СОИБ. Лучшие практики уровня государств. Директива Евросоюза по повышению безопасности сетей и информационных систем (NIS Directive)

В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный документ, устанавливающий требования по ИБ для операторов ключевых / критически важных / жизненно важных услуг (operators of essential services) и провайдеров цифровых услуг (digital service providers).

Да! Да! Требования касаются не Госов и не операторов ПДн. И не надо больше говорить, что у нас в РФ самый страшный комплаенс по ИБ. 

Сам документ очень хорош и не удивительно, ведь работа над ним велась почти 3 года. В самом же документе подробно поясняется почему приходится вводить такие требования для коммерческих компаний – ведь очень сильно современная жизнь людей стала завысить от различных сетей и информационных систем.  И вообще в документе достаточно много внимания уделено разъяснениям, определениям, правилам для определения на кого распространяются требования, разъяснениям как быть с отраслевыми требованиями и т.п. Давайте посмотрим на наиболее интересные положения этой доктрины.

В число операторов жизненно важных услуг (ОЖВУ) обязательно включаются следующие типы компаний:

Sector	Subsector / Type
Energy	Electricity
	Oil
	Gas
Transport	Air transport
	Rail transport
	Water transport
	Road transport
Banking
Financial market infrastructures	Central counterparties (CCPs)
	Operators of trading venues
Health sector	Health care settings (including hospitals and private clinics)
Drinking water supply and distribution
Digital Infrastructure	internet exchange points
	DNS service providers
	top-level domain name registries

При этом в отдельных странах Евросоюза данный перечень может быть расширен. В директиве приводятся критерии отнесения компании из указанных типов к оператору жизненно важных услуг (напомню, что у нас в РФ нет публичных критериев отнесения к КСИИ или КВО) .

В число провайдеров цифровых услуг (ПЦУ) на которых распространяются требования ИБ включены:

·         Online marketplace

·         Online search engine

·         Cloud computing service

Требований в самой директиве немного. Более детальные требования должны быть разработаны странами Евросоюза в своих локальных нормативных актах. Требования не должны распространяться на компании малого и микро бизнеса (should not apply to micro- and small enterprises). В целом должен применяться риск ориентированный подход и т.п.

Требования ИБ для ОЖВУ:

·         Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность сетей и информационных систем, используемых в целях обеспечения непрерывности оказания жизненно важных услуг

·         Своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах (этому кстати уделяется очень много внимания в документе)

·         Предоставлять компетентным гос. органам (по-нашему это регулятор):

o   описание принятых меры защиты, в том числе утверждённые документы в области ИБ

o   свидетельства оценки эффективности принятых мер защиты, в том числе результаты аудита, проведенного компетентным органом или квалифицированным аудитором (по-нашему, аккредитованной организацией или лицензиатом)

Требования ИБ для ПЦУ:

·         Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность цифровых услуг, в том числе:

o   Безопасности систем и технологических средств

o   Обработку инцидентов

o   Управление непрерывностью бизнеса

o   Мониторинг, аудит и тестирование ИБ

o   Соответствие международным стандартам

·         обеспечивать непрерывности оказания услуг и минимизации воздействия инцидентов, влияющих на безопасность используемых сетей и информационных систем ОЖВУ

·         своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах

·         предоставлять компетентным гос. органам описание принятых меры защиты, в том числе утверждённые документы в области ИБ

Директива вступила в силу в августе 2016, но выполняться будет поэтапно:

·         уже:

o   создана computer security incident response teams network (CSIRTs network)

o   создана Cooperation Group для обмена информацией в области ИБ между членами евросоюза

·         к 9 февраля 2017 страны члены евросоюза должны быть созданы национальные CSIRT, включится в Cooperation Group and the CSIRTs network

·         до 9 мая 2018 года страны члены евросоюза должны адаптировать доктрину и выпустить локальные НПА, в том числе национальную стратегию безопасности сетей и информационных систем (NIS).  Должны определить компетентные органы в области NIS. Должны определить в стране единую точку взаимодействия (single point of contact) по вопросам ИБ NIS

·         с 10 мая 2018 года должны выполняться требования

·         до 9 ноября 2018 года должны быть определены и учтены в реестре компании ОЖВУ

Думаю, для одной вводной статьи про NIS Directive информации достаточно. Если будет интересно, отдельно напишу про уже действующую CSIRT Network и про критерии отнесения к ОЖВУ.  

Возможно и у нас по аналогии с европейскими соседями случатся продвижения в части КВО, уведомлении об инцидентах, обязательные аудиты ИБ и т.п.

PS: Кстати в евросоюзе октябрь 2016 – это месяц! кибербезопасности (European Cyber Security Month). Проводятся сотни мероприятий по ИБ.

 Другие статьи по теме Лучших практик