isaca cyber security law draft

МОДЕЛЬ УПРАВЛЕНИЯ КИБЕРБЕЗОПАСНОСТЬЮ

УКРАИНЫ

НА ОСНОВЕ ОПЫТА США:

ПРЕДЛОЖЕНИЯ «ГО ИСАКА КИЕВ»

К ПРОЕКТУ ЗАКОНА УКРАИНЫ ОБ ОСНОВАХ

КИБЕРБЕЗОПАСНОСТИ

Алексей Янковский, CISM

Слайд 2

План презентации

1. Коротко об ISACA 3

2. Модель управления, предлагаемая проектом Закона Украины об

основах Кибербезопасности, разработанного Госспецсвязью

4

3. Альтернативный законопроект от ГО «ИСАКА Киев», основанный на

модели США и использующий опыт других стран

10

4. Преимущества модели, предложенной ISACA 16

Приложение: выдержка из аналитической записки о применимости

КСЗИ и НДТЗИ для управления Кибербезопасностью,

подготавливаемой ISACA

18

ISACA в глобальном масштабе

• ISACA – международная профессиональная неприбыльная ассоциация, нацеленная на создание и распространение лучших практик и знаний в сфере управления информационными технологиями, кибербезопасности и аудита

• Насчитывает более 170 отделений в 70 странах мира, более 100,000 членов

• Членами ассоциации являются специалисты по аудиту и безопасности информационных систем, внутреннему аудиту, консультанты, руководители департаментов информационных технологий, представители государственных органов власти, преподаватели

• Профессиональная международная сертификация, программы обучения для ВУЗов

• Обмен опытом по вопросам ИТ в глобальном масштабе

• Основные публикации ISACA:

• CobiT – свод лучших практик в сфере ИТ-управления, ИТ-аудита (украинский)

• ISACA Cybersecuruty framework – свод лучших практик по Кибербезопасности (соответствует NIST Framework for Improving Critical Infrastructure Cybersecurity)

• ITAF – свод профессиональных требований по ИТ-аудиту (украинский)

• Сборник Val IT Framework – управление инвестициями в ИТ

• Журнал Information System Control Journal

• Множество других публикаций, которые охватывают различные вопросы ИТ-управления

• www.isaca.org

Слайд 3

Модель управления, предлагаемая проектом Закона

Украины об основах Кибербезопасности (упрощенно) 1/5

• Будущую модель определяют 3 документа:

- Проект Закона Украины об основах Кибербезопасности

(предоставлен ISACA для анализа)

- Критерии для отнесения организаций к объектам критической

инфраструктуры

- Проект изменений в Законе об информации

Слайд 4

• Объектами киберзащиты задекларированы объекты в которых

обрабатывается информация, требования к защите которой

установлены законом либо гос. информационные ресурсы

• Проект Закона об информации вводит понятие «технологическая

информация» (например, информация в системах АСУТП)

• На основе отдельного документа (Критериев) определяются объекты

критической инфраструктуры

• Организации, которые вошли в перечень объектов критической

инфраструктуры, обязаны создать функции киберзащиты и построить

КСЗИ для защиты технологической и конфиденциальной информации

• Госспецсвязь разрабатывает нормативные документы по

Кибербезопасности и контролирует их выполнение

• В ЗСУ, СБУ, РНБО, МВД, Ген. Штабе создаются структуры

ответственные за Кибербезопасность



Слайд 5

Подходят ли КСЗИ и НДТЗИ для кибербезопасности и для частного бизнеса?

• НДТЗИ (в частности НД ТЗІ 2.5-004), основаны на Common Criteria (ISO 15408) и

нацелены преимущественно на защиту и сертификацию конкретной системы,

нежели организации в целом (не охватывают управленческий уровень,

например, реагирование на инциденты). В США используются

преимущественно органами государственной власти для сертификации

оборудования

• Подход, основанный на КСЗИ, предполагает скрупулезное документирование

настроек и любых изменений в системе, в то время как организация

эффективной киберзащиты требует перенастройки системы (включая

изменения архитектуры) в режиме реального времени, иногда даже в ущерб

документированию

• НДТЗИ громоздки/избыточны и сложны для понимания частного бизнеса

• Не применимы для сложной системы, состоящей из десятков АСУТП на

крупных предприятиях

• Монополизируется применение стандартов и выполнение соответствующих

работ (в США применение NIST – добровольно, допускается использование

альтернативных подходов)



Слайд 6

НД ТЗІ не охватывают важнейшую область

кибербезопасности – организационный уровень

Согласно НД ТЗІ 1.1-002-99:

“Цей документ і комплект

НД, що базується на ньому,

присвячений питанням

організації захисту від НСД і

побудови засобів захисту

від НСД, що функціонують

у складі обчислювальної

системи АС. Організаційні

і фізичні заходи захисту,

включаючи захист від

фізичного НСД до

компонентів ОС, як і захист

від витоку технічними

каналами не є предметом

розгляду ”

Слайд 7

Прочие вопросы и наблюдения:

• Будет ли эффективной централизованная модель управления

кибербезопасностью? Каким образом будет учтена отраслевая

специфика?

• Очень узкое понимание объектов киберзащиты и киберпространства

• Не используется понятие «риск», проект закона оперирует лишь

понятиями «угроза» и «защита информации от угрозы»

• Вопросы, связанные с обменом информацией об атаках, недостаточно

артикулированы

• Не урегулированы такие вопросы, как блокирование сетей, являющихся

источниками атак, ответственность за продажу ботнетов и

вредоносного ПО, доступ экспертов и исследователей к деталям атак

• Вопросы киберпреступности, защиты конечных пользователей, МСБ и

организаций не являющихся объектами критичной инфраструктуры,

вынесены за рамка Законопроекта



Слайд 8

Прочие вопросы и наблюдения (продолжение):

• Не предполагается использование альтернативных международных

стандартов и институции независимых аудиторов для регулярного

подтверждения эффективности системы контроля

• Недостаточно проработаны вопросы подготовки кадров, образования,

профессиональной сертификации в сфере кибербезопасности

• Требование к операторам связи хранить историю трафика за

определенный период времени (в «Закон про Телекомунікації») не

содержит мероприятий по контролю злоупотреблений и противоречит

ратифицированной Конвенции о киберпреступности

• Не предусмотрено единоначалие в вопросах кибербезопасности в

«особливий период», в т.ч. вопросы передачи контроля за

телекоммуникационными сетями общего пользования



Слайд 9

ГО «ИСАКА Киев», используя опыт глобальной ISACA и волонтеров

членов отделения, разработало альтернативный законопроект.

Основные принципы:

• Государство делегирует существенные полномочия по определению

стандартов и контролю киберзащиты отраслевым регуляторам

• Госспецсвязь остается регулятором для органов государственной

власти, а для других отраслей выполняет координирующую роль

• Для частного бизнеса - основополагающим подходом является

организационный, риск-ориентированный, нежели технический: NIST

Framework for Improving Critical Infrastructure Cybersecurity либо

аналогичные международные фреймворки

• В каждой отрасли создаются центры реагирования и обмена

информацией об атаках

• Отраслевые регуляторы по своему усмотрению привлекают

независимых аудиторов для проверок в своих отраслях

Альтернативный законопроект от ГО «ИСАКА Киев» – с

использованием опыта США и других стран (1/3)

Слайд 10

Основные принципы (продолжение):

• Четко определены отрасли, относящиеся к критической инфраструктуре

• Госспецсвязь оповещает об угрозах Отраслевые центры реагирования

и обмена информацией об атаках и собирает от них информацию об

атаках, способствует расследованию инцидентов

• Создается Центр Кибербезопасности при Президенте Украины – он

проводит оперативное управление всеми ресурсами постоянного

реагирования в сфере кибербезопасности

• На объектах критической инфраструктуры и в органах государственной

власти создаются функции аудита ИТ

• Риск-ориентированный подход, методика ENISA для определения

объектов критической инфраструктуры.

• Более широкое понятие киберпространства, набор мероприятий для

МСБ

• Совершенствование системы образования и проф. Сертификации

• Ежегодный отчет Верховной Раде о состоянии кибербезопасности в

стране



Слайд 11

Основные принципы (продолжение):

• Предложен ряд мероприятий, направленных на защиту приватности от

неправомерного перехвата информации и злоупотреблений:

Передача информации провайдером - только по решению суда

Автоматическое уведомление судебных органов при перехвате

информации

Ограничения по сроку перехвата информации

Принцип «пропорциональности»

Запрет на выведывание информации (anti-fishing)

Постфактум уведомление всех субъектов перехвата информации



Слайд 12

NIST Framework for Improving Critical Infrastructure

Cybersecurity

Слайд 13

Пример - перечень секторов/отраслей, отнесенных к

критической инфраструктуре в США

• chemical;

• commercial facilities;

• communications;

• critical manufacturing;

• dams;

• Defense Industrial Base;

• emergency services;

• energy;

• financial services;

• food and agriculture;

• government facilities;

• healthcare and public health;

• information technology;

• nuclear reactors, materials, and

waste;

• transportation systems; and

• water and wastewater systems.

Слайд 14

• ISO-27001, ISO-27002, адаптированные НБУ - применяется в

банковском секторе Украины

• NERC – Critical Infrastructure Protection standards (CIP)

• Gramm-Leach Bliley Act (GLBA) для фин. учреждений - Финансовая

ответственность организаций и персональная финансовая

ответственность их руководителей

• PCI DSS

• HIPPA - Health Insurance Portability and Accountability Act of 1996 -

защита медицинских записей. Штрафы в размере 50тыс.-100тыс.USD,

а также гражданские иски

• Health Information Technology for Economic and Clinical Health Act (the

HITECH Act) - включает рамки HIPPA людей и организации

ответственных за обработку данных пациентов (страховые компании,

банки, школы и пр.)

Примеры отраслевых стандартов и нормативных

документов

Слайд 15

Преимущества модели, предложенной ISACA

• Позволяет выстроить более эффективную систему, основанную на

апробированных на западе подходах и стандартах, в т.ч. практиках

зрелого корпоративного управления

• Позволяет учесть отраслевые особенности, а также возможности

бизнеса

• Упрощает и снижает стоимость внедрения кибербезопасности для

бизнеса

• Повышает защиту приватности граждан и юр.лиц от возможных

злоупотреблений, связанных с перехватом информации

• Риск-ориентированность

• Охватывает вопросы подготовки кадров, защиты МСБ

• Более эффективная модель управления для органов

кибербезопасности постоянной готовности

Слайд 16

Дальнейшие шаги

• Обсуждение в рамках сегодняшнего семинара

• Круглый стол в рамках Европейской Бизнес Ассоциации (EBA) с

участием представителей бизнеса и руководства Госспецсвязи

• Организация открытых слушаний в рамках профильного комитета

Верховной Рады Украины стола с участием

- Представителей владельцев объектов критической

инфраструктуры

- Силовых ведомств: Госспецсвязи, МВД, СБУ, Генштаба,

Министерства Обороны

- Существующих регуляторов – НБУ, НКРЗЕ и пр., и профильных

министерств

- Иностранных экспертов

Слайд 17

1. КСЗІ була розроблена на базі досвіду захисту державної таємниці, оскільки

раніше питання захисту інформації, в тому числі банківської та комерційної,

взагалі не поставало. Для захисту державної таємниці КСЗІ безумовно є дуже

гарною системою, оскільки вона враховує усі ймовірні загрози без

урахування можливості їх реалізації. (Це часто неможливо: наприклад,

загроза з наявності приміщень іноземних представництв поблизу місця

оброблення таємної інформації – оцінити можливість та вірогідність реалізації

такої загрози неможливо).

2. Слід також зазначити, що основною метою захисту державної таємниці є

захист від несанкціонованого доступу. Крім того, засоби оброблення такої

інформації є досить статичними, рідко заміняються, та і перелік загроз

практично не змінюється. Це надає можливість рідко змінювати КСЗІ та

надає достатньо часу для проходження атестації.

3. В сучасних умовах питання захисту інформації виникають в різних галузях

життя країни. Впровадження сучасних, швидко змінюваних інформаційних

технологій потребує досить динамічного підходу для забезпечення надійного

захисту інформації від усіх типів загроз, в тому числі забезпечення

безперервності бізнесу.

Приложение. Выдержка из аналитической записки о

применимости КСЗИ и НДТЗИ для управления

Кибербезопасностью, подготавливаемой ISACA(1/3)

Слайд 18

4. Власниками інформації, яка не відноситься до державної таємниці, є комерційні

структури і навіть фізичні особи-підприємці. Вони мають фінансувати заходи захисту

для уникнення компрометації їх конфіденційної інформації, в тому числі комерційної,

банківської та інших видів таємниць. Тому, повинні існувати інструменти, які

допомагають швидко оцінювати ефективність захисту інформації та враховують не

тільки загрози, а і можливість їх реалізації через існуючі вразливості та слабкі місця. Це

надає можливість власнику інформації, що потребує захисту, вибирати та усувати тільки

ті ризики, які можуть реально нанести велику шкоду бізнесу, тим самим більш

ефективно використовувати гроші на систему захисту інформації. Крім того, власник

інформації повинен мати можливість застосовувати різні засоби для

уникнення/мінімізації ризиків, навіть до відмови використання найбільш ризикових

технологій, та забезпечувати належний захист інформації тільки х використанням

організаційних заходів, або прийняти деякі ризики, усунення яких потребує великих

фінансових вкладень, на деякий час до накопичення потрібних коштів.

5. Зазначені вище можливості надають міжнародні стандарти з управління інформаційною

безпекою: NIST, COBIT, ISO 27xxx тощо, які широко використовуються в усьому світі.




Слайд 19

6. С точки зору кібербезпеки слід зазначити, що тільки підходи, яка основані на управління

ризиками інформаційної безпеки, можуть забезпечити реальний ефективний

кіберзахист. Більшість об’єктів критичної інфраструктури не відноситься до державної

власності; подавляючи більшість інформації, що циркулює та обробляється і потребує

захисту від кібератак, не відноситься до державної таємниці.

Враховуючи вище наведене дуже важливо якнайскоріше надати власникам

об’єктів критичної інфраструктури прозорі інструменти управління ризиками

інформаційної безпеки у вигляді гармонізованих міжнародних

фреймворків/стандартів із впровадження та управління кібербезпекою




Слайд 20

isaca cyber security law draft

Government & Nonprofit