Обзор, анализ и рекомендации по защите Критической информационной инфраструктуры (Critical Information Infrastructure, CII). Модели управления CIIP
Настоящая глава описывает три модели управления защитой CII (Critical Information Infrastructure Protection, CIIP), которые используются шестнадцатью исследованными странами-членами ЕС. Управление CIIP относится ко всем структурам и процессам, которые связаны с руководством в области CIIP, осуществляемым государственными (например, государственная администрация или правоохранительные органы) или частными (например, ассоциации, операторы CII, отраслевые группы CSIRT) субъектами (деятельности). Оно может относиться к процессам принятия решений, а также к операционным мероприятиям по защите CII.
Разные модели иллюстрируют специфические формы управления CIIP, которые определяются их общими характеристиками. Модели не исключают друг друга, а скорее являются точками спектра. Например, централизм управления CIIP в рамках одной страны может меняться, и хотя некоторые страны можно отнести либо к централизованным, либо к децентрализованным, другие страны находятся между этими двумя точками. То же самое справедливо и для степени вовлечения частного сектора. В нижеследующем разделе представлены примеры государств-участников, которые соответствуют определенной модели или её определяющим характеристикам.
Эти модели помогают понять, каким образом организована защита CIIP в отдельных странах-участниках и какие меры и действия в сфере CIIP могут передаваться от одного государства-участника другому. Некоторые меры, предпринятые странами-участниками с централизованным подходом к CIIP, могут не работать в странах, которые придерживаются децентрализованного подхода (и наоборот), из-за отличающихся сфер ответственности, процессов и отношений между соответствующими заинтересованными сторонами. Аналогичным образом меры, предпринятые государством-участником с высоким уровнем участия частного сектора, могут не поддаваться переносу в страны, в которых управление CIIP в основном осуществляется правоохранительными органами или агентствами по чрезвычайным ситуациям (и наоборот). Однако страны-участники с похожими характеристиками в сфере управления CIIP могут лучше подходить для обмена передовым опытом и эффективными мерами CIIP.
Управление CIIP является ключевой особенностью для понимания того, каким образом организована защита CIIP в разных государствах-участниках и до какой степени меры в этой области могут переноситься из одной страны в другую.
Модель 1: Децентрализованный подход
Децентрализованный подход характеризуется следующими особенностями:
- принцип субсидиарности (разрешение проблем на возможно более низком уровне);
- тесное сотрудничество между государственными агентствами;
- отраслевое законодательство.
Секторная ответственность
Вместо того, чтобы создавать сильное CIIP-агентство со сферой ответственности, включающей все или несколько критически важных секторов, децентрализованный подход использует принцип субсидиарности. Это означает, что ответственность за CIIP возложена либо на отраслевой орган, либо на сами компании и на самих операторов CII.
Поэтому у многих государств-участников, которые укладываются в эту модель, отсутствует централизованное агентство, отвечающее за CIIP, при этом они возложили ответственность за CIIP на отраслевые государственные органы.
Тесное сотрудничество между государственными агентствами
Из-за наличия широкого спектра государственных агентств, вовлеченных в CIIP, многие государства-участники разработали схемы сотрудничества в целях координации работы и усилий различных заинтересованных сторон. Эти схемы сотрудничества могут принимать вид неформальных сетей либо официально оформленных форумов или советов. Однако эти схемы сотрудничества служат исключительно целям информационного обмена и координации между различными государственными агентствами, но не имеют полномочий по управлению ими.
Отраслевое законодательство
Страны, которые используют децентрализованный подход, часто воздерживаются от разработки законодательства, регулирующего CIIP сразу для всех критически важных секторов. Вместо этого принимаемые законы и нормативные акты носят отраслевой характер и поэтому могут сильно меняться от сектора к сектору.
Примеры децентрализованного подхода
Швеция является хорошим примером страны, которая следует децентрализованному подходу к CIIP. Страна использует «системную перспективу», и это означает, что главные задачи CIIP, такие как идентификация важнейших сервисов и ключевых инфраструктур, координация и поддержка операторов, задача законодательного регулирования, а также мероприятия по обеспечению готовности к чрезвычайным ситуациям, попадают в сферу ответственности различных агентств и муниципальных образований. Среди этих организаций можно выделить Шведское агентство по нештатным гражданским ситуациям (MSB, Swedish Civil Contingencies Agency), Шведское почтовое и телекоммуникационное агентство (PTS, Swedish Post and Telecom Agency) и несколько агентств, относящихся к сфере обороны и правоохранительной деятельности.
Для того, чтобы обеспечить координацию действий между разными агентствами и государственными организациями, правительство Швеции разработало коллективную сеть, состоящую из государственных организаций, на которые возложена «специальная ответственность за безопасность общественной информации». Эта Группа сотрудничества в области информационной безопасности (SAMFI, Cooperation Group for Information Security) включает представителей различных государственных органов, она собирается несколько раз в год для обсуждения вопросов, связанных с национальной информационной безопасностью. Предметные области SAMFI, в основном, относятся к политико-стратегической повестке дня и охватывают такие темы, как технические проблемы и стандартизация, национальные и международные разработки в области информационной безопасности, управление и предотвращение IT-инцидентов (Swedish Civil Contingencies Agency, MSB).
Швеция не опубликовала централизованного закона в отношении CIIP, который бы действовал для операторов CII из всех секторов и отраслей. Вместо этого принятие законодательства, содержащего обязательства для компаний внутри конкретных секторов, отнесено к сфере ответственности соответствующих государственных органов. Например, MSB имеет право на выпуск нормативных актов для государственных органов в области информационной безопасности, тогда как PTS может обязать операторов реализовать определенные технические или организационные меры защиты на основе подзаконных актов.
Еще одним примером страны, которая проявляет характеристики, присущие этой модели, является Ирландия. Ирландия следует «доктрине субсидиарности», в рамках которой каждое министерство отвечает за идентификацию CII и оценку риска внутри своего собственного сектора (отрасли). Более того, на национальном уровне не было введено в действие никаких специальных нормативных требований для CIIP. Законодательство остается отраслевым и существует, в основном, для энергетического и телекоммуникационного секторов (2015). В качестве других примеров можно привести Австрию, Финляндию, Кипр и Швейцарию.
Модель 2: Централизованный подход
Централизованный подход характеризуется следующими особенностями:
- центральный орган для всех секторов;
- всеобъемлющее законодательство.
Центральный орган для всех секторов
Страны-участники, которые используют централизованный подход, создали государственные органы, обладающие сферами ответственности и широкими компетенциями для нескольких или сразу для всех критических секторов, либо расширили полномочия существующих государственных органов. Эти главные государственные органы в области CIIP объединили решение таких задач, как планирование на случай чрезвычайных обстоятельств, управление в чрезвычайных ситуациях, задача законодательного регулирования и поддержка частных операторов. Во многих случаях национальные или правительственные группы CSIRT являются частью государственного органа по защите CIIP.
Всеобъемлющее законодательство
Всеобъемлющее законодательство формирует обязательства и требования для всех операторов CII во всех секторах и отраслях. Этого можно добиться за счет принятия новых всеобъемлющих законов или при помощи дополнения существующих отраслевых нормативных актов.
Примеры централизованного подхода
Франция является хорошим примером государства-члена ЕС с централизованным подходом. В 2011 году французское агентство ANSSI было объявлено главным национальным ведомством в сфере защиты информационных систем. ANSSI осуществляет тщательный надзор за «критически важными операторами» (OIV, operator of vital importance): агентство может приказать операторам OIV соблюдать меры безопасности, оно имеет полномочия на проведение аудитов безопасности для операторов. Более того, оно является Единой точкой контакта для OIV, которые обязаны докладывать агентству об инцидентах информационной безопасности. В случае инцидентов безопасности ANSSI действует как агентство по чрезвычайным ситуациям в сфере CIIP и определяет меры, которые операторы должны предпринять в ответ на кризис. Действия правительства координируются в рамках центра управления ANSSI. Обнаружение угроз и реагирование на инциденты на операционном уровне осуществляются организацией CERT-FR, которая входит в состав ANSSI.
Франция создала всеобъемлющую нормативно-правовую базу в сфере CIIP. В 2006 году премьер-министр приказал составить список секторов критически важной инфраструктуры. Базируясь на этом списке, который идентифицировал 12 ключевых секторов, правительство определило примерно 250 операторов OIV. В 2013 году был опубликован Закон военного планирования (LPM, Military Programming Law), который устанавливает различные обязательства для OIV, например, отчетность об инцидентах и реализацию мер безопасности. Эти требования являются обязательными для всех операторов OIV во всех секторах.
Среди проанализированных государств-членов ЕС централизованный подход является исключением. Большинство стран используют коллективный, децентрализованный подход. Однако Франция – это не единственная страна, которая проявляет характеристики централизованного подхода. В качестве примеров других стран с характеристиками централизованного подхода можно привести Чешскую Республику (центральный государственный орган) и Германию (всеобъемлющее законодательство).
Модель 3: Совместное регулирование с частным сектором
Подход по совместному регулированию с частным сектором характеризуется следующими особенностями:
- юридически оформленное сотрудничество с частным сектором;
- горизонтальные отношения между государственными и частными сторонами.
Юридически оформленное сотрудничество с частным сектором
Типовой формой юридически оформленного сотрудничества между государственным и частным сектором являются государственно-частные партнерства (Public-Private Partnerships, PPP), которые обычно основываются на соглашении между сторонами. Государственные и частные действующие лица могут предоставить партнерству разные ресурсы; например, правительство может предложить политическую легитимность и денежные фонды, тогда как частные действующие лица могут добавить специальный опыт и знания, а также эффективность. Благодаря PPP правительства способны осуществлять регулирование в тех областях, для которых у них отсутствуют знания и опыт.
Горизонтальные отношения между государственными и частными сторонами
Хотя и не исключительно, PPP часто характеризуются горизонтальными отношениями между государственными и частными участниками, а это означает, что стороны находятся в равных условиях и принимают совместные решения. Процесс принятия решений основан на переговорах, а не на иерархических командных структурах [17]. В некоторых случаях такой вид отношений также отражается в процедуре соблюдения формальных требований, которая не основывается на сильной нормативно-правовой базе и механизмах принуждения, а базируется на добровольных действиях и доверии.
[17] Хорошее практическое руководство по коллективным моделям для эффективных PPP можно найти по адресу: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/national-public-private-partnerships-ppps/good-practice-guide-on-cooperatve-models-for-effective-ppps
{ГРАФИК} Рис. 2-11. Совместное регулирование.
Примеры совместного регулирования с частным сектором
Пример совместного регулирования в сфере CIIP можно найти в Нидерландах. Главным агентством по CIP является Национальный центр по кибербезопасности (NCSC, National Cyber Security Centre). Он основан как центральный информационный хаб и центр экспертизы в сфере кибербезопасности в рамках Национального координатора безопасности и борьбы с терроризмом (NCTV, National Coordinator for Security and Counterterrorism). NCSC включает несколько партнерств между государственными и частными участниками, такими как различные центры анализа и обмена информацией (ISAC, Information Sharing and Analysis Centre) и советы реагирования ICT, которые анализируют ситуацию в ходе крупномасштабного IT-кризиса или угрозы. NCSC подчеркивает, что сотрудничество с частными заинтересованными сторонами основано на равенстве и доверии.
Кроме того, Голландский совет по кибербезопасности предлагает рекомендации на стратегическом и политическом уровнях. Совет включает представителей разных министерств, академии и частного сектора и имеет государственно-частный характер.
Участие в различных центрах анализа и обмена информацией базируется на конфиденциальности, это означает, что участников не принуждают и не обязывают обмениваться информацией с другими сторонами, они делают это на добровольной основе. Ожидается, что все представители будут уважать взаимные договоренности и обращаться с информацией об угрозах, рисках и других деликатных темах как с конфиденциальными данными.
Как правило, юридические обязательства и требования, установленные в Нидерландах, имеют более строгий характер в отношении сектора телекоммуникаций и ядерной отрасли. Однако голландские компании не обязаны отчитываться об инцидентах информационной безопасности, и значительная часть уведомлений делается на добровольной основе.