- Координация усилий. Лишний раз уточняется, что все разрозненные спецслужбы и федеральные структуры, задействованные в процессе защиты критических инфраструктур, должны координировать свои усилия в соответствие с президентской директивой №1 от 13 февраля 2009 года.
- Обмен информацией. Тут вроде тоже все понятно. Госорганы и частные компании, владеющие КВО, должны обмениваться информацией о киберугрозах. В качестве протокола такого обмена предлагается использовать STIX.
- Консалтинг. Секретарь ихнего СовБеза должен установить процедуры по консультированию всех заинтересованных сторон по вопросам кибербезопасности КВО.
- Создание базовой инфраструктуры. Это, пожалуй, самый интересный пункт, который подразумевает создание инфраструктуры, включающей методологию, стандарты, процедуры и процессы по снижению рисков ИБ для КВО, а также эффективные, гибкие, реплицируемые, измеримые и экономичные методы и меры защиты.
- Привлечение волонтеров.
- Идентификация критичных инфраструктур с повышенным риском.
Первым практическим результатом данной работы стала разработка американским институтом по стандартизации (NIST) RFI по защите критических инфраструктур. Все заинтересованные лица должны прислать в NIST информацию об используемых методах и стандартах защиты критических КВО, которые будут проанализированы экспертами NIST с привлечением федеральных органов и спецслужб. По истечении 240 дней с момента публикации президентского указа (т.е. еще до конца 2013-го года) базовая инфраструктура кибербезопасности должна быть разработана и опубликована.
Хотя у нас и непринято опираться на американский опыт, данный пример очень показателен. Американские спецслужбы не сами навязывают частным и государственным компаниям методы борьбы со сферическим конем в вакууме, которые мало применимы к реальной жизни. Они действуют более грамотно, сначала запрашивая у КВО информацию о существующих методах борьбы с киберугрозами. Затем они будут анализироваться на предмет соответствия некоторым лучшим практикам и стандартам, а затем на их основе будет разработан целый комплект новых документов, процессов и процедур, способных бороться с угрозами в эпоху пост-Stuxnet.
ЗЫ. В России же пока темой кибервойн активно интересуются телеканалы. Спецслужбы же борются не с кибертеррористами, а с киберэкстремистами и радикалами. Тоже важная задача, но нерешаемая (именно в контексте борьбы с нелегальными элементами). Деанонимизация, о которой заговорили в прошлом сентябре и продолжили в феврале, ударит только по легальным пользователям; те, кто хочет скрыть свою незаконную активность от правоохранителей и силовиков и так это сделают — методов существует немало. Зато прижать хвост оппозиции, не сильно технически подкованной, можно будет легко. А это куда как важнее для нынешней власти, чем борьба с реальной киберугрозой ;-(
Когда уже директором ФСТЭКа назначат Шойгу!?
Это будет понижением 😉
Кризис-менеджеры не "понижаются", а "назначаются на САМЫЙ острый участок работ" (что-то типа "Кошмаров на кухне" с шефом Рамзи). Да и не могут они долго оставаться на одном месте — шило не даёт, адреналина не хватает.
Основные направления….. более содержательны. В указе 31с заявлен такой же подход, какой как и у американцев — сначала мероприятия по оценке степени защищенности, а потом методические рекомендации.
Не совсем. Американский указ более конкретен. Есть ответственные и даты реализации