worldwide security requirements

1/51 © Cisco, 2010. Все права защищены.

Как ООН, ОЭСР и ВТО устанавливали общие правила игры в области ИБ

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 2/51

• Объединения межгосударственного или негосударственного характера, созданные на основе соглашений для достижения определённых целей

• Наиболее известные международные организации

Организация объединенных наций (ООН)

Азиатско-Тихоокеанский форум экономического сотрудничества (АТЭС)

Совет Европы

Организация по экономическому сотрудничеству и развитию (ОЭСР)

Всемирная торговая организация (ВТО)

Евразийское экономическое сообщество (ЕврАзЭС)

Интерпол

Организация Договора о коллективной безопасности (ОДКБ)

Организация по безопасности и сотрудничеству в Европе (ОБСЕ)

2


• Несмотря на активное проникновение ИТ в нашу жизнь большинство международных организаций либо вовсе не регулируют вопросы обеспечения информационной безопасности, либо находятся только в самом начале пути

• Все международные организации признают отсутствие адекватных способов борьбы с киберугрозами на сегодняшний день

• Все международные организации заявляют о необходимости разработки новых международных норм в области борьбы с киберугрозами

• Активности многих международных организаций пересекаются

3


• Борьба с киберпреступностью

• Кибервойны

• Борьба с экстремизмом и терроризмом

• Защита персональных данных / обеспечение privacy

• Борьба с детской порнографией

Регулирование носит скорее общественно-социальный характер

• Электроннная торговля

• Стандартизация

4


• Глобальная контртеррористическая стратегия ООН предусматривает

координацию усилий, предпринимаемых на международном и региональном уровнях в целях борьбы с терроризмом во всех его формах и проявлениях в сети Интернет

использование сети Интернет в качестве инструмента борьбы с распространением терроризма, признавая при этом, что государствам может потребоваться помощь в этих вопросах

• Доклад Контртеррористического комитета ООН (S/2006/737 от 15 сентября 2006 года)

Ряд государств сообщили о том, что они изучают возможность введения в своем внутреннем законодательстве запрета на подстрекательство применительно к Интернету

6


• На 64-й сессии Генеральной Ассамблеи ООН была принята резолюция «Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур»

• Опросник для самооценки государств в области ИБ КВО предусматривает наличие в государствах

Национальной стратегии по обеспечению кибербезопасности и защиты важнейших информационных инфраструктур

Формальных и неформальных механизмов взаимодействия между правительством и промышленностью в разработке стратегий и операций в области кибербезопасности и защиты важнейших информационных инфраструктур

Общенационального механизма реагирования на компьютерные сбои

Государственного ведомства, выполняющее функции координатора деятельности в связи с инцидентами

7


• 12 сентября 2011 года Россия, Китай, Таджикистан и Узбекистан предложили на 66-й Генеральной ассамблее ООН проект Международного кодекса по обеспечению безопасности в сфере информации

• Ключевые положения

Кибервойнам – нет!

Использованию Интернет для свержения режимов – нет!

Вмешательству в действия в локальном сегменте Интернет – нет!

8


• Комиссия ООН по праву в области международной торговли (UNCITRAL) свыше 20 лет разрабатывает базовые законы в области торговли для стран-членов ВТО

Типовой закон об электронной торговле (1996)

Типовой закон об электронной подписи (2001)

• Отказ от привязки к конкретным технологиям и признание любого типа электронной подписи, о котором договорились стороны по сделке

• Аналогичных подходов придерживаются и другие международные организации – ОЭСР, АТЭС и т.д.

9


• Играет значительную роль в международных отношениях, но не имеет официального статуса

• Саммит "восьмерки" (Санкт-Петербург, 16 июля 2006 года)

Обязательство об эффективном противодействии попыткам неправомерного использования киберпространства для целей терроризма, включая подстрекательство к совершению террористических актов, сообщение о террористических актах и планирование террористических актов, а также вербовка и обучение террористов, и, в частности, отмечая роль компьютерной сети по борьбе с преступностью стран "восьмерки" в формате 24/7 для противодействия антиобщественному поведению в киберпространстве

• В рамках «Лионской группы», борющейся с транснациональной преступностью, была создана подгруппа Subgroup on High-Tech Crime по борьбе с преступлениями в сфере высоких технологий

11


• Создана круглосуточно работающая Computer Crime Network для обмена информайией стран «Большой восьмерки» (насчитывает 40 членов)

• Создан список Critical Information Infrastructure Protection Directory

• Обсуждение общепризнаваемых принципов и действий по противодействию преступлениям в сфере высоких технологий

• Разработка лучших практик

• Оценка новых угроз и их воздействия

• Обучение

• Конференции и семинары

12


• Best practices for network security, incident response and reporting to law enforcement

• Разработаны в мае 2004 года

• 7 рекомендаций (до, во время и после иницидента)

• Перечислен список CERT’ов и контактов правоохранительных органов стран G8

Кроме России

13


• Организация экономического сотрудничества и развития (ОЭСР) — международная экономическая организация развитых стран, признающих принципы представительной демократии и свободной рыночной экономики

В 1996 г. заявку на приём в члены ОЭСР подала Россия - ОЭСР ответила на них отказом

В 2010-м году Россия была приглашена для переговоров о возможном расширении ОЭСР

• The OECD Working Party on Information Security and Privacy (WPISP)

Critical Information Infrastructure (CII), Digital Identity Management (IDM) и e-authentication, malware, Radio-Frequency Identification (RFID), sensor networks, The OECD Privacy Guidelines, protecting children online и privacy law enforcement co-operation.

15


• OECD Guidance on Policy and Practice

• OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data

• OECD Guidelines for Protecting Consumers from Fraudulent and Deceptive Commercial Practices Across Borders

• OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security

16


• Конвенция Совета Европы о предупреждении терроризма (2005)

Уголовное наказание за публичную провокацию с целью совершения террористического преступления, вербовку и обучение для целей терроризма

• Конвенция Совета Европы по киберпреступности (2001)

Единственный юридически обязательный многосторонний инструмент, посвященный специально киберпреступности, в частности обеспечивающем общеправовую основу для международного сотрудничества между государствами-участниками этой Конвенции в борьбе с киберпреступностью

Дополнительный протокол, касающийся криминализации актов расизма и ксенофобии, совершаемых с помощью компьютерных систем

18


• Полицейская служба Евросоюза

• Европол играет ключевую роль в European Cybercrime Task Force

• Европол ведет базу данных киберпреступлений, а также анализирует тенденции в данной сфере (iOCTA) и информирует заинтересованные стороны Европы

• Европол ведет базу материалов экстремистского содержания

• Создает Internet Crime Reporting Online System (ICROS) и Internet & Forensic Expert Forum (IFOREX)

19


21 октября 2010 – новый законопроект о внесении изменений в ФЗ «О техническом регулировании»

В части ускорения интеграционных процессов по сближению законодательств государств-членов таможенного союза в рамках ЕврАзЭС и Европейским союзом, снижения технических барьеров…

Ключевые изменения

Свобода выбора заявителем документов, применяемых при подтверждении соответствия

Обеспечение условий для взаимного признания в РФ и в иностранных государствах – торговых партнеров РФ результатов подтверждения соответствия и результатов исследования (испытаний) и измерений

Обязательное подтверждение продукции, на которую не распространяется действие техрегламентов и которая не включена в единый перечень продукции, подлежащей обязательной сертификации или декларированию, не требуется


• В 2002 гому создано подразделение Action against Terrorism Unit (ATU) по борьбе с терроризмом, в т.ч. и в киберпространстве

• Решение Совета Министров ОБСЕ №3/04 «Борьба с использованием Интернета в террористических целях» (7 декабря 2004 года)

Постановляет, что государства-участники будут обмениваться информацией об использовании Интернета в террористических целях и определять возможные стратегии борьбы с этой угрозой

• Предложения

По созданию европейского CERT

По повышению осведомленности пользователей Интернет

По отказу от анонимных платежей в Интернет

22


• Решение Совета Министров ОБСЕ №7/06 «Противодействие использованию Интернета в террористических целях» (5 декабря 2006 года)

Призывает государства-участники рассмотреть возможность принятия всех соответствующих мер по защите важнейших информационных структур и ключевых сетей от угрозы кибернападения

Призывает государства-участники рассмотреть возможность присоединения к существующим международным и региональным правовым документам, включая конвенции Совета Европы о киберпреступности (2001) и предупреждении терроризма (2005) и выполнить их обязательные положения

Рекомендует государствам-участникам изучить возможность более активного вовлечения институтов гражданского общества и частного сектора в деятельность по предупреждению и противодействию использованию Интернета для террористических целей

23


• Азиатско-Тихоокеанское экономическое сотрудничество (АТЭС) — форум 21 страны Азиатско-Тихоокеанского региона для сотрудничества в области региональной торговли и облегчения и либерализации капиталовложений

Целью АТЭС является повышение экономического роста и процветания в регионе и укрепление азиатско-тихоокеанского сообщества

• Создано множество рабочих групп

Telecommunications and Information Working Group (TEL)

Electronic Commerce Steering Group (ECSG)

• Нормативная база коррелирует с международным опытом Евросоюза, ОЭСР и других

25


• Стратегия по обеспечению доверенного, защищенного и устойчивого онлайн-окружения (APEC Strategy to Ensure a Trusted, Secure and Sustainable Online Environment )

Необходимо разработать национальную стратегию для онлайн-торговли

Необходимо актуализировать национальное законодательство для эффективной борьбы и противодействию угрозам онлайн-торговли

Создать CSIRT

Активно вовлекать бизнес и академические круги для контакты с государством

Повышение осведомленности пользователей

Развивать исследования в данной области

26


• Стратегия кибербезопасности ( APEC Cybersecurity Strategy)

• Инфраструктура обеспечения приватности (APEC Privacy Framework)

Документ, схожий с Европейской Конвенцией по защите прав субъектов персональных данных

«Такие защитные меры должны быть пропорциональны вероятности и серьезности угрожающего ущерба, чувствительности информации и контексту, в котором она содержится».

• Руководство по использованию PKI в трансграничной электронной коммерции (Public Key Infrastructure (PKI) Guidelines: Guidelines for Schemes to Issue Certificates Capable of Being Used in Cross-Jurisdiction eCommerce)

• И т.д.

27


• Военно-политический союз, созданный государствами СНГ на основе Договора о Коллективной Безопасности (ДКБ), подписанного 15 мая 1992 года

• В 2009 году были впервые осуществлены совместные мероприятия по противодействию преступлениям в информационной сфере под условным наименованием операция «ПРОКСИ» («Противодействие криминалу в сфере информации»)

• В контексте борьбы с новыми вызовами и угрозами утверждена Программа совместных действий по формированию системы информационной безопасности государств-членов ОДКБ

29


• Подписано 10 декабря 2010 года

• Основные задачи

координация мероприятий по защите информационных ресурсов военного и гражданского назначения от противоправного воздействия

координация мероприятий по противодействию противоправному воздействию на информационно-телекоммуникационное пространство государств-членов ОДКБ

подготовка предложений по информационному взаимодействию и координация при их реализации в целях организации противодействия современным угрозам

координация взаимодействия по распространению в информационном пространстве государств-членов ОДКБ объективной и достоверной информации относительно других членов Организации

30


4 мая 2010 года Президент направил в ГосДуму законопроект № 368896-5 «О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия»

Стороны взаимно признают аккредитацию органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, в национальных системах аккредитации государств сторон

Сторонами являются страны ЕврАзЭС - Россия, Казахстан, Беларусь, Киргизия, Таджикистан, Узбекистан


• Всемирная Торговая Организация (ВТО) - международная организация, созданная для урегулирования торговых проблем в соответствии с соглашением крупнейших торговых стран мира о снижении экспортных и импортных барьеров

• Прежде всего переговоры касаются "коммерчески значимых" уступок, которые присоединяющаяся страна будет готова предоставить членам ВТО по доступу на ее рынки (фиксируются в двусторонних Протоколах по доступу на рынки товаров и услуг), а также по формату и срокам принятия на себя обязательств по Соглашениям, вытекающих из членства в ВТО (оформляется в Докладе Рабочей группы)


• Все страны-члены ВТО принимают обязательства по выполнению основных соглашений и юридических документов, объединенных термином "Многосторонние торговые соглашения«

Взаимное предоставление режима наибольшего благоприятствования в торговле

Взаимное предоставление национального режима товарам и услугам иностранного происхождения

Регулирование торговли преимущественно тарифными методами

Отказ от использования количественных и иных ограничений

Прозрачность торговой политики

Разрешение торговых споров путем консультаций и переговоров и т.д.

• Наиболее интересные с точки зрения ИБ Соглашение по техническим барьерам в торговле

Генеральное соглашение по торговле услугами


• Упор

на следование международным стандартам

на использование международных систем оценки соответствия

на создание технических регламентов и стандартов, не создающих препятствий для международной торговли

на создание импортируемым продуктам тех же условий, что и внутренним

• «Не должно создаваться препятствий для принятия мер, необходимых для защиты ее важнейших интересов в области безопасности»

• Исключения допускаются, но они не должны

Приводить к дискриминации стран

Скрыто ограничивать международную торговлю


• Россия подала заявку на вступление в ВТО в 1993 году

• По итогам завершившихся переговоров Россия согласилась принять обязательства примерно по 110 секторам услуг из 155 секторов, предусмотренных классификацией ВТО

• В некоторых случаях позиция России предусматривает более жесткие условия работы иностранных поставщиков услуг на российском рынке по сравнению с условиями, предусмотренными действующим законодательством

Такая позиция позволит, при необходимости, использовать дополнительные инструменты защиты национальных поставщиков услуг от иностранной конкуренции в будущем


• Либерализация мер нетарифного регулирования с точки зрения правил лицензирования в такой области как импорт средств связи и шифровальной техники

Россия обязалась создать более прозрачную систему для импорта электронных товаров, использующих шифрование – требование США

• Приведение режимов технических барьеров в торговле в России в соответствие с правилами ВТО, совершенствование правоприменения в указанных сферах (в первую очередь касательно обязательной сертификации и регистрации, процедур повторной сертификации, подтверждения сертификатов соответствия)

Базель II станет обязательным


• В рамках ВТО многие страны приняли обязательства по электронной торговле, преодолении торговых барьеров и обеспечении доступа стран-членов ВТО к электронной коммерции

• Что надо решить:

Единые стандарты по безопасности платежей

Единые стандарты ЭЦП


• Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии

• Соблюдение Вассенаарского соглашения

То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.)

Категория 5, часть 2, список товаров двойного применения

• Вся импортируемая криптография делится на 2 части

Ввозимая по уведомлению

Ввозимая после получения лицензии на импорт


• Вассенаарское соглашение – документ, подписанный 33 развитыми странами мира с целью ограничения экспорта обычных видов вооружения и "товаров двойного применения" в некоторые нестабильные страны или, в определенных случаях, в те государства, которые находятся в состоянии войны

• Определенные криптографические продукты относятся к "товарам двойного применения": они могут быть использованы как в коммерческих, так и в военных целях

• «Вассенаарское соглашение» появилось 19 декабря 1995 года


• Вассенаар – не международный договор и не закон

• Участники соглашения признают необходимость изменения своих законов об экспорте по принципам, отраженным в Контрольном списке Вассенаарского соглашения

Это не обязательное условие

• Участники соглашения могут вводить контроль над экспортом шифрования путем принятия новых правил или законов


• 3 декабря 1998 года Секретариат Вассенаарского соглашения объявил, что приняты новые принципы в отношении криптографии

• Список "товаров двойного применения" пополнился шифровальными оборудованием и программами с длиной ключа более 56 бит

Таким образом, в список фактически попали Web-броузеры, программы для работы с электронной почтой, электронные коммерческие серверы и телефонные скрэмблеры

Остальные продукты для широкого рынка, такие как операционные системы, редакторы текста и СУБД с длиной ключа более 64 бит попадают под контроль в течение двух лет

• Эти контрольные меры были приняты единогласно Видимо, для массового рынка страны-участницы будут использовать 64-битовое ограничение

Они также должны ограничить другие виды симметричного криптографического программного обеспечения с длиной ключа более 56 бит (за исключением случаев, когда соответствующая государственная структура выдает официальную лицензию на экспорт)


• Крайне важно (и это серьезный пробел), что меры контроля, предусмотренные Вассенаарским соглашением, не относятся к виртуальным средствам распространения криптографии (Интернет)

• Ограничения не касаются шифровальных продуктов, которые защищают интеллектуальную собственность, например, систем маркировки видеокассет, аудиокассет и DVD-дисков


• Международная организация по стандартизации

• Сфера деятельности ИСО касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК, IEC)

Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ИСО занимается проблемами сертификации

• Стандарты

Криптография, Trusted Protected Module, управление ИБ, ААА, оценка соответствия, сетевая безопасность, прикладная безопасность, расследование инцидентов, безопасность аутсорсинга, сбор доказательств, защита персональных данных, раскрытие информации об уязвимостях, безопасность АСУ ТП, безопасность SCM, безопасность здравоохранения и т.д.

46


• Активное вовлечение бизнеса и общественных организаций в обсуждение вопросов борьбы с киберугрозами

• Активная разработка мер по противодействию использования Интернет в террористических и экстремистских целях

• Акцент на повышение осведомленности пользователей

• Активный обмен информации (CSIRT) и открытость

• Изменение локального законодательства для учета новых реалий

• Создание единых принципов электронной торговли

• Защита персональных данных граждан

• Защита детей от противоправных действий против них в Интернет

49


• Россия принимает не самое активное участие в обсуждении и, что особенно важно, в реализации достигнутых договоренностей

Исключая посещение международных семинаров и конференций для перенятия опыта

• Действующее российское законодательство как правило либо не отвечает, либо противоречит разработанным в международных организациях требованиям по обеспечению информационной безопасности

• Основной мотив в непринятии международных норм – национальная безопасность и невмешательство в суверенитет России

50

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

worldwide security requirements

Self Improvement

privacy cisco

crime cisco

cert cisco

csirt cisco

dvd cisco

culture of security

cert g8 cisco

oecd privacy guidelines