Cybersecurity governance model for Ukraine, based on the models of the US and UK

1. МОДЕЛЬ УПРАВЛЕНИЯ КИБЕРБЕЗОПАСНОСТЬЮ
УКРАИНЫ
ПРЕДЛОЖЕНИЯ «ГО ИСАКА КИЕВ»
К ПРОЕКТУ ЗАКОНА УКРАИНЫ ОБ ОСНОВАХ
КИБЕРБЕЗОПАСНОСТИ
Алексей Янковский, CISM
Глеб Пахаренко, CISSP
Ирина Ивченко

2. Слайд 2
План презентации
1. Кратко об ISACA
2. Кибербезопасность – основные понятия
3. В чем суть иностранных лучших практик по Кибербезопасности на
примере США и UK
4. Модель управления, предлагаемая законопроектом 2126а об
основах Кибербезопасности, разработанного Госспецсвязью
5. Альтернативное виденье от ГО «ИСАКА Киев», основанное на
иностранных лучших практиках
6. Преимущества модели, предложенной ISACA
7. Предлагаемые дальнейшие шаги

3. ISACA в глобальном масштабе
• ISACA – международная профессиональная неприбыльная ассоциация, нацеленная на
создание и распространение лучших практик и знаний в сфере управления
информационными технологиями, кибербезопасности и аудита
• Насчитывает более 170 отделений в 70 странах мира, более 100,000 членов
• Членами ассоциации являются специалисты по аудиту и безопасности
информационных систем, внутреннему аудиту, консультанты, руководители
департаментов информационных технологий, представители государственных органов
власти, преподаватели
• Профессиональная международная сертификация, программы обучения для ВУЗов
• Обмен опытом по вопросам ИТ в глобальном масштабе
• Основные публикации ISACA:
• CobiT – свод лучших практик в сфере ИТ-управления, ИТ-аудита (украинский)
• ISACA Cybersecuruty framework – свод лучших практик по Кибербезопасности
(соответствует NIST Framework for Improving Critical Infrastructure Cybersecurity)
• ITAF – свод профессиональных требований по ИТ-аудиту (украинский)
• Сборник Val IT Framework – управление инвестициями в ИТ
• Журнал Information System Control Journal
• Множество других публикаций, которые охватывают различные вопросы ИТ-
управления
• www.isaca.org
Слайд 3

4. Киберпространство – виртуальное пространство которое создается при
помощи компьютерных систем, сетей, интернет, организаций которые
ими управляют, пользователей и отношений между ними (организация,
сервисы, потоки информации и пр.)
Кибербезопасность -
• состояние защищенности жизненно-важных интересов человека,
общества, государства при использовании киберпространства;
• способность противостоять целенаправленным атакам, которые могут
привести к высокому ущербу.
Объекты критической инфраструктуры – организации, нарушение
работы которых может привести к серьезным экономическим
последствиям, ущербу нац. безопасности, экологическим последствиям,
ущербу здоровью людей
Критические отрасли – энергетика, медиа, финансовый сектор,
химическая промышленность, нефть и газ, транспортная
инфраструктура, телеком, изготовление продуктов питания, тяжелая
промышленность, ВПК, органы гос. власти, водоочистительные
сооружения и дамбы, здравоохранение
Понятийный аппарат (1/2)
Слайд 4

5. Слайд 5
Отличие кибер безопасности от традиционной
информационной безопасности

6. КСЗИ – Комплексна Система Захисту Інформації
• украинский фреймворк для защиты информации в системах,
основанный на нормативных документах НДТЗИ разработанных в
1990-2000 годах
• требует разработки обширного комплекта документации, внедрения, и
аттестации специализированными компаниями-лицензиатами
• обязательное обновление документации и переаттестация при любых
изменениях в системе
• обязательна для защиты гос. тайны
• набор формальных правил, которые нужно соблюсти –
эффективность на очень низком уровне
Лицензиаты –
• украинские организации, которые получили лицензию Госспецсвязи
для проведения работ по созданию и аттестации КСЗИ
• Получение статуса лицензиата носит формалистический характер, не
гарантирует высокий уровень квалификации персонала
Понятийный аппарат (2/2)
Слайд 6

7. На примере США и UK
• Бизнес был всегда впереди государства, регулирование для бизнеса
развивается «снизу-вверх»
• Централизованное регулирование и государственный контроль
присутствует лишь для гос. сектора
• Ответственный гос. орган для частного бизнеса создает
благоприятную среду для взаимодействия частного бизнеса и
государства:
- оказывает методологическую поддержку
- содействует обмену информацией об атаках и угрозах
- помогает в расследовании инцидентов (CERT)
• Отраслевые регуляторы и ассоциации самостоятельно вырабатывают
отраслевые стандарты кибербезопасности и контролируют их
выполнение при помощи механизма аудита
• Существуют отраслевые негосударственные центры обмена
информацией об атаках
• Фокус - международные стандарты и профессиональная сертификация
В чем суть иностранных лучших практик по
Кибербезопасности?
Слайд 7

8. Модель кибербезопасности США – фокус на
координации
Слайд 8
Область Описание
Законодательство (не
полный перечень)
National Security Presidential Directive 54 / Homeland Security Presidential
Directive 23 (NSPD-54/HSPD-23), National Critical Infrastructure Protection
Plan, Presidential Policy Directive -- Critical Infrastructure Security and
Resilience, Executive Order -- Improving Critical Infrastructure Cybersecurity,
Cybersecurity Enhancement Act of 2014, National Cybersecurity Protection
Act
Государственные
Координаторы (Sector-
Specific Agencies*)
Department of Homeland Security (главный координатор), Department of
Agriculture, Department of Health and Human Services, Department of
Energy, Department of Treasury, Environmental Protection Agency,
Department of Transportation, DoD, GSA
Аудит в министерствах Office of inspector general – включает cybersecurity и ИТ
Отраслевые
координационные советы
Включают государство и частный бизнес (напр. Oil & Natural Gas Sector
Coordinating Council (ONG SCC))
Отраслевые регуляторы
(примеры)
NERC, SEC, Financial Industry Regulatory Authority (FINRA), US Nuclear
Regulatory Commission, American Gas Association, National Association of
Insurance Commissioners (“NAIC”), New York State Department of Financial
Services (NYDFS)
Центры обмена
информацией об атаках
(ISACs) и CERТы
Aviation-ISAC, Financial Services-ISAC, Communications-ISAC (NCC),
Downstream Natural Gas-ISAC, Electric Sector-ISAC, National Health-ISAC,
Nuclear Energy Institute, Public Transport-ISAC. US-CERT, ICS-CERT, др.
Фреймворки и требования NIST Cybersecurity Implementation Framework (либо аналогичные – ISO-
27001, и др.)
Отраслевые стандарты – напр. NERC Critical Infrastructure Protection

9. Слайд 9
Приложение: Пример структур взаимодействия
государства и отраслевых координационных советов

10. Модель кибербезопасности UK
Слайд 10
Область Описание
Законодательство (не
полный перечень)
National Security Strategy, Strategic Defense and Security Review, Counter
terrorism strategy, Cyber Security Strategy, National Risk Register, Critical
Infrastructure Resilience Programme (CIRP), Article 13a of the Framework
Directive128 7.4 , sections 105A-D of the Communications Act 2003
Ответственные гос.
органы
Office of Cyber Security & Information Assurance (OCSIA) – стратегия,
CPNI - Centre for the Protection of National Infrastructure –
консультативная поддержка бизнеса, Office of the Government Senior
Information Risk Owner (National Risk Register), National Technical Authority
for Information Assurance - CESG (безопасность для гос. сектора)
Отраслевые
координаторы (гос. сектор)
- примеры
Communications - Department for Business, Innovation and Skills (BIS),
Energy - Department for Energy and Climate Change (DECC), Finance - HM
Treasury (HMT), Food - Department for the Environment, Health -
Department of Health (DH), Transport - Department for Transport (DfT)
Water - Department for the Environment
Центры обмена
информацией и CERTы
Cyber-Security Information Sharing Partnership (CISP), CNSSIE - Civil
Nuclear Sector SCADA Information Exchange, FSIE - Financial Services
Information Exchange, MSPIE - Managed Service Providers Information
Exchange, NIXIE - Northern Ireland Cross-Sector Information Exchange,
SCSIE - SCADA and Control Systems Information Exchange, Gov-CERT –
для гос. организаций, CERT-UK – для частного бизнеса
Отраслевые регуляторы
(примеры)
OFCOM (Office of Cummunications Independant Regulator) - регулятор для
телекоммуникаций и медиа http://www.ofcom.org.uk/
Фреймворки и требования Cyber Essentials Scheme. Отраслевые (пример) – для телеком и медиа
Ofcom guidance on security requirements (дает право на аудит)

11. Суть законопроекта 2126а «Об основах Кибербезопасности
Украины» (в части влияния на бизнес)
• Организации, которые войдут в перечень объектов критической
инфраструктуры (практически все крупные предприятия), обязаны
построить КСЗИ для защиты информации
• Для построения КСЗИ организации за свой счет должны привлекать
компании-лицензиаты Госспецсвязи
• На Госспецсвязь возлагается роль национального регулятора по
кибербезопасности - разработка нормативных документов и проверка
их выполнения
• Операторов связи обязуют хранить историю трафика и по запросу
выдавать силовым ведомствам
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 1/5
Слайд 11

12. Ключевые вопросы:
• Законопроект содержит существенные коррупционные факторы, в
частности вводит дополнительные проверки для бизнеса:
• «ДССЗЗІ розробляє критерії та порядок оцінки стану кіберзахисту об’єктів
критичної інформаційної інфраструктури, забезпечує її організацію та проведення;
• Здійснює державний контроль за станом захисту інформації, яка циркулює на
об’єктах критичної інформаційної інфраструктури»
• Установление лицензионных требований для обеспечения
киберзащиты – противоречит политике государства по дерегуляции
• Конфликт интересов – для защиты частного бизнеса требуется
привлечение государственных лицензиатов
• Наличие у лицензиата лицензии не гарантирует высокого уровня
квалификации
• В то же время международные квалификации не признаются
• Монополизируется применение стандартов кибербезопасности (КСЗИ,
НДТЗИ), которые устарели и не подходят для киберзащиты
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 2/5
Слайд 12

13. Ключевые вопросы:
• Централизованная модель, при которой Госспецсвязь будет
регулятором не эффективна т.к. не позволит учитывать отраслевую
специфику, а бизнес не будет иметь возможности самостоятельно
вырабатывать и влиять на требования киберзащиты
• Требования к операторам создают широкие возможности для
злоупотреблений со стороны силовых структур и противоречат
конвенции о Киберпреступности
• Не используется понятие «риск», законопроект оперирует лишь
понятиями «угроза» - меры защиты могут быть избыточными
• Не предполагается использование международных стандартов и
фреймворков и институции независимых аудиторов для регулярного
подтверждения эффективности системы контроля
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 3/5
Слайд 13

14. Другие важные вопросы:
• Очень узкое понимание объектов киберзащиты и киберпространства
(ограничено рамками информационной системы)
• Вопросы, связанные с обменом информацией об атаках, недостаточно
артикулированы
• Недостаточно проработаны вопросы подготовки кадров, образования,
профессиональной сертификации в сфере кибербезопасности
• В частности, не признаются всемирно-признанные сертификации
специалистов и организаций
• Вопросы киберпреступности, защиты конечных пользователей, МСБ и
организаций не являющихся объектами критичной инфраструктуры,
вынесены за рамка Законопроекта
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 3/5
Слайд 14

15. Подходят ли КСЗИ и НДТЗИ для кибербезопасности и для частного бизнеса?
• НДТЗИ (в частности НД ТЗІ 2.5-004), основаны на Common Criteria (ISO 15408) и
нацелены преимущественно на защиту и сертификацию конкретной системы,
нежели организации (не охватывают управленческий уровень, например,
реагирование на инциденты). В США используются преимущественно
органами государственной власти для сертификации оборудования
• КСЗИ – объектом защиты - информация в системе, нежели организация
• Подход, основанный на КСЗИ, предполагает скрупулезное документирование
настроек и любых изменений в системе, в то время как организация
эффективной киберзащиты требует перенастройки системы (включая
изменения архитектуры) в режиме реального времени, иногда даже в ущерб
документированию (адаптивность, гибкость к изменениям)
• НДТЗИ громоздки/избыточны и сложны для понимания частного бизнеса
• Не применимы для сложной системы, состоящей из десятков АСУТП на
крупных предприятиях
• Монополизируется применение стандартов и выполнение соответствующих
работ (в США применение NIST – добровольно, допускается использование
альтернативных подходов)
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 5/5
Слайд 15

16. ГО «ИСАКА Киев», используя опыт глобальной ISACA и волонтеров
членов отделения, разработала альтернативный законопроект.
Основные принципы:
• Фокус на саморегуляцию бизнеса - государство делегирует
существенные полномочия по определению стандартов и контролю
киберзащиты отраслевым регуляторам либо профессиональным
ассоциациям
• Госспецсвязь остается регулятором для органов государственной
власти, а для других отраслей выполняет координирующую роль
• Для частного бизнеса - основополагающими являются
международные, риск-ориентированные фреймворки
• Объект защиты – организация, нежели система
• В каждой отрасли создаются центры реагирования и обмена
информацией об атаках
• Отраслевые регуляторы по своему усмотрению привлекают
независимых аудиторов для проверок в своих отраслях
Альтернативное виденье от ГО «ИСАКА Киев» – с
использованием опыта США и других стран (1/3)
Слайд 16

17. Основные принципы (продолжение):
• Четко определены отрасли, относящиеся к критической инфраструктуре
• Госспецсвязь оповещает об угрозах Отраслевые центры
реагирования и обмена информацией об атаках и на добровольной
основе собирает от них информацию об атаках, способствует
расследованию инцидентов
• На объектах критической инфраструктуры и в органах государственной
власти создаются функции аудита ИТ
• Более широкое понятие киберпространства, набор мероприятий для
МСБ
• Совершенствование системы образования и проф. сертификации
• Госспецсвязь ежегодно отчитывается Верховной Раде о состоянии
кибербезопасности в стране
Альтернативный законопроект от ГО «ИСАКА Киев» – с
использованием опыта США и других стран (2/3)
Слайд 17

18. Основные принципы (продолжение):
• Предложен ряд мероприятий, направленных на защиту приватности
от неправомерного перехвата информации и злоупотреблений:
 Передача информации провайдером - только по решению суда
 Автоматическое уведомление судебных органов при перехвате
информации
 Ограничения по сроку перехвата информации
 Принцип «пропорциональности»
 Запрет на выведывание информации (anti-fishing)
 Постфактум уведомление всех субъектов перехвата информации
Альтернативный законопроект от ГО «ИСАКА Киев» – с
использованием опыта США и других стран (3/3)
Слайд 18

19. Возможные отраслевые регуляторы
Государственные
• НКРЕ,
• НКРЗ,
• Мин Транс,
• Мин Инфраструктуры,
• Минздрав,
• НБУ
• …
Возможна передача части
полномочий от Государства к
Саморегулирующимся
Организациям
Отраслевые ассоциации
• ИНАУ, Телас
• НАМ, ИТК – медиа
• Ассоциация компаний ко
управлению активами
• Ассоциация торговцев
• …
Слайд 19

20. Пример - перечень секторов/отраслей, отнесенных к
критической инфраструктуре в США
• chemical;
• commercial facilities;
• communications;
• critical manufacturing;
• dams;
• Defense Industrial Base;
• emergency services;
• energy;
• financial services;
• food and agriculture;
• government facilities;
• healthcare and public health;
• information technology;
• nuclear reactors, materials, and
waste;
• transportation systems; and
• water and wastewater systems.
Слайд 20

21. • ISO-27001, ISO-27002, адаптированные НБУ - применяется в
банковском секторе Украины
• NERC – Critical Infrastructure Protection standards (CIP)
• Gramm-Leach Bliley Act (GLBA) для фин. учреждений - Финансовая
ответственность организаций и персональная финансовая
ответственность их руководителей
• PCI DSS
• Ofcom guidance on security requirements – требования к медиа
компаниям в UK
• HIPАA - Health Insurance Portability and Accountability Act of 1996 -
защита медицинских записей. Штрафы в размере 50тыс.-100тыс.USD,
а также гражданские иски
• Health Information Technology for Economic and Clinical Health Act (the
HITECH Act) - включает рамки HIPPA сервисные организации -
страховые компании, банки, школы и пр.
Примеры отраслевых стандартов и нормативных
документов
Слайд 21

22. Преимущества модели, предложенной ISACA
• Снижает коррупционные факторы
• Позволяет выстроить более эффективную систему, основанную на
апробированных на западе подходах и стандартах, в т.ч. практиках
зрелого корпоративного управления
• Позволяет учесть отраслевые особенности, а также возможности
бизнеса
• Упрощает и снижает стоимость внедрения кибербезопасности для
бизнеса
• Риск-ориентированность – стоимость мер защиты соотносится с
риском
• Повышает защиту приватности граждан и юр.лиц от возможных
злоупотреблений, связанных с перехватом информации
• Охватывает вопросы подготовки кадров, защиты МСБ
Слайд 22

23. Дальнейшие шаги
• Услышать мнение бизнес-среды на сегодняшнем семинаре
• Составить письмо на Верховную Раду для отзыва
зарегистрированного законопроекта 2126а
• Обеспечить вовлечение бизнеса в рабочую группу по разработке
Законопроекта с участием
- American Chamber of Commerce
- Представителей владельцев объектов критической
инфраструктуры
- Силовых ведомств: Госспецсвязи, МВД, СБУ, Генштаба,
Министерства Обороны
- Существующих регуляторов – НБУ, НКРЗЕ и пр., и профильных
министерств
- Иностранных экспертов
Слайд 23