SlideShare a Scribd company logo

Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки держави

I
IsacaKyiv
Government & Nonprofit
1 of 3
Download to read offline
Загрози та рекомендації, розглянуті та запропоновані на зустрічі 23.04.14 23 квітня 2014 року Київським відділенням міжнародної професійної асоціації ІТ-управління ISACA проведено відкриту робочу нараду на тему “Шляхи забезпечення кібербезпеки держави”. Взяли участь представники державних органів, телекомунікаційних компаній та представників бізнес-сектору галузі ІТ. В рамках наради виділено низку сучасних загроз в галузі кібербезпеки, а також сформовано рекомендації з підвищення кібербезпеки держави. Загрози та приклади ризиків: 1. Фізичні атаки на елементи кіберпростору функціонування вітчизняної інфраструктури (наприклад, фізичне захоплення об’єктів управління енергетичною інфраструктурою, систем водопостачання тощо); 2. Кібератаки на елементі критичної інфраструктури країни (наприклад, об’єкти управління газотранспортною системою, тощо) ; 3. Атаки на загальнодоступні інформаційні ресурси держави для унеможливлення оперативного оприлюднення законів, що вступають в дію (наприклад, державні інтернет- сайти побудовані без можливості масштабування, тому навіть від досить невеликого зростання навантаження вони виходять з ладу) ; 4. Атаки на облікові та серверні системи приватних та державних установ (наприклад, атаки на сервери, на яких зберігаються реєстри виборців, фізичне захоплення цих серверів); 5. Атаки з використанням мобільних стільникових технологій (перехоплення інформації, розповсюдження неправдивої інформації) - наразі в Україні використовується 2G технологія, яка не є достатньо захищеною; 6. Недосконалість нормативно-правової бази країни в галузі інформаційних технологій, відсутність органу відповідального на координацію дій, пов’язаних з кібербезпекою. Запропоновані рекомендації з підвищення кібербезпеки української держави: 1. Організаційні заходи з управління кібербезпекою 1.1. Створити національний центр з кібербезпеки, який буде координувати діяльність інших державних органів щодо захисту інформаційних систем та реагування на кіберзагрози. Якщо відповідну структуру вже створено – наділити її достатніми повноваженнями. 1.2. Створити сприятливі умови для розвитку галузевих центрів кібербезпеки (в транспортній сфері, медичній, телекомунікаційній, тощо). 1.3. Розробити класифікацію секторів економіки за критичністю їх інформаційних систем, та розробити (або адаптувати) вимоги щодо їх захисту. Особливу увагу треба звернути на промислово-індустріальні системи, що керують автоматикою на заводах, транспорті, електростанціях та ін. Провести розробку чи адаптацію відповідних галузевих профілів інформаційної безпеки .
1.4. Створити раду ІТ директорів державних органів влади з метою координації, обміну досвідом та обговорення стандартів управління інформаційними технологіями та інформаційною безпекою. 1.5. Визначити в бюджетах кожного державного органу та державних програм витрати на підтримку належного рівня кібербезпеки окремими статями. 1.6. Впровадити механізми залучення громадських організацій та професійних асоціацій до проведення незалежної професійної експертизи державних проектів в сфері ІТ та Інформаційної Безпеки. 1.7. Проводити регулярний незалежний аудит стану захисту інформації в державних органах та інформувати суспільство про його результати. 2. Захист об’єктів критичної інфраструктури 2.1. Провести окреме обговорення ризиків притаманних критичним об’єктам інфраструктури та розробити відповідні короткострокові рекомендації на основі відповідного документу, розробленого в США http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf 2.2. Забезпечити високий рівень доступності для державних сайтів, що цього потребують. Наприклад, для сайтів, що публікують нормативні документи та закони. 2.3. Забезпечити обов’язкове шифрування інформації в системах державних органів влади, для захисту від інтервентів та терористів. 2.4. Залучити до співпраці та протидії загрозам провайдерів Інтернет-послуг. 2.5. Запровадити можливість блокування провайдерами абонентів, що приймають участь у кібератаках, на вимогу від національного та галузевих центрів кібер-безпеки. Рішення по відключенню абонентів, для яких послуга Інтернет є критичною, повинен приймати галузевий центр кібер-безпеки (якщо у абонента з ним є контракт). 2.6. Запровадити заходи щодо знешкодження неправильно сконфігурованих інтернет- серверів, що постійно приймають участь у кібер-атаках. 2.7. Створити авторитетний список комп’ютерних мереж, які вважаються українськими, для можливості своєчасного блокування. 3. Мобільний зв’язок 3.1. Забезпечити можливості розвитку 3G/4G технології мобільного зв’язку. 3.2. Надати звіт суспільству щодо захищеності мобільних операторів, та великих інтернет- провайдерів від впливу іноземних спецслужб. 4. Доступ дослідників та громадських організацій до джерела атак 4.1. Запровадити можливість передачі спеціалізованим громадським організаціям керування над серверами, що контролюють діяльність заражених вірусами комп’ютерів (так звані центри команд та контролю) - для іх вивчення та розробки механізмів протидії. 4.2. Забезпечити доступ приватних дослідників до певних деталей кібер-атак, що кояться на державні органи та важливі для суспільства кібер-системи для їх вивчення та розробки механізмів протидії.
5. Безпечне використання хмарних технологій 5.1. Забезпечити можливості безпечного розміщення серверів, веб-сайтів та ін. послуг “хостінгу” в Україні, що може позитивно впливати на розвиток української економіки. 5.2. Запровадити можливості по захищеному використанню хмарних ІТ послуг для держави - розміщення серверів та сайтів, захисту від кібер-атак. 5.3. Використання сторонніх послуг та ПЗ. 5.4. Створити мінімальні вимоги, яким повинні відповідати компанії, що надають послуги державним органам у галузі ІТ. 5.5. Створити процеси контролю за ланцюгом поставок ІТ обладнання, програм та послуг, щоб знизити вплив іноземних спецслужб. 5.6. Обмежити використання іноземних веб-додатків співробітниками українських державних органів (поштових скриньок, соціальних мереж, використання лічильників, банерів). 5.7. Забезпечити легалізацію програмного забезпечення у державних органах. Надати звіт суспільству щодо програмного забезпечення що використовується в кожному державному органі та ступеню його ліцензування. 6. Нормативна база 6.1. Проводити обов’язкове громадське обговорення для всіх нормативних документів у галузі захисту інформації. Забезпечити безкоштовний доступ до їх вмісту документа. 6.2. Провести обговорення чернетки перекладу на українську мову стандарту ISO 27001, який регулює керування інформаційною безпекою на підприємствах. 6.3. Провести перегляд існуючих стандартів у галузі захисту інформації держави (НД-ТЗІ), адже вони застарілі на 10-15 років. 6.4. Розробити ризик-орієнтовану методику захисту інформації в державних органах.

Recommended

Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
IsacaKyiv
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТП
uisgslide
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
Alexey Yankovski
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Alexey Yankovski
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
uisgslide
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
IsacaKyiv
 
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
IsacaKyiv
 
Годовой отчет о деятельности киевского отделения ISACA
Годовой отчет о деятельности киевского отделения ISACAГодовой отчет о деятельности киевского отделения ISACA
Годовой отчет о деятельности киевского отделения ISACA
IsacaKyiv
 

Recommended

Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
IsacaKyiv
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТП
uisgslide
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
Alexey Yankovski
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Alexey Yankovski
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
uisgslide
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
IsacaKyiv
 
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
IsacaKyiv
 
Годовой отчет о деятельности киевского отделения ISACA
Годовой отчет о деятельности киевского отделения ISACAГодовой отчет о деятельности киевского отделения ISACA
Годовой отчет о деятельности киевского отделения ISACA
IsacaKyiv
 
GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013
garasym
 
279014.pptx
279014.pptx279014.pptx
279014.pptx
ssuser4f37ef
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
Glib Pakharenko
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Asters
 
Aref
ArefAref
Aref
Черкаський державний технологічний університет
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013
garasym
 
Реформи в галузі ІКТ
Реформи в галузі ІКТРеформи в галузі ІКТ
Реформи в галузі ІКТ
Katerina Mashevskaya
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Alexey Yankovski
 
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
Черкаський державний технологічний університет
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
ssuser039bf6
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
Vlad Styran
 
Security
SecuritySecurity
Security
judin
 
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати УкраїниПротокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
Katerina Mashevskaya
 
Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...
nadeh
 
Норматично-правова база захисту інформації України
Норматично-правова база захисту інформації УкраїниНорматично-правова база захисту інформації України
Норматично-правова база захисту інформації України
Oleg Nazarevych
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
Dmytro Petrashchuk
 
L4
L4L4
L4
volodimir0
 
STEM-osvita..pptx
STEM-osvita..pptxSTEM-osvita..pptx
STEM-osvita..pptx
klerikk1
 
ДДос атаки в Україні
ДДос атаки в УкраїніДДос атаки в Україні
ДДос атаки в Україні
IsacaKyiv
 
Цифрова економіка.pptx
Цифрова економіка.pptxЦифрова економіка.pptx
Цифрова економіка.pptx
Management department, SSU
 
Cybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWCCybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWC
IsacaKyiv
 
Настанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертівНастанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертів
IsacaKyiv
 

More Related Content

Similar to Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки держави

GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013
garasym
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013
garasym
 
Security
SecuritySecurity
Security
judin
 
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати УкраїниПротокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
Katerina Mashevskaya
 
Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...
nadeh
 
ДДос атаки в Україні
ДДос атаки в УкраїніДДос атаки в Україні
ДДос атаки в Україні
IsacaKyiv
 

Similar to Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки держави (20)

GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013
 
279014.pptx
279014.pptx279014.pptx
279014.pptx
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
 
Aref
ArefAref
Aref
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013
 
Реформи в галузі ІКТ
Реформи в галузі ІКТРеформи в галузі ІКТ
Реформи в галузі ІКТ
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
 
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Security
SecuritySecurity
Security
 
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати УкраїниПротокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
 
Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...
 
Норматично-правова база захисту інформації України
Норматично-правова база захисту інформації УкраїниНорматично-правова база захисту інформації України
Норматично-правова база захисту інформації України
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
 
L4
L4L4
L4
 
STEM-osvita..pptx
STEM-osvita..pptxSTEM-osvita..pptx
STEM-osvita..pptx
 
ДДос атаки в Україні
ДДос атаки в УкраїніДДос атаки в Україні
ДДос атаки в Україні
 
Цифрова економіка.pptx
Цифрова економіка.pptxЦифрова економіка.pptx
Цифрова економіка.pptx
 

More from IsacaKyiv

Настанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертівНастанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертів
IsacaKyiv
 
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
IsacaKyiv
 
Тренінг за програмою CISA
Тренінг за програмою CISAТренінг за програмою CISA
Тренінг за програмою CISA
IsacaKyiv
 
Як отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACAЯк отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACA
IsacaKyiv
 

More from IsacaKyiv (17)

Cybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWCCybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWC
 
Настанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертівНастанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертів
 
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
 
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
 
ISACA Cyber Security Law Draft
ISACA Cyber Security Law DraftISACA Cyber Security Law Draft
ISACA Cyber Security Law Draft
 
Опис задач за напрямками на 2015 р.
Опис задач за напрямками на 2015 р.Опис задач за напрямками на 2015 р.
Опис задач за напрямками на 2015 р.
 
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
 
О мероприятии - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
О мероприятии - Круглый стол на тему: «Кибербезопасность: миф или реальность?»О мероприятии - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
О мероприятии - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
 
ISACA Kyiv - свідоцтво асоційованого члена АПІТУ
ISACA Kyiv - свідоцтво асоційованого члена АПІТУISACA Kyiv - свідоцтво асоційованого члена АПІТУ
ISACA Kyiv - свідоцтво асоційованого члена АПІТУ
 
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації УкраїниISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
 
ISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
ISACA Kyiv Chapter - аналітична записка з питань кібербезпекиISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
ISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
 
Джоанна Коржевська - Електронний уряд у Польщі
Джоанна Коржевська - Електронний уряд у ПольщіДжоанна Коржевська - Електронний уряд у Польщі
Джоанна Коржевська - Електронний уряд у Польщі
 
Звернення до Голови ДССЗЗІ України
Звернення до Голови ДССЗЗІ УкраїниЗвернення до Голови ДССЗЗІ України
Звернення до Голови ДССЗЗІ України
 
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
 
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
 
Тренінг за програмою CISA
Тренінг за програмою CISAТренінг за програмою CISA
Тренінг за програмою CISA
 
Як отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACAЯк отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACA
 

Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки держави

  • 1. Загрози та рекомендації, розглянуті та запропоновані на зустрічі 23.04.14 23 квітня 2014 року Київським відділенням міжнародної професійної асоціації ІТ-управління ISACA проведено відкриту робочу нараду на тему “Шляхи забезпечення кібербезпеки держави”. Взяли участь представники державних органів, телекомунікаційних компаній та представників бізнес-сектору галузі ІТ. В рамках наради виділено низку сучасних загроз в галузі кібербезпеки, а також сформовано рекомендації з підвищення кібербезпеки держави. Загрози та приклади ризиків: 1. Фізичні атаки на елементи кіберпростору функціонування вітчизняної інфраструктури (наприклад, фізичне захоплення об’єктів управління енергетичною інфраструктурою, систем водопостачання тощо); 2. Кібератаки на елементі критичної інфраструктури країни (наприклад, об’єкти управління газотранспортною системою, тощо) ; 3. Атаки на загальнодоступні інформаційні ресурси держави для унеможливлення оперативного оприлюднення законів, що вступають в дію (наприклад, державні інтернет- сайти побудовані без можливості масштабування, тому навіть від досить невеликого зростання навантаження вони виходять з ладу) ; 4. Атаки на облікові та серверні системи приватних та державних установ (наприклад, атаки на сервери, на яких зберігаються реєстри виборців, фізичне захоплення цих серверів); 5. Атаки з використанням мобільних стільникових технологій (перехоплення інформації, розповсюдження неправдивої інформації) - наразі в Україні використовується 2G технологія, яка не є достатньо захищеною; 6. Недосконалість нормативно-правової бази країни в галузі інформаційних технологій, відсутність органу відповідального на координацію дій, пов’язаних з кібербезпекою. Запропоновані рекомендації з підвищення кібербезпеки української держави: 1. Організаційні заходи з управління кібербезпекою 1.1. Створити національний центр з кібербезпеки, який буде координувати діяльність інших державних органів щодо захисту інформаційних систем та реагування на кіберзагрози. Якщо відповідну структуру вже створено – наділити її достатніми повноваженнями. 1.2. Створити сприятливі умови для розвитку галузевих центрів кібербезпеки (в транспортній сфері, медичній, телекомунікаційній, тощо). 1.3. Розробити класифікацію секторів економіки за критичністю їх інформаційних систем, та розробити (або адаптувати) вимоги щодо їх захисту. Особливу увагу треба звернути на промислово-індустріальні системи, що керують автоматикою на заводах, транспорті, електростанціях та ін. Провести розробку чи адаптацію відповідних галузевих профілів інформаційної безпеки .
  • 2. 1.4. Створити раду ІТ директорів державних органів влади з метою координації, обміну досвідом та обговорення стандартів управління інформаційними технологіями та інформаційною безпекою. 1.5. Визначити в бюджетах кожного державного органу та державних програм витрати на підтримку належного рівня кібербезпеки окремими статями. 1.6. Впровадити механізми залучення громадських організацій та професійних асоціацій до проведення незалежної професійної експертизи державних проектів в сфері ІТ та Інформаційної Безпеки. 1.7. Проводити регулярний незалежний аудит стану захисту інформації в державних органах та інформувати суспільство про його результати. 2. Захист об’єктів критичної інфраструктури 2.1. Провести окреме обговорення ризиків притаманних критичним об’єктам інфраструктури та розробити відповідні короткострокові рекомендації на основі відповідного документу, розробленого в США http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf 2.2. Забезпечити високий рівень доступності для державних сайтів, що цього потребують. Наприклад, для сайтів, що публікують нормативні документи та закони. 2.3. Забезпечити обов’язкове шифрування інформації в системах державних органів влади, для захисту від інтервентів та терористів. 2.4. Залучити до співпраці та протидії загрозам провайдерів Інтернет-послуг. 2.5. Запровадити можливість блокування провайдерами абонентів, що приймають участь у кібератаках, на вимогу від національного та галузевих центрів кібер-безпеки. Рішення по відключенню абонентів, для яких послуга Інтернет є критичною, повинен приймати галузевий центр кібер-безпеки (якщо у абонента з ним є контракт). 2.6. Запровадити заходи щодо знешкодження неправильно сконфігурованих інтернет- серверів, що постійно приймають участь у кібер-атаках. 2.7. Створити авторитетний список комп’ютерних мереж, які вважаються українськими, для можливості своєчасного блокування. 3. Мобільний зв’язок 3.1. Забезпечити можливості розвитку 3G/4G технології мобільного зв’язку. 3.2. Надати звіт суспільству щодо захищеності мобільних операторів, та великих інтернет- провайдерів від впливу іноземних спецслужб. 4. Доступ дослідників та громадських організацій до джерела атак 4.1. Запровадити можливість передачі спеціалізованим громадським організаціям керування над серверами, що контролюють діяльність заражених вірусами комп’ютерів (так звані центри команд та контролю) - для іх вивчення та розробки механізмів протидії. 4.2. Забезпечити доступ приватних дослідників до певних деталей кібер-атак, що кояться на державні органи та важливі для суспільства кібер-системи для їх вивчення та розробки механізмів протидії.
  • 3. 5. Безпечне використання хмарних технологій 5.1. Забезпечити можливості безпечного розміщення серверів, веб-сайтів та ін. послуг “хостінгу” в Україні, що може позитивно впливати на розвиток української економіки. 5.2. Запровадити можливості по захищеному використанню хмарних ІТ послуг для держави - розміщення серверів та сайтів, захисту від кібер-атак. 5.3. Використання сторонніх послуг та ПЗ. 5.4. Створити мінімальні вимоги, яким повинні відповідати компанії, що надають послуги державним органам у галузі ІТ. 5.5. Створити процеси контролю за ланцюгом поставок ІТ обладнання, програм та послуг, щоб знизити вплив іноземних спецслужб. 5.6. Обмежити використання іноземних веб-додатків співробітниками українських державних органів (поштових скриньок, соціальних мереж, використання лічильників, банерів). 5.7. Забезпечити легалізацію програмного забезпечення у державних органах. Надати звіт суспільству щодо програмного забезпечення що використовується в кожному державному органі та ступеню його ліцензування. 6. Нормативна база 6.1. Проводити обов’язкове громадське обговорення для всіх нормативних документів у галузі захисту інформації. Забезпечити безкоштовний доступ до їх вмісту документа. 6.2. Провести обговорення чернетки перекладу на українську мову стандарту ISO 27001, який регулює керування інформаційною безпекою на підприємствах. 6.3. Провести перегляд існуючих стандартів у галузі захисту інформації держави (НД-ТЗІ), адже вони застарілі на 10-15 років. 6.4. Розробити ризик-орієнтовану методику захисту інформації в державних органах.