Создание государственной политики, нацеленной на усиление безопасности в киберпространстве
Европейское агентство по сетевой информационной безопасности (ENISA), 2012
Об ENISA
Европейское агентство по сетевой и информационной безопасности (ENISA) – это агентство Евросоюза, созданное с целью повышения эффективности функционирования внутреннего рынка. Агентство выступает в роли консультанта и центра передовых технологии в сфере сетевой и информационной безопасности для стран-членов и институтов Евросоюза. Кроме того, агентство содействует развитию связей между странами-членами Евросоюза, институтами Евросоюза, хозяйствующими субъектами и частным бизнесом.
Контакты
Программа надежности и защиты ключевой информационной инфраструктуры (CIIP) ENISA.
Email:resilience@enisa.europa.eu
1. Введение
Долгое время общественное благосостояние и экономическая стабильность опирались на надежную работу сетей передачи данных и вычислительных сервисов. На функционирование ключевых информационных систем общего пользования оказывают влияние многие факторы: Интернет-атаки, нарушения, вызванные физическим воздействием, выход из строя программного и аппаратного обеспечения, человеческие ошибки. Перечисленные явления наглядно демонстрируют, насколько современное общество зависит от стабильной работы информационных систем. Подобная мысль повторяется и в немецкой стратегии кибербезопасности: “Обеспечение доступности киберпространства, а также целостности, достоверности и конфиденциальности информации в киберпространстве стало одной из важнейших проблем 21ого столетия. Именно поэтому защита киберпространства становится главной задачей государства, экономики и общества, как на государственном, так и на международном уровне”.
1
На некоторых собраниях2 Европейской комиссии особо отмечалась важность сетевой и информационной безопасности и необходимость создания единого Европейского Информационного Пространства. В существующих и продвигаемых правках нормативно-правовой базы3, а также на последних собраниях Европейской комиссии, посвященных защите ключевой информационной инфраструктуры4 (CIIP), предлагаются практические меры и регулятивные нормы по усилению безопасности и надежности5 сетей общего пользования.
Кибербезопасность все чаще рассматривается, как стратегическая проблема государственной важности, затрагивающая все слои общества. Государственная политика кибербезопасности (national cyber security strategy - NCSS) ¬служит средством усиления безопасности и надежности информационных систем государства. В стратегии к проблеме кибербезопасности применяется высокоуровневый и нисходящий подход: выдвигается ряд государственных целей и приоритетов, которые необходимо достичь за определённый промежуток времени. Фактически, стратегия представляет собой модель решения задачи кибербезопасности внутри государства.
Для того чтобы поддержать страны-члены Евросоюза в важной миссии по разработке и поддержке государственной политики кибербезопасности, ENISA разрабатывает специальное руководство6 (Good Practice Guide). В руководстве даются рекомендации, а также передовая практика по разработке, внедрению и поддержке в актуальном состоянии стратегии кибербезопасности.
В настоящем документе представлены предварительные результаты, полученные при работе над руководством. Документ включает в себя краткий анализ текущего состояния стратегий кибербезопасности стран-членов Евросоюза, а также других стран; затем определяются общие черты и различия в стратегиях; и в самом конце приводится ряд выводов и рекомендаций.
2. Развитие стратегий кибербезопасности в странах-членах Евросоюза
Первые стратегии кибербезопасности начали появляться в начале предыдущего десятилетия. Одной из первых стран, которые стала воспринимать кибербезопасности, как вопрос государственной важности были Соединенные Штаты Америки. В 2003 году в США опубликована Национальная стратегия безопасности в киберпространстве
7 (National Strategy to Secure Cyberspace). Документ являлся частью более общей Стратегии обеспечения национальной безопасности (National Strategy for Homeland Security), созданной в ответ на террористические атаки 11 сентября 2001 года.
В последующие годы по всей Европе начали распространяться планы мероприятий и стратегии, призванные решить подобную задачу. В 2005 году Германия принимает Государственный план защиты информационной инфраструктуры8 (National Plan for Information Infrastructure Protection – NPSI). В следующем году Швеция разрабатывает Стратегию усиления безопасности Интернета в Швеции (Strategy to improve Internet security in Sweden). Вслед за крупной кибератакой в 2007 году Эстония стала одной из первых стран-членов Евросоюза, опубликовавшей в 2008 9году широкую государственную стратегию кибербезопасности. С тех пор в этой сфере на государственном уровне была проделана большая работа, и в последние четыре года десять стран-членов Евросоюза опубликовали свои государственные стратегии кибербезопасности. Краткое описание стратегий приводится ниже.
Некоторые страны, входящие в Евросоюз, в настоящий момент разрабатывают стратегии, которые уже близки к завершению. Кроме того, у нескольких стран-членов есть неофициальные или неформальные стратегии.
- Эстония (2008): Эстония придает особое значение необходимости защиты киберпространства в целом и ставит в центр внимания безопасность информационных систем. Рекомендуемые меры носят гражданский характер и основываются на правовом регулировании, обучении и сотрудничестве.
- Финляндия (2008): В основе стратегии лежит понимание кибербезопасности как проблемы экономического характера, тесно связанной с развитием финского информационного общества.
- Словакия (2008): Обеспечение информационной безопасности рассматривается в качестве необходимого условия нормального функционирования и развития общества. Поэтому цель стратегии – служить прочным фундаментом для защиты информации. Стратегия направлена как на предотвращение угроз, так и на обеспечение готовности и устойчивости средств их предотвращения.
- Чешская Республика (2011): Ключевые цели стратегии кибербезопасности включают в себя защиту информационно-коммуникационных систем от уязвимостей, которым эти системы подвергнуты, и уменьшение потенциального ущерба от атак на системы. Основной фокус стратегии приходится на проблемы свободного доступа к информационным сервисам, целостности и конфиденциальности данных в киберпространстве Чешской Республики. Стратегия хорошо согласуется с другими нормативно-правовыми документами Чешской Республики.
- Франция (2011): Франция ориентируется на то, чтобы информационные системы были способны противостоять событиям в киберпространстве, которые могут отрицательно повлиять на доступность, целостность и конфиденциальность информации. Франция делает упор на технические средства защиты информации, борьбу с киберпреступностью и установление киберзащиты.
- Германия (2011): Стратегия Германии закладывает основу для безопасности критически важных информационных систем. Германия сосредоточена на предотвращении и уголовном преследовании кибератак, а также на предотвращении выхода из строя IT-оборудования, вызванного случайными факторами. В особенности последнее касается критически важных информационных систем. В стратегии анализируется, нужно ли производить дополнительные действия (и если да, то где именно) по защите IT-систем путем предоставления основных функций безопасности, сертифицированных государством, а также поддержкой малого и среднего бизнеса посредством создания новой рабочей группы.
- Литва (2011): Литва ориентируется на определение целей и мероприятий, направленных на развитие оборота электронной информации, а также обеспечения ее конфиденциальности, доступности и целостности в киберпространстве. Кроме того, стратегия Литвы направлена на защиту персональных данных, телекоммуникационных сетей, информационных систем и критически важных инфраструктур от нарушения безопасности и кибератак. В стратегии также определены мероприятия, реализация которых будет гарантировать полною безопасность работы в киберпространстве.
- Люксембург (2011): Осознавая уязвимость информационно-коммуникационных технологий, стратегия утверждает, что важнее всего – общественная и экономическая безопасность. В стратегии также отмечается важность информационно-коммуникационных технологий для экономического роста, отдельных граждан и общества в целом. Стратегия работает по пяти направлениям: защита ключевой информационной инфраструктуры и своевременная реакция на инциденты безопасности; модернизация нормативно-правовой базы, государственное и международное сотрудничество; обучение и информирование; продвижение стандартов.
- Голландия (2011): Голландия, с одной стороны, стремится к безопасным и надежным информационно-коммуникационным системам, опасаясь серьезных нарушений в этих системах, а с другой стороны, признает необходимость свободы и открытости Интернет-пространства. В стратегии дается определение кибербезопасности. “Кибербезопасность –это защищенность от сбоев и неправильной эксплуатации информационно-телекоммуникационных систем. Сбои и неправильная эксплуатация может отрицательно повлиять на доступность и надежность информационно-телекоммуникационных систем, поставить под угрозу конфиденциальность и целостность информации, хранящейся в системах”.
- Соединенное Королевство (2011): Подход Соединенного Королевства также направлен на развитие кибербезопасности. Цель: вывести Соединенное Королевство на первое место по инновациям, инвестициям и качеству сервисов в сфере информационно-телекоммуникационных технологий, и тем самым, в полной мере воспользоваться всеми преимуществами и достоинствами киберпространства. Необходимо исключить риски типа кибератак преступников, террористов и других государств с целью сделать киберпространство безопасным для граждан и экономики.
3. Стратегии кибербезопасности в странах, не входящих в Евросоюз
Ниже изложены краткие выдержки из стратегий трех стран, не входящих в Евросоюз. Помимо перечисленных, множество других стран также имеют опубликованные стратегии кибербезопасности, например: Индия, Австралия, Новая Зеландия, Колумбия, – и этими странами список далеко не исчерпывается. Тем не менее, список стран показывает, что проблема кибербезопасности признается важной во всем мире.
Соединенные Штаты Америки
США опубликовали Международную Cтратегию для киберпространства в мае 2011 года10. Стратегия описывает ряд мероприятий, которые нужно провести по семи направлениям. В основе стратегии лежит модель сотрудничества между правительством, международными партнерами и частным сектором:
- Экономика: продвижение международных стандартов и инновационных, открытых рынков.
- Защита национальных сетей: повышение безопасности, надежности и отказоустойчивости. • Правопорядок: расширение сотрудничества и правовых норм.
- Военная отрасль: подготовка к современным вызовам безопасности.
- Интернет-правительство: продвижение эффективных и всеохватывающих правительственных структур.
- Международное развитие: построение безопасности, развитие международной компетенции и экономическое процветание.
- Свобода в Интернете: поддержка основных свобод и неприкосновенности частной жизни.
Канада
Опубликованная в 201011году стратегия кибербезопасности держится на трех “столпах”:
- Защита правительственных систем.
- Сотрудничество с целью защиты ключевых кибер-систем, находящихся за пределами федерального Правительства.
- Обеспечение безопасности канадских граждан в онлайн-среде.
Первый “столп” подразумевает установление четких ролей и ответственности, усиление безопасности кибер-систем федерального уровня и повышение информированности правительства в области кибербезопасности.
Второй “столп” – это ряд партнерских проектов государственного уровня с привлечением частного сектора и секторов критических инфраструктур.
И, наконец, третий “столп” – это борьба с киберпреступностью и защита канадских граждан в онлайн-среде. Здесь также затрагивается проблема персональных данных.
Япония
Стратегию кибербезопасности Японии12 (май 2010 года) также можно подразбить на несколько ключевых областей действия:
- Усиление политик, направленных на борьбу с возможными массовыми кибератаками и учреждение органа, ответственного за предотвращение атак.
- Введение политик, легко адаптирующихся к изменениям в сфере информационной безопасности.
- Предпочтение активных политик информационной безопасности пассивным.
Основные мероприятия, описанные в стратегии Японии, включают в себя:
- Управление IT-рисками для обеспечения безопасной жизни общества.
- Внедрение политики, которая усилит государственную безопасность, улучшит управление кризисами в киберпространстве, и не будет противоречить политике использования информационно-коммуникационных систем, которая служит основой для социоэкономической деятельности.
- Введение трехчастной политики, комплексно затрагивающей проблемы национальной безопасности, управление кризисами и защиту общества/личности. В особенности важна политика информационной безопасности общества/личности.
- Введение политики информационной безопасности, которая не противоречила бы стратегии экономического роста.
- Развитие международных альянсов.
4. Общие принципы
Как на европейском, так и на международном уровне согласованного определения кибербезопасности нет
13. В каждой стране определение кибербезопасности и других ключевых терминов
14 может значительно различаться. Как следствие, различаются и подходы к составлению стратегий кибербезопасности. Отсутствие общего “языка” и подхода усложняет процесс международного сотрудничества, когда как важность сотрудничества признается всеми странами.
Как правило, в стратегии кибербезопасности затрагиваются следующие темы:
- Построение правительственной модели, направленной на обеспечения кибербезопасности.
- Определение подходящего механизма (в основном общественно-государственного партнерства), позволяющего частным и государственным заинтересованным сторонам обсуждать и утверждать политики, связанные с проблемой кибербезопасности.
- Планирование и определение необходимых политик и регулирующих механизмов, четкое обозначение ролей, прав и ответственности для частного и государственного сектора (например, новая законодательная база для борьбы с киберпреступностью, обязательное информирование об инцидентах безопасности, базовые меры обеспечения безопасности и руководства к действию, новые нормы материально-технического обеспечения). К примеру, в стратегии Словакии обозначена необходимость создания законодательной базы для защиты киберпространства.15
- Определение целей и способов развития государственных возможностей и необходимой законодательной базы для вступления в международную борьбу с киберпреступностью. В некоторых стратегиях киберпреступности уделяется особое внимание. Например, Голландия нацелена на расследование и уголовное преследование преступлений в киберпространстве. 16 Франция также придерживается этой точки зрения, страна желает усиливать существующее законодательство и развивать международное правовое сотрудничество. 17
- Определение ключевых информационных инфраструктур (critical information infrastructures – CIIs), в том числе основных активов, сервисов и взаимозависимостей.
- Повышение готовности, уменьшение времени реакции на инциденты, разработка плана восстановления после сбоев и механизмов защиты для ключевых информационных инфраструктур (например, национальный план действий в особой обстановке, порядок поведения в киберпространстве, ситуационная осведомленность). В литовской стратегии утверждается, что “для обеспечения безопасности киберпространства необходимо организовать непрерывно функционирующую и надлежащим образом управляемую систему, контролирующую все стадии управления инцидентами, начиная от раннего предупреждения, предотвращения, обнаружения, устранения, и заканчивая расследованием инцидента.” 18 Кроме того, необходимо определить интегрированные организационные структуры, в обязанности которых входит разработка, внедрение и тестирование средств повышения готовности, планов восстановления после сбоев и механизмов защиты. Также возможна интеграция существующих структур, например, национальных/правительственных групп реагирования на чрезвычайные ситуации (CERTs).
- Разработка системного и интегрированного подхода к государственному управлению рисками (например, доверенный обмен информацией и государственные реестры рисков).
- Определение и обозначение целей информационных программ, призванных привить пользователям новые модели поведения и модели работы.
- Доказательство необходимости новой программы образования, делающей упор на обучение IT-специалистов и профессионалов в области кибербезопасности. Необходимы также тренинги, улучшающие навыки пользователей. Например, в стратегии Соединенного Королевства ставится цель улучшить образовательные программы специалистов по информационной безопасности, чтобы построить надежный профессиональный фундамент для обеспечения кибербезопасности. 19
- Международное сотрудничество, как со странами-членами Евросоюза, так и со странами, не входящими в Евросоюз (например, принятие международных соглашений).
- Проведение комплексного исследования и разработка программы развития, направленной на разрешение проблемы безопасности и отказоустойчивости как существующих, так и будущих систем и сервисов (например, интеллектуальные устройства).
5. Стратегия безопасности Интернета Евросоюза
В настоящий момент единой стратегии кибербезопасности для всего Евросоюза нет. Тем не менее, в программе работы Европейской комиссии на 2012 год
20 утверждается, что комиссия разработает Стратегию безопасности Интернета для Евросоюза. Разработку стратегии берет на себя главный директорат DG CONNECT (DG INFSO
21). Цели проекта следующие:
- Наравне с основными рисками и проблемами выявить экономические и геополитические возможности.
- Сравнить между собой степень подготовленности и политическое внимание к проблеме безопасности Интернета в третьих странах.
- Обозначить основные и важнейшие проблемы, которые требуют решения.
- Оценить текущие и планируемые мероприятия, а также отметить те проблемные зоны, к которым Евросоюзу следует уделить больше внимания. 22
Стратегия кибербезопасности и стратегия безопасности Интернета – это несколько разные вещи, хотя они имеют много общего, например, определение и предложение подходящей правительственной модели, нацеленность на предотвращение и борьбу с инцидентами безопасности.
В целом же задача главного директората DG CONNECT – правильно разместить существующие и планируемые мероприятия в глобальном политическом контексте. Директорат также подготовит программу дальнейших действий, заглядывая вперед, чтобы предложить Евросоюзу комплексный, целостный и структурированный подход к проблеме безопасности Интернета. 23 Для реализации проекта компетенции одного только директората DG CONNECT будет недостаточно, именно поэтому вице-президент Европейской комиссии Нили Кроес (Neelie Kroes) подтвердила, что работа по проекту ведется в тесном сотрудничестве с комиссаром по внутренним делам Сесилией Мальмстрём (Cecilia Malmström) и Верховным Представителем по иностранным делам и политике безопасности Кэтрин Эштон (Catherine Ashton). 24
Необходимость в предложении и достижении комплексного и скоординированного подхода подчеркивалась уже не один раз: об этом говорилось в документе ENISA 2011 года “Кибербезопасность: будущие вызовы и возможности”25 , а также в докладе Палаты Лордов на совете по стратегии внутренней безопасности Евросоюза. 26
6. Выводы и рекомендации
В среде, где постоянно появляются и эволюционируют кибер-угрозы, страны-члены Евросоюза при встрече с новыми, глобальными угрозами получат большую выгоду от гибких, оперативных стратегий кибербезопасности. Трансграничный характер угроз вынуждает страны вступать в тесное международное взаимодействие. Сотрудничество на пан-европейском уровне необходимо не только для эффективной подготовки к кибератакам, но и для своевременной реакции на них. Комплексная государственная стратегия кибербезопасности – первый шаг на этом пути.
Для стран-членов Евросоюза рекомендуется следующее:
В краткосрочном периоде:
- Спроектировать, переоценить и поддерживать государственную стратегию кибербезопасности, а также мероприятия, проводимые в рамках стратегии.
- Четко определить рамки действия, цели стратегии и само толкование термина “кибербезопасность”.
- Убедиться, что предложения и заявления министерств, регулятивных органов и других государственных органов приняты во внимание и рассматриваются.
- Учесть в стратегии интересы промышленности, научного сообщества и гражданских представителей.
- Сотрудничать с другими странами, входящими в Евросоюз, а также с комиссией Евросоюза, чтобы гарантировать согласованный характер кибербезопасности.
- Признать, что непрекращающееся развитие киберпространства и кибербезопасности отразится в постоянном редактировании и пересмотре стратегии.
- Осознать, что предыдущий пункт подразумевает не только появление новых угроз и рисков, но и появление новых возможностей улучшения информационных систем для правительства, промышленности и общества.
- Убедиться, что в стратегии принимается во внимание уже проделанная работа по повышению уровня безопасности национальных и пан-европейских информационных систем. Необходимо избегать дублирования мероприятий и сфокусироваться на новых проблемах.
- Поддержать комиссию Евросоюза в деле создания Стратегии безопасности Интернета.
В долгосрочном периоде:
- Договориться об общепринятом толковании термина “кибербезопасность” для того, чтобы в дальнейшем сформулировать общие цели для всего Евросоюза.
- Убедиться, что стратегии кибербезопасности Евросоюза и его членов не противоречат целям международного сообщества, а поддерживают борьбу с проблемами кибербезопасности на глобальном уровне.
Для реализации стратегий кибербезопасности частный и государственный сектора должны работать в тесном сотрудничестве. Сотрудничество должно осуществляться посредством обмена информацией, передовыми практиками (например, в сфере управления инцидентами), а также учениями на государственном и пан-европейском уровне.
Для содействия комиссии и странам-членам Евросоюза в нелегкой миссии по созданию стратегии ENISA разрабатывает специальное руководство (Good Practices Guide). В руководстве будут содержаться передовые практики и рекомендации по проектированию, внедрению и поддержке государственной стратегии кибербезопасности. Руководство будет полезным инструментом и практическим советом для людей, ответственных или вовлеченных в проектирование стратегии. Руководство разрабатывается в содействии с частными и государственными заинтересованными сторонами со всей Европы. В разработке руководства также принимают участие некоторые международные стороны, которые проводят среднесрочный анализ рекомендаций ENISA.
1Немецкая стратегия, стр. 1
2Например: COM/2005/0229 final “i2010 – A European Information Society for growth and deployment”; COM(2006) 251 “A Strategy for a Secure Information Society”; COM(2010) 245 final/2 “A Digital Agenda for Europe”; COM(2009) 149 on Critical Information Infrastructure Protection
3DIRECTIVE 2009/140/EC
4COM(2011) 163 final “Achievements and next steps: toward global cyber-security”
5Способность сети предоставлять и поддерживать приемлемый уровень сервиса во время отклонений от штатного режима работы, ‘Обзор стран-членов Евросоюза’ нормативные документы, связанные с надежностью работы телекоммуникационных сетей общего доступа, ENISA, 2008
6 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss
7http://www.dhs.gov/files/publications/editorial_0329.shtm
8http://www.bmi.bund.de/cae/servlet/contentblob/560098/publicationFile/27811/kritis_3_eng.pdf
9Ссылки на стратегии кибербезопасности стран-членов Евросоюза можно найти в приложении
10 http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf
11http://publications.gc.ca/site/eng/379746/publication.html
12http://www.nisc.go.jp/eng/
13 H. Luiijf, K. Besseling, M. Spoelstra, P. de Graaf, Ten National Cyber Security Strategies: a comparison, CRITIS 2011 – 6th International Conference on Critical information infrastructures Security, September 2011.
14Определение киберпространства, киберпреступности и стратегии кибербезопасности также различается в разных странах.
15Стратегия Словакии, стр.10
16Голландская стратегия, стр.12
17Французская стратегия, стр. 8
18Стратегия Литвы, стр. 4
19 Стратегия Соединенного Королевства, стр. 29
20 COM(2011) 777 final VOL.1/2
http://ec.europa.eu/atwork/programmes/docs/cwp2012_en.pdf
21C 1ого июля 2012 года DG INFSO переименовано в DG CONNECT
22COM(2011) 777 final VOL.2/2
http://ec.europa.eu/atwork/programmes/docs/cwp2012_annex_en.pdf
23ROADMAP:Proposal on a European Strategy for Internet Security
http://ec.europa.eu/governance/impact/planned_ia/docs/2012_infso_003_european_internet_security_strategy_en.pdf
24SPEECH/12/204
http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/204
25 http://www.enisa.europa.eu/publications/position-papers/cyber-security-future-challenges-and-opportunities
26 http://www.publications.parliament.uk/pa/ld201012/ldselect/ldeucom/149/149.pdf
Приложение – Ссылки на стратегии кибербезопасности стран-членов Евросоюза
Германия: http://www.enisa.europa.eu/media/news-items/german-cyber-security-strategy-2011-1
Голландия: http://www.enisa.europa.eu/media/news-items/dutch-cyber-security-strategy-2011
Литва: http://www.ird.lt/doc/teises_aktai_en/EIS(KS)PP_796_2011-06-29_EN_PATAIS.pdf
Люксембург: http://www.gouvernement.lu/salle_presse/actualite/2011/11-novembre/23-biltgen/dossier.pdf (на французском)
Словакия: недоступна онлайн
Соединенное Королевство: http://www.official-documents.gov.uk/document/cm76/7642/7642.pdf
Финляндия: http://www.lvm.fi/c/document_library/get_file?folderId=57092&name=DLFE-5405.pdf&title=Valtioneuvoston%20periaatep%C3%A4%C3%A4t%C3%B6s%20kansalliseksi%20tietoturvastrategiaksi%20%28su/ru/eng%20LVM62/2008%29
Франция: http://www.enisa.europa.eu/media/news-items/french-cyber-security-strategy-2011
Чешская Республика: http://www.enisa.europa.eu/media/news-items/CZ_Cyber_Security_Strategy_20112015.PDF
Эстония: http://www.kmin.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf