Стратегия кибербезопасности Украины проект 2014

11 мая 2015 автор: admin

Национальный институт стратегических исследований при Президенте Украины
Проект 2014 год
СТРАТЕГИЯ ОБЕСПЕЧЕНИЯ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ УКРАИНЫ
1. Определение
Кибернетическое пространство (киберпространство) – совокупность информационных, телекоммуникационных, информационно-телекоммуникационных систем и сетей государственных органов, органов местного самоуправления, воинских формирований, органов военного управления, а также физических лиц или предприятий, учреждений, организаций (независимо от формы собственности), которые функционируют на территории Украины или находятся под ее юрисдикцией, информационных ресурсов, которые у них имеются, программного обеспечения, которое предназначено для их обработки;
кибернетическая угроза (киберугроза) – имеющиеся и потенциально возможные явления и факторы, создающие опасность интересам человека, общества и государства путем нарушения доступности, полноты, целостности, достоверности, подлинности режима доступа к информации, которая циркулирует в критических объектах национальной информационной инфраструктуры;
кибернетическая безопасность (кибербезопасность) – состояние защищенности критических объектов национальной информационной инфраструктуры и отдельных ее составляющих, при котором обеспечивается их устойчивое функционирование и развитие, своевременное выявление, предотвращение и нейтрализация кибернетических угроз в интересах человека, общества, государства.
субъекты обеспечения кибернетической безопасности – государственные органы (прежде всего, институты сектора безопасности и обороны Украины), органы местного самоуправления, предприятия, учреждения, организации независимо от формы собственности, которые осуществляют проектирование, внедрение и эксплуатацию составляющих критических объектов национальной информационной инфраструктуры или обеспечивают их киберзащиту.
кибернетическая защита (киберзащита) – совокупность мер организационного, нормативно-правового, военного, оперативного и технического характера, направленных на обеспечение кибернетической безопасности;
кибернетическое преступление (киберпреступление) – предусмотренное уголовным законом общественно опасное виновное деяние, которое заключается в противоправном использовании информационных и коммуникационных технологий, ответственность за которое установлена законодательством об уголовной ответственности;
кибернетический терроризм (кибертерроризм) – несанкционированные действия с террористической целью в отношении систем или сетей критических объектов национальной информационной инфраструктуры, информации, которая в них циркулирует, и программного обеспечения, предназначенного для ее обработки;
кибернетический шпионаж (кибершпионаж) – передача или сбор с целью передачи иностранному государству, иностранной организации или их представителям сведений с ограниченным доступом, осуществляемые в киберпространстве.
кибернетическая война (кибервойна) – применение другим государством или группой государств вооруженной силы против Украины в кибернетическом пространстве.
критические объекты национальной информационной инфраструктуры – составляющая киберпространства, реализация кибернетических угроз в отношении которых может привести к наступлению следующих последствий:
• чрезвычайная ситуация;
• блокирование работы или разрушение стратегически важных для экономики и безопасности государства предприятий, систем жизнеобеспечения и объектов повышенной опасности;
• блокирование работы государственных органов, органов местного самоуправления;
• блокирование деятельности военных формирований, органов военного управления, Вооруженных Сил Украины в целом или вмешательство в автоматизированные системы управления оружием;
• нарушение безопасного функционирования банковской и/или финансовой системы государства;
• разглашение государственной тайны;
• массовые беспорядки.

2. Общие положения
Построение информационного общества в различных странах мира, глобализация информационных процессов, существенное возрастание роли информационной инфраструктуры в различных сферах общественной жизни, с одной стороны, создают основу для эффективного социально-экономического развития государств, удовлетворения конституционного права человека на информацию, построения эффективной системы государственного управления. С другой, это современные информационные технологии, которые превращают информационные системы правительственного, оборонного, производственного, кредитно-банковского, коммунального и других секторов в чрезвычайно уязвимые для реализации кибернетических угроз объекты.
Национальная безопасность Украины, ее экономическое процветание и социальное благополучие все больше зависят от доступности, целостности и конфиденциальности информационных ресурсов, обеспечиваемых информационными и коммуникационными технологиями, или в более широком смысле – киберпространством. В то же время рост зависимости от информационно-коммуникационных технологий делает современное украинское общество более уязвимым перед возможными негативными последствиями противоправного использования киберпространства. В этих условиях главной задачей государства является принятие мер, которые позволят принципиально уменьшить (а иногда – исключить полностью) негативные последствия от кибератак.
Источниками кибернетических угроз могут быть международные преступные группы хакеров, отдельные подготовленные в сфере информационных технологий преступники, иностранные государственные органы, террористические и экстремистские группировки, транснациональные корпорации и финансово-промышленные группы и т.п. Растет угроза использования против интересов Украины кибернетических средств как изнутри страны, так и за пределами ее границ. Такой же реальной является угроза использования украинской информационной инфраструктуры как «транзитной площадки» для прикрытия атаки на информационную инфраструктуру третьей стороны.
Украина последовательно исходит из того, что киберпространство является открытым пространством – открытым к инновациям, свободному распространению идей, информации и обмену мнениями.
Мероприятия по обеспечению кибербезопасности никоим образом не могут противоречить принципу гарантирования прав и свобод украинских граждан, в том числе права на неприкосновенность личной жизни и свободы общения.
Обеспечение кибербезопасности требует согласованного, комплексного подхода – во главе с государством, однако в тесном сотрудничестве с частным сектором и гражданским обществом, без которого невозможно решить данную задачу.
Обеспечение кибернетической безопасности Украины происходит с учетом положений Конституции, Закона Украины «Об основных принципах внутренней и внешней политики», Закона Украины «Об основах национальной безопасности», Стратегии национальной безопасности Украины и Доктрины информационной безопасности Украины.
Целью этой Стратегии является определение основных подходов к формированию государственной политики в сфере обеспечения кибернетической безопасности Украины.
3. Угрозы в сфере кибернетической безопасности
Киберпреступность. Преступления с использованием современных информационно-телекоммуникационных технологий становятся все более привычной практикой в жизни украинских граждан. Причем новейшие технологии применяются не только для совершения традиционных видов преступлений, но и для совершения новых видов преступлений, характерных, прежде всего, для развитого информационного общества. Больше всего внимание преступников сосредоточено на попытках нарушения работы или несанкционированного использования возможностей информационных систем государственного, кредитно-банковского, коммунального, оборонного, производственного секторов. Все еще актуальной остаются проблемы борьбы с детской порнографией и нарушениями авторских и смежных прав.
Кибертерроризм и кибершпионаж. Целый ряд отечественных предприятий, нарушение работы которых может представлять угрозу жизни и здоровью граждан, может стать потенциальной целью для осуществления террористических актов, в том числе – с применением современных информационных технологий. Не меньшей угрозой является совершение противоправных действий в ущерб третьим странам, которые осуществляются с использованием отечественной информационной инфраструктуры и угрожают стабильному и безопасному функционированию национальных информационно-телекоммуникационных систем. Информация с ограниченным доступом, циркулирующая в национальных информационных ресурсах является постоянным объектом заинтересованности со стороны других государств, организаций и лиц. Кроме того, все большее распространение получает политически мотивированная деятельность в киберпространстве групп активистов (хактивистов), которые осуществляют атаки на правительственные и частные сайты, что приводит к нарушениям работы информационных ресурсов, а также к репутационным и материальным убыткам.
Кибервойна. Военная сфера претерпевает едва ли не наиболее драматичные изменения в результате развития глобального киберпространства. Большинство стран мира активно трансформирует свои потенциалы в сфере обороны в направлении усиления кибернетических возможностей ведения боевых действий и защиты от аналогичных действий со стороны противника, поскольку все более актуальными становятся новые типы угроз. С учетом широкой информатизации сектора безопасности и обороны, в частности создания ЕАСУ ВС Украины, оборонный потенциал нашей страны становится более чувствительным к киберугрозам. Внедрение ведущими странами современного кибервооружения превращает киберпространство в отдельную, наряду с традиционными «Земля», «Воздух», «Море», «Космос», сферу ведения боевых действий, а в ближайшем будущем уровень обороноспособности страны будет определяться в т.ч. наличием у нее эффективных подразделений для ведения боевых действий в киберпространстве и способностью противостоять киберугрозам в сфере обороны.
4. Основные принципы обеспечения кибернетической безопасности Украины
Реализация основных принципов обеспечения кибернетической безопасности Украины должна осуществляться при неукоснительном соблюдении следующих принципов:
верховенства права, законности и приоритета соблюдения прав и свобод человека и гражданина;
неотвратимости ответственности за совершение кибернетических преступлений;
приоритетности превентивных мер;
комплексного осуществления правовых, организационных, технических, криптографических, информационных и других мероприятий;
партнерства государства и частного сектора с целью разработки новых, более оптимальных решений;
приоритетного развития и поддержки отечественной научно-инновационной сферы;
ответственности субъектов обеспечения кибернетической безопасности за защиту национальной информационной инфраструктуры;
действенности, комплексности и постоянства мер обеспечения кибернетической безопасности государства;
участия институтов гражданского общества в обеспечении кибернетической безопасности государства;
сотрудничества на международном уровне с целью разработки единых подходов и эффективной взаимопомощи противодействия киберугрозам.
5. Основные направления обеспечения кибернетической безопасности
Противодействие реальным угрозам и минимизация потенциальных угроз требует ряда шагов государства в ключевых сферах жизнедеятельности, имеющих особое значение для обеспечения кибернетической безопасности. Государство в партнерстве с обществом, негосударственным и частным сектором, а также гражданами, с целью усиления кибербезопасности Украины при формировании собственной политики кибербезопасности будет руководствоваться следующими приоритетами:
1) во внешнеполитической сфере:
повышать роль Украины как активного участника формирования стандартов мировой политики по отношению к киберпространству;
поддерживать международные инициативы в сфере кибербезопасности с учетом национальных интересов Украины;
способствовать недопущению милитаризации киберпространства;
неуклонно придерживаться взятых на себя международных обязательств в сфере кибернетической безопасности и борьбы с кибернетической преступностью;
повышать уровень международного сотрудничества в сфере обеспечения кибернетической безопасности на общегосударственном и ведомственном уровнях;
способствовать созданию международных правил поведения государств в киберпространстве и усовершенствованию международной нормативно-правовой базы в соответствии с кибернетическими вызовами национальной и международной безопасности;
поддерживать как существующие многосторонние учения по противодействию кибернападениям на государственную и частную информационную инфраструктуру, так и инициировать новые виды таких учений.
2) в сфере государственной и внутриполитической безопасности:
создать Национальную систему кибернетической безопасности Украины;
установить обязательные требования в отношении киберзащиты критических объектов национальной информационной инфраструктуры в независимости от формы собственности, порядок защиты и контроль за его соблюдением;
осуществлять меры реформирования системы защиты информации с ограниченным доступом с учетом сегодняшних реалий во избежание утечек такой информации;
усиливать технические и технологические возможности, научный и человеческий потенциал Службы безопасности Украины, разведывательных органов и Государственной службы специальной связи и защиты информации в киберпространстве;
усиливать борьбу с кибертерроризмом и кибершпионажем, защиту критических объектов национальной информационной инфраструктуры от их проявлений;
обеспечить имплементацию положений Конвенции СЕ о киберпреступности в национальное законодательство, в частности в отношении:
• предоставления полномочий органам дознания и следствия относительно выдачи обязательных для исполнения провайдерами предписаний о срочном фиксировании и дальнейшем хранении компьютерных данных, необходимых для раскрытия преступления;
• обязательности сохранения провайдерами данных о трафике на срок до 90 дней с возможностью дальнейшего продления срока до 3 лет;
• обязательства субъекта, который сохраняет компьютерные данные, не разглашать факт проведения оперативно-розыскных и процессуальных действий в течение определенного законодательством периода;
• предоставления провайдером органа дознания или следствия информации для идентификации поставщиков услуг и маршрута, которым была передана информация;
усовершенствовать уголовное законодательство, выделить отдельные составы преступлений, где объектом противоправных посягательств являются элементы национальной критической информационной инфраструктуры;
содействовать развитию сети команд реагирования на компьютерные чрезвычайные события (CERT);
3) в военной сфере:
осуществлять подготовку к применению ВС Украины в условиях «кибервойны»;
создавать возможности для отражения военной агрессии в киберпространстве с учетом новых вызовов и угроз;
защищать военную информационную инфраструктуру от реальных и потенциальных киберугроз;
создать систему подготовки кадров в сфере кибербезопасности для нужд ВС и других органов сектора безопасности и обороны Украины;
4) в социальной, гуманитарной и научно-технологической сферах:
развивать и координировать научно-исследовательские работы в области кибербезопасности;
создавать благоприятные условия для молодых специалистов в IT-сфере, что должно способствовать их трудоустройству в Украине;
обеспечить внесение изменений в учебные планы и программы средней и высшей школы, подготовку научных и научно-педагогических кадров, направленных на информирование основных целевых групп о киберугрозе и методах противодействия им;
разрабатывать общегосударственные программы повышения уровня осведомленности населения о киберугрозах (в том числе путем создания всеукраинской системы соревнований среди молодежи, посвященных проблеме кибербезопасности, внедрения «Национальной недели осведомленности о кибербезопасности»);
поддерживать усилия гражданского общества и бизнеса относительно повышения осведомленности населения с актуальными киберугрозами;
стимулировать все заинтересованные стороны к активному участию в ежегодных Днях безопасного интернета;
способствовать более активной политике государственных институтов безопасности по информированию населения о киберугрозах;
обеспечить непрерывное повышение квалификации государственных служащих и работников, задействованных на ключевых объектах критической инфраструктуры;
способствовать разработке отечественной инновационной продукции, которая может быть использована с целью усиления кибернетической безопасности государства.
6. Система обеспечения кибернетической безопасности Украины
6.1. Одними из первоочередных мер на пути построения системы кибербезопасности государства являются совершенствование государственного управления в данной сфере и упорядочение нормативно-правового поля.
6.2. С целью обеспечения кибернетической безопасности Украины должна быть создана целостная Национальная система кибернетической безопасности, ключевыми задачами которой должны быть:
формирование и реализация государственной политики в сфере кибернетической безопасности;
мониторинг кибернетического пространства с целью своевременного выявления, предупреждения и нейтрализации кибернетических угроз;
выявление, предупреждение и пресечение кибернетических преступлений;
кибернетическая защита национальной критической информационной инфраструктуры.
6.3. В состав Национальной системы кибернетической безопасности должны быть включены:
Служба безопасности Украины;
Министерство внутренних дел Украины;
Министерство обороны Украины;
Генеральный Штаб Вооруженных Сил Украины;
Государственная служба специальной связи и защиты информации Украины;
В случае необходимости к участию в осуществлении мероприятий, связанных с выявлением, предупреждением и нейтрализацией кибернетических угроз, привлекаются другие субъекты обеспечения кибернетической безопасности.
6.4. Разработку предложений относительно определения, корректирования принципов внутренней и внешней политики в сфере обеспечения кибернетической безопасности Украины должна осуществлять Межведомственная коллегия по вопросам противодействия кибернетическим угрозам при Президенте Украины, которая имеет статус консультативно-совещательного органа. Возглавляет Коллегию Президент Украины.
В состав Межведомственной коллегии по вопросам противодействия кибернетическим угрозам по должности входят: Премьер-министр Украины, Председатель Службы безопасности Украины, Министр внутренних дел Украины, Министр обороны Украины, начальник Генерального штаба Вооруженных Сил Украины, Председатель Государственной службы специальной связи и защиты информации Украины, руководитель Государственного агентства по киберзащите.
6.5. Для координации действий субъектов обеспечения кибернетической безопасности необходимым является создание Государственного агентства по киберзащите – государственного органа для обеспечения своевременного выявления, предупреждения и нейтрализации кибернетических угроз, управления Национальной системой кибернетической безопасности, обеспечения работы Межведомственной коллегии по вопросам противодействия кибернетическим угрозам при Президенте Украины.
С целью выполнения задач Агентство:
организует взаимодействие субъектов обеспечения кибернетической безопасности в т. ч. их меры по определению возможных последствий реализации кибернетических угроз, устранению предпосылок к их наступлению и последствий их реализации;
ведет реестр объектов национальной критической информационной инфраструктуры, разрабатывает критерии определения степеней важности, уязвимости, защиты таких объектов, а также методику прогнозирования последствий, которые могут наступить в результате реализации кибернетических угроз относительно указанных объектов;
оказывает методическую помощь и дает рекомендации субъектам обеспечения кибернетической безопасности по выявлению и устранению причин и условий, способствующих совершению кибернетических преступлений;
выдает разрешения на внедрение в объектах национальной критической информационной инфраструктуры программного обеспечения и оборудования;
в пределах своей компетенции контролирует соблюдение владельцами объектов национальной кибернетической критической информационной инфраструктуры требований действующего законодательства в сфере технической защиты информации;
совместно со Службой безопасности Украины организует специальную проверку лиц, ответственных за техническую защиту информации объектов критической информационной инфраструктуры;
анализирует внутренние и внешние угрозы;
готовит предложения по усовершенствованию законодательства Украины по вопросам кибернетической безопасности;
организовывает и проводит обучение и тренировки в сфере кибернетической защиты;
организовывает и осуществляет международное сотрудничество со специальными службами, правоохранительными органами иностранных государств и международными организациями по вопросам кибернетической защиты и борьбы с кибернетическими преступлениями.
6.6. С целью совершенствования отечественного нормативно-правового поля и в связи с созданием Национальной системы кибернетической безопасности, необходимо внесение следующих изменений в Законы Украины:
– Об основах национальной безопасности
относительно определения кибернетической безопасности самостоятельной сферой национальной безопасности, определения угроз, основных направлений государственной политики;
– О защите информации в информационно-телекоммуникационных системах;
относительно расширения сферы действия закона на критическую информационную инфраструктуру;
– Об обороне Украины
относительно подготовки Вооруженных Сил Украины к отражению агрессии в киберпространстве;
– Об информации
относительно статуса информации, которая циркулирует в ИТС и АСУ критической информационной инфраструктуры;
– О телекоммуникациях
относительно приведения Закона в соответствие с Конвенцией СЕ о киберпреступности;
– О борьбе с терроризмом
относительно борьбы с кибернетическим терроризмом;
– О лицензировании определенных видов хозяйственной деятельности
относительно лицензирования оборудования и программного обеспечения для применения в ИТС и АСУ объектов критической информационной инфраструктуры;
– О защите населения и территорий от чрезвычайных ситуаций техногенного и природного характера
относительно киберзащиты объектов повышенной опасности;
– Об оперативно-розыскной деятельности
относительно спецпроверки лиц, ответственных за ТЗИ объектов критической информационной инфраструктуры
– Уголовный кодекс
– Уголовный процессуальный кодекс
– Кодекс об административных правонарушениях
относительно установления ответственности за правонарушения в сфере кибернетической безопасности (когда объектом противоправных посягательств являются государственные информационные ресурсы или критическая информационная инфраструктура);
– О Вооруженных Силах Украины
– О Службе безопасности Украины
– О Государственной службе специальной связи и защиты информации Украины
относительно уточнения компетенции и полномочий в связи с созданием Национальной системы кибернетической безопасности.

7. Этапы реализации Стратегии
7.1. На первом этапе реализации Стратегии (2014-2016 гг.) среди первоочередных мер предусматривается совершенствование нормативно-правовой базы (в том числе по взятым на себя Украиной международным обязательствам), создание ключевых элементов Национальной системы кибернетической безопасности: содействие созданию сети CERTов в Украине, проведение мероприятий по подготовке ВС Украины к ведению действий в условиях кибервойны, создание базиса подготовки специализированных кадров для сектора безопасности и объектов критической инфраструктуры по противодействию киберугрозам, формирование соответствующей нормативно-правовой базы и практических условий сотрудничества между государственным и негосударственным сектором безопасности по вопросам противодействия киберпреступности, увеличение внимания к мероприятиям информирования граждан и бизнеса по вопросам кибербезопасности, создание Государственного агентства по киберзащите.
7.2. На втором этапе (2016-2017 гг.) предусматривается усовершенствование международных правил поведения государств в киберпространстве и совершенствование международной нормативно-правовой базы в соответствии с кибернетическими вызовами национальной и международной безопасности, завершение развития Национальной системы кибернетической безопасности, внедрение программ поддержки отечественной инновационной продукции, которая может быть использована с целью усиления кибернетической безопасности государства; содействие развитию сети CERTов в Украине.
7.3. На третьем этапе (2017 и последующие годы), учитывая динамичность сферы кибербезопасности и актуализацию новых вызовов и угроз, предусматривается корректировка Стратегии на основе оценки эффективности ее реализации и новых вызовов.

Комментарии закрыты.