В апреле я написал заметку о новой стратегии кибербезопасности США и думал, что на этом эта тема и закроется. Все-таки чиновники во всех странах одинаковые и любят писать высокоуровневые доктринальные документы, забывая рассказать, как эти доктрины превратить в нечто конкретное и работающее.
Я ждал от американцев схожей истории, но они смогли меня удивить, как и своим желанием пересмотреть всю нормативку по ИБ в поисках дублей, рассогласований, нестыковок, сложностей восприятия и т.п. Они выпустили план реализации своей стратегии, имеющей пять направлений и 27 стратегических целей (свою заметку повторять не буду — посмотрите ее).Жили-были мыши, и все их обижали. Пошли они к мудрой сове и сказали:
— Сова, помоги советом. Все нас обижают, коты, лисы, люди с мышеловками. Что нам делать?
Сова подумала и говорит:
— А вы станьте ёжиками. У ёжиков иголки, их никто не обижает, и людям они нравятся.
Мыши обрадовались и побежали домой. Но по дороге одна мышка сказала:
— Как же мы станем ёжиками? — и все побежали обратно, чтобы задать этот вопрос мудрой сове.
И ответила сова:
— Ребята, вы меня ерундой не грузите. Я стратегией занимаюсь.
И вот в план реализации администрация Байдена-Харриса включила 68 конкретных инициатив, каждая из которых описывалась набор одинаковых полей:
- направление
- стратегическая цель
- номер инициативы
- название инициативы
- описание инициативы
- ссылка на стратегию
- агентство, ответственное за реализацию инициативы
- участвующие в реализации инициативы федеральные структуры
- дата завершения.
Вроде и ничего сверхестественного (у нас поручения Правительства или Президента также обычно выглядят), но когда смотришь этот 60-тистраничный документ, возникает некое чувство, что по ту сторону океана реально хотят что-то поменять и у них есть на это запрос и полномочия от стареющего президента. Что меня зацепило из списка активностей? Я составил свой шорт-лист мероприятий:
- Гармонизация всей ИБ-нормативки (см.выше)
- Определение отраслевых
недопустимых событийрисков и разработка мер по их нейтрализации - Фокус на безопасную разработку и проектирование систем
- Межотраслевое взаимодействие и обмен информацией и знаниями, в том числе и за счет развития отраслевых центров ISAC
- Обновление национального плана реагирования на инциденты
- Обязательное уведомление об инцидентах
- Разработка межотраслевых сценариев киберучений
- Операционализация отраслевой аналитики по угрозам (Threat Intelligence)
- Установление требований по ИБ к поставщикам IaaS-услуг (привет, Гостех)
- Адаптация и помощь в адаптации антиотмывочного и антитеррористического законодательства к виртуальным активам и пространству
- Маркировка продуктов класса «Интернет вещей» с точки зрения их кибербезопасности
- Координация вопросов по скоординированному раскрытию уязвимостей
- Гранты и финансирование на исследования и улучшения в области ИБ
- Стимулирование вендоров лучше заниматься своей собственной безопасностью и безопасностью предлагаемых государству продуктов
- Федеральное страхование от недопустимых событий
Реально, так и написано, «catastrophic cyber events«, что я перевел бы именно как недопустимые события (по сути именно о них и речь).
- Внедрение защищенного DNS и Zero Trust
- Усиление защиты open source и продвижение инициативы Open-Source Software Security Initiative (OS3I)
- Активизация усилий в области международной стандартизации по вопросам ИБ
- Активизация внедрения и, возможно, усиление защиты IPv6 и BGP
- Реализация меморандума по созданию квантово-устойчивых систем и сетей
- Обучение инженеров и технарей принципам кибербеза
- Разработка и внедрение национальной стратегии образования в области кибербеза
- Продвижение открытых сетевых архитектур
- Извлечение уроков и обновление национальной стратегии кибербезопасности на их основе.
Вот такая история. За каждым из почти семидесяти пунктов будет свой план и свой контроль реализации. Последнее гарантировать не могу (все-таки бюрократия она везде одинаковая), но уже то, что сделали США достойно уважения. Они, похоже, всерьез рассматривают стратегии 2040, разработанные аналитиками американской разведки, в которых Россия и Китай являются основными киберпротивниками «оплота» мировой демократии и надо готовиться уже сейчас им противостоять. Весь план направлен именно на это.
Про то, что вытекает из нашей утвержденной Доктрины информационной безопасности говорить не буду — все и так все знают 🙁 Не хватает у нас координации между регуляторами ИБ — все на себя одеяло тянут. И даже те, кто хотят что-то сделать, сталкиваются с тем, что другие им вставляют палки в колеса, и куча времени уходит на межведомственное согласование хоть чего-то полезного. Зато депутаты у нас живут безмятежно — никто им не указ, строчат себе инициативы, только успевай уворачиваться…
Заметка От национальной стратегии кибербезопасности США к плану ее реализации была впервые опубликована на Бизнес без опасности .