СОИБ. Лучшие практики уровня государств. Директива Евросоюза по повышению безопасности сетей и информационных систем (NIS Directive)

В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный документ, устанавливающий требования по ИБ для операторов ключевых / критически важных / жизненно важных услуг (operatorsofessentialservices) и провайдеров цифровых услуг (digitalserviceproviders).

Да! Да! Требования касаются не Госов и не операторов ПДн. И не надо больше говорить, что у нас в РФ самый страшный комплаенс по ИБ. 

Сам документ очень хорош и не удивительно, ведь работа над ним велась почти 3 года. В самом же документе подробно поясняется почему приходится вводить такие требования для коммерческих компаний – ведь очень сильно современная жизнь людей стала завысить от различных сетей и информационных систем.  И вообще в документе достаточно много внимания уделено разъяснениям, определениям, правилам для определения на кого распространяются требования, разъяснениям как быть с отраслевыми требованиями и т.п. Давайте посмотрим на наиболее интересные положения этой доктрины.

 

В число операторов жизненно важных услуг (ОЖВУ) обязательно включаются следующие типы компаний:

Sector

Subsector / Type

Energy

Electricity

Oil

Gas

Transport

Air transport

Rail transport

Water transport

Road transport

Banking

 

Financial market infrastructures

Central counterparties (CCPs)

Operators of trading venues

Health sector

Health care settings (including hospitals and private clinics)

Drinking water supply and distribution

 

               

Digital Infrastructure

internet exchange points

DNS service providers

top-level domain name registries

 

При этом в отдельных странах Евросоюза данный перечень может быть расширен. В директиве приводятся критерии отнесения компании из указанных типов к оператору жизненно важных услуг (напомню, что у нас в РФ нет публичных критериев отнесения к КСИИ или КВО) .

В число провайдеров цифровых услуг (ПЦУ) на которых распространяются требования ИБ включены:

  • Onlinemarketplace
  • Online search engine
  • Cloud computing service

Требований в самой директиве немного. Более детальные требования должны быть разработаны странами Евросоюза в своих локальных нормативных актах. Требования не должны распространяться на компании малого и микро бизнеса (should not apply to micro- and small enterprises). В целом должен применяться риск ориентированный подход и т.п.

Требования ИБ для ОЖВУ:

  • Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность сетей и информационных систем, используемых в целях обеспечения непрерывности оказания жизненно важных услуг
  • Своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах (этому кстати уделяется очень много внимания в документе)
  • Предоставлять компетентным гос. органам (по-нашему это регулятор):
    • описание принятых меры защиты, в том числе утверждённые документы в области ИБ
    • свидетельства оценки эффективности принятых мер защиты, в том числе результаты аудита, проведенного компетентным органом или квалифицированным аудитором (по-нашему, аккредитованной организацией или лицензиатом)

Требования ИБ для ПЦУ:

  • Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность цифровых услуг, в том числе:
    • Безопасности систем и технологических средств
    • Обработку инцидентов
    • Управление непрерывностью бизнеса
    • Мониторинг, аудит и тестирование ИБ
    • Соответствие международным стандартам
  • обеспечивать непрерывности оказания услуг и минимизации воздействия инцидентов, влияющих на безопасность используемых сетей и информационных систем ОЖВУ
  • своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах
  • предоставлять компетентным гос. органам описание принятых меры защиты, в том числе утверждённые документы в области ИБ

Директива вступила в силу в августе 2016, но выполняться будет поэтапно:

  • уже:
    • создана computer security incident response teams network (CSIRTs network)
    • создана Cooperation Group для обмена информацией в области ИБ между членами евросоюза
  • к 9 февраля 2017 страны члены евросоюза должны быть созданы национальные CSIRT, включится в Cooperation Group and the CSIRTs network
  • до 9 мая 2018 года страны члены евросоюза должны адаптировать доктрину и выпустить локальные НПА, в том числе национальную стратегию безопасности сетей и информационных систем (NIS).  Должны определить компетентные органы в области NIS. Должны определить в стране единую точку взаимодействия (single point of contact) по вопросам ИБ NIS
  • с 10 мая 2018 года должны выполняться требования
  • до 9 ноября 2018 года должны быть определены и учтены в реестре компании ОЖВУ

Думаю, для одной вводной статьи про NISDirectiveинформации достаточно. Если будет интересно, отдельно напишу про уже действующую CSIRTNetworkи про критерии отнесения к ОЖВУ.  

Возможно и у нас по аналогии с европейскими соседями случатся продвижения в части КВО, уведомлении об инцидентах, обязательные аудиты ИБ и т.п.

PS: Кстати в евросоюзе октябрь 2016 – это месяц! кибербезопасности (EuropeanCyberSecurityMonth). Проводятся сотни мероприятий по ИБ.

 

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах