Unifying theGlobal Responseto Cybercrime

Пропозиції щодо реформи галузі

захисту інформації та

кібернетичної безпеки

Гліб Пахаренкоgpaharenko (at) gmail.com

2015-05-12Для семінару НАТО-Україна

Київ

Unifying theGlobal Responseto Cybercrime2

Огляд кризи у галузі захисту інформаціїНайважливіші ризики. Найбільшими ризиками галузі захисту інформації та кібернетичної безпеки є: неможливість адекватно відповісти на загрози країни-агресора Росії у кібернетичному-просторі.; неефективні витрати коштів та інших ресурсів при керуванні ризиками інформаційної безпеки; порушення прав громадян через неналежне поводження з персональними даними в державних органах; відсутність держаної політики по захисту критичної інфраструктури та боротьбі з шахрайством в автоматизованих

системах е-урядування.

Недоліки ДССЗЗІ. Центральним виконавчий орган який несе відповідальність за вищезгадану ситуацію, сам має великі проблеми : морально застарілі стандарти та вимоги безпеки (більш ніш 15 річної давнини); велику кількість приватних повідомлень учасників ринку про корупцію держслужбовців (ДССЗЗІ навіть порівнюють з

пожежниками в ІТ), завищена вартість технічних рішень ДП УСС, «відкати» при запроваджені КСЗІ; відсутність адекватного контролю за ефективністю заходів захисту через суміщення функцій створення вимог та їх

перевірки; недостатня кількість компетентних фахівців у складі служби, та неможливість залучення професіоналів з ринку

праці через низьку офіційну компенсацію.

Недоліки практики застосування НД ТЗІ. Недоліками практики застосування вимок ДССЗЗІ є: неприйнятність їх для державних органів, та перешкоджання запровадженню нових ІТ систем у промислову

експлуатацію; неспроможність керівництва ДССЗЗІ замотивувати інші державні органи імплементувати КСЗІ; формальний підхід до безпеки, котрий її не гарантує через використання корумпованих схем; низький рівень гарантій Г-2, який нічого не гарантує (147 засобів Г-2, проти 9 з Г-3 та 6 з Г-4) головне: НД-ТЗІ засновані на ISO 15408, відсутні вимоги до системи менеджменту безпеки (ISO 27001) та до

сертифікації спеціалістів (CISSP, CISM, OSCP, etc.)

Unifying theGlobal Responseto Cybercrime3

Недоліки підходу ДССЗЗІ до вирішення кризиДССЗЗІ запроваджує кібернетичну безпеку з 2012р. Підхід ДССЗЗІ до запровадження національної кібернетичної безпеки має недоліки: ігнорування позиції громадського сектору; намагання реалізувати закони з 2012р.; обговорення проекту стратегії цілий рік; непослідовне запровадження ІСО 27001 (2012р.,

потім 2015р.); відсутність плану реформування установи; залучення фахівців за 100 доларів зарплатні.

вже рік минув2012, а потім

2015?!

вже 3 роки минуло

33 звернення!

100$ per monthsalary for cyber-

security specialist

Unifying theGlobal Responseto Cybercrime4

Пропозиції щодо вирішення кризиДССЗЗІ не вирішить кризи. Першим кроком є визнання самої ДССЗЗІ, що вона не може сама вирішити пробем у галузі захисту інформації. Це визнання ДССЗЗІ повинно бути оформлено у вигляді звернення та розглянуто Кабінетом Міністрів, РНБО, Президентом та профільним комітетом ВР.

В таблиці нижчє представлені подальші стратегічні та короткотермінові кроки з вирішення кризи:

Стратегічні заходи (поза компетенцією ДССЗЗІ) Короткотермінові кроки (в межах компетенції ДССЗЗІ).

1. Формування планів реформи ДССЗЗІ та галузі в цілому.

2. Поступове залучення представників бізнесу та громадського сектору до оперативного керування задачами ДССЗЗІ («волонтери»).

3. Проведення аудиту діяльності ДССЗЗІ та підпорядкованих підприємств (ДП). Розробка стратегії їх подальшого розвитку.

4. Оновлення керівного складу ДССЗЗІ та ДП фахівцями з міжнародним досвідом, сертифікаціями, для реалізації стратегій розвитку, плану реформи.

5. Розробка необхідного пакету законопроектів для реформи галузі.

1. ДССЗЗІ створює пакет обґрунтувань проектів, де їй потрібна донорська допомога, і шукає спонсорів разом з ГО:

• аналіз відповідності НД ТЗІ та кращих практик;• аналіз стану кібер-безпеки в державних органах;• тренінги для фахівців ДССЗЗІ та державних органів;• формування опису професій фахівців з кібер-безпеки,

розробка програм їх навчання;• інше (оновлення сайту, і т.д.).

2. Формуються задачі на аудит ІТ/ІТ безпеки в центральних органах влади за міжнародними стандартами. Залучаються необхідні для цього донорські кошти.

3. З представниками індустрії, громадського сектору формується проект постанов ДССЗЗІ для тимчасової можливості використання актуальних міжнародних стандартів та практик, замість застарілих чи економічно неприйнятних норм НД ТЗІ. Описуються припустимі межі ризику, коли таке можливо.

4. Тимчасово розвиток захисту інформації в галузях критичної інфраструктури, армії, системах є-урядування делегується відповідним регуляторам. Запроваджується механізм паритетного контролю громадського сектора разом з ДССЗЗІ за ефективністю політики регуляторів.

Unifying theGlobal Responseto Cybercrime5

Як може допомогти НАТОМожливості НАТО. ДССЗЗІ, громадський сектор, експерти НАТО повинні сформувати пакет запитів України до НАТО про допомогу:1. фінансування короткотермінових та стратегічних кроків виходу з кризи.2. розробка механізмів контролю ризику в Україні, щоб підприємства ІТ галузі брали участь у постачанні сервісів до країн

членів НАТО (в рамках закупівель НАТО).3. розвиток центрів стримування ймовірних агресорів проти НАТО (країни БРІКС) в кібер-просторі на теренах України.4. розвиток в Україні можливостей для домінування в пост-радянському інтернет просторі, і використання цього при

поверненні окупованих територій.

Можливості України. Як партнер Україна має наступні можливості:5. П’ята позиція в рейтингах ІТ аутсорсерів в світі.6. Мотивований на реформи громадський сектор.7. «Зелене поле» для інвестицій у галузі кібернетичної безпеки. Ринок з 45млн. користувачів.8. Велика кількість патріотів, готових до боротьби заради повернення окупованих територій.9. Мовні можливості населення (розуміння російської, польської, словацької мов).10. Вільні площі та доступна електроенергія (після відповідних реформ).

Подальші кроки після семінару. Для збільшення ефективності семінару необхідно зробити наступні дії:11. Максимально популяризувати прес-реліз семінару.12. Зробити спільне звернення щодо необхідності реформи у галузі кібернетичної безпеки НАТО, ДССЗЗІ, інші учасники

семінару, до РНБО, Кабінету Міністрів, ВР.13. Внести пропозиції з семінару до плану роботи Україна-НАТО.14. Презентувати результати семінару на керівних заходах та конференціях НАТО.15. Провести аналогічні семінари (RoadShow) в країнах союзниках НАТО.16. Проаналізувати кроки зроблені після попередніх семінарів НАТО-Україна, наприклад у галузі захисту критичної

інфраструктури. Тобто оцінити їх ефективність.

Unifying theGlobal Responseto Cybercrime6

Пропозиції по реформі галузі захисту інформаціїРозділення повноважень ДССЗЗІ. 1. Передача функцій розробки нормативних документів в центральний орган виконавчої влади у сфері стандартизації,

регуляторам, галузевим асоціаціям та громадським організаціям. 2. Передача функції контролю виконання стандартів окремому центральному органу з аудиту та незалежним

аудиторським компаніям.3. Мережа незалежних СЕРТ.4. Комісія з аудиту і контролю інформаційних технологій.5. Комісія з контролю за перехопленням даних.

Модернізації стандартів захисту інформації . 6. Запровадження практик з ISO, ITIL, Cobit, OWASP, ISA etc.7. Використання рекомендацій НАТО, ЄС, МСЄ з кібернетичної безпеки для національних стратегій.

Оновлення кадрового складу. Оновлення кадрового складу державних службовців, що відповідають за захист інформації. 8. Залучення професіоналів з ринку праці.9. Переатестація держслужбовців.

Відповідальність посадових осіб. Запровадження кримінальної та адміністративної відповідальності посадових осіб, включно перших осіб держави за неналежне керування ризиками інформаційної безпеки (недодержання принципів “due care” & “due dilligence”).

Національний план керування ризиками. Для державної установи рівень ризик-апетиту та план керування ризиками погоджує керівник вищерозташованої в ієрархії керування державної установи. Сумарний ризик-апетит всіх підпорядкованих установ не повинен перевищути ризик-апетит головної установи.

Плани безперервної діяльності та кризового менеджменту. Створення планів неперервної діяльності та планів дій у кризових ситуаціях для державних установ, включаючи сценарій окупації більшої частини України або, навіть, всієї її території. Використання досвіду стандартів ISO, BS, практик BCI, ISC2, ISACA.