|
Стремительное развитие
информационной технологии изменило то, как государственные органы, предприятия,
другие организации и индивидуальные пользователи, которые разрабатывают
эти информационные системы и сети, имеют, поставляют их, управляют ими,
обслуживают и используют их («участники»), должны подходить к кибербезопасности.
Глобальная культура кибербезопасности будет требовать от всех участников
учета следующих девяти взаимодополняющих элементов :
a) осведомленность.
Участники должны быть осведомлены о необходимости безопасности информационных
систем и сетей и о том, что они могут сделать для повышения безопасности;
b) ответственность. Участники отвечают за безопасность
информационных систем и сетей сообразно с ролью каждого из них. Участники
должны подвергать свои политику, практику, меры и процедуры регулярному
обзору и оценивать, соответствуют ли они среде их применения;
c) реагирование. Участники должны принимать своевременные
и совместные меры по предупреждению инцидентов, затрагивающих безопасность,
их обнаружению и реагированию на них. Они должны обмениваться в надлежащих
случаях информацией об угрозах и факторах уязвимости и вводить процедуры,
предусматривающие оперативное и эффективное сотрудничество в деле предупреждения
таких инцидентов, их обнаружения и реагирования на них. Это может предполагать
трансграничный информационный обмен и сотрудничество;
d) этика. Поскольку информационные системы и сети проникли
во все уголки современного общества, участникам необходимо учитывать
законные интересы других и признавать, что их действия или бездействие
могут повредить другим;
e) демократия. Безопасность должна обеспечиваться так,
чтобы это соответствовало ценностям, которые признаются демократическим
обществом, включая свободу обмена мыслями и идеями, свободный поток
информации, конфиденциальность информации и коммуникации, надлежащая
защита информации личного характера, открытость и гласность;
f) оценка риска. Все участники должны выполнять периодическую
оценку риска, которая : позволяет выявлять угрозы и факторы уязвимости;
имеет достаточно широкую базу, чтобы охватить такие ключевые внутренние
и внешние факторы, как технология, физические и человеческие факторы,
применяемая методика и услуги третьих лиц, сказывающиеся на безопасности;
дает возможность определить допустимую степень риска; помогает выбрать
надлежащие инструменты контроля, позволяющие регулировать риск потенциального
ущерба информационным системам и сетям с учетом характера и значимости
защищаемой информации;
g) проектирование и внедрение средств обеспечения безопасности.
Участники должны рассматривать соображения безопасности в качестве важнейшего
элемента планирования и проектирования, эксплуатации и использования
информационных систем и сетей;
h) управление обеспечением безопасности. Участники должны
принять комплексный подход к управлению обеспечением безопасности, опираясь
на динамичную оценку риска, охватывающую все уровни деятельности участников
и все аспекты их операций;
i) переоценка. Участники должны подвергать вопросы безопасности
информационных систем и сетей обзору и повторной оценке и вносить надлежащие
изменения в политику, практику, меры и процедуры обеспечения безопасности,
учитывая при этом появление новых и изменение прежних угроз и факторов
уязвимости.
|