Cyber ​​News: DPCM 17 Февраль 2017 выпущен

(Ди Алессандро Руголо)
24/06/17

Недавно появилось новое «Руководство по защите кибербезопасности и национальной компьютерной безопасности».

Был ли новый стандарт?

Я бы сказал, да.

Давайте посмотрим, что нового, и сделайте некоторые личные соображения общего характера.

«Директива о кибербезопасности и национальной компьютерной безопасности» теперь является Постановлением канцелярии премьер-министра, выпущенной 17 February 2017 и опубликованной в «Официальной газете», общей серии в 87 13 2017 April.

В чем его цель?

Сначала обновите уже существующие правила, датируемые четырьмя годами ранее (DPCM 24 January 2013), затем "привести в систему и унифицировать различные компетенции, связанные с управлением кризисной ситуацией ...«в кибер-поле, отсутствие (единства!)), очевидно, является источником трудности в ответе на возможную кибер-атаку на одну или несколько критических национальных инфраструктур.

Статья 1 представляет нам эту тему, указывая на предмет Директивы (Институциональная архитектура, предназначенная для защиты национальной безопасности в отношении важнейших и неосязаемых инфраструктур ...) и основные заинтересованные стороны (в основном, Министерство экономического развития, Агентство цифровой Италии, Министерство обороны и Министерство внутренних дел).

Интересно, что в статье 2 собраны самые важные определения для кибер-поля. Обязательно, без сомнения, даже если не все лично могут быть разделены. Я имею в виду, в частности, определение «киберпространства» и последствия, которые это может иметь для анализа кибер-рисков.

Начнем с определения DPCM. 

"Кибернетическое пространство: набор взаимосвязанных ИТ-инфраструктур, включая аппаратное обеспечение, программное обеспечение, данные и пользователей, а также взаимосвязанные между ними логические отношения".

Теперь давайте возьмем некоторые определения киберпространства, принятые самыми передовыми странами в отрасли: США и Россия.

- США: Исключительная среда, в которой происходит связь через компьютерные сети;

- Россия: Сфера деятельности в информационном пространстве, образованная набором каналов связи Интернета и других телекоммуникационных сетей, технологической инфраструктурой для обеспечения их функционирования и любой формой человеческой деятельности на них (индивидуальной, организационной, государственной);

Эти определения взяты с сайта Центра сотрудничества киберзащиты НАТО, расположенного в Таллинне (Эстония)https://ccdcoe.org/cyber-definitions.html).

Теперь давайте рассмотрим определение России: легко видеть, что помимо разговоров об интернет-каналах и каналах связи это относится к «технологическим инфраструктурам, которые позволяют функционировать сети связи», инфраструктурам, не включенным в определение США или в итальянский.

По моему мнению, отсутствие этой ссылки может ввести в заблуждение тех, кто заинтересован в разработке анализа кибер-риска критической инфраструктуры, например, не рассматривая электростанцию, которая питает критический центр обработки данных.

Конечно, это всего лишь тривиальный пример, но иногда банальности могут иметь значение!

Другое определение, на мой взгляд, неполное - это то, что говорит о «кибернетическом событии».

Согласно Директиве, кибернетическое событие является «добровольным или случайным, значительным событием, связанным с приобретением и передачей необоснованных данных, их изменением или незаконным уничтожением или ненадлежащим контролем, повреждением, разрушением или блокировкой нормального функционирования сетей и информационных систем или их составляющих элементов ».

Даже в этом случае, на мой взгляд, чего-то не хватает: как мы можем создать такое событие, как известное как «Stuxnet», с которым Соединенные Штаты и Израиль (насколько они знают) саботировали иранскую атомную электростанцию ​​Натанца?

Вирус в этом случае повредил центрифуги, то есть он действовал против элемента, который не является частью какой-либо компьютерной сети, и все же он не может считаться «кибер-атакой».

Вот два примера, которые показывают важность принятия подходящего законодательства и правильных определений. Ясно, что это точки зрения и что их выделение служит только для повышения осведомленности и распространения знаний.

Поэтому добро пожаловать в DPCM, который все еще дает понять!

Но пойдем дальше.

Статья 3 иллюстрирует задачи, возложенные на Председателя Совета Министров,отвечающий за общую политику правительства и Встречу на высшем уровне информационной системы безопасности Республики в целях защиты национальной безопасности также в киберпространстве".

Председатель Совета использует Межминистерский комитет по безопасности Республики (ЦНСИ) для определения национальных стратегических рамок безопасности киберпространства.

В этом контексте интересно сослаться на национальные стратегические рамки, которые содержат «развивающиеся тенденции угроз и уязвимости национальных систем и сетей, определение ролей и задач различных государственных и частных субъектов и национальные агентства, действующие за пределами страны, [..] инструменты и процедуры для продолжения роста способности страны предотвращать и реагировать на события в киберпространстве, а также в целях распространения культуры страны безопасность ".

Это всегда PCM (на основе резолюции CISR), который принимает «Национальный план по кибернетической защите и кибербезопасности», содержащий цели и направления деятельности, соответствующие национальным стратегическим рамкам.

Статья 4 касается ЦНСИ, в частности пункта f. читает:проявляет бдительность в отношении реализации Национального плана по обеспечению безопасности в киберпространстве".

Статья 5 представляет технический ЦНСИ как орган поддержки ЦНСИ под председательством генерального директора Департамента информационной безопасности (DIS) и, наконец, мешает! Это правда, что это отличная новость.

Конкретные атрибуты DIS лучше указаны в статье 6. на самом деле

DIS, на рисунке своего генерального менеджера, идентифицируется DPCM как тот, кто "принять соответствующие инициативы для определения необходимых направлений деятельности, представляющих общий интерес".

Целью направлений действий является "повышать и улучшать уровни безопасности систем и сетей ...«в ожидании необходимых действий контраста и ответа на возможное»,кибернетический кризис со стороны государственных администраций и органов и частных операторов ...".

На практике DIS наделен полномочиями координировать действия по борьбе и реагированию на кибератаки в Италии. Концепция четко выражена в пункте 7 статьи 2, в котором говорится, что директор DIS занимается координацией деятельности по исследованию информации, направленной на усиление киберзащиты и ИТ-безопасности в Италии.

В статье 8 представлен "ядро для кибербезопасности", постоянно созданный DIS для предотвращения и подготовки кризисных ситуаций и"для активации процедур оповещения«Это ядро ​​возглавляет заместитель генерального менеджера DIS и состоит из военного советника и представителей:

- DIS;

- AISE;

- AISI;

- Министерство иностранных дел;

- Министерство внутренних дел;

- Министерство обороны;

- Министерство юстиции;

- Министерство экономического развития;

- Министерство экономики и финансов;

- Департамент гражданской защиты;

- Агентство цифровой Италии;

- Центральное бюро секретности.

Ядро, в голове статьи 9, выполняет функции "связь между различными компонентами институциональной архитектуры, которые различными способами вмешиваются в сферу кибербезопасности», в частности, держит блок активным для предупреждения и реагирования на кризисные ситуации, активных единиц h24, 7 дней на 7.

Статья 10 устанавливает состав и задачи Ядра в случае кибербезопасности с особым упором на координацию, которую она должна создать для реакции и стабилизации. В абзаце 3 говорится, что он использует для своей технической деятельности национальный CERT Министерства экономического развития и CERT PA Агентства по цифровой Италии. И в этом случае я полностью согласен с необходимостью присоединиться к силам (и ресурсам!).

Статья 11 налагает на частных операторов ряд правил. Среди них есть обязанность сообщать «о любом существенном нарушении безопасности и целостности своих ИТ-систем» и обязательстве сотрудничать в управлении киберпреступностью, помогая восстановить функциональность систем и сетей, которыми они управляют. Утверждения о нарушениях, вероятно, не будут чем-то существенным, поскольку «значение» кибернетического события никак не определяется, а это означает, что каждый оценивает то, что он хочет, но очень важно, чтобы частные операторы должны были сотрудничать, даже если положить доступный для «Центра обеспечения безопасности» компании.

Всегда в статье 11, в пункте 2, указывается, что Министерство экономического развития компетентно продвигать "создание национального центра оценки и сертификации для проверки условий безопасности и отсутствия уязвимостей ...«Я думаю, что это более уместно для Министерства университетов и исследований под наблюдением DIS.

Наконец, давайте рассмотрим статью 13, переходные и окончательные положения.

Обозначение 1 из четкого представления о том, как кибер-проблема слышится на правительственном уровне, на самом деле в абзаце 1 говорится: "Этот указ не приводит к новым сборам за государственный бюджет". 

У меня есть сомнения: все это шутка?

На самом деле я не считаю, что статья 13, абзац 1, совместима со всем вышеперечисленным!