Инфраструктура Интернета в контексте регулирования жизненно важных услуг и критических информационных инфраструктур: обзор международного и российского опыта




страница1/8
Дата13.02.2017
Размер2.74 Mb.
Просмотров444
Скачиваний0
  1   2   3   4   5   6   7   8

1
Инфраструктура Интернета в контексте регулирования жизненно
важных услуг и критических информационных инфраструктур: обзор
международного и российского опыта


Олег Демидов, Алёна Махукова


Оглавление
Резюме исследования ............................................................................................................. 2
Организация экономического сотрудничества и развития (ОЭСР) .................................. 7
Аргентина ............................................................................................................................. 14
Германия ............................................................................................................................... 17
КНР ........................................................................................................................................ 25
Российская Федерация ......................................................................................................... 36
Япония ................................................................................................................................... 64
Европейский Союз ............................................................................................................... 71
Швеция .................................................................................................................................. 93
США ...................................................................................................................................... 96




2
Резюме исследования
Исследование охватывает регионально распределенную выборку из семи государств
(Аргентина, Германия, КНР, РФ, США, Швеция, Япония), одной надгосударственной структуры (ЕС) и одной международной организации (ОЭСР). Объектом анализа служат нормативные, нормативно-методические, рекомендательные и прочие документы государственных регуляторов, а также, где применимо, документы, разработанные представителями ИТ-отрасли. Задача исследования – на основе приведенной выборки представить и описать срез существующих подходов и практик, которые определяют место и статус инфраструктуры и сервисов Интернета в контексте регулирования, защиты, обеспечения безопасности стабильности и отказоустойчивости
(БСО) критических информационных инфраструктур (КИИ), защиты ключевых систем информационной инфраструктуры (КСИИ), а также обеспечения безопасности информационных инфраструктур/систем (ИС) критических важных объектов (КВО).
Особое значение в рамках исследования имеют два вопроса:
1) Выделяется ли Интернет и его инфраструктура в качестве отдельного, самостоятельного сектора КИИ в регуляторной практике рассматриваемых государств и МО? Необходимо уточнить, что под инфраструктурой Интернета в рамках задач исследования понимаются прежде всего следующие составляющие:

Инфраструктурные элементы глобальной системы уникальных идентификаторов Интернета (система УИИ), прежде всего инфраструктура
DNS: o
инфраструктурные элементы глобальной системы DNS: авторитативные корневые серверы DNS и их «зеркала»; o
авторитативные серверы DNS, поддерживающие страновые и общие домены верхнего уровня; o
нижестоящая по уровню иерархии DNS по отношению к авторитативным корневым серверам инфраструктура DNS-резолверов;

Сетевая инфраструктура ключевых интернет-провайдеров: магистральные волоконно-оптические сети, интерконнекты, инфраструктура энергоснабжения и проч., сетевое оборудование маршрутизации и проч.

Инфраструктура, обеспечивающая связность и взаимодействие сетей различных операторов: точки обмена трафиком (IXPs), стыки инфраструктуры различных провайдеров (интерконнекты) и проч.
2) Какие критерии, признаки и параметры определения критичности для объектов информационной инфраструктуры используются в международной практике?
Основные выводы исследования:
1. На сегодняшний день в международной практике отсутствует единый подход к регулированию КИИ, и, в то же время, единое понимание того, как соотносятся с КИИ сервисы и инфраструктура Интернета. Также не существует универсальной методологии, таксономии и системы критериев, применяемой для категорирования и классификации КИИ, а также сервисов и инфраструктуры Интернета в контексте КИИ.
Рассмотренные регуляторные практики можно условно сгруппировать в несколько подходов:

3 1)
Объектом регулирования является ИТ-инфраструктура КВО, которая с точки зрения категорирования и таксономии является производной по отношению к КВО. В этом случае информационно-телекоммуникационные сервисы и сети, включая Интернет, не выделяются в отдельную категорию/сектор КВО и рассматриваются как ИТ-инфраструктура КВО. Однако при этом в отдельный сектор могут выделяться правительственные сети передачи данных, сети и системы связи специального и двойного назначения. Основой системы критериев и категорирования в рамках такого подхода выступает влияние штатной устойчивой работы ИТ-систем КВО на обеспечение национальной безопасности, функционирование экономики и работу жизненно важных социальных сервисов.
Регулирование и обеспечение безопасности /защита инфраструктуры Интернета как самостоятельной категории КВО не предусматривается. Примеры такого подхода представляют США, Япония.
2)
Разновидностью описанного выше подхода можно назвать практику, когда
КИИ выделяется как отдельная категория объектов регулирования, однако по системе критериев и таксономии также является производной по отношению к КВО. В отдельных случаях понятие КИИ привязывается к
АСУ ПТП КВО, а также системам, обеспечивающим передачу данных и штатное функционирование АСУ ПТП КВО. В рамках такого подхода инфраструктура сетей передачи данных, включая Интернет, может включаться в состав КИИ, но только в привязке к обеспечению функционирования КВО, на которых эксплуатируются АСУ ПТП. Таким образом, такие инфраструктуры как система УИИ Интернета и ее отдельные компоненты, точки обмена трафиком, магистральная инфраструктура интернет-провайдеров не выступают в качестве отдельной категории КВО, хотя на них могут распространяться требования, связанные с обеспечением передачи данных и обеспечения функционирования АСУ ПТП и других ИТ- систем КВО. Примером такого подхода на сегодняшний день является РФ, однако появившиеся в последние месяцы проекты законодательных документов и документов стратегического планирования в РФ демонстрируют возможное изменение подхода.
3)
Регулирование КИИ полностью, либо по отдельным вопросам и актам развивается отдельно и параллельно с регулированием
КВО.
Инфраструктура и сервисы Интернета и сектора телекоммуникаций
(включая интернет-сектор) выделяется в самостоятельную категорию регулирования и описывается отдельной линейкой параметров и критериев важности. Объектами, которые подпадают под установление требований по различным аспектам защиты, могут выступать и инфраструктуры сетевых операторов (сети и оборудование магистральных провайдеров, точки обмена трафиком, авторитативные серверы и сети резолверов
DNS, поддерживающие национальные домены верхнего уровня). При этом по сравнению с регулированием КВО меняется подход, целеполагание и терминология в части требований и иных норм: на первый план выходят требования к обеспечению БСО сервисов и систем, а также обеспечению сетевой безопасности. Кроме того, в случае ЕС принципиально меняется основа системы параметров и критериев: вместо обеспечения национальной безопасности в узком понимании этого термина приоритетом становится обеспечение непрерывности бизнеса и гарантированное предоставление гражданам соответствующих сервисов, т.е. безопасность важных для

4 граждан, общества, бизнеса и государства сервисов и процессов.
Соответственно, меняется и понятийный аппарат в части самих регулируемых объектов: КИИ и понятие критичности в целом заменяется понятием «жизненно важных услуг» (essential services), «критически важных услуг» (kritischen Dienstleistungen) и «жизненно важных общественных функций» (Vital Societal Functions) (см. ЕС, Германию и Швецию).
4)
Гибридный подход между подходами демонстрирует КНР, который развивает регулирование КИИ в целом в привязке к КВО, однако выделяет в отдельную категорию КИИ сети и системы с большим числом пользователей и прямо устанавливает требования к сетевым операторам, в том числе в части обработки и хранения персональных данных.
Если рассматривать развитие представленных подходов в динамике, можно выделить следующие общие закономерности: o
В большинстве стран наблюдается тенденция к развитию регуляторного подхода за рамки обеспечения безопасности ИТ-систем КВО в сторону идентификации КИИ как относительно самостоятельной категории объектов регулирования. o
Понимание КИИ постепенно выходит за рамки ИТ-систем, которые обеспечивают надлежащее функционирование производственных и технологических процессов. o
Вместе с тем, до сих пор примеры относительно непротиворечивой и систематической интеграции элементов инфраструктуры Интернета в концепцию регулирования КИИ крайне ограничены, для большинства государств это вопрос на будущую перспективу. o
Пример ЕС показывает, что интеграция инфраструктуры и сервисов
Интернета в данный регуляторный контекст неизбежно требует изменения самого подхода к целеполаганию такого регулирования и переориентации с обеспечения узко понимаемой национальной безопасности в смысле защиты конституционного строя и борьбы с терроризмом на вопросы обеспечения непрерывности бизнес-процессов и гарантированного предоставления жизненно важных услуг, включая услуги сервисов DNS. Вместе с тем, такая переориентация не отменяет роста объема требований и регуляторных предписаний в отношении операторов жизненно важных услуг, а также несет риск создания избыточной бюрократической и финансовой нагрузки на такие субъекты, включая средний и малый бизнес. o
Фундаментальной тенденций становится не только переориентация на непрерывность бизнес-процессов предоставления критически/жизненно важных услуг и интересы их потребителей, но и селективный подход к определению конкретного перечня операторов таких услуг. В этом плане передовые практики мирового уровня демонстрирует Германия, где в основу регулирования положена система количественных пороговых значений для определения операторов критически важных услуг. Такие пороговые значения привязаны к числу пользователей услуг, которое может достигать критической доли от населения Германии – или нет. В результате, вся регуляторная парадигма оказывается привязана не столько к обеспечению «общего блага» (например, защита национальной безопасности или общественная стабильность), сколько к обеспечению потребностей граждан как потребителей конкретных услуг.

5 o
Отдельного упоминания заслуживает подход Швеции, где государство, выступая как субъект, заинтересованный в повышении уровня защиты инфраструктуры объектов, предоставляющих жизненно важные для общества услуги, включая Интернет и отрасль телекоммуникаций, не только устанавливает требования для операторов таких объектов, но и само активно участвует в развитии инфраструктуры и стимулирует операторов, в том числе финансово и материально, повышать защиту и устойчивость функционирования их объектов.
Как уже отмечалось выше, в РФ появились признаки наметившейся модернизации подхода к регулированию КИИ. В рамках модернизации российского подхода в обозначенной области с учетом международного опыта могут быть актуальным следующие рекомендации:

Изменение подхода к защите/обеспечению ИБ КВО/КИИ целесообразно осуществлять в направлении комплексного рассмотрения, основанного на общих принципах и охватывающего все сектора и отрасли инфраструктуры и жизненно важных услуг.

Внимательного анализа на предмет применимости в российского нормотворческой практике заслуживает тенденция перехода от регулирования объектов инфраструктуры как таковых к регулированию жизненно важных услуг, в том числе в отрасли телекоммуникаций и Интернет-секторе. Важной частью такого регуляторного подхода является ориентация на потребителей жизненно важных услуг и интеграция в законодательство национальных и международных стандартов управления рисками и обеспечения непрерывности бизнес-процессов.

Важнейшим условием эффективности для стратегии защиты КИИ и жизненно важных услуг ИТ-сектора является развитие системы государственно-частного взаимодействия и закрепление за операторами соответствующих объектов и услуг роли и возможностей по самостоятельному формированию отраслевых стандартов, практик и политики в сфере ИБ и обеспечения непрерывности бизнеса. Такой подход в сочетании с внедрением системы обязательных требований может обеспечивать необходимую гибкость и адаптивность при меняющейся картине угроз БСО критически важных объектов и услуг. Важным компонентом такого подхода также является стимулирование развития системы
CSIRT для обеспечения оперативного реагирования на инциденты безопасности в ИТ системах КИИ/КВО в промышленности и сфере услуг.

С учетом ключевой роли сектора ИТ и телекоммуникаций в экономическом развитии РФ, востребовано может быть использование опыта стран (в основном, государства ЕС, включая ФРГ), которые разрабатывают методологию определения количественных показателей для выявления круга операторов жизненно/критически важных услуг на основе количества граждан/пользователей, которые находятся в зависимости от услуг того или иного оператора. Число пользователей, которые охватывают такие услуги, как правило, коррелирует с размером и показателями провайдера таких услуг как экономической единицы. Таким образом, за счет отсечения операторов услуг, не подпадающих под критерии КВУ по количественным показателям, из-под регулирования выводится большая часть малых операторов, для которых предоставление отчетности и выполнение повышенных требований по защите своих объектов может стать серьезным финансовым бременем.

6

Важнейшим инструментом в обеспечении ИБ является национальная система
CSIRT, в первую очередь для защиты непрерывности бизнеса при наличии координации со стороны специально созданного для этого субъекта, которого обычно называют координационным центром CSIRT. Созданный в России
GOV-CERT (как следствие положений Указа №31) ограничен в своих функциях защитой государственных информационных систем и ограниченного круга
КВО. Вместе с тем, международный опыт, включая опыт Японии, КНР, США,
ЕС и отдельных стран ЕС, показывает тенденцию к развитию широкой системы национальных отраслевых CSIRT и CERT, выстроенной на основе учета секторальной специфики и государственно-частного взаимодействия. Так, китайский CERT-CN имеет статус неправительственной организации; японская экосистема реагирования на киберинциденты, включая JCERT/cc и
NIRT, также опирается на взаимодействие частных телекоммуникационных операторов. Основой системы реагирования на трансграничные инциденты, в том числе на объектах операторов ЖВУ, в ЕС служит сеть национальных
CSIRT, обеспечивающая оперативное реагирование и предупреждение в границах всего Союза. В России эта тенденция также частично находит отражение с учетом появления в 2015 г. FinCERT, тесно взаимодействующего с операторами банковского сектора. Однако для комплексной защиты жизненно важных объектов Интернет-отрасли и сектора телекоммуникаций может быть востребована профильная структура, такая как, например, CII-CSIRT или
Telecom-CSIRT. Основные задачи такой структуры могут решаться за счет взаимодействия и обмена информацией между частными операторами при координации соответствующих госорганов.


7
Организация экономического сотрудничества и развития (ОЭСР)
Впервые в документах Организации экономического сотрудничества и развития
(ОЭСР) упоминание о критичности информационных систем для общества и бизнеса
(здравоохранения, энергетики, транспортной и коммуникационной систем) появилось в Директивах по безопасности информационных систем и сетей, которые совет ОЭСР принял в 1992 г.
1
В следующей версии Директив
2 в 2002 г. Совет ОЭСР отмечал, что
«критические инфраструктуры, такие, как энергетика, транспорт, финансы, опираются на Интернет, и Интернет Интернет играет значительную роль в методах ведения бизнеса, предоставлении гражданам и предприятиям госуслуг и коммуникациях и обмене информацией между гражданами».
Основным документом ОЭСР, описывающим политики в отношении КИИ, в настоящее время являются «Рекомендации Совета ОЭСР по защите критических информационных инфраструктур», опубликованные в 2008 г.
3
В документе дается следующее определение КИИ: соединенные между собой информационные системы и сети, сбой работы или разрушение которых окажется серьезное влияние на здоровье, безопасность, экономическое благополучие граждан или эффективную работу правительства или экономики. Для определения национальных КИИ проводится оценка рисков. Как правило, они включают в себя какие-либо из нижеследующих инфраструктур:

Информационные компоненты, поддерживающие работу критических инфраструктур;

Информационные инфраструктуры, на которые опирается работа важнейших компонентов предприятий или государственных органов;

Важнейшие для национальной экономики информационные инфраструктуры.
Директива подразумевает, что страны-члены ОЭСР предпримут на государственном уровне следующие меры для защиты КИИ:
1)
Определение четких целей политики на высшем уровне;
2)
Определение ответственных за реализацию этой политики государственных органов и других организаций;
3)
Консультации с частными владельцами и операторами КИИ для установления сотрудничества и достижения целей политики;
4)
Обеспечение прозрачности в вопросе передачи госорганам и государственным агентствам ответственности за исполнение целей;
5)
Систематический пересмотр политик, правовой базы и саморегулирования в отношении КИИ – в том числе, в отношении трансграничных угроз;
6)
Предпринимать шаги для повышения уровня безопасности компонентов информационных систем и сетей, из которых состоит КИИ.

1
OECD Guidelines for the Security of Information Systems, 1992 http://www.oecd.org/sti/ieconomy/oecdguidelinesforthesecurityofinformationsystems1992.htm
2
OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. The
2002 Security Guidelines
(
http://www.oecd.org/sti/ieconomy/oecdguidelinesforthesecurityofinformationsystemsandnetworkstowardsacult ureofsecurity.htm
)
3
OECD (2008), Recommendation of the Council on the Protection of Critical Information Infrastructures
(
https://www.oecd.org/sti/40825404.pdf
)

8
Продвижением и развитием последней и предыдущих директив должен заниматься
Комитет по информационной, компьютерной и коммуникационной политике
(Committee for Information, Computer and Communication Policy), который в 2014 г. был переименован в Комитет по цифровой экономике.
4

В 2015 г. были опубликованы рекомендации ОЭСР «Управление рисками в цифровой безопасности для экономического и социального процветания» и сопровождающий документ к ним
5
. Эти рекомендации призывают страны, входящие в организацию, принять национальные стратегии по управлению рисками в цифровой безопасности. В стратегиях должна быть четко артикулирована (1) цель использовать возможности открытой цифровой среды для экономического и социального процветания; (2) цель обеспечить предоставление основных услуг и работу критических инфраструктур, защитить отдельных лиц от угроз цифровой безопасности с учетом необходимости сохранения национальной и международной безопасности и соблюдения прав человека. Эти же рекомендации называют цифровую среду и, в частности, Интернет,
жизненно важными для экономической и социальной жизни стран ОЭСР, обеспечивающими рост, инновации, социальное благополучие и представительность.
В документах ОЭСР не приводится какое-либо общее рекомендованное для всех стран определение КИ. При этом в нескольких директивах по управлению рисками приводятся рекомендации для операторов КИ. Например, в опубликованных в 2014 г.
Рекомендациях Совета ОЭСР по управлению критическими рисками
6
предлагается стимулировать операторов КИ:
1)
разрабатывать стандарты и учебные материалы для управления рисками;
2)
обеспечивать функционирование КИ, информационных систем и сетей после непредвиденных внешних воздействий;
3)
требовать от должностных лиц, находящихся на объектах КИ, разрабатывать планы по продолжению работы в случае чрезвычайной ситуации.
Исследование, в 2008 г. опубликованное секретариатом ОЭСР, показало, что почти во всех странах организации определение «критической» относится к инфраструктуре, являющейся важнейшей основой социального и экономического благополучия, общественной безопасности и функционирования государства.
7
В таблице ниже приведены примеры определений КИ и КИИ из текущих стратегий кибербезопасности и других документов стран ОЭСР. Многие страны, входящие в организацию, тем не менее, не создали соответствующих структур и не дали подобных определений, несмотря на рекомендации Совета ОЭСР. Некоторые государства находятся в процессе выработки таких норм. Совет ОЭСР не дает критериев определения критичности, а государства-члены нередко оставляют эту работу компаниям-операторам КИ.
4
Resolution of the Council [C(2008)209], Committee for Information, Computer and Communications Policy
(ICCP), On-Line Guide to OECD Intergovernmental Activity, http://webnet.oecd.org/OECDGROUPS/Bodies/ShowBodyView.aspx?BodyID=1837&BodyPID=7425&Lang=
en&Book=False
5
Digital Security Risk Management for Economic and Social Prosperity. OECD Recommendation and
Companion Document. © OECD 2015 (
http://www.oecd.org/sti/ieconomy/digital-security-risk- management.pdf
6
Recommendation of the Council on the Governance of Critical Risks. Adopted on 6 May 2014. Meeting of the
OECD Council at Ministerial Level (
http://www.oecd.org/gov/risk/Critical-Risks-Recommendation.pdf
7
Protection of ‘Critical Infrastructure’ and the Role of Investment Policies Relating to National Security.
Investment Division, Directorate for Financial and Enterprise Affairs, OECD, May 2008
(
https://www.oecd.org/investment/investment-policy/40700392.pdf
).

9
Таблица. Определение КИ и КИИ в некоторых странах ОЭСР

КИ
КИИ
Документы
Австралия
Технические объекты, системы снабжения, информационные технологии и коммуникационные сети, которые, в случае нарушения работы или разрушения, или находящегося вне доступа на протяжении продолжительного периода времени, значительно повлияли бы на социально-экономическое благополучие нации или на способность Австралии оборонять свои границы и обеспечивать национальную безопасность
ИКТ-компонент КИ
КИ: Critical Infrastructure Resilience Strategy, 2010
(
http://www.emergency.qld.gov.au/publications/pdf/
Critical_Infrastructure_Resilience_Strategy.pdf
)
КИИ: Critical Information Infrastructure Risk
Management, VICTORIAN GOVERNMENT CIO
COUNCIL, 2012
(
http://www.enterprisesolutions.vic.gov.au//wp- content/uploads/2014/07/SEC-STD-02-Critical-
Information-Infrastructure-Risk-Management1.pdf
)
Австрия
Инфраструктуры или их части, представляющие критичеcкую важность для обеспечения важных социальных функций. Остановка их работы или их разрушение имеет серьезные последствия на здоровье, безопасность, экономическое и социальное благополучие населения или функционирование государственных институтов
Информационные составляющие КИ
Austrian Cyber Security Strategy, Federal
Chancellery of the Republic of Austria, Vienna
(2013)
(
http://www.bmi.gv.at/cms/BMI_Service/cycer_secur ity/130415_strategie_cybersicherheit_en_web.pdf
)

10


Поделитесь с Вашими друзьями:
  1   2   3   4   5   6   7   8


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал