Политика №4, октябрь 2016

Обзор, анализ и рекомендации по защите Критической информационной инфраструктуры (Critical Information Infrastructure, CII). Основные выводы

Фото аватара
Редакция

На основе собранной информации (интервью и онлайновые опросы) были идентифицированы некоторые основные результаты. Ключевые выводы представлены вместе с разными категориями аналитической основы. Общее число проанализированных стран для каждой категории может меняться в диапазоне от 12 до 18, в зависимости от полученной в ходе интервью и онлайновых опросов обратной связи.
Некоторые ключевые результаты относятся к критически важным отраслям (секторам). Не все страны идентифицируют одни и те же отрасли (сектора) как критически важные. В приведенной ниже таблице дан обзор отображения критически важных отраслей, идентифицированных каждой страной. Эта таблица основана на материалах из исследования ENISA «Методологии идентификации активов и услуг, относящихся к критически важной информационной инфраструктуре» (Methodologies for the Identification of Critical Information Infrastructure Assets and Services), опубликованного в декабре 2014 года (ENISA 2014). Обратите внимание на то, что в таблице представлена только часть стран, которые изучались в ходе настоящего исследования.

Таблица 1. Критически важные отрасли для каждой страны. Основано на материалах: ENISA, Methodologies for the Identifcation of Critical Information Infra- structure Assets and Services 2014, стр. 5-6.

Типы государственных ведомств
Для того, чтобы справиться с проблемой CIIP, страны ЕС либо создали новые ведомства, либо расширили сферу ответственности и полномочия существующих агентств. Национальные агентства делятся на следующие категории:

  • EMR: агентство по чрезвычайным ситуациям или CIP
  • INT: спецслужба
  • ISA: агентство по информационной безопасности
  • ISF: форум информационной безопасности
  • NRA: национальный регулятор или агентство
  • MIN: министерство

Большинство из этих категорий не требует пояснений, однако необходимо отметить некоторые различия между ISA и ISF. Агентства по информационной безопасности представляют собой государственные агентства, которые уделяют основное внимание безопасности информационной и телекоммуникационной инфраструктуры. Во многих случаях они руководят национальной или правительственной группой CSIRT. Обычно это либо независимые агентства, либо подразделения министерств с высокой степенью автономии. В отличие от ISA, форумы информационной безопасности формируются как организации, в рамках которых различные агентства тесно сотрудничают друг с другом. Благодаря такой модели сферы ответственности и компетенции каждого существующего агентства, в основном, остаются неизменными. Сам по себе форум ISF обычно не имеет полномочий на выдачу обязывающих инструкций операторам CII. Форумы ISF часто организуются в странах, которые следуют принципу субсидиарности (решения проблем на местном уровне) и децентрализации.
Необходимо отметить, что не все страны создали главный или ведущий государственный орган по проблеме CIIP. Некоторые страны-участники, особенно те из них, которые придерживаются принципа субсидиарности, возложили ответственность на отдельные министерства и операторов CII. В этих случаях мы идентифицировали агентство с наибольшей сферой ответственности или с наибольшим вовлечением в вопросы CIIP. В некоторых странах-участниках ответственность за CIIP разделена между двумя агентствами. В таких случаях оба агентства рассматривались по отдельности.
На приведенном ниже рисунке – количество разных типов государственных агентств по CIIP в 17 странах-членах ЕС и в одной стране ЕАСТ (Европейская ассоциация свободной торговли).

Рис. 1. Национальные агентства

Изученные страны назначили ответственными за CIIP различные национальные агентства. Однако рисунок показывает, что большинство стран имеют склонность поручать CIIP своим агентствам по информационной безопасности. По-видимому, это показывает, что CIIP рассматривается как проблема, наиболее тесно связанная с информационной безопасностью. Кроме того, CIIP является подклассом CIP, и это могло стать причиной того, что пять стран решили возложить ответственность за нее на национальное агентство EMR. CIIP также требует наличия обширных знаний в области IT и «ландшафта частных операторов». Обычно NRA объединяет эти две сферы, и возможно, по этой причине четыре страны передали им ответственность CIIP. Лишь небольшое число стран назначили INT ответственными за CIIP. В двух случаях министерства выполняют задачи, дополняющие работу другого национального агентства.

Сферы ответственности национальных агентств

Мы изучили сферы ответственности и задачи, присвоенные национальным агентствам в области CIIP, для 12 стран (11 стран-членов ЕС и одна страна, входящая в ЕАСТ):

Рис. 2. Сферы ответственности национальных агентств

Рисунок показывает, что большинство задач выполняется на операционном уровне (темно-синий цвет). Только семь-восемь стран имеют дополнительные сферы ответственности на стратегическом или политическом уровнях, например, разработка стратегий, предложения по принятию нового законодательства или надзор за деятельностью национальной группы CSIRT (светло-синий). Только треть изученных стран поручали таким агентствам надзор за другими организациями (помимо CSIRT) (красный). Сюда относились, в основном, задачи законодательного регулирования.

Формы сотрудничества между государственными и частными заинтересованными сторонами

Исследованные государства-участники разработали разные формы сотрудничества с частным сектором с использованием разных степеней институционализации. Государственно-частное партнерство является юридически оформленной формой сотрудничества между государственными и частными действующими лицами. Обычно эти партнерства определяются через долгосрочные обязательства разных заинтересованных сторон, договора или совместные заявления, которые устанавливают цели и сферы ответственности партнерства, а также совместную ответственность за результат. Рабочие группы и форумы представляют собой менее четко оформленную (в юридическом смысле) форму сотрудничества, часто они носят временный характер, требуют меньшего количества ресурсов и обязательств со стороны различных заинтересованных сторон.
Представленный ниже рисунок показывает, сколько стран развили различные формы сотрудничества с частными заинтересованными сторонами. Всего было исследовано 18 стран (17 стран-членов ЕС и одна страна, входящая в ЕАСТ):

Рис. 3. Формы сотрудничества между государственными и частными заинтересованными сторонами

Десять из 18 изученных стран создали формальные государственно-частные партнерства (Public-Private Partnerships, PPP) для решения задач CIIP. Шесть стран полагаются на менее формализованные формы сотрудничества, такие как рабочие группы или сети. Некоторые из этих стран в настоящее время находятся в процессе создания PPP в соответствии со своими стратегиями в области кибербезопасности. Две страны осуществляют неформальную коммуникацию с частными заинтересованными сторонами.

Юридически оформленные формы сотрудничества между государственными агентствами

Помимо обычных каналов коммуникации, все 17 исследованных стран создали некоторую форму юридически оформленного сотрудничества между государственными агентствами для решения задач CIP. Эти структуры могут принимать самый разный вид: консультативные советы, координационные группы, форумы, кибер-центры или группы для совещания экспертов. Однако их целью всегда является обмен информацией и координация действий различных агентств. Большинство стран разработали новые виды механизма сотрудничества для конкретных целей CIP. Некоторые страны вместо этого расширили сферу действия существующих организаций, которые отвечают за управление в чрезвычайных ситуациях или за безопасность поставок инфраструктуры и услуг.

Оценка риска

Оценка риска включает идентификацию угроз, потенциальных последствий (воздействия) этих угроз и их вероятности. В некоторых странах национальная оценка риска проводится национальным агентством для всех релевантных отраслей. Другие страны, особенно те из них, которые используют более децентрализованный подход к CIIP, оставляют оценку риска отраслевым ведомствам или операторам CI. Приведенный ниже рисунок показывает, сколько стран проводят оценку риска и какого рода, а также, сколько стран оставляют оценку риска индивидуальным операторам.

Рис. 4. Оценка риска

Большинство из изученных стран (15 стран-членов ЕС и одна страна, входящая в ЕАСТ) проводили оценки риска на национальном уровне либо планируют это сделать в будущем. В четырех странах оценка риска проводится отраслевыми агентствами или министерствами. В пяти странах не выполняется ни национальной, ни секторальной оценки риска. Вместо этого считается, что оценка риска входит в сферу ответственности частных операторов. Однако это не обязательно означает, что правительство заставляет операторов проводить оценки риска. Это можно рассматривать как индикатор того, на каком уровне, по мнению правительства, лучше всего решать эту проблему: на национальном уровне, на секторальном (отраслевом) или на уровне оператора.

Учения по кибербезопасности

Все исследованные страны проводят регулярные учения (тренировки) по CIIP. Существуют три разных типа учений, связанных с CIIP:

  • внутриотраслевые тренировки;
  • межотраслевые тренировки;
  • международные тренировки.

Большинство внутриотраслевых и межотраслевых учений проводятся в финансовой, энергетической и телекоммуникационной отраслях. Другими важными секторами являются государственная администрация, транспорт и логистика, здравоохранение.
Наиболее посещаемыми международными учениями стали проводящиеся под эгидой НАТО Locked Shields и Cyber Coalition, а также тренировки по программе ENISA Cyber Europe. Другими важными международными учениями были Cyberstorm IV (International Watch and Warning Network, IWWN), командно-штабные учения ENISA Cyber Atlantic, учения НАТО Crisis Management Exercise CMX и Nordic Cyber Security Exercise.

Национальная группа реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT)

Группы CSIRT могут различаться по своей клиентуре. Государственные группы CSIRT обычно предлагают услуги органам государственной администрации и агентствам. Национальные группы CSIRT имеют более широкую область действия, поскольку их клиентура включает операторов критически важной инфраструктуры и иногда отдельных граждан. Однако в некоторых случаях могут существовать распределения обязанностей между обоими типами CSIRT.

Рис. 5. Национальная группа реагирования на инциденты, связанные с компьютерной безопасностью

Четырнадцать из исследованных стран сформировали национальные группы CSIRT. В двух случаях национальная группа CSIRT также служит в качестве правительственной CSIRT. Четыре страны не создали специализированных национальных групп CSIRT, однако в них либо запущен процесс создания национальной CSIRT, либо совместная ответственность возложена на сообщество частных и внутриотраслевых групп CSIRT (например, в случае Германии).

Отчетность об инцидентах информационной безопасности

Большинство изученных стран реализовали обязательную отчетность об инцидентах в телекоммуникационном секторе [15], однако только меньшинство реализовало такую отчетность для всех секторов. При этом охват схем отчетности сильно различается. Некоторые страны обязывают операторов CII отчитываться об инцидентах информационной безопасности вне зависимости от сектора (отрасли), если эти инциденты оценивались как критические. Другие страны реализовали обязательную отчетность только для конкретных секторов.
Приведенный ниже рисунок показывает охват обязательной отчетности об инцидентах информационной безопасности для исследованных стран (16 стран-членов ЕС и одна страна, входящая в ЕАСТ):

Рис. 6. Отчетность об инцидентах информационной безопасности

(ограничивается конкретными отраслями и секторами: наиболее распространенные сектора: телекоммуникации, финансы, энергетический, государственная администрация, вооруженные силы, здравоохранение, транспорт).
[15] Все государства-участники реализовали обязательную отчетность об инцидентах в секторе телекоммуникаций в соответствии со статьей 13a требований (Нормативно-правовой базы электронных коммуникаций ЕС – прим. редактора). Более того, Швеция намеревается ввести обязательную отчетность об инцидентах для государственных организаций.

Пять стран ввели обязательную отчетность об инцидентах информационной безопасности для всех секторов (отраслей), последней из них стала Германия. Большинство стран-членов ЕС разработали обязательную отчетность об инцидентах только для некоторых секторов. Все страны, входящие в число десяти, которые ограничили отчетность об инцидентах конкретными секторами, установили такие обязательства для сектора телекоммуникаций. Другими важными секторами являются финансы, государственное управление и энергетическая отрасль. Только две страны не установили обязательную отчетность в каком-либо секторе. В Нидерландах в настоящее время разрабатывается новый закон, который будет включать обязательную отчетность об инцидентах. Детали этого законопроекта (например, установка правоприменительных механизмов) зависят от содержания окончательной директивы NIS (Network and Information Security Directive).

Меры безопасности

Аналогичную картину можно наблюдать для обязательных мер безопасности [16]. Те же самые пять стран-участников, которые реализовали обязательную отчетность об инцидентах для всех секторов (отраслей), также реализовали и обязательные меры безопасности для всех секторов.

Рис. 7. Меры безопасности

[16] Статья 13a также подразумевает обязательные меры безопасности для сектора телекоммуникаций.
 
До того, как CIIP стала важной частью политической повестки дня, большинство стран уже установили обязательные меры безопасности для некоторых секторов. Конкретные секторы, которые уже во многом полагаются на IT или предоставляют критически важные услуги населению (например, телекоммуникационный, финансовый и энергетический сектора). Это объясняет, почему большинство стран реализовали обязательные меры безопасности только в конкретных отраслях. Страны без обязательных мер безопасности обычно считают, что информационная безопасность входит в сферу ответственности частных компаний. Однако, по-видимому, существует небольшая тенденция, в рамках которой страны вводят более полное законодательство в области CIIP, которое охватывает все критически важные сектора.

Аудиты безопасности

По-видимому, аудиты безопасности либо имеют наименьший приоритет, либо их труднее всего реализовать для стран ЕС: шесть стран не реализовали обязательные аудиты безопасности и только пять стран обязывают операторов всех секторов проводить аудиты.

Рис. 8. Аудиты безопасности

Те же самые пять стран, которые реализовали обязательные меры безопасности, также реализовали и обязательные аудиты безопасности. Анализ показывает, что аудиты безопасности либо имеют меньший приоритет, либо их труднее реализовать для правительств стран-участников.

Стимулы к инвестированию

Теоретически страны могут дать импульс операторам CII по инвестированию в безопасность при помощи таких стимулов, как субсидии или налоговые льготы. В таких областях, как защита окружающей среды и экология, налоговые льготы доказали, что они могут успешно применяться для стимулирования компаний в целях реализации экологических стандартов. Однако почти ни одна из исследованных стран-участников не предлагает такие стимулы в сфере CIIP-безопасности. Некоторые страны считают, что в долгосрочной перспективе давление рынка в достаточной степени простимулирует операторов CII на инвестирование в дополнительные меры безопасности. Исключением из этого ряда является Финляндия, в которой компании, инвестирующие в операционные меры безопасности, получают право на налоговые послабления при соблюдении определенных условий.

Источник: Глава 2.2 отчета ENISA “Stocktaking, Analysis and Recommendations on the Protection of CIIs», январь 2016