От национальной стратегии кибербезопасности США к плану ее реализации

От национальной стратегии кибербезопасности США к плану ее реализации

В апреле я написал заметку о новой стратегии кибербезопасности США и думал, что на этом эта тема и закроется. Все-таки чиновники во всех странах одинаковые и любят писать высокоуровневые доктринальные документы, забывая рассказать, как эти доктрины превратить в нечто конкретное и работающее.

Жили-были мыши, и все их обижали. Пошли они к мудрой сове и сказали:
— Сова, помоги советом. Все нас обижают, коты, лисы, люди с мышеловками. Что нам делать?
Сова подумала и говорит:
— А вы станьте ёжиками. У ёжиков иголки, их никто не обижает, и людям они нравятся.
Мыши обрадовались и побежали домой. Но по дороге одна мышка сказала:
— Как же мы станем ёжиками? — и все побежали обратно, чтобы задать этот вопрос мудрой сове.
И ответила сова:
— Ребята, вы меня ерундой не грузите. Я стратегией занимаюсь.

Я ждал от американцев схожей истории, но они смогли меня удивить, как и своим желанием пересмотреть всю нормативку по ИБ в поисках дублей, рассогласований, нестыковок, сложностей восприятия и т.п. Они выпустили план реализации своей стратегии, имеющей пять направлений и 27 стратегических целей (свою заметку повторять не буду — посмотрите ее).

План реализации стратегии кибербезопасности США

И вот в план реализации администрация Байдена-Харриса включила 68 конкретных инициатив, каждая из которых описывалась набор одинаковых полей:

  • направление
  • стратегическая цель
  • номер инициативы
  • название инициативы
  • описание инициативы
  • ссылка на стратегию
  • агентство, ответственное за реализацию инициативы
  • участвующие в реализации инициативы федеральные структуры
  • дата завершения.

Вроде и ничего сверхестественного (у нас поручения Правительства или Президента также обычно выглядят), но когда смотришь этот 60-тистраничный документ, возникает некое чувство, что по ту сторону океана реально хотят что-то поменять и у них есть на это запрос и полномочия от стареющего президента. Что меня зацепило из списка активностей? Я составил свой шорт-лист мероприятий:

  1. Гармонизация всей ИБ-нормативки (см.выше)
  2. Определение отраслевых недопустимых событий рисков и разработка мер по их нейтрализации
  3. Фокус на безопасную разработку и проектирование систем
  4. Межотраслевое взаимодействие и обмен информацией и знаниями, в том числе и за счет развития отраслевых центров ISAC
  5. Обновление национального плана реагирования на инциденты
  6. Обязательное уведомление об инцидентах
  7. Разработка межотраслевых сценариев киберучений
  8. Операционализация отраслевой аналитики по угрозам (Threat Intelligence)
  9. Установление требований по ИБ к поставщикам IaaS-услуг (привет, Гостех)
  10. Адаптация и помощь в адаптации антиотмывочного и антитеррористического законодательства к виртуальным активам и пространству
  11. Маркировка продуктов класса «Интернет вещей» с точки зрения их кибербезопасности
  12. Координация вопросов по скоординированному раскрытию уязвимостей
  13. Гранты и финансирование на исследования и улучшения в области ИБ
  14. Стимулирование вендоров лучше заниматься своей собственной безопасностью и безопасностью предлагаемых государству продуктов
  15. Федеральное страхование от недопустимых событий

    Реально, так и написано, «catastrophic cyber events«, что я перевел бы именно как недопустимые события (по сути именно о них и речь).

  16. Внедрение защищенного DNS и Zero Trust
  17. Усиление защиты open source и продвижение инициативы Open-Source Software Security Initiative (OS3I)
  18. Активизация усилий в области международной стандартизации по вопросам ИБ
  19. Активизация внедрения и, возможно, усиление защиты IPv6 и BGP
  20. Реализация меморандума по созданию квантово-устойчивых систем и сетей
  21. Обучение инженеров и технарей принципам кибербеза
  22. Разработка и внедрение национальной стратегии образования в области кибербеза
  23. Продвижение открытых сетевых архитектур
  24. Извлечение уроков и обновление национальной стратегии кибербезопасности на их основе.

Вот такая история. За каждым из почти семидесяти пунктов будет свой план и свой контроль реализации. Последнее гарантировать не могу (все-таки бюрократия она везде одинаковая), но уже то, что сделали США достойно уважения. Они, похоже, всерьез рассматривают стратегии 2040, разработанные аналитиками американской разведки, в которых Россия и Китай являются основными киберпротивниками «оплота» мировой демократии и надо готовиться уже сейчас им противостоять. Весь план направлен именно на это.

Про то, что вытекает из нашей утвержденной Доктрины информационной безопасности говорить не буду — все и так все знают 🙁 Не хватает у нас координации между регуляторами ИБ — все на себя одеяло тянут. И даже те, кто хотят что-то сделать, сталкиваются с тем, что другие им вставляют палки в колеса, и куча времени уходит на межведомственное согласование хоть чего-то полезного. Зато депутаты у нас живут безмятежно — никто им не указ, строчат себе инициативы, только успевай уворачиваться…

Заметка От национальной стратегии кибербезопасности США к плану ее реализации была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь