не менее, список стран показывает, что проблема кибербезопасности признается важной во всем мире.

Соединенные Штаты Америки

США опубликовали Международную Cтратегию для киберпространства в мае 2011 года. Стратегия описывает ряд мероприятий, которые нужно провести по семи направлениям. В основе стратегии лежит модель сотрудничества между правительством, международными партнерами и частным сектором:

    Экономика: продвижение международных стандартов и инновационных, открытых рынков.

    Защита национальных сетей: повышение безопасности, надежности и отказоустойчивости.

    Правопорядок: расширение сотрудничества и правовых норм.

    Военная отрасль: подготовка к современным вызовам безопасности.

    Интернет-правительство: продвижение эффективных и всеохватывающих правительственных структур.

    Международное развитие: построение безопасности, развитие международной компетенции и экономическое процветание.

    Свобода в Интернете: поддержка основных свобод и неприкосновенности частной жизни.

Канада

Опубликованная в 2010 году стратегия кибербезопасности держится на трех "столпах":

    Защита правительственных систем.

    Сотрудничество с целью защиты ключевых кибер-систем, находящихся за пределами федерального Правительства.

    Обеспечение безопасности канадских граждан в онлайн-среде.

Первый "столп" подразумевает установление четких ролей и ответственности, усиление безопасности кибер-систем федерального уровня и повышение информированности правительства в области кибербезопасности.

Второй "столп" – это ряд партнерских проектов государственного уровня с привлечением частного сектора и секторов критических инфраструктур.

И, наконец, третий "столп" – это борьба с киберпреступностью и защита канадских граждан в онлайн-среде. Здесь также затрагивается проблема персональных данных.

Япония

Стратегию кибербезопасности Японии (май 2010 года) также можно подразбить на несколько ключевых областей действия:

    Усиление политик, направленных на борьбу с возможными массовыми кибератаками и учреждение органа, ответственного за предотвращение атак.

    Введение политик, легко адаптирующихся к изменениям в сфере информационной безопасности.

    Предпочтение активных политик информационной безопасности пассивным.

Основные мероприятия, описанные в стратегии Японии, включают в себя:

    Управление IT-рисками для обеспечения безопасной жизни общества.

    Внедрение политики, которая усилит государственную безопасность, улучшит управление кризисами в киберпространстве, и не будет противоречить политике использования информационно-коммуникационных систем, которая служит основой для социоэкономической деятельности.

    Введение трехчастной политики, комплексно затрагивающей проблемы национальной безопасности, управление кризисами и защиту общества/личности. В особенности важна политика информационной безопасности общества/личности.

    Введение политики информационной безопасности, которая не противоречила бы стратегии экономического роста.

    Развитие международных альянсов.

4. Общие принципы

Как на европейском, так и на международном уровне согласованного определения кибербезопасности нет. В каждой стране определение кибербезопасности и других ключевых терминов может значительно различаться. Как следствие, различаются и подходы к составлению стратегий кибербезопасности. Отсутствие общего "языка" и подхода усложняет процесс международного сотрудничества, когда как важность сотрудничества признается всеми странами.

Как правило, в стратегии кибербезопасности затрагиваются следующие темы:

    Построение правительственной модели, направленной на обеспечения кибербезопасности.

    Определение подходящего механизма (в основном общественно-государственного партнерства), позволяющего частным и государственным заинтересованным сторонам обсуждать и утверждать политики, связанные с проблемой кибербезопасности.

    Планирование и определение необходимых политик и регулирующих механизмов, четкое обозначение ролей, прав и ответственности для частного и государственного сектора (например, новая законодательная база для борьбы с киберпреступностью, обязательное информирование об инцидентах безопасности, базовые меры обеспечения безопасности и руководства к действию, новые нормы материально-технического обеспечения). К примеру, в стратегии Словакии обозначена необходимость создания законодательной базы для защиты киберпространства.

    Определение целей и способов развития государственных возможностей и необходимой законодательной базы для вступления в международную борьбу с киберпреступностью. В некоторых стратегиях киберпреступности уделяется особое внимание. Например, Голландия нацелена на расследование и уголовное преследование преступлений в киберпространстве. Франция также придерживается этой точки зрения, страна желает усиливать существующее законодательство и развивать международное правовое сотрудничество.

    Определение ключевых информационных инфраструктур (critical information infrastructures – CIIs), в том числе основных активов, сервисов и взаимозависимостей.

    Повышение готовности, уменьшение времени реакции на инциденты, разработка плана восстановления после сбоев и механизмов защиты для ключевых информационных инфраструктур (например, национальный план действий в особой обстановке, порядок поведения в киберпространстве, ситуационная осведомленность). В литовской стратегии утверждается, что "для обеспечения безопасности киберпространства необходимо организовать непрерывно функционирующую и надлежащим образом управляемую систему, контролирующую все стадии управления инцидентами, начиная от раннего предупреждения, предотвращения, обнаружения, устранения, и заканчивая расследованием инцидента". Кроме того, необходимо определить интегрированные организационные структуры, в обязанности которых входит разработка, внедрение и тестирование средств повышения готовности, планов восстановления после сбоев и механизмов защиты. Также возможна интеграция существующих структур, например, национальных/правительственных групп реагирования на чрезвычайные ситуации (CERTs).

    Разработка системного и интегрированного подхода к государственному управлению рисками (например, доверенный обмен информацией и государственные реестры рисков).

    Определение и обозначение целей информационных программ, призванных привить пользователям новые модели поведения и модели работы.

    Доказательство необходимости новой программы образования, делающей упор на обучение IT-специалистов и профессионалов в области кибербезопасности. Необходимы также тренинги, улучшающие навыки пользователей. Например, в стратегии Соединенного Королевства ставится цель улучшить образовательные программы специалистов по информационной безопасности, чтобы построить надежный профессиональный фундамент для обеспечения кибербезопасности.

    Международное сотрудничество, как со странами-членами Евросоюза, так и со странами, не входящими в Евросоюз (например, принятие международных соглашений).

    Проведение комплексного исследования и разработка программы развития, направленной на разрешение проблемы безопасности и отказоустойчивости как существующих, так и будущих систем и сервисов (например, интеллектуальные устройства).

5. Стратегия безопасности Интернета Евросоюза

В настоящий момент единой стратегии кибербезопасности для всего Евросоюза нет. Тем не менее, в программе работы Европейской комиссии на 2012 год утверждается, что комиссия разработает Стратегию безопасности Интернета для Евросоюза. Разработку стратегии берет на себя главный директорат DG CONNECT (DG INFSO).

Цели проекта следующие:

    Наравне с основными рисками и проблемами выявить экономические и геополитические возможности.

    Сравнить между собой степень подготовленности и политическое внимание к проблеме безопасности Интернета в третьих странах.

    Обозначить основные и важнейшие проблемы, которые требуют решения.

    Оценить текущие и планируемые мероприятия, а также отметить те проблемные зоны, к которым Евросоюзу следует уделить больше внимания.

Стратегия кибербезопасности и стратегия безопасности Интернета – это несколько разные вещи, хотя они имеют много общего, например, определение и предложение подходящей правительственной модели, нацеленность на предотвращение и борьбу с инцидентами безопасности.

В целом же задача главного директората DG CONNECT – правильно разместить существующие и планируемые мероприятия в глобальном политическом контексте. Директорат также подготовит программу дальнейших действий, заглядывая вперед, чтобы предложить Евросоюзу комплексный, целостный и структурированный подход к проблеме безопасности Интернета. Для реализации проекта компетенции одного только директората DG CONNECT будет недостаточно, именно поэтому вице-президент Европейской комиссии Нили Кроес (Neelie Kroes) подтвердила, что работа по проекту ведется в тесном сотрудничестве с комиссаром по внутренним делам Сесилией Мальмстрём (Cecilia Malmstrom) и Верховным Представителем по иностранным делам и политике безопасности Кэтрин Эштон (Catherine Ashton).

Необходимость в предложении и достижении комплексного и скоординированного подхода подчеркивалась уже не один раз: об этом говорилось в документе ENISA 2011 года "Кибербезопасность: будущие вызовы и возможности", а также в докладе Палаты Лордов на совете по стратегии внутренней безопасности Евросоюза.

6. Выводы и рекомендации

В среде, где постоянно появляются и эволюционируют кибер-угрозы, страны-члены Евросоюза при встрече с новыми, глобальными угрозами получат большую выгоду от гибких, оперативных стратегий кибербезопасности. Трансграничный характер угроз вынуждает страны вступать в тесное международное взаимодействие. Сотрудничество на пан-европейском уровне необходимо не только для эффективной подготовки к кибератакам, но и для своевременной реакции на них. Комплексная государственная стратегия кибербезопасности – первый шаг на этом пути.

Для стран-членов Евросоюза рекомендуется следующее:

В краткосрочном периоде:

    Спроектировать, переоценить и поддерживать государственную стратегию кибербезопасности, а также мероприятия, проводимые в рамках стратегии.

    Четко определить рамки действия, цели стратегии и само толкование термина "кибербезопасность".

    Убедиться, что предложения и заявления министерств, регулятивных органов и других государственных органов приняты во внимание и рассматриваются.

    Учесть в стратегии интересы промышленности, научного сообщества и гражданских представителей.

    Сотрудничать с другими странами, входящими в Евросоюз, а также с комиссией Евросоюза, чтобы гарантировать согласованный характер кибербезопасности.

    Признать, что непрекращающееся развитие киберпространства и кибербезопасности отразится в постоянном редактировании и пересмотре стратегии.

    Осознать, что предыдущий пункт подразумевает не только появление новых угроз и рисков, но и появление новых возможностей улучшения информационных систем для правительства, промышленности и общества.

    Убедиться, что в стратегии принимается во внимание уже проделанная работа по повышению уровня безопасности национальных и пан-европейских информационных систем. Необходимо избегать дублирования мероприятий и сфокусироваться на новых проблемах.

    Поддержать комиссию Евросоюза в деле создания Стратегии безопасности Интернета.

В долгосрочном периоде:

    Договориться об общепринятом толковании термина "кибербезопасность" для того, чтобы в дальнейшем сформулировать общие цели для всего Евросоюза.

    Убедиться, что стратегии кибербезопасности Евросоюза и его членов не противоречат целям международного сообщества, а поддерживают борьбу с проблемами кибербезопасности на глобальном уровне.

Для реализации стратегий кибербезопасности частный и государственный сектора должны работать в тесном сотрудничестве. Сотрудничество должно осуществляться посредством обмена информацией, передовыми практиками (например, в сфере управления инцидентами), а также учениями на государственном и пан-европейском уровне.

Для содействия комиссии и странам-членам Евросоюза в нелегкой миссии по созданию стратегии ENISA разрабатывает специальное руководство (Good Practices Guide). В руководстве будут содержаться передовые практики и рекомендации по проектированию, внедрению и поддержке государственной стратегии кибербезопасности. Руководство будет полезным инструментом и практическим советом для людей, ответственных или вовлеченных в проектирование стратегии. Руководство разрабатывается в содействии с частными и государственными заинтересованными сторонами со всей Европы. В разработке руководства также принимают участие некоторые международные стороны, которые проводят среднесрочный анализ рекомендаций ENISA.

Security Lab (07.09.2012 в 12:59) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"