SlideShare a Scribd company logo
МОДЕЛЬ УПРАВЛЕНИЯ КИБЕРБЕЗОПАСНОСТЬЮ
УКРАИНЫ
НА ОСНОВЕ ОПЫТА США:
ПРЕДЛОЖЕНИЯ «ГО ИСАКА КИЕВ»
К ПРОЕКТУ ЗАКОНА УКРАИНЫ ОБ ОСНОВАХ
КИБЕРБЕЗОПАСНОСТИ
Алексей Янковский, CISM
Слайд 2
План презентации
1. Коротко об ISACA 3
2. Модель управления, предлагаемая проектом Закона Украины об
основах Кибербезопасности, разработанного Госспецсвязью
4
3. Альтернативный законопроект от ГО «ИСАКА Киев», основанный на
модели США и использующий опыт других стран
10
4. Преимущества модели, предложенной ISACA 16
Приложение: выдержка из аналитической записки о применимости
КСЗИ и НДТЗИ для управления Кибербезопасностью,
подготавливаемой ISACA
18
ISACA в глобальном масштабе
• ISACA – международная профессиональная неприбыльная ассоциация, нацеленная на
создание и распространение лучших практик и знаний в сфере управления
информационными технологиями, кибербезопасности и аудита
• Насчитывает более 170 отделений в 70 странах мира, более 100,000 членов
• Членами ассоциации являются специалисты по аудиту и безопасности
информационных систем, внутреннему аудиту, консультанты, руководители
департаментов информационных технологий, представители государственных органов
власти, преподаватели
• Профессиональная международная сертификация, программы обучения для ВУЗов
• Обмен опытом по вопросам ИТ в глобальном масштабе
• Основные публикации ISACA:
• CobiT – свод лучших практик в сфере ИТ-управления, ИТ-аудита (украинский)
• ISACA Cybersecuruty framework – свод лучших практик по Кибербезопасности
(соответствует NIST Framework for Improving Critical Infrastructure Cybersecurity)
• ITAF – свод профессиональных требований по ИТ-аудиту (украинский)
• Сборник Val IT Framework – управление инвестициями в ИТ
• Журнал Information System Control Journal
• Множество других публикаций, которые охватывают различные вопросы ИТ-
управления
• www.isaca.org
Слайд 3
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 1/5
• Будущую модель определяют 3 документа:
- Проект Закона Украины об основах Кибербезопасности
(предоставлен ISACA для анализа)
- Критерии для отнесения организаций к объектам критической
инфраструктуры
- Проект изменений в Законе об информации
Слайд 4
• Объектами киберзащиты задекларированы объекты в которых
обрабатывается информация, требования к защите которой
установлены законом либо гос. информационные ресурсы
• Проект Закона об информации вводит понятие «технологическая
информация» (например, информация в системах АСУТП)
• На основе отдельного документа (Критериев) определяются объекты
критической инфраструктуры
• Организации, которые вошли в перечень объектов критической
инфраструктуры, обязаны создать функции киберзащиты и построить
КСЗИ для защиты технологической и конфиденциальной информации
• Госспецсвязь разрабатывает нормативные документы по
Кибербезопасности и контролирует их выполнение
• В ЗСУ, СБУ, РНБО, МВД, Ген. Штабе создаются структуры
ответственные за Кибербезопасность
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 2/5
Слайд 5
Подходят ли КСЗИ и НДТЗИ для кибербезопасности и для частного бизнеса?
• НДТЗИ (в частности НД ТЗІ 2.5-004), основаны на Common Criteria (ISO 15408) и
нацелены преимущественно на защиту и сертификацию конкретной системы,
нежели организации в целом (не охватывают управленческий уровень,
например, реагирование на инциденты). В США используются
преимущественно органами государственной власти для сертификации
оборудования
• Подход, основанный на КСЗИ, предполагает скрупулезное документирование
настроек и любых изменений в системе, в то время как организация
эффективной киберзащиты требует перенастройки системы (включая
изменения архитектуры) в режиме реального времени, иногда даже в ущерб
документированию
• НДТЗИ громоздки/избыточны и сложны для понимания частного бизнеса
• Не применимы для сложной системы, состоящей из десятков АСУТП на
крупных предприятиях
• Монополизируется применение стандартов и выполнение соответствующих
работ (в США применение NIST – добровольно, допускается использование
альтернативных подходов)
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 3/5
Слайд 6
НД ТЗІ не охватывают важнейшую область
кибербезопасности – организационный уровень
Согласно НД ТЗІ 1.1-002-99:
“Цей документ і комплект
НД, що базується на ньому,
присвячений питанням
організації захисту від НСД і
побудови засобів захисту
від НСД, що функціонують
у складі обчислювальної
системи АС. Організаційні
і фізичні заходи захисту,
включаючи захист від
фізичного НСД до
компонентів ОС, як і захист
від витоку технічними
каналами не є предметом
розгляду ”
Слайд 7
Прочие вопросы и наблюдения:
• Будет ли эффективной централизованная модель управления
кибербезопасностью? Каким образом будет учтена отраслевая
специфика?
• Очень узкое понимание объектов киберзащиты и киберпространства
• Не используется понятие «риск», проект закона оперирует лишь
понятиями «угроза» и «защита информации от угрозы»
• Вопросы, связанные с обменом информацией об атаках, недостаточно
артикулированы
• Не урегулированы такие вопросы, как блокирование сетей, являющихся
источниками атак, ответственность за продажу ботнетов и
вредоносного ПО, доступ экспертов и исследователей к деталям атак
• Вопросы киберпреступности, защиты конечных пользователей, МСБ и
организаций не являющихся объектами критичной инфраструктуры,
вынесены за рамка Законопроекта
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 4/5
Слайд 8
Прочие вопросы и наблюдения (продолжение):
• Не предполагается использование альтернативных международных
стандартов и институции независимых аудиторов для регулярного
подтверждения эффективности системы контроля
• Недостаточно проработаны вопросы подготовки кадров, образования,
профессиональной сертификации в сфере кибербезопасности
• Требование к операторам связи хранить историю трафика за
определенный период времени (в «Закон про Телекомунікації») не
содержит мероприятий по контролю злоупотреблений и противоречит
ратифицированной Конвенции о киберпреступности
• Не предусмотрено единоначалие в вопросах кибербезопасности в
«особливий период», в т.ч. вопросы передачи контроля за
телекоммуникационными сетями общего пользования
Модель управления, предлагаемая проектом Закона
Украины об основах Кибербезопасности (упрощенно) 5/5
Слайд 9
ГО «ИСАКА Киев», используя опыт глобальной ISACA и волонтеров
членов отделения, разработало альтернативный законопроект.
Основные принципы:
• Государство делегирует существенные полномочия по определению
стандартов и контролю киберзащиты отраслевым регуляторам
• Госспецсвязь остается регулятором для органов государственной
власти, а для других отраслей выполняет координирующую роль
• Для частного бизнеса - основополагающим подходом является
организационный, риск-ориентированный, нежели технический: NIST
Framework for Improving Critical Infrastructure Cybersecurity либо
аналогичные международные фреймворки
• В каждой отрасли создаются центры реагирования и обмена
информацией об атаках
• Отраслевые регуляторы по своему усмотрению привлекают
независимых аудиторов для проверок в своих отраслях
Альтернативный законопроект от ГО «ИСАКА Киев» – с
использованием опыта США и других стран (1/3)
Слайд 10
Основные принципы (продолжение):
• Четко определены отрасли, относящиеся к критической инфраструктуре
• Госспецсвязь оповещает об угрозах Отраслевые центры реагирования
и обмена информацией об атаках и собирает от них информацию об
атаках, способствует расследованию инцидентов
• Создается Центр Кибербезопасности при Президенте Украины – он
проводит оперативное управление всеми ресурсами постоянного
реагирования в сфере кибербезопасности
• На объектах критической инфраструктуры и в органах государственной
власти создаются функции аудита ИТ
• Риск-ориентированный подход, методика ENISA для определения
объектов критической инфраструктуры.
• Более широкое понятие киберпространства, набор мероприятий для
МСБ
• Совершенствование системы образования и проф. Сертификации
• Ежегодный отчет Верховной Раде о состоянии кибербезопасности в
стране
Альтернативный законопроект от ГО «ИСАКА Киев» – с
использованием опыта США и других стран (2/3)
Слайд 11
Основные принципы (продолжение):
• Предложен ряд мероприятий, направленных на защиту приватности от
неправомерного перехвата информации и злоупотреблений:
 Передача информации провайдером - только по решению суда
 Автоматическое уведомление судебных органов при перехвате
информации
 Ограничения по сроку перехвата информации
 Принцип «пропорциональности»
 Запрет на выведывание информации (anti-fishing)
 Постфактум уведомление всех субъектов перехвата информации
Альтернативный законопроект от ГО «ИСАКА Киев» – с
использованием опыта США и других стран (3/3)
Слайд 12
NIST Framework for Improving Critical Infrastructure
Cybersecurity
Слайд 13
Пример - перечень секторов/отраслей, отнесенных к
критической инфраструктуре в США
• chemical;
• commercial facilities;
• communications;
• critical manufacturing;
• dams;
• Defense Industrial Base;
• emergency services;
• energy;
• financial services;
• food and agriculture;
• government facilities;
• healthcare and public health;
• information technology;
• nuclear reactors, materials, and
waste;
• transportation systems; and
• water and wastewater systems.
Слайд 14
• ISO-27001, ISO-27002, адаптированные НБУ - применяется в
банковском секторе Украины
• NERC – Critical Infrastructure Protection standards (CIP)
• Gramm-Leach Bliley Act (GLBA) для фин. учреждений - Финансовая
ответственность организаций и персональная финансовая
ответственность их руководителей
• PCI DSS
• HIPPA - Health Insurance Portability and Accountability Act of 1996 -
защита медицинских записей. Штрафы в размере 50тыс.-100тыс.USD,
а также гражданские иски
• Health Information Technology for Economic and Clinical Health Act (the
HITECH Act) - включает рамки HIPPA людей и организации
ответственных за обработку данных пациентов (страховые компании,
банки, школы и пр.)
Примеры отраслевых стандартов и нормативных
документов
Слайд 15
Преимущества модели, предложенной ISACA
• Позволяет выстроить более эффективную систему, основанную на
апробированных на западе подходах и стандартах, в т.ч. практиках
зрелого корпоративного управления
• Позволяет учесть отраслевые особенности, а также возможности
бизнеса
• Упрощает и снижает стоимость внедрения кибербезопасности для
бизнеса
• Повышает защиту приватности граждан и юр.лиц от возможных
злоупотреблений, связанных с перехватом информации
• Риск-ориентированность
• Охватывает вопросы подготовки кадров, защиты МСБ
• Более эффективная модель управления для органов
кибербезопасности постоянной готовности
Слайд 16
Дальнейшие шаги
• Обсуждение в рамках сегодняшнего семинара
• Круглый стол в рамках Европейской Бизнес Ассоциации (EBA) с
участием представителей бизнеса и руководства Госспецсвязи
• Организация открытых слушаний в рамках профильного комитета
Верховной Рады Украины стола с участием
- Представителей владельцев объектов критической
инфраструктуры
- Силовых ведомств: Госспецсвязи, МВД, СБУ, Генштаба,
Министерства Обороны
- Существующих регуляторов – НБУ, НКРЗЕ и пр., и профильных
министерств
- Иностранных экспертов
Слайд 17
1. КСЗІ була розроблена на базі досвіду захисту державної таємниці, оскільки
раніше питання захисту інформації, в тому числі банківської та комерційної,
взагалі не поставало. Для захисту державної таємниці КСЗІ безумовно є дуже
гарною системою, оскільки вона враховує усі ймовірні загрози без
урахування можливості їх реалізації. (Це часто неможливо: наприклад,
загроза з наявності приміщень іноземних представництв поблизу місця
оброблення таємної інформації – оцінити можливість та вірогідність реалізації
такої загрози неможливо).
2. Слід також зазначити, що основною метою захисту державної таємниці є
захист від несанкціонованого доступу. Крім того, засоби оброблення такої
інформації є досить статичними, рідко заміняються, та і перелік загроз
практично не змінюється. Це надає можливість рідко змінювати КСЗІ та
надає достатньо часу для проходження атестації.
3. В сучасних умовах питання захисту інформації виникають в різних галузях
життя країни. Впровадження сучасних, швидко змінюваних інформаційних
технологій потребує досить динамічного підходу для забезпечення надійного
захисту інформації від усіх типів загроз, в тому числі забезпечення
безперервності бізнесу.
Приложение. Выдержка из аналитической записки о
применимости КСЗИ и НДТЗИ для управления
Кибербезопасностью, подготавливаемой ISACA(1/3)
Слайд 18
4. Власниками інформації, яка не відноситься до державної таємниці, є комерційні
структури і навіть фізичні особи-підприємці. Вони мають фінансувати заходи захисту
для уникнення компрометації їх конфіденційної інформації, в тому числі комерційної,
банківської та інших видів таємниць. Тому, повинні існувати інструменти, які
допомагають швидко оцінювати ефективність захисту інформації та враховують не
тільки загрози, а і можливість їх реалізації через існуючі вразливості та слабкі місця. Це
надає можливість власнику інформації, що потребує захисту, вибирати та усувати тільки
ті ризики, які можуть реально нанести велику шкоду бізнесу, тим самим більш
ефективно використовувати гроші на систему захисту інформації. Крім того, власник
інформації повинен мати можливість застосовувати різні засоби для
уникнення/мінімізації ризиків, навіть до відмови використання найбільш ризикових
технологій, та забезпечувати належний захист інформації тільки х використанням
організаційних заходів, або прийняти деякі ризики, усунення яких потребує великих
фінансових вкладень, на деякий час до накопичення потрібних коштів.
5. Зазначені вище можливості надають міжнародні стандарти з управління інформаційною
безпекою: NIST, COBIT, ISO 27xxx тощо, які широко використовуються в усьому світі.
Приложение. Выдержка из аналитической записки о
применимости КСЗИ и НДТЗИ для управления
Кибербезопасностью, подготавливаемой ISACA(2/3)
Слайд 19
6. С точки зору кібербезпеки слід зазначити, що тільки підходи, яка основані на управління
ризиками інформаційної безпеки, можуть забезпечити реальний ефективний
кіберзахист. Більшість об’єктів критичної інфраструктури не відноситься до державної
власності; подавляючи більшість інформації, що циркулює та обробляється і потребує
захисту від кібератак, не відноситься до державної таємниці.
Враховуючи вище наведене дуже важливо якнайскоріше надати власникам
об’єктів критичної інфраструктури прозорі інструменти управління ризиками
інформаційної безпеки у вигляді гармонізованих міжнародних
фреймворків/стандартів із впровадження та управління кібербезпекою
Приложение. Выдержка из аналитической записки о
применимости КСЗИ и НДТЗИ для управления
Кибербезопасностью, подготавливаемой ISACA(2/3)
Слайд 20

More Related Content

What's hot

Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
Aleksey Lukatskiy
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirementsAleksey Lukatskiy
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
Cisco Russia
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Aleksey Lukatskiy
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
Aleksey Lukatskiy
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Cisco Russia
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Cisco Russia
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
Positive Hack Days
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?
Solar Security
 
Киберугрозы будущего
Киберугрозы будущегоКиберугрозы будущего
Киберугрозы будущего
Альбина Минуллина
 
Годовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 годГодовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 год
Cisco Russia
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
Aleksey Lukatskiy
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulationCisco Russia
 
Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыЕжегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
Cisco Russia
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 

What's hot (20)

Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirements
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?
 
Киберугрозы будущего
Киберугрозы будущегоКиберугрозы будущего
Киберугрозы будущего
 
Годовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 годГодовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 год
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulation
 
Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыЕжегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 

Viewers also liked

Настанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертівНастанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертів
IsacaKyiv
 
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
IsacaKyiv
 
Isaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ayIsaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_aygarasym
 
Джоанна Коржевська - Електронний уряд у Польщі
Джоанна Коржевська - Електронний уряд у ПольщіДжоанна Коржевська - Електронний уряд у Польщі
Джоанна Коржевська - Електронний уряд у Польщі
IsacaKyiv
 
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
IsacaKyiv
 
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
HackIT Ukraine
 
Як отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACAЯк отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACAIsacaKyiv
 

Viewers also liked (7)

Настанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертівНастанови з кібербезпеки від експертів
Настанови з кібербезпеки від експертів
 
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
 
Isaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ayIsaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ay
 
Джоанна Коржевська - Електронний уряд у Польщі
Джоанна Коржевська - Електронний уряд у ПольщіДжоанна Коржевська - Електронний уряд у Польщі
Джоанна Коржевська - Електронний уряд у Польщі
 
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
 
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
 
Як отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACAЯк отримати найбільші зиски від участі в Київському відділенні ISACA
Як отримати найбільші зиски від участі в Київському відділенні ISACA
 

Similar to ISACA Cyber Security Law Draft

Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vv
Alexey Yankovski
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
Alexey Kachalin
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...
Cisco Russia
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
DialogueScience
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Expolink
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
IBS
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
Dinar Garipov
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...
Vsevolod Shabad
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco  по информационной безопасности. Выпуск 18Новости Cisco  по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18
Cisco Russia
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011qqlan
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdfAksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdf
Вячеслав Аксёнов
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
DialogueScience
 
лаприн соинвестор минигрант
лаприн соинвестор минигрантлаприн соинвестор минигрант
лаприн соинвестор минигрант
Андрей Балагуров
 
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
ActiveCloud
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
Matevosyan Artur
 
сэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийсэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложений
Agency for Strategic Initiatives
 

Similar to ISACA Cyber Security Law Draft (20)

Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vv
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco  по информационной безопасности. Выпуск 18Новости Cisco  по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойны
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdfAksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdf
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
 
лаприн соинвестор минигрант
лаприн соинвестор минигрантлаприн соинвестор минигрант
лаприн соинвестор минигрант
 
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
сэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийсэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложений
 

More from IsacaKyiv

Cybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWCCybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWC
IsacaKyiv
 
Опис задач за напрямками на 2015 р.
Опис задач за напрямками на 2015 р.Опис задач за напрямками на 2015 р.
Опис задач за напрямками на 2015 р.
IsacaKyiv
 
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
IsacaKyiv
 
ISACA Kyiv - свідоцтво асоційованого члена АПІТУ
ISACA Kyiv - свідоцтво асоційованого члена АПІТУISACA Kyiv - свідоцтво асоційованого члена АПІТУ
ISACA Kyiv - свідоцтво асоційованого члена АПІТУ
IsacaKyiv
 
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації УкраїниISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
IsacaKyiv
 
ISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
ISACA Kyiv Chapter - аналітична записка з питань кібербезпекиISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
ISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
IsacaKyiv
 
Звернення до Голови ДССЗЗІ України
Звернення до Голови ДССЗЗІ УкраїниЗвернення до Голови ДССЗЗІ України
Звернення до Голови ДССЗЗІ України
IsacaKyiv
 
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
 Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
IsacaKyiv
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
IsacaKyiv
 
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
IsacaKyiv
 
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
IsacaKyiv
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
IsacaKyiv
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...IsacaKyiv
 
Тренінг за програмою CISA
Тренінг за програмою CISAТренінг за програмою CISA
Тренінг за програмою CISAIsacaKyiv
 
ДДос атаки в Україні
ДДос атаки в УкраїніДДос атаки в Україні
ДДос атаки в УкраїніIsacaKyiv
 

More from IsacaKyiv (15)

Cybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWCCybersecurity Training ISACA & PWC
Cybersecurity Training ISACA & PWC
 
Опис задач за напрямками на 2015 р.
Опис задач за напрямками на 2015 р.Опис задач за напрямками на 2015 р.
Опис задач за напрямками на 2015 р.
 
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
Agenda - Круглый стол на тему: «Кибербезопасность: миф или реальность?»
 
ISACA Kyiv - свідоцтво асоційованого члена АПІТУ
ISACA Kyiv - свідоцтво асоційованого члена АПІТУISACA Kyiv - свідоцтво асоційованого члена АПІТУ
ISACA Kyiv - свідоцтво асоційованого члена АПІТУ
 
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації УкраїниISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
ISACA Kyiv - посвідчення асоційованого члена Інтернет Асоціації України
 
ISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
ISACA Kyiv Chapter - аналітична записка з питань кібербезпекиISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
ISACA Kyiv Chapter - аналітична записка з питань кібербезпеки
 
Звернення до Голови ДССЗЗІ України
Звернення до Голови ДССЗЗІ УкраїниЗвернення до Голови ДССЗЗІ України
Звернення до Голови ДССЗЗІ України
 
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
 Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
 
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
Звернення до Віце-прем'єр-міністра України щодо розгляду та врахування пропоз...
 
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
 
Тренінг за програмою CISA
Тренінг за програмою CISAТренінг за програмою CISA
Тренінг за програмою CISA
 
ДДос атаки в Україні
ДДос атаки в УкраїніДДос атаки в Україні
ДДос атаки в Україні
 

ISACA Cyber Security Law Draft

  • 1. МОДЕЛЬ УПРАВЛЕНИЯ КИБЕРБЕЗОПАСНОСТЬЮ УКРАИНЫ НА ОСНОВЕ ОПЫТА США: ПРЕДЛОЖЕНИЯ «ГО ИСАКА КИЕВ» К ПРОЕКТУ ЗАКОНА УКРАИНЫ ОБ ОСНОВАХ КИБЕРБЕЗОПАСНОСТИ Алексей Янковский, CISM
  • 2. Слайд 2 План презентации 1. Коротко об ISACA 3 2. Модель управления, предлагаемая проектом Закона Украины об основах Кибербезопасности, разработанного Госспецсвязью 4 3. Альтернативный законопроект от ГО «ИСАКА Киев», основанный на модели США и использующий опыт других стран 10 4. Преимущества модели, предложенной ISACA 16 Приложение: выдержка из аналитической записки о применимости КСЗИ и НДТЗИ для управления Кибербезопасностью, подготавливаемой ISACA 18
  • 3. ISACA в глобальном масштабе • ISACA – международная профессиональная неприбыльная ассоциация, нацеленная на создание и распространение лучших практик и знаний в сфере управления информационными технологиями, кибербезопасности и аудита • Насчитывает более 170 отделений в 70 странах мира, более 100,000 членов • Членами ассоциации являются специалисты по аудиту и безопасности информационных систем, внутреннему аудиту, консультанты, руководители департаментов информационных технологий, представители государственных органов власти, преподаватели • Профессиональная международная сертификация, программы обучения для ВУЗов • Обмен опытом по вопросам ИТ в глобальном масштабе • Основные публикации ISACA: • CobiT – свод лучших практик в сфере ИТ-управления, ИТ-аудита (украинский) • ISACA Cybersecuruty framework – свод лучших практик по Кибербезопасности (соответствует NIST Framework for Improving Critical Infrastructure Cybersecurity) • ITAF – свод профессиональных требований по ИТ-аудиту (украинский) • Сборник Val IT Framework – управление инвестициями в ИТ • Журнал Information System Control Journal • Множество других публикаций, которые охватывают различные вопросы ИТ- управления • www.isaca.org Слайд 3
  • 4. Модель управления, предлагаемая проектом Закона Украины об основах Кибербезопасности (упрощенно) 1/5 • Будущую модель определяют 3 документа: - Проект Закона Украины об основах Кибербезопасности (предоставлен ISACA для анализа) - Критерии для отнесения организаций к объектам критической инфраструктуры - Проект изменений в Законе об информации Слайд 4
  • 5. • Объектами киберзащиты задекларированы объекты в которых обрабатывается информация, требования к защите которой установлены законом либо гос. информационные ресурсы • Проект Закона об информации вводит понятие «технологическая информация» (например, информация в системах АСУТП) • На основе отдельного документа (Критериев) определяются объекты критической инфраструктуры • Организации, которые вошли в перечень объектов критической инфраструктуры, обязаны создать функции киберзащиты и построить КСЗИ для защиты технологической и конфиденциальной информации • Госспецсвязь разрабатывает нормативные документы по Кибербезопасности и контролирует их выполнение • В ЗСУ, СБУ, РНБО, МВД, Ген. Штабе создаются структуры ответственные за Кибербезопасность Модель управления, предлагаемая проектом Закона Украины об основах Кибербезопасности (упрощенно) 2/5 Слайд 5
  • 6. Подходят ли КСЗИ и НДТЗИ для кибербезопасности и для частного бизнеса? • НДТЗИ (в частности НД ТЗІ 2.5-004), основаны на Common Criteria (ISO 15408) и нацелены преимущественно на защиту и сертификацию конкретной системы, нежели организации в целом (не охватывают управленческий уровень, например, реагирование на инциденты). В США используются преимущественно органами государственной власти для сертификации оборудования • Подход, основанный на КСЗИ, предполагает скрупулезное документирование настроек и любых изменений в системе, в то время как организация эффективной киберзащиты требует перенастройки системы (включая изменения архитектуры) в режиме реального времени, иногда даже в ущерб документированию • НДТЗИ громоздки/избыточны и сложны для понимания частного бизнеса • Не применимы для сложной системы, состоящей из десятков АСУТП на крупных предприятиях • Монополизируется применение стандартов и выполнение соответствующих работ (в США применение NIST – добровольно, допускается использование альтернативных подходов) Модель управления, предлагаемая проектом Закона Украины об основах Кибербезопасности (упрощенно) 3/5 Слайд 6
  • 7. НД ТЗІ не охватывают важнейшую область кибербезопасности – организационный уровень Согласно НД ТЗІ 1.1-002-99: “Цей документ і комплект НД, що базується на ньому, присвячений питанням організації захисту від НСД і побудови засобів захисту від НСД, що функціонують у складі обчислювальної системи АС. Організаційні і фізичні заходи захисту, включаючи захист від фізичного НСД до компонентів ОС, як і захист від витоку технічними каналами не є предметом розгляду ” Слайд 7
  • 8. Прочие вопросы и наблюдения: • Будет ли эффективной централизованная модель управления кибербезопасностью? Каким образом будет учтена отраслевая специфика? • Очень узкое понимание объектов киберзащиты и киберпространства • Не используется понятие «риск», проект закона оперирует лишь понятиями «угроза» и «защита информации от угрозы» • Вопросы, связанные с обменом информацией об атаках, недостаточно артикулированы • Не урегулированы такие вопросы, как блокирование сетей, являющихся источниками атак, ответственность за продажу ботнетов и вредоносного ПО, доступ экспертов и исследователей к деталям атак • Вопросы киберпреступности, защиты конечных пользователей, МСБ и организаций не являющихся объектами критичной инфраструктуры, вынесены за рамка Законопроекта Модель управления, предлагаемая проектом Закона Украины об основах Кибербезопасности (упрощенно) 4/5 Слайд 8
  • 9. Прочие вопросы и наблюдения (продолжение): • Не предполагается использование альтернативных международных стандартов и институции независимых аудиторов для регулярного подтверждения эффективности системы контроля • Недостаточно проработаны вопросы подготовки кадров, образования, профессиональной сертификации в сфере кибербезопасности • Требование к операторам связи хранить историю трафика за определенный период времени (в «Закон про Телекомунікації») не содержит мероприятий по контролю злоупотреблений и противоречит ратифицированной Конвенции о киберпреступности • Не предусмотрено единоначалие в вопросах кибербезопасности в «особливий период», в т.ч. вопросы передачи контроля за телекоммуникационными сетями общего пользования Модель управления, предлагаемая проектом Закона Украины об основах Кибербезопасности (упрощенно) 5/5 Слайд 9
  • 10. ГО «ИСАКА Киев», используя опыт глобальной ISACA и волонтеров членов отделения, разработало альтернативный законопроект. Основные принципы: • Государство делегирует существенные полномочия по определению стандартов и контролю киберзащиты отраслевым регуляторам • Госспецсвязь остается регулятором для органов государственной власти, а для других отраслей выполняет координирующую роль • Для частного бизнеса - основополагающим подходом является организационный, риск-ориентированный, нежели технический: NIST Framework for Improving Critical Infrastructure Cybersecurity либо аналогичные международные фреймворки • В каждой отрасли создаются центры реагирования и обмена информацией об атаках • Отраслевые регуляторы по своему усмотрению привлекают независимых аудиторов для проверок в своих отраслях Альтернативный законопроект от ГО «ИСАКА Киев» – с использованием опыта США и других стран (1/3) Слайд 10
  • 11. Основные принципы (продолжение): • Четко определены отрасли, относящиеся к критической инфраструктуре • Госспецсвязь оповещает об угрозах Отраслевые центры реагирования и обмена информацией об атаках и собирает от них информацию об атаках, способствует расследованию инцидентов • Создается Центр Кибербезопасности при Президенте Украины – он проводит оперативное управление всеми ресурсами постоянного реагирования в сфере кибербезопасности • На объектах критической инфраструктуры и в органах государственной власти создаются функции аудита ИТ • Риск-ориентированный подход, методика ENISA для определения объектов критической инфраструктуры. • Более широкое понятие киберпространства, набор мероприятий для МСБ • Совершенствование системы образования и проф. Сертификации • Ежегодный отчет Верховной Раде о состоянии кибербезопасности в стране Альтернативный законопроект от ГО «ИСАКА Киев» – с использованием опыта США и других стран (2/3) Слайд 11
  • 12. Основные принципы (продолжение): • Предложен ряд мероприятий, направленных на защиту приватности от неправомерного перехвата информации и злоупотреблений:  Передача информации провайдером - только по решению суда  Автоматическое уведомление судебных органов при перехвате информации  Ограничения по сроку перехвата информации  Принцип «пропорциональности»  Запрет на выведывание информации (anti-fishing)  Постфактум уведомление всех субъектов перехвата информации Альтернативный законопроект от ГО «ИСАКА Киев» – с использованием опыта США и других стран (3/3) Слайд 12
  • 13. NIST Framework for Improving Critical Infrastructure Cybersecurity Слайд 13
  • 14. Пример - перечень секторов/отраслей, отнесенных к критической инфраструктуре в США • chemical; • commercial facilities; • communications; • critical manufacturing; • dams; • Defense Industrial Base; • emergency services; • energy; • financial services; • food and agriculture; • government facilities; • healthcare and public health; • information technology; • nuclear reactors, materials, and waste; • transportation systems; and • water and wastewater systems. Слайд 14
  • 15. • ISO-27001, ISO-27002, адаптированные НБУ - применяется в банковском секторе Украины • NERC – Critical Infrastructure Protection standards (CIP) • Gramm-Leach Bliley Act (GLBA) для фин. учреждений - Финансовая ответственность организаций и персональная финансовая ответственность их руководителей • PCI DSS • HIPPA - Health Insurance Portability and Accountability Act of 1996 - защита медицинских записей. Штрафы в размере 50тыс.-100тыс.USD, а также гражданские иски • Health Information Technology for Economic and Clinical Health Act (the HITECH Act) - включает рамки HIPPA людей и организации ответственных за обработку данных пациентов (страховые компании, банки, школы и пр.) Примеры отраслевых стандартов и нормативных документов Слайд 15
  • 16. Преимущества модели, предложенной ISACA • Позволяет выстроить более эффективную систему, основанную на апробированных на западе подходах и стандартах, в т.ч. практиках зрелого корпоративного управления • Позволяет учесть отраслевые особенности, а также возможности бизнеса • Упрощает и снижает стоимость внедрения кибербезопасности для бизнеса • Повышает защиту приватности граждан и юр.лиц от возможных злоупотреблений, связанных с перехватом информации • Риск-ориентированность • Охватывает вопросы подготовки кадров, защиты МСБ • Более эффективная модель управления для органов кибербезопасности постоянной готовности Слайд 16
  • 17. Дальнейшие шаги • Обсуждение в рамках сегодняшнего семинара • Круглый стол в рамках Европейской Бизнес Ассоциации (EBA) с участием представителей бизнеса и руководства Госспецсвязи • Организация открытых слушаний в рамках профильного комитета Верховной Рады Украины стола с участием - Представителей владельцев объектов критической инфраструктуры - Силовых ведомств: Госспецсвязи, МВД, СБУ, Генштаба, Министерства Обороны - Существующих регуляторов – НБУ, НКРЗЕ и пр., и профильных министерств - Иностранных экспертов Слайд 17
  • 18. 1. КСЗІ була розроблена на базі досвіду захисту державної таємниці, оскільки раніше питання захисту інформації, в тому числі банківської та комерційної, взагалі не поставало. Для захисту державної таємниці КСЗІ безумовно є дуже гарною системою, оскільки вона враховує усі ймовірні загрози без урахування можливості їх реалізації. (Це часто неможливо: наприклад, загроза з наявності приміщень іноземних представництв поблизу місця оброблення таємної інформації – оцінити можливість та вірогідність реалізації такої загрози неможливо). 2. Слід також зазначити, що основною метою захисту державної таємниці є захист від несанкціонованого доступу. Крім того, засоби оброблення такої інформації є досить статичними, рідко заміняються, та і перелік загроз практично не змінюється. Це надає можливість рідко змінювати КСЗІ та надає достатньо часу для проходження атестації. 3. В сучасних умовах питання захисту інформації виникають в різних галузях життя країни. Впровадження сучасних, швидко змінюваних інформаційних технологій потребує досить динамічного підходу для забезпечення надійного захисту інформації від усіх типів загроз, в тому числі забезпечення безперервності бізнесу. Приложение. Выдержка из аналитической записки о применимости КСЗИ и НДТЗИ для управления Кибербезопасностью, подготавливаемой ISACA(1/3) Слайд 18
  • 19. 4. Власниками інформації, яка не відноситься до державної таємниці, є комерційні структури і навіть фізичні особи-підприємці. Вони мають фінансувати заходи захисту для уникнення компрометації їх конфіденційної інформації, в тому числі комерційної, банківської та інших видів таємниць. Тому, повинні існувати інструменти, які допомагають швидко оцінювати ефективність захисту інформації та враховують не тільки загрози, а і можливість їх реалізації через існуючі вразливості та слабкі місця. Це надає можливість власнику інформації, що потребує захисту, вибирати та усувати тільки ті ризики, які можуть реально нанести велику шкоду бізнесу, тим самим більш ефективно використовувати гроші на систему захисту інформації. Крім того, власник інформації повинен мати можливість застосовувати різні засоби для уникнення/мінімізації ризиків, навіть до відмови використання найбільш ризикових технологій, та забезпечувати належний захист інформації тільки х використанням організаційних заходів, або прийняти деякі ризики, усунення яких потребує великих фінансових вкладень, на деякий час до накопичення потрібних коштів. 5. Зазначені вище можливості надають міжнародні стандарти з управління інформаційною безпекою: NIST, COBIT, ISO 27xxx тощо, які широко використовуються в усьому світі. Приложение. Выдержка из аналитической записки о применимости КСЗИ и НДТЗИ для управления Кибербезопасностью, подготавливаемой ISACA(2/3) Слайд 19
  • 20. 6. С точки зору кібербезпеки слід зазначити, що тільки підходи, яка основані на управління ризиками інформаційної безпеки, можуть забезпечити реальний ефективний кіберзахист. Більшість об’єктів критичної інфраструктури не відноситься до державної власності; подавляючи більшість інформації, що циркулює та обробляється і потребує захисту від кібератак, не відноситься до державної таємниці. Враховуючи вище наведене дуже важливо якнайскоріше надати власникам об’єктів критичної інфраструктури прозорі інструменти управління ризиками інформаційної безпеки у вигляді гармонізованих міжнародних фреймворків/стандартів із впровадження та управління кібербезпекою Приложение. Выдержка из аналитической записки о применимости КСЗИ и НДТЗИ для управления Кибербезопасностью, подготавливаемой ISACA(2/3) Слайд 20