В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный документ, устанавливающий требования по ИБ для операторов ключевых / критически важных / жизненно важных услуг (operators of essential services) и провайдеров цифровых услуг (digital service providers).
Да! Да! Требования касаются не Госов и не операторов ПДн. И не надо больше говорить, что у нас в РФ самый страшный комплаенс по ИБ.
Сам документ очень хорош и не удивительно, ведь работа над ним велась почти 3 года. В самом же документе подробно поясняется почему приходится вводить такие требования для коммерческих компаний – ведь очень сильно современная жизнь людей стала завысить от различных сетей и информационных систем. И вообще в документе достаточно много внимания уделено разъяснениям, определениям, правилам для определения на кого распространяются требования, разъяснениям как быть с отраслевыми требованиями и т.п. Давайте посмотрим на наиболее интересные положения этой доктрины.
В число операторов жизненно важных услуг (ОЖВУ) обязательно включаются следующие типы компаний:
|
Sector |
Subsector / Type |
|
Energy |
Electricity |
|
Oil |
|
|
Gas |
|
|
Transport |
Air transport |
|
Rail transport |
|
|
Water transport |
|
|
Road transport |
|
|
Banking |
|
|
Financial market infrastructures |
Central counterparties (CCPs) |
|
Operators of trading venues |
|
|
Health sector |
Health care settings (including hospitals and private clinics) |
|
Drinking water supply and distribution |
|
|
Digital Infrastructure |
internet exchange points |
|
DNS service providers |
|
|
top-level domain name registries |
При этом в отдельных странах Евросоюза данный перечень может быть расширен. В директиве приводятся критерии отнесения компании из указанных типов к оператору жизненно важных услуг (напомню, что у нас в РФ нет публичных критериев отнесения к КСИИ или КВО) .
В число провайдеров цифровых услуг (ПЦУ) на которых распространяются требования ИБ включены:
· Online marketplace
· Online search engine
· Cloud computing service
Требований в самой директиве немного. Более детальные требования должны быть разработаны странами Евросоюза в своих локальных нормативных актах. Требования не должны распространяться на компании малого и микро бизнеса (should not apply to micro- and small enterprises). В целом должен применяться риск ориентированный подход и т.п.
Требования ИБ для ОЖВУ:
· Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность сетей и информационных систем, используемых в целях обеспечения непрерывности оказания жизненно важных услуг
· Своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах (этому кстати уделяется очень много внимания в документе)
· Предоставлять компетентным гос. органам (по-нашему это регулятор):
o описание принятых меры защиты, в том числе утверждённые документы в области ИБ
o свидетельства оценки эффективности принятых мер защиты, в том числе результаты аудита , проведенного компетентным органом или квалифицированным аудитором (по-нашему, аккредитованной организацией или лицензиатом)
Требования ИБ для ПЦУ:
· Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность цифровых услуг, в том числе:
o Безопасности систем и технологических средств
o Обработку инцидентов
o Управление непрерывностью бизнеса
o Мониторинг, аудит и тестирование ИБ
o Соответствие международным стандартам
· обеспечивать непрерывности оказания услуг и минимизации воздействия инцидентов, влияющих на безопасность используемых сетей и информационных систем ОЖВУ
· своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах
· предоставлять компетентным гос. органам описание принятых меры защиты, в том числе утверждённые документы в области ИБ
Директива вступила в силу в августе 2016, но выполняться будет поэтапно:
· уже:
o создана computer security incident response teams network (CSIRTs network)
o создана Cooperation Group для обмена информацией в области ИБ между членами евросоюза
· к 9 февраля 2017 страны члены евросоюза должны быть созданы национальные CSIRT, включится в Cooperation Group and the CSIRTs network
· до 9 мая 2018 года страны члены евросоюза должны адаптировать доктрину и выпустить локальные НПА, в том числе национальную стратегию безопасности сетей и информационных систем (NIS). Должны определить компетентные органы в области NIS. Должны определить в стране единую точку взаимодействия (single point of contact) по вопросам ИБ NIS
· с 10 мая 2018 года должны выполняться требования
· до 9 ноября 2018 года должны быть определены и учтены в реестре компании ОЖВУ
Думаю, для одной вводной статьи про NIS Directive информации достаточно. Если будет интересно, отдельно напишу про уже действующую CSIRT Network и про критерии отнесения к ОЖВУ.
Возможно и у нас по аналогии с европейскими соседями случатся продвижения в части КВО, уведомлении об инцидентах, обязательные аудиты ИБ и т.п.
PS: Кстати в евросоюзе октябрь 2016 – это месяц! кибербезопасности (European Cyber Security Month). Проводятся сотни мероприятий по ИБ.
