Впровадження

європейської кібербезпеки:

загальний огляд

09.12.2015

Порядок денний

• Коротко про ISACA

• Про що цей документ?

• Таксономія кібератак

• Ландшафт європейської кібербезпеки

• Принципи та напрямки стратегії кібербезпеки ЄС

• Інтеграція кібербезпеки в корпоративне управління

• Розробка бізнес-плану для впровадження кібербезпеки

• Управління ризиками кібербезпеки

• Управління стійкістю кібербезпеки

• Надання впевненості щодо кібербезпеки

• Висновки для України

Коротко про ISACA

з 1969 року

понад 200 відділень по всьому світу

більше 115 000 членів у 180 країнах світу

• надійне джерело знань, стандартів, співробітництва та підвищення

кваліфікації для фахівців у галузі аудиту, підтвердження достовірності,

безпеки, управління ризиками, конфіденційності та управління

інформаційними системами

• розвиває та підтверджує найбільш важливі для бізнесу навички та

знання, поширюючи сертифікації, що визнаються у міжнародному

масштабі: CSX®, CISA®, CISM®, CGEIT® і CRISC™

• пропонує фахівцям із кібербезпеки − широкий набір ресурсів Cybersecurity Nexus™

− настанови COBIT® 2

− COBIT для забезпечення захисту інформації

− настанови щодо впровадження Основ знань із кібербезпеки

Національного інституту стандартів і технології США (NIST

Cybersecurity Framerwork)

− різноманітні настанови та програми аудиту безпеки хмарних технологій,

мобільних пристроїв, аутсорсингу

Про що цей документ? • Серія документів про впровадження європейської кібербезпеки

– спрямована на впровадження кібербезпеки, виходячи з досвіду ЄС та

асоційованих країн

– включає практичні настанови, які відповідають європейським вимогам і

передовому досвіду, згідно з діючими законами, стандартами та іншими

настановами

– містить посилання на релевантні документи ЄС, інші настанови,

стандарти та джерела інформації

• Серія складається з 5-ти документів – Загальний огляд (перекладено і буде представлено сьогодні)

– Управління ризиками

– Управління стійкістю

– Надання впевненості

– окремий документ Програма аудиту кібербезпеки

• Загальний огляд містить – важливі визначення, огляд підходів ЄС щодо впровадження кібербезпеки

– рекомендації з підготовки обґрунтування впровадження

– ключові елементи моделі управління кібербезпекою

Серія документів про впровадження

європейської кібербезпеки

в контексті інших публікацій ISACA

Цільова аудиторія

Серії документів про впровадження

європейської кібербезпеки

Чинники,

що впливають на необхідність

посилення кібербезпеки

Визначення терміну

«кібербезпека»

• Термін «кібербезпека» стосується корпоративного управління, заходів

захисту та механізмів надання впевненості щодо безпеки, які виходять

за межі стандартної інформаційної безпеки. Кібербезпека

зосереджується на особливих формах складних атак та охоплює їх

технічний і соціальний аспекти.

• Офіційне визначення ЄС

• Визначення ISACA

• Розширене визначення ISACA у публікації Трансформація кібербезпеки …Кібербезпека охоплює все, що захищає організації та фізичних осіб від

умисних атак, порушень, інцидентів і їх наслідків. На практиці

кібербезпека насамперед стосується тих типів атак, порушень та

інцидентів, які є цільовими, високотехнологічними та складними у

виявленні чи управлінні. Кібербезпека зосереджується на так званих

складних спрямованих постійних загрозах (APT), кібервійнах і їх впливі на

організації та людей.

Таксономія кібератак

• Необхідно розрізняти інформаційну безпеку та кібербезпеку.

• Різниця полягає в масштабах, мотивах, можливостях і методах атак.

Рівні складності та ризику

Аналіз рівня впливу:

кібербезпека та інформаційна безпека

Ландшафт

європейської кібербезпеки

Програми та ініціативи ЄС у сфері кібербезпеки охоплюють наступне

• Стратегію кібербезпеки, видану Європейською комісією, на якій

ґрунтується низка національних стратегій

• Директиву щодо мережевої та інформаційної безпеки (ЩОЙНО

УЗГОДЖЕНИЙ НОВИЙ ЗАКОН ЄС)

• агентство ENISA (настанови з інформаційної безпеки, нормативні

документи, а також допомога з впровадженням)

• цілу низку заходів, пов’язаних із кібербезпекою, в галузі науково-

дослідних робіт, регулювання та управління в ЄС і його державах-

членах, наприклад – 14 дій з кібербезпеки у Цифровому порядку денному для Європи

– міжорганізаційну та міжнародну співпрацю

– програму з досліджень і розвитку Горизонт 2020

Принципи

стратегії кібербезпеки ЄС

• розповсюдження цінностей, правил і норм ЄС на цифровий світ

• захист фундаментальних прав і свобод людини, персональних даних і

приватності

• рівний доступ для всіх

• демократичне та ефективне управління (multi-stakeholder governance:

«цифровий світ не може контролюватися однією людиною чи

організацією»)

• безпека – відповідальність кожного (shared responsibility)

Напрямки

стратегії кібербезпеки ЄС

• мінімальні вимоги для членів ЄС щодо – формулювання національних стратегій кібербезпеки та механізмів

взаємодії

– визначення відповідального агентства, створення CERT

– впровадження механізмів ризик-менеджменту для органів державного

управління та приватної критичної інфраструктури, а також інформування

про інциденти

• підвищення рівня обізнаності щодо кібербезпеки на всіх рівнях

• розвиток передового досвіду та обміну інформацією на галузевому рівні зі

залученням державно-приватного партнерства

• стимулювання розвитку та прийняття галузевих стандартів безпеки

• загальноєвропейські навчання з кібербезпеки (симуляція інцидентів)

• підвищення взаємодії цивільного сектору, науковців і військових

• покращення зв’язків між ENISA, Europol, CEPOL, EC3 та зацікавленими

сторонами

• інвестування в дослідження та технології кібербезпеки • http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-

and-online-freedom-and-opportunity-cyber-security

Інтеграція кібербезпеки

в корпоративне управління

Кібербезпека є

– невід’ємною частиною корпоративного управління, управління

ризиками та забезпечення відповідності (Governance, Risk Management

and Compliance)

– юридично зобов’язуючою складовою фідуціарних обов’язків директорів

і керівного складу організації

Організації повинні працювати над інтегруванням кібербезпеки як

міжфункціональної дисципліни в

• інформаційну безпеку

• традиційну корпоративну безпеку, включаючи фізичну

• управління корпоративними ризиками

• управління безперервністю ІТ-послуг (ITSCM)

• управління безперервністю бізнесу (BCM)

• захист критичної інфраструктури

• управління надзвичайними ситуаціями на національному рівні

• управління інцидентами та кризове управління на державному рівні

Впровадження кібербезпеки

у структуру GRC

GRC (governance, risk management, and compliance) –

корпоративне управління, управління ризиками та забезпечення відповідності

• належне управління, яке відповідає діючим принципам корпоративного

управління

• всеосяжне управлінням ризиками та загрозами кіберзлочинності та

кібервоєн, об’єднане з діючими системами управління корпоративними

ризиками (ERM)

• забезпечення відповідності діючим і запланованим законам і

регуляторним актам як на національних рівнях, так і на рівні ЄС

• стійкість організаційних інфраструктур і персоналу

• надання впевненості щодо інформації, процесів і заходів безпеки,

пов’язаних з ними

• тощо

Розробка бізнес-плану

для впровадження кібербезпеки

Впровадження кібербезпеки вимагає

• волі керівництва, планування, стратегічного управління змінами

Всеосяжний бізнес-план окреслює

• ризики та вимоги

• витрати та переваги

• високорівневий план та концепцію управління кіберезпекою

Важливо

• використання аналітики щодо рівня загроз і їх наслідків

• багато вимог мають цінність, рівень якої можливо виміряти та пов’язати

з бізнес-цілями організації (наприклад, підвищення довіри клієнтів)

• бізнес-план із кібербезпеки необхідно перекласти на мову ділового

спілкування

• кібербезпека є скоріше управлінським завданням, ніж технологічним

• технології – це лише набір інструментів

• організації повинні розглядати кібератаки як безсумнівний факт, а не

ймовірність

Впровадження

моделі корпоративного управління

кібербезпекою на основі COBIT

Ці сім інструментів

реалізації COBIT 5

представляють усі

аспекти кібербезпеки.

Модель інструментів

реалізації об’єднує

технічну, соціальну та

структурну складову

корпоративного

управління

кібербезпекою.

Управління

ризиками кібербезпеки

Управління

стійкістю кібербезпеки

Концепція стійкості є центральним елементом європейського бачення

кібербезпеки.

Властивість організації до відновлення та поглинання зовнішніх атак і

подій, а також їх внутрішніх впливів

Два аспекти стійкості

• стратегія кіберезпеки

• «системна» безпека – динамічна, гнучка модель управління, яка

дозволяє постійно вдосконалювати кіберезпеку

Використання концепцій PDCA, BCM, ITSCM.

Надання впевненості

щодо кібербезпеки

Система контролю

кібербезпеки

Систему внутрішнього контролю, що забезпечує впевненість у

кібербезпеці, необхідно розробляти та впроваджувати по низхідному

принципу (зверху-вниз), згідно з корпоративним підходом до GRC в

організації.

Типова система контролю кібербезпеки включає в себе різні аспекти

надання впевненості

• принципи, політики та настанови

• процеси і процедури

• залежні від ризику контролі та показники

• організаційну готовність

• організаційне та технічне оцінювання

• звітування, затвердження та обізнаність

• тощо

Оцінювання,

аудит та експертиза

• самооцінка контролів управління та неформальні оцінки

• незалежні експертизи внутрішніх контролів (часто здійснюються іншою

функцією або функцією, відповідальною за управління ризиками)

• інтеграція механізмів надання впевненості в кібербезпеці в програму

внутрішнього аудиту

• спроможності до аналітичної / дослідницької роботи та проведення

розслідувань

14 дій із кібербезпеки

Європейського Союзу

Європейський Союз визначив звід із 14 дій для посилення кібербезпеки в

державах-членах. Ці дії є частиною широкої всеосяжної програми під назвою

Цифровий порядок денний для Європи.

• Дія 28: посилення політики мережевої та інформаційної безпеки

• Дія 29: боротьба з кібератаками на інформаційні системи

• Дія 30: створення європейської платформи протидії кіберзлочинності

• Дія 31: аналіз корисності створення Центру європейської протидії кіберзлочинності

• Дія 32: посилення боротьби з кіберзлочинністю та кібератаками на міжнародному рівні

• Дія 33: забезпечення готовності всього ЄС до дій із кібербезпеки

• Дія 34: дослідження розширення норм інформування про порушення безпеки

• Дія 35: настанови з впровадження правил забезпечення конфіденційності інформації в

телекомунікаційних мережах

• Дія 36: забезпечення звітування про незаконний зміст в Інтернеті та проведення інформаційно-

роз’яснювальних кампаній щодо безпеки дітей в Інтернеті

• Дія 37: заохочення саморегулювання при використанні онлайн-сервісів

• Дія 38: впровадження в державах-членах пан’європейських команд реагування на комп’ютерні

надзвичайні ситуації

• Дія 39: проведення в державах-членах навчань у формі симуляції кібератак

• Дія 40: запровадження в державах-членах «гарячих ліній» для скарг на шкідливий зміст

• Дія 41: створення в державах-членах національних платформ для інформування про небезпеку

• Дія 123: проект директиви про мережеву та інформаційну безпеку

• Дія 124: стратегія кібербезпеки ЄС

• Дія 125: розширення Міжнародного альянсу проти сексуального насильства над дітьми в Інтернеті

Висновки для України

• кібербезпека є управлінським завданням, аніж технічним

• необхідне використання стратегії і директиви ЄС, та міжнародних

кращих практик при розробці української кіберстратегії та законодавства

• необхідна активніша участь бізнесу в цьому процесі!

• створення організації з кібербезпеки на засадах саморегулювання, а

також галузевих стандартів

• активне впровадження зрілих практик корпоративного управління та

інтеграція в них питань кібербезпеки

• незалежний аудит згідно з міжнародними стандартами замість КСЗІ

ДЯКУЮ ЗА УВАГУ!

www.isaca.org.ua office@isaca.org.ua facebook.com/Kyiv.ISACA