И вновь об ООН и ИБ

В ноябре 2009 года на 64-й сессии Генеральной Ассамблеи ООН была принята резолюция «Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур». Собственно сама резолюция содержала всего два пункта. В первом она предлагала «государствам-членам использовать, если и когда они сочтут это целесообразным, прилагаемый инструмент добровольной самооценки национальных усилий по защите важнейших информационных инфраструктур, призванный помочь им в анализе их усилий по защите важнейших информационных инфраструктур и укреплению кибербезопасности, с тем чтобы выявить области, в которых требуется принятие дополнительных мер, в целях повышения глобальной культуры кибербезопасности«, а во втором ООН предложила государствам-членам поделиться своим опытом и «стратегиями действий в области кибербезопасности и защиты важнейших информационных инфраструктур«. Если по второму пункту России предложить миру нечего, то 17 пунктов методики самооценки представляют интерес. Я решил ответить за Россию и посмотреть насколько мы продвинуты в области ИБ (сравнивать, правда, не с кем, но и самооценка для понимания пробелов — это тоже неплохо). Итак, пойдем по пунктам:
  1. Роль ИКТ в национальной экономике, безопасности, транспорте, водоснабжении и обеспечении продовольствием, общественном здравоохранении, энергетике, финансах, служба экстренной помощи и гражданском обществе. Я бы оценил эту роль либо как незначительную, либо как среднюю с потенциалом роста.
  2. Риски в области ИБ для отраслей, указанных выше.Здесь моя позиция расходится с мнением регуляторов, но это и понятно. Для них иностранные технологии — зло. Для меня — пример прогресса.
  3. Слабые места в инфраструктуре. Пропущу этот пункт 😉
  4. Цели национальной стратегии по обеспечению кибербезопасности и защиты важнейших информационных инфраструктур; нынешний уровень; меры по оценке прогресса; как стратегия выписывается в международные инициативы. Цели прописаны в Доктрине ИБ. Нынешний уровень — очень низкий. Оценка прогресса — не производится, т.к. нет метрик. Стратегия в международное сообщество не вписывается.
  5. Ключевые заинтересованные стороны, участвующие в обеспечении кибербезопасности и защиты важнейших информационных инфраструктур; роль каждой из них в разработке соответствующих стратегий и операций. Сторон полно. Основная роль отдана ФСБ. Остальные стороны на процесс не влияют. Бизнес и гражданское общество — тем более.
  6. Формальные и неформальные механизмы взаимодействия между правительством и промышленностью в разработке стратегий и операций в области кибербезопасности и защиты важнейших информационных инфраструктур. Отсутствуют.
  7. Форумы или структуры, которые могут в дальнейшем понадобиться для интеграции позиций правительства и неправительственных участников и их знаний. Консолидированных структур нет, но много разрозненных участников — АП КИТ, РАЭК, АРБ, РСПП, АДЭ и т.д.
  8. Принятые меры и планы по развитию сотрудничества между правительством и частным сектором. Отсутствуют.
  9. Осуществляемые и запланированные инициативы по отстаиванию общих интересов и решению общих проблем как среди участников важнейших инфраструктур, так и среди представителей частного сектора. Отсутствуют.
  10. Государственное ведомство, выполняющее функции координатора деятельности в связи с инцидентами. Отсутствует.
  11. Общенациональный механизм реагирования на компьютерные сбои. Отсутствует.
  12. Сети и процессы международного сотрудничества, которые могут укрепить потенциал реагирования на инциденты и планирования на случай чрезвычайных ситуаций. Отсутствуют.
  13. Список национальных правовых актов (в том числе занимающихся вопросами киберпреступности, охраны личной информации, защиты данных, коммерческого права, цифровых подписей и шифрования), которые могут устареть или утратить актуальность в результате быстрого развития новых информационно-коммуникационных технологий. Почти все не соответствуют действующему уровню развития ИКТ. Необходимое законодательство для расследования киберпреступлений и преследования лиц, виновных в их совершении. Не работает.
  14. Нынешнее состояние национальных органов по борьбе с киберпреступностью и соответствующих процедур. Неадекватное.
  15. Существующие правовые кодексы и правовые органы соответствуют задаче решения существующих и будущих проблем киберпреступности и киберпространства в целом. Не соответствуют.
  16. Уровень национального участия в международной деятельности по борьбе с киберпреступностью. Активное участие представителей МВД и ФСБ в международных конференциях. 
  17. Потребности национальных правоохранительных органов в сотрудничестве с международными коллегами при расследовании транснациональных киберпреступлений. Требует отдельного рассмотрения, но пока уровень сотрудничества отстает от потребностей.

Примерно так. Как-то пессимистично ;-( Или это я просто придираюсь?..

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Часто ООН критикуют за бюрократизм , тормознутость, применение подходов прошлого века…
    Такое впечатление, что ООН поддерживают в таком состоянии чтобы ее можно было легко дискредитировать и закрыть…
    Есть мнение что усилия по совершенствованию …. В общем можно сказать что ставить на ООН неразумно чтоли… Или такое мнение навязывается полюсом силы известно каким…

    Ответить
  2. Сергей Борисов

    Интересно почему кроме оценки не было больше шагов.
    Как совершенствоваться, к чему стремится и т.п.

    Ответить
  3. Алексей Лукацкий

    Чтобы были шаги, нужны результаты оценки. А не все страны отправили результаты самооценки в ООН.

    Ответить
  4. Алексей Лукацкий

    Да и шаги сложно вырабатывать. Ведь в ООН входят страны с РАЗЛИЧНЫМ законодательством. Чтобы был толк нудно привести всех к единому знаменателю. Иначе будут получаться очень высокоуровневые резолюции

    Ответить