SlideShare une entreprise Scribd logo
1  sur  6
Télécharger pour lire hors ligne
Unifying the
Global Response
to Cybercrime
Пропозиції щодо реформи галузі захисту
інформації та кібернетичної безпеки
Гліб Пахаренко
gpaharenko (at) gmail.com
2015-05-12
Для семінару НАТО-Україна
Київ
Unifying the
Global Response
to Cybercrime
Огляд кризи у галузі захисту інформації
Найважливіші ризики. Найбільшими ризиками галузі захисту інформації та кібернетичної безпеки є:
 неможливість адекватно відповісти на загрози країни-агресора Росії у кібернетичному-просторі.;
 неефективні витрати коштів та інших ресурсів при керуванні ризиками інформаційної безпеки;
 порушення прав громадян через неналежне поводження з персональними даними в державних органах;
 відсутність держаної політики по захисту критичної інфраструктури та боротьбі з шахрайством в автоматизованих системах
е-урядування.
Недоліки ДССЗЗІ. Центральним виконавчий орган який несе відповідальність за вищезгадану ситуацію, сам має великі
проблеми :
 морально застарілі стандарти та вимоги безпеки (більш ніш 15 річної давнини);
 велику кількість приватних повідомлень учасників ринку про корупцію держслужбовців (ДССЗЗІ навіть порівнюють з
пожежниками в ІТ), завищена вартість технічних рішень ДП УСС, «відкати» при запроваджені КСЗІ;
 відсутність адекватного контролю за ефективністю заходів захисту через суміщення функцій створення вимог та їх
перевірки;
 недостатня кількість компетентних фахівців у складі служби, та неможливість залучення професіоналів з ринку праці через
низьку офіційну компенсацію.
Недоліки практики застосування НД ТЗІ. Недоліками практики застосування вимок ДССЗЗІ є:
 неприйнятність їх для державних органів, та перешкоджання запровадженню нових ІТ систем у промислову експлуатацію;
 неспроможність керівництва ДССЗЗІ замотивувати інші державні органи імплементувати КСЗІ;
 формальний підхід до безпеки, котрий її не гарантує через використання корумпованих схем;
 низький рівень гарантій Г-2, який нічого не гарантує (147 засобів Г-2, проти 9 з Г-3 та 6 з Г-4)
 головне: НД-ТЗІ засновані на ISO 15408, відсутні вимоги до системи менеджменту безпеки (ISO 27001) та до сертифікації
спеціалістів (CISSP, CISM, OSCP, etc.)
2
Unifying the
Global Response
to Cybercrime
Недоліки підходу ДССЗЗІ до вирішення кризи
ДССЗЗІ запроваджує кібернетичну безпеку з 2012р.
Підхід ДССЗЗІ до запровадження національної
кібернетичної безпеки має недоліки:
 ігнорування позиції громадського сектору;
 намагання реалізувати закони з 2012р.;
 обговорення проекту стратегії цілий рік;
 непослідовне запровадження ІСО 27001 (2012р.,
потім 2015р.);
 відсутність плану реформування установи;
 залучення фахівців за 100 доларів зарплатні.
3
вже рік минув
2012, а потім
2015?!
вже 3 роки
минуло
33 звернення!
100$ per month
salary for cyber-
security specialist
Unifying the
Global Response
to Cybercrime
Пропозиції щодо вирішення кризи
ДССЗЗІ не вирішить кризи. Першим кроком є визнання самої ДССЗЗІ, що вона не може сама вирішити пробем у галузі захисту
інформації. Це визнання ДССЗЗІ повинно бути оформлено у вигляді звернення та розглянуто Кабінетом Міністрів, РНБО,
Президентом та профільним комітетом ВР.
В таблиці нижчє представлені подальші стратегічні та короткотермінові кроки з вирішення кризи:
4
Стратегічні заходи (поза компетенцією ДССЗЗІ) Короткотермінові кроки (в межах компетенції ДССЗЗІ).
1. Формування планів реформи ДССЗЗІ та галузі в цілому.
2. Поступове залучення представників бізнесу та
громадського сектору до оперативного керування
задачами ДССЗЗІ («волонтери»).
3. Проведення аудиту діяльності ДССЗЗІ та підпорядкованих
підприємств (ДП). Розробка стратегії їх подальшого
розвитку.
4. Оновлення керівного складу ДССЗЗІ та ДП фахівцями з
міжнародним досвідом, сертифікаціями, для реалізації
стратегій розвитку, плану реформи.
5. Розробка необхідного пакету законопроектів для
реформи галузі.
1. ДССЗЗІ створює пакет обґрунтувань проектів, де їй потрібна
донорська допомога, і шукає спонсорів разом з ГО:
• аналіз відповідності НД ТЗІ та кращих практик;
• аналіз стану кібер-безпеки в державних органах;
• тренінги для фахівців ДССЗЗІ та державних органів;
• формування опису професій фахівців з кібер-безпеки,
розробка програм їх навчання;
• інше (оновлення сайту, і т.д.).
2. Формуються задачі на аудит ІТ/ІТ безпеки в центральних органах
влади за міжнародними стандартами. Залучаються необхідні для
цього донорські кошти.
3. З представниками індустрії, громадського сектору формується
проект постанов ДССЗЗІ для тимчасової можливості використання
актуальних міжнародних стандартів та практик, замість застарілих
чи економічно неприйнятних норм НД ТЗІ. Описуються припустимі
межі ризику, коли таке можливо.
4. Тимчасово розвиток захисту інформації в галузях критичної
інфраструктури, армії, системах є-урядування делегується
відповідним регуляторам. Запроваджується механізм паритетного
контролю громадського сектора разом з ДССЗЗІ за ефективністю
політики регуляторів.
Unifying the
Global Response
to Cybercrime
Як може допомогти НАТО
Можливості НАТО. ДССЗЗІ, громадський сектор, експерти НАТО повинні сформувати пакет запитів України до НАТО про
допомогу:
1. фінансування короткотермінових та стратегічних кроків виходу з кризи.
2. розробка механізмів контролю ризику в Україні, щоб підприємства ІТ галузі брали участь у постачанні сервісів до країн членів
НАТО (в рамках закупівель НАТО).
3. розвиток центрів стримування ймовірних агресорів проти НАТО (країни БРІКС) в кібер-просторі на теренах України.
4. розвиток в Україні можливостей для домінування в пост-радянському інтернет просторі, і використання цього при поверненні
окупованих територій.
Можливості України. Як партнер Україна має наступні можливості:
1. П’ята позиція в рейтингах ІТ аутсорсерів в світі.
2. Мотивований на реформи громадський сектор.
3. «Зелене поле» для інвестицій у галузі кібернетичної безпеки. Ринок з 45млн. користувачів.
4. Велика кількість патріотів, готових до боротьби заради повернення окупованих територій.
5. Мовні можливості населення (розуміння російської, польської, словацької мов).
6. Вільні площі та доступна електроенергія (після відповідних реформ).
Подальші кроки після семінару. Для збільшення ефективності семінару необхідно зробити наступні дії:
1. Максимально популяризувати прес-реліз семінару.
2. Зробити спільне звернення щодо необхідності реформи у галузі кібернетичної безпеки НАТО, ДССЗЗІ, інші учасники
семінару, до РНБО, Кабінету Міністрів, ВР.
3. Внести пропозиції з семінару до плану роботи Україна-НАТО.
4. Презентувати результати семінару на керівних заходах та конференціях НАТО.
5. Провести аналогічні семінари (RoadShow) в країнах союзниках НАТО.
6. Проаналізувати кроки зроблені після попередніх семінарів НАТО-Україна, наприклад у галузі захисту критичної
інфраструктури. Тобто оцінити їх ефективність.
5
Unifying the
Global Response
to Cybercrime
Пропозиції по реформі галузі захисту інформації
Розділення повноважень ДССЗЗІ.
1. Передача функцій розробки нормативних документів в центральний орган виконавчої влади у сфері стандартизації,
регуляторам, галузевим асоціаціям та громадським організаціям.
2. Передача функції контролю виконання стандартів окремому центральному органу з аудиту та незалежним аудиторським
компаніям.
3. Мережа незалежних СЕРТ.
4. Комісія з аудиту і контролю інформаційних технологій.
5. Комісія з контролю за перехопленням даних.
Модернізації стандартів захисту інформації .
1. Запровадження практик з ISO, ITIL, Cobit, OWASP, ISA etc.
2. Використання рекомендацій НАТО, ЄС, МСЄ з кібернетичної безпеки для національних стратегій.
Оновлення кадрового складу. Оновлення кадрового складу державних службовців, що відповідають за захист інформації.
1. Залучення професіоналів з ринку праці.
2. Переатестація держслужбовців.
Відповідальність посадових осіб. Запровадження кримінальної та адміністративної відповідальності посадових осіб, включно
перших осіб держави за неналежне керування ризиками інформаційної безпеки (недодержання принципів “due care” & “due
dilligence”).
Національний план керування ризиками. Для державної установи рівень ризик-апетиту та план керування ризиками погоджує
керівник вищерозташованої в ієрархії керування державної установи. Сумарний ризик-апетит всіх підпорядкованих установ не
повинен перевищути ризик-апетит головної установи.
Плани безперервної діяльності та кризового менеджменту. Створення планів неперервної діяльності та планів дій у кризових
ситуаціях для державних установ, включаючи сценарій окупації більшої частини України або, навіть, всієї її території.
Використання досвіду стандартів ISO, BS, практик BCI, ISC2, ISACA.
6

Contenu connexe

Similaire à Необхідність реформи галузі захисту інформації в Україні

Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахDmytro Petrashchuk
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиAsters
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...IsacaKyiv
 
State of 4 0 projects appau
State of 4 0 projects appauState of 4 0 projects appau
State of 4 0 projects appauAPPAU_Ukraine
 
Security
SecuritySecurity
Securityjudin
 
Стратегічна сесія Миколаїв:безпека та антикорупція
Стратегічна сесія Миколаїв:безпека та антикорупціяСтратегічна сесія Миколаїв:безпека та антикорупція
Стратегічна сесія Миколаїв:безпека та антикорупціяАгенція розвитку Миколаєва
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?KostiantynKorsun
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...IsacaKyiv
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfssuser039bf6
 
Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)Nikolay Shaygorodskiy
 
Стратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниСтратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниEasyBusiness
 
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати УкраїниПротокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати УкраїниKaterina Mashevskaya
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійGlib Pakharenko
 
MSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMITMSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMITDavid Marghania
 
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITDavid Marghania
 

Similaire à Необхідність реформи галузі захисту інформації в Україні (20)

Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТП
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
 
279014.pptx
279014.pptx279014.pptx
279014.pptx
 
State of 4 0 projects appau
State of 4 0 projects appauState of 4 0 projects appau
State of 4 0 projects appau
 
Security
SecuritySecurity
Security
 
Стратегічна сесія Миколаїв:безпека та антикорупція
Стратегічна сесія Миколаїв:безпека та антикорупціяСтратегічна сесія Миколаїв:безпека та антикорупція
Стратегічна сесія Миколаїв:безпека та антикорупція
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
 
Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)Thematic planning of class 10 (basic module)
Thematic planning of class 10 (basic module)
 
Стратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниСтратегія дерегуляції економіки України
Стратегія дерегуляції економіки України
 
Цифрова економіка.pptx
Цифрова економіка.pptxЦифрова економіка.pptx
Цифрова економіка.pptx
 
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати УкраїниПротокол зустрічі за ініціативи Американської Торгівельної Палати України
Протокол зустрічі за ініціативи Американської Торгівельної Палати України
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологій
 
MSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMITMSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 2_nc_Uk - SUBMIT
 
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
 

Plus de uisgslide

Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0uisgslide
 
Коментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиКоментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиuisgslide
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...uisgslide
 
Sandbox kiev
Sandbox kievSandbox kiev
Sandbox kievuisgslide
 
Comments glib pakharenko
Comments glib pakharenkoComments glib pakharenko
Comments glib pakharenkouisgslide
 
War between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceWar between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceuisgslide
 
Group fs owasp_26-11-14
Group fs owasp_26-11-14Group fs owasp_26-11-14
Group fs owasp_26-11-14uisgslide
 
Owasp healthcare cms
Owasp healthcare cmsOwasp healthcare cms
Owasp healthcare cmsuisgslide
 
OWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationOWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationuisgslide
 
Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3uisgslide
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_cryptouisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcpuisgslide
 
Uuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceUuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceuisgslide
 
Uisg itgov 19_cloud
Uisg itgov 19_cloudUisg itgov 19_cloud
Uisg itgov 19_clouduisgslide
 
Uisg itgov 15_nda
Uisg itgov 15_ndaUisg itgov 15_nda
Uisg itgov 15_ndauisgslide
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 5_apt
Uisg itgov 5_aptUisg itgov 5_apt
Uisg itgov 5_aptuisgslide
 

Plus de uisgslide (20)

Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0
 
Коментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиКоментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпеки
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
 
Sandbox kiev
Sandbox kievSandbox kiev
Sandbox kiev
 
Comments glib pakharenko
Comments glib pakharenkoComments glib pakharenko
Comments glib pakharenko
 
War between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceWar between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber space
 
Circl eco
Circl ecoCircl eco
Circl eco
 
Group fs owasp_26-11-14
Group fs owasp_26-11-14Group fs owasp_26-11-14
Group fs owasp_26-11-14
 
Owasp healthcare cms
Owasp healthcare cmsOwasp healthcare cms
Owasp healthcare cms
 
OWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationOWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentation
 
Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_crypto
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
 
Uuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceUuisg itgov 9_itfinance
Uuisg itgov 9_itfinance
 
Uisg itgov 19_cloud
Uisg itgov 19_cloudUisg itgov 19_cloud
Uisg itgov 19_cloud
 
Uisg itgov 15_nda
Uisg itgov 15_ndaUisg itgov 15_nda
Uisg itgov 15_nda
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudit
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 5_apt
Uisg itgov 5_aptUisg itgov 5_apt
Uisg itgov 5_apt
 

Необхідність реформи галузі захисту інформації в Україні

  • 1. Unifying the Global Response to Cybercrime Пропозиції щодо реформи галузі захисту інформації та кібернетичної безпеки Гліб Пахаренко gpaharenko (at) gmail.com 2015-05-12 Для семінару НАТО-Україна Київ
  • 2. Unifying the Global Response to Cybercrime Огляд кризи у галузі захисту інформації Найважливіші ризики. Найбільшими ризиками галузі захисту інформації та кібернетичної безпеки є:  неможливість адекватно відповісти на загрози країни-агресора Росії у кібернетичному-просторі.;  неефективні витрати коштів та інших ресурсів при керуванні ризиками інформаційної безпеки;  порушення прав громадян через неналежне поводження з персональними даними в державних органах;  відсутність держаної політики по захисту критичної інфраструктури та боротьбі з шахрайством в автоматизованих системах е-урядування. Недоліки ДССЗЗІ. Центральним виконавчий орган який несе відповідальність за вищезгадану ситуацію, сам має великі проблеми :  морально застарілі стандарти та вимоги безпеки (більш ніш 15 річної давнини);  велику кількість приватних повідомлень учасників ринку про корупцію держслужбовців (ДССЗЗІ навіть порівнюють з пожежниками в ІТ), завищена вартість технічних рішень ДП УСС, «відкати» при запроваджені КСЗІ;  відсутність адекватного контролю за ефективністю заходів захисту через суміщення функцій створення вимог та їх перевірки;  недостатня кількість компетентних фахівців у складі служби, та неможливість залучення професіоналів з ринку праці через низьку офіційну компенсацію. Недоліки практики застосування НД ТЗІ. Недоліками практики застосування вимок ДССЗЗІ є:  неприйнятність їх для державних органів, та перешкоджання запровадженню нових ІТ систем у промислову експлуатацію;  неспроможність керівництва ДССЗЗІ замотивувати інші державні органи імплементувати КСЗІ;  формальний підхід до безпеки, котрий її не гарантує через використання корумпованих схем;  низький рівень гарантій Г-2, який нічого не гарантує (147 засобів Г-2, проти 9 з Г-3 та 6 з Г-4)  головне: НД-ТЗІ засновані на ISO 15408, відсутні вимоги до системи менеджменту безпеки (ISO 27001) та до сертифікації спеціалістів (CISSP, CISM, OSCP, etc.) 2
  • 3. Unifying the Global Response to Cybercrime Недоліки підходу ДССЗЗІ до вирішення кризи ДССЗЗІ запроваджує кібернетичну безпеку з 2012р. Підхід ДССЗЗІ до запровадження національної кібернетичної безпеки має недоліки:  ігнорування позиції громадського сектору;  намагання реалізувати закони з 2012р.;  обговорення проекту стратегії цілий рік;  непослідовне запровадження ІСО 27001 (2012р., потім 2015р.);  відсутність плану реформування установи;  залучення фахівців за 100 доларів зарплатні. 3 вже рік минув 2012, а потім 2015?! вже 3 роки минуло 33 звернення! 100$ per month salary for cyber- security specialist
  • 4. Unifying the Global Response to Cybercrime Пропозиції щодо вирішення кризи ДССЗЗІ не вирішить кризи. Першим кроком є визнання самої ДССЗЗІ, що вона не може сама вирішити пробем у галузі захисту інформації. Це визнання ДССЗЗІ повинно бути оформлено у вигляді звернення та розглянуто Кабінетом Міністрів, РНБО, Президентом та профільним комітетом ВР. В таблиці нижчє представлені подальші стратегічні та короткотермінові кроки з вирішення кризи: 4 Стратегічні заходи (поза компетенцією ДССЗЗІ) Короткотермінові кроки (в межах компетенції ДССЗЗІ). 1. Формування планів реформи ДССЗЗІ та галузі в цілому. 2. Поступове залучення представників бізнесу та громадського сектору до оперативного керування задачами ДССЗЗІ («волонтери»). 3. Проведення аудиту діяльності ДССЗЗІ та підпорядкованих підприємств (ДП). Розробка стратегії їх подальшого розвитку. 4. Оновлення керівного складу ДССЗЗІ та ДП фахівцями з міжнародним досвідом, сертифікаціями, для реалізації стратегій розвитку, плану реформи. 5. Розробка необхідного пакету законопроектів для реформи галузі. 1. ДССЗЗІ створює пакет обґрунтувань проектів, де їй потрібна донорська допомога, і шукає спонсорів разом з ГО: • аналіз відповідності НД ТЗІ та кращих практик; • аналіз стану кібер-безпеки в державних органах; • тренінги для фахівців ДССЗЗІ та державних органів; • формування опису професій фахівців з кібер-безпеки, розробка програм їх навчання; • інше (оновлення сайту, і т.д.). 2. Формуються задачі на аудит ІТ/ІТ безпеки в центральних органах влади за міжнародними стандартами. Залучаються необхідні для цього донорські кошти. 3. З представниками індустрії, громадського сектору формується проект постанов ДССЗЗІ для тимчасової можливості використання актуальних міжнародних стандартів та практик, замість застарілих чи економічно неприйнятних норм НД ТЗІ. Описуються припустимі межі ризику, коли таке можливо. 4. Тимчасово розвиток захисту інформації в галузях критичної інфраструктури, армії, системах є-урядування делегується відповідним регуляторам. Запроваджується механізм паритетного контролю громадського сектора разом з ДССЗЗІ за ефективністю політики регуляторів.
  • 5. Unifying the Global Response to Cybercrime Як може допомогти НАТО Можливості НАТО. ДССЗЗІ, громадський сектор, експерти НАТО повинні сформувати пакет запитів України до НАТО про допомогу: 1. фінансування короткотермінових та стратегічних кроків виходу з кризи. 2. розробка механізмів контролю ризику в Україні, щоб підприємства ІТ галузі брали участь у постачанні сервісів до країн членів НАТО (в рамках закупівель НАТО). 3. розвиток центрів стримування ймовірних агресорів проти НАТО (країни БРІКС) в кібер-просторі на теренах України. 4. розвиток в Україні можливостей для домінування в пост-радянському інтернет просторі, і використання цього при поверненні окупованих територій. Можливості України. Як партнер Україна має наступні можливості: 1. П’ята позиція в рейтингах ІТ аутсорсерів в світі. 2. Мотивований на реформи громадський сектор. 3. «Зелене поле» для інвестицій у галузі кібернетичної безпеки. Ринок з 45млн. користувачів. 4. Велика кількість патріотів, готових до боротьби заради повернення окупованих територій. 5. Мовні можливості населення (розуміння російської, польської, словацької мов). 6. Вільні площі та доступна електроенергія (після відповідних реформ). Подальші кроки після семінару. Для збільшення ефективності семінару необхідно зробити наступні дії: 1. Максимально популяризувати прес-реліз семінару. 2. Зробити спільне звернення щодо необхідності реформи у галузі кібернетичної безпеки НАТО, ДССЗЗІ, інші учасники семінару, до РНБО, Кабінету Міністрів, ВР. 3. Внести пропозиції з семінару до плану роботи Україна-НАТО. 4. Презентувати результати семінару на керівних заходах та конференціях НАТО. 5. Провести аналогічні семінари (RoadShow) в країнах союзниках НАТО. 6. Проаналізувати кроки зроблені після попередніх семінарів НАТО-Україна, наприклад у галузі захисту критичної інфраструктури. Тобто оцінити їх ефективність. 5
  • 6. Unifying the Global Response to Cybercrime Пропозиції по реформі галузі захисту інформації Розділення повноважень ДССЗЗІ. 1. Передача функцій розробки нормативних документів в центральний орган виконавчої влади у сфері стандартизації, регуляторам, галузевим асоціаціям та громадським організаціям. 2. Передача функції контролю виконання стандартів окремому центральному органу з аудиту та незалежним аудиторським компаніям. 3. Мережа незалежних СЕРТ. 4. Комісія з аудиту і контролю інформаційних технологій. 5. Комісія з контролю за перехопленням даних. Модернізації стандартів захисту інформації . 1. Запровадження практик з ISO, ITIL, Cobit, OWASP, ISA etc. 2. Використання рекомендацій НАТО, ЄС, МСЄ з кібернетичної безпеки для національних стратегій. Оновлення кадрового складу. Оновлення кадрового складу державних службовців, що відповідають за захист інформації. 1. Залучення професіоналів з ринку праці. 2. Переатестація держслужбовців. Відповідальність посадових осіб. Запровадження кримінальної та адміністративної відповідальності посадових осіб, включно перших осіб держави за неналежне керування ризиками інформаційної безпеки (недодержання принципів “due care” & “due dilligence”). Національний план керування ризиками. Для державної установи рівень ризик-апетиту та план керування ризиками погоджує керівник вищерозташованої в ієрархії керування державної установи. Сумарний ризик-апетит всіх підпорядкованих установ не повинен перевищути ризик-апетит головної установи. Плани безперервної діяльності та кризового менеджменту. Створення планів неперервної діяльності та планів дій у кризових ситуаціях для державних установ, включаючи сценарій окупації більшої частини України або, навіть, всієї її території. Використання досвіду стандартів ISO, BS, практик BCI, ISC2, ISACA. 6