Кибербезопасность: рекомендации для ЕС

10 сентября 2014 г Координационная группа по кибербезопасности/ Cyber Security Coordination Group (CSCG) (Европейская комиссия стандартизации/CEN, Европейский комитет электротехнической стандартизации/CENELEC, Европейский институт телекоммуникационных стандартов/ETSI) опубликовала рекомендации по цифровой безопасности (Recommendations for a Strategy on European Cyber Security Standardisation). Рекомендации разработаны в развитие Европейской стратегии кибербезопасности (Европейская комиссия, 7 февраля 2013 г.).

Цель стратегии кибербезопасности ЕС -(Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace ) —  повышение устойчивости и наращивание потенциала в области кибербезопасности государств-членов ЕС (усиление борьбы с киберпреступностью, формирование эффективной инфраструктуры обеспечения безопасности, разработка принципов международной политики в области кибербезопасности). 

Согласно результатам исследования особенностей организации системы кибербезопасности в странах ЕС, выполненного европейским подразделением RAND в конце 2012 года,

              • практически невозможно добиться единого решения по проблемам кибербезопасности, принимаемого на общеевропейском уровне.
              • не все страны ЕС сегодня готовы сформулировать на национальном уровне ответ на инциденты в сфере компьютерной безопасности.
              • нет единого органа, способного принимать общеевропейские решения в этой сфере.
              • анализ культуры и практики работы европейских CERT показывает, что даже там, где они имеют прочную правовую основу, CERT регулярно работают изолированно и испытывают серьезные проблемы не только при трансграничной передаче информации, но и при попытке межведомственного информационного обмена.

Поэтому важнейший аспект стратегии  — гармонизация возможностей обеспечения информационной безопасности европейских государств, и унификация инфраструктуры обеспечения кибербезопасности посредством:

              • изменений в национальных законодательствах,
              • создания национальных группами реагирования на компьютерные инциденты (Computer Emergency Response Team, CERT),
              • формирование компетентных национальных органов, обеспеченных профессиональными и материальными ресурсами, которые будут отслеживать ситуацию в своих странах и управлять кибер-рисками, а также поддерживать взаимодействие с Европейской Комиссией.

Стратегия предусматривает  укрепление сотрудничества между государственным и частным секторами, а также разработку концептуальных документов, обеспечивающих единые понятия и подходы, для формирования единого общеевропейского взгляда на организацию и проведение информационных операций в рамках разрабатываемой стратегической концепции «Общей обороны и политики безопасности».

3 апреля 2014 года в Брюсселе, на встрече представителей Координационной группы по кибербезопасности/ CSCG  с вице-президентом Европейской комиссии Нели Крус, состоялось обсуждение роли стандартов в укреплении безопасности в сети интернет и защиты персональных данных в рамках реализации стратегии кибербезопасности ЕС.  Эксперты CSCG обращали внимание на значение гармонизированных стандартов кибербезопасности для  формирования единого европейского рынка. В качестве основы для согласованной работы был предложен Регламент Европейского Парламента и Совета 025/2012 от 25 октября 2012 года о европейской стандартизации. Вице-президент Н.  Крус отметила ведущую роль  ЕС в разработке стандартов, обеспечивающих кибербезопасность и подчеркнула важность сотрудничества и эффективной координации в этой сфере.

Рекомендации 10 сентября, 2014 г. представляют собой подробное изложение предложений Координационной группы по кибербезопасности, систематизированные по трем аспектам: управление, согласование и глобальное измерение. При этом Агентство рекомендует «согласовать использование ключевых терминов кибербезопасность (Cyber ​​Security), «безопасность сетей и информации» (NIS) и киберпреступность (cybercrime) в ЕС на основе существующих определений. В настоящее время официально используются все три термина без фиксации различий между ними, что влечет риск разной их интерпретации в государствах-членах ЕС (или на разных национальных языках). При этом не следует ограничиваться разъяснением определений. Важно разработать согласованное понимание как взаимозависимости, так и моделей управления  в этих трех сферах.

Полный текст рекомендаций White Paper No. 01  Recommendations for a Strategy on European Cyber Security Standardisation (2014)  http://www.cscg.focusict.de/sixcms_upload/media/3829/CSCG%20White%20paper.171536.pdf

Полный текст стратегии Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace (2013)  http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security

Список национальных стратегий кибербезопасности http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world