В ноябре 2009 года на 64-й сессии Генеральной Ассамблеи ООН была принята резолюция "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур". Собственно сама резолюция содержала всего два пункта. В первом она предлагала "государствам-членам использовать, если и когда они сочтут это целесообразным, прилагаемый инструмент добровольной самооценки национальных усилий по защите важнейших информационных инфраструктур, призванный помочь им в анализе их усилий по защите важнейших информационных инфраструктур и укреплению кибербезопасности, с тем чтобы выявить области, в которых требуется принятие дополнительных мер, в целях повышения глобальной культуры кибербезопасности", а во втором ООН предложила государствам-членам поделиться своим опытом и "стратегиями действий в области кибербезопасности и защиты важнейших информационных инфраструктур". Если по второму пункту России предложить миру нечего, то 17 пунктов методики самооценки представляют интерес. Я решил ответить за Россию и посмотреть насколько мы продвинуты в области ИБ (сравнивать, правда, не с кем, но и самооценка для понимания пробелов - это тоже неплохо). Итак, пойдем по пунктам:
- Роль ИКТ в национальной экономике, безопасности, транспорте, водоснабжении и обеспечении продовольствием, общественном здравоохранении, энергетике, финансах, служба экстренной помощи и гражданском обществе. Я бы оценил эту роль либо как незначительную, либо как среднюю с потенциалом роста.
- Риски в области ИБ для отраслей, указанных выше.Здесь моя позиция расходится с мнением регуляторов, но это и понятно. Для них иностранные технологии - зло. Для меня - пример прогресса.
- Слабые места в инфраструктуре. Пропущу этот пункт ;-)
- Цели национальной стратегии по обеспечению кибербезопасности и защиты важнейших информационных инфраструктур; нынешний уровень; меры по оценке прогресса; как стратегия выписывается в международные инициативы. Цели прописаны в Доктрине ИБ. Нынешний уровень - очень низкий. Оценка прогресса - не производится, т.к. нет метрик. Стратегия в международное сообщество не вписывается.
- Ключевые заинтересованные стороны, участвующие в обеспечении кибербезопасности и защиты важнейших информационных инфраструктур; роль каждой из них в разработке соответствующих стратегий и операций. Сторон полно. Основная роль отдана ФСБ. Остальные стороны на процесс не влияют. Бизнес и гражданское общество - тем более.
- Формальные и неформальные механизмы взаимодействия между правительством и промышленностью в разработке стратегий и операций в области кибербезопасности и защиты важнейших информационных инфраструктур. Отсутствуют.
- Форумы или структуры, которые могут в дальнейшем понадобиться для интеграции позиций правительства и неправительственных участников и их знаний. Консолидированных структур нет, но много разрозненных участников - АП КИТ, РАЭК, АРБ, РСПП, АДЭ и т.д.
- Принятые меры и планы по развитию сотрудничества между правительством и частным сектором. Отсутствуют.
- Осуществляемые и запланированные инициативы по отстаиванию общих интересов и решению общих проблем как среди участников важнейших инфраструктур, так и среди представителей частного сектора. Отсутствуют.
- Государственное ведомство, выполняющее функции координатора деятельности в связи с инцидентами. Отсутствует.
- Общенациональный механизм реагирования на компьютерные сбои. Отсутствует.
- Сети и процессы международного сотрудничества, которые могут укрепить потенциал реагирования на инциденты и планирования на случай чрезвычайных ситуаций. Отсутствуют.
- Список национальных правовых актов (в том числе занимающихся вопросами киберпреступности, охраны личной информации, защиты данных, коммерческого права, цифровых подписей и шифрования), которые могут устареть или утратить актуальность в результате быстрого развития новых информационно-коммуникационных технологий. Почти все не соответствуют действующему уровню развития ИКТ. Необходимое законодательство для расследования киберпреступлений и преследования лиц, виновных в их совершении. Не работает.
- Нынешнее состояние национальных органов по борьбе с киберпреступностью и соответствующих процедур. Неадекватное.
- Существующие правовые кодексы и правовые органы соответствуют задаче решения существующих и будущих проблем киберпреступности и киберпространства в целом. Не соответствуют.
- Уровень национального участия в международной деятельности по борьбе с киберпреступностью. Активное участие представителей МВД и ФСБ в международных конференциях.
- Потребности национальных правоохранительных органов в сотрудничестве с международными коллегами при расследовании транснациональных киберпреступлений. Требует отдельного рассмотрения, но пока уровень сотрудничества отстает от потребностей.
Часто ООН критикуют за бюрократизм , тормознутость, применение подходов прошлого века...
ОтветитьУдалитьТакое впечатление, что ООН поддерживают в таком состоянии чтобы ее можно было легко дискредитировать и закрыть...
Есть мнение что усилия по совершенствованию .... В общем можно сказать что ставить на ООН неразумно чтоли... Или такое мнение навязывается полюсом силы известно каким...
Интересно почему кроме оценки не было больше шагов.
ОтветитьУдалитьКак совершенствоваться, к чему стремится и т.п.
Чтобы были шаги, нужны результаты оценки. А не все страны отправили результаты самооценки в ООН.
ОтветитьУдалитьДа и шаги сложно вырабатывать. Ведь в ООН входят страны с РАЗЛИЧНЫМ законодательством. Чтобы был толк нудно привести всех к единому знаменателю. Иначе будут получаться очень высокоуровневые резолюции
ОтветитьУдалить