18.02.2013

Роман Кобцев, Директор Департамента развития и маркетинга

Президент США на прошлой неделе подписал указ «О мерах по укреплению кибербезопасности критических инфраструктур» (Executive Order — Improving Critical Infrastructure Cybersecurity) и «Директиву об обеспечении безопасности и устойчивости критических инфраструктур» (Presidential Policy Directive — Critical Infrastructure Security and Resilience) Т.е. американцы завершили «вторую часть Марлезонского балета» по введению кибербезопасности критически важных инфраструктур в правовое поле, которая у нас только начинается. Поэтому достаточно полезно взглянуть на то, что у них получилось. 

Cразу хотелось бы заметить, что документ тут же подвергся нещадной критике со стороны СМИ, ссылающихся, как обычно, на авторитетных экспертов. К примеру вот http://www.securityweek.com/obama-signs-executive-order-cybersecurity или вот http://www.net-security.org/secworld.php?id=14421 Самые громкие критические высказывания можно сформулировать одной фразой: указ о кибербезопасности КВО сильно попирает гражданские права и свободы. 

Сразу же становится интересно, что там могли такого написать, чтобы вызвать такие заявления. Пробежав беглым взглядом оба документа (особенно указ, т.к. именно он является тем самым выстраданным документом), можно отметить, что на первый взгляд победа осталась за силовиками в лице Департамента внутренней безопасности, хотя по многим вопросам определена доработка в течение ближайших полугода, делая документ в какой-то степени пока рамочным.

В документах, как и планировалось, определяются термины, ответственность, порядок взаимодействия, основные задачи по снижению рисков и др.

Под критическими инфраструктурами понимаются как физические, так и виртуальные системы и активы, являющиеся для США настолько жизненно важными, что ограничение функциональности или разрушение этих систем или активов приведет к последствиям, серьезно подрывающим национальную безопасность, сохранность национальной экономики, сохранность здоровья нации, или любые комбинации этих факторов.  

Предписывается использовать риск-ориентированный подход. Базовые рамки снижения кибер-рисков в критических инфраструктурах основаны на использовании добровольных стандартов и лучших отраслевых практик, которые могут быть применимы и которые отвечают требованиям национального института стандартов и еще некоторым государственным законам. Ну и всё в таком духе — это нет смысла сейчас перечислять. Наибольший интерес вызывает статья, которая и спровоцировала такую бурную реакцию общественности — а именно, статья о предоставлении информации о кибербезопасности. Данная статья описывает политику правительства США, направленную на увеличение объема, своевременности и качества обмена несекретной информацией о кибер-угрозах с организациями частного сектора, чтобы они могли эффективнее защитить свои объекты. Иными словами, она обязывает владельцев КВО, включая частный бизнес, передавать всю информацию, которая может касаться вопросов безопасности (я так полагаю, информацию об инцидентах, уязвимостях и т.д.). Данная статья поручает спецслужбам подготовить в течение четырех месяцев инструкции по порядку раскрытия подобной информации. Идея обмена информацией между всеми участниками выглядит совершенно адекватной, с чего вдруг столько шума? Силовики считают, что раскрытие и обмен подобной информацией позволит тому же частному сектору более эффективно противостоять кибер-угрозам. Однако скептики говорят, что все это красиво в теории, но на практике как обычно не так гладко, а вот то, что прецедент попрания прав на неприкосновенность частной информации будет положен, это факт. Т.е. частный бизнес будет вынужден учитывать еще риски, зависящие от доверия к офицерам Департамента внутренней безопасности, обрабатывающим данную информацию. Кроме того, указ будет вступать в противоречие с законодательством, защищающим неприкосновенность частной информации.

В общем, как бы то ни было, но американцы наконец путь выбрали — это усиление контроля безопасности критически важных объектов от кибер-угроз, даже если это будет служить некоторым ограничением гражданских свобод и интересов частного сектора. 

По какому пути пойдет Россия пока не понятно. Если верить коллегам, побывавших на семинаре-совещании «Актуальные вопросы информационной безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов» (http://www.connect.ru/newsdetail.asp?id=16452), которое организовал издательский центр Connect, всё пока ограничивается только обсуждениями и ни о каких документах, поданных на рассмотрение законодателей, пока не известно. Радует только то, что представители нашего крупного частного энергетического бизнеса, не дожидаясь от государства внятных правил игры, сами начинают защищаться от кибер-угроз в формате собственного понимания этой проблемы. В качестве примера рекомендую ознакомиться с этим документом — «Информационная безопасность в электроэнергетике. Отраслевые нюансы».