Обзор, анализ и рекомендации по защите Критической информационной инфраструктуры (Critical Information Infrastructure, CII). Передовой опыт
Настоящая глава идентифицирует образцовый передовой опыт защиты CII (Critical Information Infrastructure Protection, CIIP) среди государств-членов ЕС в области схем обмена информацией между государственными и общественными организациями и частными лицами, подготовки CII к чрезвычайным ситуациям, обязательств и требований к операторам CII.
Будут предоставлены примеры государств-участников, которые разработали рекомендуемые нормы в определенной области. Список примеров не является исчерпывающим и служит исключительно в качестве стимула для других государств-членов ЕС.
Партнерство с частными заинтересованными сторонами
Структурами ICT в различных отраслях бизнеса в основном владеют частные компании, а это означает, что сотрудничество государственных организаций с операторами CII имеет критически важное значение для того, чтобы гарантировать, что знания о текущих угрозах являются актуальными, и чтобы обеспечить, при необходимости, быстрое получение поддержки в ответ на инциденты.
Нидерланды являются хорошим примером надежного партнерства с частным сектором. Национальный центр кибербезопасности (NCSC, National Cyber Security Centre) служит в качестве центральной точки для целого ряда государственно-частных партнерств. В рамках NCSC было основано несколько партнерств, основной целью которых стало обнаружение, отклик и анализ. Кроме того, Совет по кибербезопасности (Cyber Security Council), состоящий из представителей государственных организаций и частных компаний, служит в качестве консультативного органа. Благодаря этому центр NSCS обеспечивает тесное партнерство с частными заинтересованными сторонами на стратегическом и операционном уровнях.
Еще одним примером тесного сотрудничества с частным сектором стала Австрия. Эта страна учредила Платформу кибербезопасности (Cyber Security Platform), в состав которой входят представители частных и государственных операторов CII, а также соответствующих государственных агентств. Целью этой платформы является облегчение коммуникации между своими участниками. На операционном уровне была создана группа GovCERT в качестве главной государственной CSIRT (группы реагирования на инциденты, связанные с компьютерной безопасностью). Ею руководит Ведомство федерального канцлера в сотрудничестве с CERT (частная инициатива).
Схемы обмена информацией
Многие государства-члены ЕС разработали схемы обмена информацией для того, чтобы распределять важную информацию между соответствующими государственными агентствами и частными операторами. Однако формы сотрудничества могут отличаться для разных стран. Схемы обмена информацией гарантируют, что все релевантные заинтересованные стороны будут проинформированы о текущих угрозах и рисках и смогут принять соответствующие меры. Кроме того, они позволяют укрепить сотрудничество и координацию действий и таким образом способствуют эффективному использованию ресурсов.
Германия создала целый ряд широкомасштабных схем обмена информацией с участием государственных и частных агентств. Обмен информацией между правоохранительными органами и спецслужбами реализован через Национальный центр кибербезопасности (National Cyber Response Centre)8, в рамках которого участники информируют друг друга в ходе ежедневных совещаний и семинаров. Обмену информацией с частным сектором способствуют UP KRITIS и Alliance for Cyber Security: UP KRITIS9 – это государственно-частное партнерство, его главной задачей является формирование коммуникаций и сотрудничества в области CIIP между частными и государственными заинтересованными сторонами на стратегическом и операционном уровнях. В то время как UP KRITIS концентрирует свое внимание на сотрудничестве с компаниями критически важных секторов, Alliance for Cyber Security (Альянс за кибербезопасность) имеет более широкую повестку дня, в него входят все релевантные организации в области компьютерной безопасности. Для того, чтобы укрепить безопасность всех заинтересованных сторон, альянс предлагает общий «пул информации», регулярные отчеты об угрозах и обмен знаниями между своими участниками (Federal Office for Information Security 2013, 2015).
________________
Сноски: (не переводить)
8 http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherheitsstrategie/Cyberabwehrzentrum/cyberabwehrzentrum_node.html
9 http://www.kritis.bund.de/SubSites/Kritis/EN/Home/home_node.html
Шведская Группа сотрудничества в области информационной безопасности (SAMFI, Cooperation Group for Information Security)10 – это еще один пример передового опыта в сфере обмена информацией. В отличие от Германии, основное внимание уделяется не правоохранительным органам и спецслужбам, а властям, отвечающим за безопасность социальной и общественной информации. В рамках SAMFI разные органы власти не только обмениваются информацией о недавних угрозах, но и обсуждают стратегические вопросы, а также национальные и международные тенденции развития. Представители разных органов власти встречаются несколько раз в год и коллективно работают в составе рабочих групп над решением текущих проблем. (Swedish Civil Contingencies Agency, MSB).
Развитие сообщества CSIRT
В большинстве стран существуют самые разнообразные группы CSIRT с разными компетенциями. Образование и развитие крепкого сообщества с участием разных национальных групп CSIRT, включая разделение ответственности и обмен информацией, поможет получить взаимные преимущества, например, повышение уровня знаний и более эффективное использование ресурсов.
Хороший пример крепкого сообщества с участием групп CSIRT существует в Польше. В Польше ни одна из групп CSIRT не получила статус национальной CSIRT. Вместо этого сообщество разных групп CSIRT совместно отвечает за безопасность. CERT.gov.PL представляет собой главную группу CSIRT для государственных учреждений, но она также предлагает свои услуги операторам CI на основе формальных соглашений. CERT Polska стала первой группой CSIRT в Польше, она входит в состав Исследовательской и академической компьютерной сети (NASK, Research and Academic Computer Network). Эта группа обладает специальными знаниями и опытом в области анализа и исследования инцидентов информационной безопасности, а также предоставляет информацию об угрозах и инцидентах. Эта информация доступна в базе данных, которую могут использовать частные и государственные организации. CERT.gov.PL и CERT Polska работают в тесном контакте, например, управляя базой данных, посвященной сетям honeypot (незащищённая сеть для изучения приёмов хакеров). Более того, они сотрудничают с целым рядом секторальных групп CSIRT, таких как MilCERT и CERT Orange (телекоммуникационный сектор).
Другими примерами применения передовых наработок при развитии CSIRT-сообществ являются Нидерланды или Германия. В Германии был создан CERT-Verbund – альянс различных немецких государственных групп CSIRT (CERT-Bund, военная группа CERTBw и несколько групп CERT федеральных земель), частных CSIRT крупнейших компаний и групп CSIRT частных поставщиков продуктов и услуг в области информационной безопасности (в числе прочих участников). Каждая группа CSIRT по-прежнему отвечает за собственную аудиторию, однако участники альянса обмениваются информацией и поддерживают друг друга при разрешении инцидентов. CERT-Verbund – это институциональный фундамент для такого сотрудничества. Организация открыта для приема всех типов групп CSIRT из Германии. Участники определили стандартизованные технические и организационные интерфейсы для обмена информацией. При этом важнейшей частью становится статистическая оценка совместно используемых данных и предоставление информации стратегического анализа.
Оценка риска
Оценка риска включает идентификацию потенциальных угроз, последствия этих угроз (воздействие) и их вероятность.11 Анализ рисков является необходимым шагом подготовки и управления кризисом и инцидентами. В некоторых странах национальная оценка риска проводится национальным органом власти для всех релевантных секторов. Другие страны, особенно те из них, которые используют более децентрализованный подход к CIIP, оставляют оценку риска внутриотраслевым ведомствам или операторам CI.
В качестве примера централизованной оценки риска на национальном уровне можно привести Швецию. Шведский комитет MSB был уполномочен на продолжение работ по оценке риска на национальном уровне, начавшихся в 2011 году. Он разработал методологию оценки риска, идентифицировал 27 конкретных серьезных (национальных) событий и разработал 11 сценариев на основе набора этих событий.
Дания не придерживается национального плана оценки риска, поскольку управление отраслевыми рисками рассматривается как более успешный способ смягчения рисков. При этом было образовано Подразделение по оценке киберугроз (Cyber Threat Assessment Unit), в состав которого входят специалисты из разных отраслевых органов государственной власти. Целью этого подразделения является проведение оценок риска для разных отраслей.
_______________________________
10 http://rib.msb.se/Filer/pdf/26177.pdf
11 Для анализа подходов оценки риска на национальном уровне см.: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation/nis-cooperation-plans/nlra-analysis-report
В качестве примера децентрализованного подхода можно привести Швейцарию. Швейцария использует подход, который уделяет большое внимание индивидуальной ответственности. Критически важные подотрасли руководят идентификацией рисков информационной безопасности для своих процессов и систем. Полагают, что подотрасли лучше всего знают свои собственные процессы и системы. Государство поддерживает этот процесс при получении соответствующего запроса.
Управление кризисами информационной безопасности
Хорошее управление кризисами информационной безопасности включает определение ролей и сфер ответственности при чрезвычайных ситуациях в области информационной безопасности, а также координацию и процедуры принятия решений с участием соответствующих заинтересованных сторон, обладающих необходимыми компетенциями и опытом. Более того, управление кризисами информационной безопасности должно быть согласовано с другими существующими национальными системами антикризисного и аварийного управления.12
Хорошим примером передового опыта в этой области является структура управления кризисами информационной безопасности в Нидерландах. При принятии решений применяется Национальная инструкция по принятию решений в кризисных ситуациях (National Manual on Decision-making in Crisis Situation) (National Coordinator for Security and Counterterrorism 2013). В случае возникновения аварийной ситуации, связанной с ICT, национальная антикризисная организация управляется директором по кибербезопасности Национального координатора по безопасности и антитеррористической деятельности (входит в состав министерства безопасности и правосудия). Меры по оперативному взаимодействию и антикризисные меры предлагаются Национальным центром кибербезопасности.
Управление кризисами информационной безопасности осуществляется в тесном сотрудничестве с частным сектором. В случае возникновения кризиса, связанного с информационной безопасностью, начинает активную работу Бюро оперативного реагирования ICT. Это Бюро сформировано как государственно-частное партнерство, в его состав входят эксперты по ICT из затронутых отраслей. Оно предлагает советы и рекомендации. Кроме того, центр NCSC договорился с государственными и частными заинтересованными сторонами о методах антикризисного управления.
Исчерпывающая правовая основа
Некоторые страны сформулировали проекты новых законов и нормативных актов для того, чтобы решить проблему растущих угроз CII. Эта законодательная основа часто подгоняется под потребности операторов CI всех релевантных отраслей, а не ограничивается лишь некоторыми из них. Эта законодательная основа часто включает обязательную реализацию технических и организационных мер безопасности в соответствии с национальными и международными стандартами. Прочие требования могут включать обязательное уведомление об инцидентах и регулярные внешние аудиты систем безопасности. Эти законы гарантируют единообразный уровень безопасности для всех отраслей и, в случаях обязательной отчетности о состоянии безопасности, позволяют государству анализировать входящие отчеты об инцидентах, отслеживать уровни угроз, выдавать предупреждения подвергшимся угрозе операторам CI и, при необходимости, предлагать поддержку.
В качестве примера передового опыта в этой области можно привести Францию. Закон о военном планировании (LPM13, Military Programming Law) обязывает «операторов особой важности» (OIV, operator of vital importance) сообщать об инцидентах кибербезопасности агентству Agence nationale de la sécurité des systèmes d’information (ANSSI), а также реализовывать технические и организационные меры в области информационной безопасности. Кроме того, OIV обязаны проводить аудиты кибербезопасности, которые должны выполняться либо агентством ANSSI, либо провайдером услуг, аттестованным ANSSI (French Senate 2013). Аналогичные обязательства были приняты в Германии, в которой недавно вступил в силу Закон об IT-безопасности (IT Security Act)14. Недавно принятый закон обязывает операторов реализовывать адекватные организационные и технические меры в области информационной безопасности в той степени, в которой это необходимо для обеспечения доступности их критически важных услуг. Более того, организации должны проводить аудиты безопасности, создавать контактные точки внутри своей структуры и сообщать о существенных инцидентах в области IT-безопасности, если имелась вероятность, что они могли затронуть доступность критически важных услуг.
______________________________________________
12 Для сравнительного исследования управления кризисами информационной безопасности и общего управления кризисами см. Report on Cyber Crisis Cooperation and Management ENISA 2014.
13 http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D18929C424710499FAE3092CB887BD8D.tpdjo09v_2?cidTexte=JORFTEXT000028338825&categorieLien=id
14 http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf