Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ - Ключевые вызовы для мирового сообщества

В рамках различных форматов за последнее десятилетие сформировалось и действует значительное число проектов, обеспечивающих взаимодействие в сфере безопасности КИИ на технологическом уровне. Такие проекты и форматы включают в себя оценку угроз, разработку и продвижение технических рекомендаций по защите объектов и прочие меры. Технические аспекты обеспечения безопасности КИИ оказались включены в деятельность Международной электротехнической комиссии (IEC), Европейского агентства сетей и информационной безопасности (ENISA), Организации экономического сотрудничества и развития (OECD) и проч.

Однако практически ни один из упомянутых форматов на сегодняшний день не обеспечивает полномасштабного международного сотрудничества, которое включало бы в себя диалог по политико-правовым аспектам обеспечения безопасности КИИ – как в контексте обмена национальным опытом, так и на уровне выработки широких международных договоренностей.

Одним из немногих исключений можно назвать Международное агентство по атомной энергии (МАГАТЭ), которое в рамках своих компетенций ведет работу по укреплению кибербезопасности объектов мирной атомной отрасли. Агентство издает технические руководства по обеспечению компьютерной безопасности на ядерных установках (серия NSS 17), а также развивает отдельные рекомендации в этой части в документах по физической ядерной безопасности (INFCIRC/225/Revision 5). При Департаменте МАГАТЭ по физической ядерной безопасности действует Программа компьютерной и информационной безопасности, в рамках которой разрабатываются технические рекомендации, публикуются документы, проводятся консультативные встречи, региональные тренинговые курсы. Среди типов угроз КИИ атомной отрасли, которые рассматриваются в рамках программы, важное место занимают целенаправленные компьютерные атаки.

Также одной из площадок, работающих над изучением международного опыта и подготовкой исследований лучших практик обеспечения безопасности КИИ, остается ОЭСР. Организацией в 2007–2008 гг. издана серия отчетов и иных документов, обобщающих анализ политик семи государств, имеющих развитые подходы к вопросам защиты КИИ. Среди ключевых выводов документов ОЭСР: необходимость развития научных и образовательных политик в части защиты КВО от ИКТ-угроз; наращивания международного взаимодействия между CERTs/CSIRTs, а также обмена информацией об угрозах и лучших практиках и развития государственно-частного партнерства. Наработки и выводы ОЭСР видится целесообразным учесть России (с учетом подготовки к присоединению к Организации) в рамках развития собственного подхода к защите КИИ.

Среди региональных форматов активной проработкой проблем обеспечения безопасности КИИ выделяются ОБСЕ, АСЕАН/АРФ, а также АТЭС. В 2013 г. ОБСЕ подготовила «Руководство по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в связи с угрозами, исходящими от киберпространства». Документ содержит перечень рекомендаций по развитию международного сотрудничества в рамках указанной проблематики.

Среди государств к числу лидеров в регулировании вопросов безопасности КИИ следует отнести США, Великобританию, Германию, Австралию и Японию. В Соединенных Штатах одним из ключевых национальных регуляторов по вопросам КИИ сегодня выступает Национальный институт стандартов и технологий (NIST). Институт со временем вобрал передовые наработки Министерства энергетики США и некоммерческой организации, разработавшей большое количество стандартов в области электротехники, – Североамериканской корпорации по надежности электроэнергетики (NERC).

В феврале 2014 г. NIST издал основополагающий Рамочный документ по укреплению кибербезопасности критической инфраструктуры (Версия 1.0). Цель такого документа была сформулирована годом ранее, в приказе президента США Барака Обамы № 13636 «Укрепление кибербезопасности КИ», она включает в себя создание системы стандартов, руководств и практик для содействия структурам частного и государственного сектора в управлении рисками в сфере ИКТ. Документ NIST является одним из актов в сфере обеспечения безопасности КИИ, который позиционируется в качестве модели международного сотрудничества и предлагается к использованию зарубежными организациями. Предполагается, что документ может способствовать «выработке общего языка международного сотрудничества в обеспечении безопасности КИИ». Еще один документ NIST, который детально рассматривает вопросы безопасности КИИ, – Руководство по защите АСУ ТП NIST SP800-82, изданное в 2011 г. Обширная и глубокая проработка NIST вопросов ИКТ-безопасности объектов КВО делает актуальной задачей учет опыта ведомства США при выработке международных практик и документов по вопросам безопасности КИИ.