Jump to content

Регулирование кибербезопасности

Положение о кибербезопасности включает в себя директивы, которые защищают информационные технологии и компьютерные системы с целью заставить компании и организации защищать свои системы и информацию от кибератак , таких как вирусы , черви , троянские кони , фишинг , атаки типа «отказ в обслуживании» (DOS) , несанкционированный доступ (кража ). интеллектуальная собственность или конфиденциальная информация) и атаки на системы контроля . [1] Хотя правила кибербезопасности направлены на минимизацию киберрисков и усиление защиты, неопределенность, возникающая из-за частых изменений или новых правил, может существенно повлиять на стратегии реагирования организаций. [1]

Существует множество мер по предотвращению кибератак . кибербезопасности Меры включают межсетевые экраны , антивирусное программное обеспечение , вторжений обнаружения и предотвращения системы , шифрование и пароли для входа . [2] Предпринимались попытки улучшить кибербезопасность посредством регулирования и совместных усилий правительства и частного сектора, направленных на поощрение добровольных улучшений кибербезопасности. [1] [2] [3] Регуляторы отрасли, в том числе банковские регуляторы , обратили внимание на риск, связанный с кибербезопасностью, и либо начали, либо планировали включать кибербезопасность в качестве аспекта регуляторных проверок. [2]

Недавние исследования показывают, что в морском бизнесе также отсутствует регулирование и обеспечение соблюдения кибербезопасности, включая цифровую связь между судами и портами. [4]

Предыстория [ править ]

В 2011 году Министерство обороны США выпустило руководство под названием « Стратегия Министерства обороны по работе в киберпространстве» , в котором были сформулированы пять целей: рассматривать киберпространство как оперативную область, использовать новые оборонительные концепции для защиты сетей и систем Министерства обороны, сотрудничать с другими агентствами и частный сектор в реализации «общеправительственной стратегии кибербезопасности», работать с международными союзниками в поддержку коллективной кибербезопасности и поддерживать развитие кибер-рабочих сил, способных к быстрым технологическим инновациям. [3] за март 2011 года В отчете GAO «защита информационных систем федерального правительства и критической киберинфраструктуры страны названа общегосударственной областью высокого риска», отмечалось, что федеральная информационная безопасность была признана зоной высокого риска с 1997 года. По состоянию на 2003 год системы, защищающие критическую инфраструктуру , называемая защитой кибер-критической инфраструктуры кибер-CIP, также была включена. [5]

В ноябре 2013 года Министерство обороны выдвинуло новое правило кибербезопасности (78 Fed. Reg. 69373), которое налагало определенные требования на подрядчиков: соблюдение определенных ИТ-стандартов NIST , обязательное информирование Министерства обороны об инцидентах кибербезопасности и «нисходящий поток информации». «пункт, который применяет те же требования к субподрядчикам. [6]

В отчете Конгресса за июнь 2013 года было обнаружено более 50 законодательных актов, касающихся соблюдения требований кибербезопасности. Федеральный закон об управлении информационной безопасностью 2002 года (FISMA) является одним из ключевых законов, регулирующих федеральные правила кибербезопасности. [6]

США [ править ]

Федеральное правительство [ править ]

Федеральных правил кибербезопасности немного, а те, которые существуют, ориентированы на конкретные отрасли. Тремя основными нормативными актами в области кибербезопасности являются Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA), Закон Грэмма-Лича-Блайли 1999 года и Закон о национальной безопасности 2002 года , который включал Закон об управлении федеральной информационной безопасностью (FISMA). Эти три правила предписывают организациям здравоохранения, финансовым учреждениям и федеральным агентствам защищать свои системы и информацию. [3] Например, FISMA, которая распространяется на каждое правительственное учреждение, «требует разработки и внедрения обязательных политик, принципов, стандартов и руководств по информационной безопасности». Однако правила не распространяются на многие отрасли, связанные с компьютерами, такие как интернет-провайдеры (ISP) и компании-разработчики программного обеспечения. [4] Более того, в правилах не указано, какие меры кибербезопасности должны быть реализованы, и требуется только «разумный» уровень безопасности. Расплывчатый язык этих правил оставляет много места для интерпретации. Брюс Шнайер , основатель компании Counterpane Internet Security в Купертино, утверждает, что компании не будут вкладывать достаточные средства в кибербезопасность, если правительство не заставит их это сделать. [5] Он также заявляет, что успешные кибератаки на правительственные системы все еще происходят, несмотря на усилия правительства. [6]

Было высказано предположение, что Закон о качестве данных уже предоставляет Административно-бюджетному управлению статутные полномочия по внедрению защиты критически важной инфраструктуры правил в процессе нормотворчества Закона об административных процедурах . Идея не была полностью проверена и потребует дополнительного юридического анализа, прежде чем можно будет начать нормотворчество . [7]

Правительства штатов [ править ]

Правительства штатов пытались улучшить кибербезопасность, повышая общественную известность о компаниях со слабой безопасностью. В 2003 году Калифорния приняла Закон об уведомлении о нарушении безопасности, который требует, чтобы любая компания, которая хранит личную информацию граждан Калифорнии и совершила нарушение безопасности, должна раскрывать подробности события. Личная информация включает имя, номер социального страхования , номер водительских прав, номер кредитной карты или финансовую информацию. [7] Несколько других штатов последовали примеру Калифорнии и приняли аналогичные правила уведомления о нарушениях безопасности. [8] Такие правила уведомления о нарушениях безопасности наказывают компании за сбои в области кибербезопасности, предоставляя им свободу выбора способа защиты своих систем. Кроме того, это регулирование создает стимул для компаний добровольно инвестировать в кибербезопасность, чтобы избежать потенциальной потери репутации и связанных с этим экономических потерь, которые могут возникнуть в результате успешной кибератаки. [8]

В 2004 году Законодательное собрание штата Калифорния приняло законопроект о Ассамблее Калифорнии 1950 года, который также применяется к предприятиям, которые владеют или хранят личную информацию жителей Калифорнии. Постановление предписывает предприятиям поддерживать разумный уровень безопасности, а требуемые меры безопасности также распространяются на деловых партнеров. [9] Постановление является усовершенствованием федерального стандарта, поскольку оно расширяет число фирм, необходимых для поддержания приемлемого уровня кибербезопасности. Однако, как и федеральное законодательство, оно требует «разумного» уровня кибербезопасности, что оставляет много возможностей для толкований до тех пор, пока не будет установлена ​​прецедентная практика. [10]

Предлагаемое положение [ править ]

Конгресс США предложил множество законопроектов, расширяющих регулирование кибербезопасности. Закон о безопасности и уведомлении потребительских данных вносит поправки в Закон Грэмма-Лича-Блайли, требуя раскрытия финансовых учреждений о нарушениях безопасности. Конгрессмены также предложили «распространить Gramm-Leach-Bliley на все отрасли, связанные с финансовой информацией потребителей, включая любые фирмы, принимающие оплату по кредитным картам». [11] Конгресс предложил правила кибербезопасности, аналогичные калифорнийскому Закону об уведомлении о нарушениях безопасности, для компаний, хранящих личную информацию. Закон о защите и безопасности информации требует, чтобы брокеры данных «гарантировали точность и конфиденциальность данных, аутентифицировали и отслеживали пользователей, обнаруживали и предотвращали несанкционированную деятельность, а также снижали потенциальный вред для отдельных лиц». [12]

Помимо требования к компаниям улучшить кибербезопасность, Конгресс также рассматривает законопроекты, криминализирующие кибератаки. Закон о безопасной защите от киберпреступлений ( SPY ACT ) был законопроектом такого типа. Он был посвящен законопроекту о фишинге и шпионском ПО и был принят 23 мая 2005 года Палатой представителей США , но не принят в Сенате США . [8] Законопроект «признает незаконным несанкционированное использование компьютера с целью взять его под контроль, изменить его настройки, собрать или побудить владельца раскрыть личную информацию , установить нежелательное программное обеспечение и взломать программное обеспечение безопасности, антишпионское или антивирусное программное обеспечение». ." [13]

12 мая 2011 года президент США Барак Обама предложил пакет законодательных реформ в области кибербезопасности, направленных на повышение безопасности жителей США, федерального правительства и критически важной инфраструктуры. Последовал год публичных дебатов и слушаний в Конгрессе, в результате которых Палата представителей приняла законопроект об обмене информацией , а Сенат разработал компромиссный законопроект, стремящийся сбалансировать национальную безопасность, конфиденциальность и деловые интересы.

В июле 2012 года Закон о кибербезопасности 2012 года был предложен сенаторами Джозефом Либерманом и Сьюзан Коллинз . [14] Законопроект потребовал бы создания добровольных «стандартов передовой практики» для защиты ключевой инфраструктуры от кибератак, которые предприятиям будет предложено принять с помощью таких стимулов, как защита ответственности. [15] Законопроект был поставлен на голосование в Сенате, но не был принят. [16] Обама выразил поддержку этому закону в статье в Wall Street Journal . [17] Он также получил поддержку со стороны чиновников военной и национальной безопасности, включая Джона О. Бреннана , главного советника Белого дома по борьбе с терроризмом. [18] [19] По сообщению The Washington Post , эксперты заявили, что непринятие закона может сделать Соединенные Штаты «уязвимыми для широкомасштабных хакерских атак или серьезных кибератак». [20] Против этого закона выступили сенаторы-республиканцы, такие как Джон Маккейн, которые были обеспокоены тем, что закон введет правила, которые не будут эффективными и могут стать «бременем» для бизнеса. [21] После голосования в Сенате сенатор-республиканец Кей Бэйли Хатчисон заявила, что противодействие законопроекту не является партийным вопросом, но он не отражает правильного подхода к кибербезопасности. [22] Голосование в Сенате не было строго партийным: шесть демократов проголосовали против него, а пять республиканцев проголосовали за него. [23] Среди критиков законопроекта были Торговая палата США , [24] правозащитные группы, такие как Американский союз гражданских свобод и Фонд электронных границ , [25] эксперт по кибербезопасности Джоди Уэстби и The Heritage Foundation , которые утверждали, что, хотя правительство должно действовать в области кибербезопасности, законопроект имеет ошибочный подход и представляет собой «слишком навязчивую роль федерального правительства». [26]

В феврале 2013 года Обама предложил Указ об улучшении кибербезопасности критической инфраструктуры. Он представляет собой последнюю версию политики, но не считается законом, поскольку еще не рассматривался Конгрессом. Он стремится улучшить существующие государственно-частные партнерства путем повышения своевременности информационного потока между DHS и компаниями критически важной инфраструктуры. Он предписывает федеральным агентствам передавать предупреждения о киберугрозах любой организации частного сектора, идентифицированной как цель. Он также поручает Министерству внутренней безопасности улучшить процесс, чтобы ускорить процессы проверки безопасности для соответствующих организаций государственного и частного секторов, чтобы позволить федеральному правительству делиться этой информацией на соответствующих конфиденциальных и секретных уровнях. Он руководит разработкой системы снижения киберрисков, включающей в себя лучшие современные отраслевые практики и добровольные стандарты. Наконец, он поручает участвующим федеральным агентствам обеспечить защиту конфиденциальности и гражданских свобод в соответствии с Принципами добросовестной информационной практики. [9]

В январе 2015 года Обама объявил о новом законодательном предложении по кибербезопасности. Это предложение было сделано с целью подготовить США к растущему числу киберпреступлений. В своем предложении Обама обозначил три основных направления работы по созданию более безопасного киберпространства США. Первая основная попытка подчеркнула важность обеспечения обмена информацией о кибербезопасности. Позволяя это, предложение способствовало обмену информацией между правительством и частным сектором. Это позволит правительству узнать, с какими основными киберугрозами сталкиваются частные фирмы, а затем позволит правительству обеспечить защиту ответственности тех фирм, которые поделились своей информацией. Более того, это дало бы правительству лучшее представление о том, от чего нужно защищать США. Еще одним важным усилием, которое было подчеркнуто в этом предложении, была модернизация правоохранительных органов, чтобы сделать их более подготовленными для правильной борьбы с киберпреступлениями, предоставив им необходимые для этого инструменты. Также будет обновлена ​​классификация киберпреступлений и их последствий. Один из способов сделать это — объявить преступлением продажу финансовой информации за рубежом. Еще одна цель усилий — привлечь к ответственности за киберпреступления. Последней крупной попыткой законодательного предложения было требование от предприятий сообщать потребителям об утечке данных, если их личная информация была принесена в жертву. Требуя от компаний этого, потребители узнают, когда им грозит опасность кражи личных данных. [10]

В феврале 2016 года Обама разработал План действий по кибербезопасности и национальной безопасности (CNAP). План был составлен для разработки долгосрочных действий и стратегий в целях защиты США от киберугроз. Целью плана было информирование общественности о растущей угрозе киберпреступлений, улучшение защиты от кибербезопасности, защита личной информации американцев и информирование американцев о том, как контролировать цифровую безопасность. Одним из основных моментов этого плана является создание «Комиссии по усилению национальной кибербезопасности». Целью этого является создание Комиссии, состоящей из разнообразной группы мыслителей с точками зрения, которые могут внести свой вклад в выработку рекомендаций о том, как создать более сильную кибербезопасность для государственного и частного сектора. Вторым моментом плана является изменение государственных ИТ. Новая правительственная ИТ сделает все возможное, чтобы можно было внедрить более безопасную ИТ. Третьим моментом плана является предоставление американцам знаний о том, как они могут защитить свои онлайн-аккаунты и избежать кражи личной информации посредством многофакторной аутентификации. Четвертый пункт плана — инвестировать в кибербезопасность на 35% больше денег, чем было вложено в 2016 году. [11]

правительства Другие усилия

Помимо регулирования, федеральное правительство пыталось улучшить кибербезопасность, выделяя больше ресурсов на исследования и сотрудничая с частным сектором для написания стандартов. президента В 2003 году Национальная стратегия по обеспечению безопасности киберпространства возложила на Министерство внутренней безопасности (DHS) ответственность за рекомендации по безопасности и исследование национальных решений. План призывает к совместным усилиям правительства и промышленности «создать систему экстренного реагирования на кибератаки и снизить уязвимость страны к таким угрозам»." [27] В 2004 году Конгресс США выделил 4,7 миллиарда долларов на кибербезопасность и достижение многих целей, заявленных в Национальной стратегии президента по обеспечению безопасности киберпространства. [28] Некоторые эксперты по отраслевой безопасности заявляют, что Национальная стратегия президента по обеспечению безопасности киберпространства является хорошим первым шагом, но недостаточным. [29] Брюс Шнайер заявил: «Национальная стратегия по обеспечению безопасности киберпространства еще ничего не обеспечила». [30] Однако в Национальной стратегии президента четко указано, что цель состоит в том, чтобы предоставить владельцам компьютерных систем основу для повышения их безопасности, а не в том, чтобы правительство взяло на себя ответственность и решило проблему. [31] Однако компании, участвующие в совместных усилиях, изложенных в стратегии, не обязаны внедрять обнаруженные решения безопасности.

В Соединенных Штатах Конгресс США пытается сделать информацию более прозрачной после того, как Закон о кибербезопасности 2012 года, который должен был создать добровольные стандарты для защиты жизненно важной инфраструктуры, не прошел через Сенат. [12] В феврале 2013 года Белый дом издал указ под названием «Улучшение кибербезопасности критической инфраструктуры», который позволяет исполнительной власти делиться информацией об угрозах с большим количеством компаний и частных лиц. [12] [13] В апреле 2013 года Палата представителей приняла Закон о совместном использовании и защите киберинформации (CISPA), который призывает защищать от судебных исков, направленных против компаний, раскрывающих информацию о нарушениях. [12] Администрация Обамы заявила, что может наложить вето на законопроект. [12]

Индия [ править ]

В свете взлома веб-сайта коммерческого подразделения Индийского космического агентства в 2015 году, корпорации Antrix и правительственной программы «Цифровая Индия», эксперт по киберправу и адвокат в Индии Верховном суде Паван Дуггал заявил, что «специализированный кибер-специалист законодательство о безопасности как ключевое требование для Индии. Недостаточно просто включить кибербезопасность в Закон об информационных технологиях. Мы должны рассматривать кибербезопасность не только с отраслевой точки зрения, но и с национальной точки зрения». [14]

Европейский Союз [ править ]

Стандарты кибербезопасности имеют большое значение в современном технологическом бизнесе. Чтобы максимизировать свою прибыль, корпорации используют технологии, проводя большую часть своих операций через Интернет. Поскольку существует большое количество рисков, связанных с межсетевыми операциями, такие операции должны быть защищены всеобъемлющими и обширными правилами. Существующие правила кибербезопасности охватывают различные аспекты бизнес-операций и часто различаются в зависимости от региона или страны, в которой работает бизнес. Из-за различий в обществе, инфраструктуре и ценностях страны один всеобъемлющий стандарт кибербезопасности не является оптимальным для снижения рисков. В то время как стандарты США обеспечивают основу для операций, Европейский Союз создал более адаптированное регулирование для предприятий, работающих конкретно на территории ЕС. Кроме того, в свете Брексита важно учитывать, как Великобритания решила придерживаться таких правил безопасности.

Три основных нормативных акта ЕС включают ENISA, Директиву NIS и GDPR ЕС. Они являются частью стратегии единого цифрового рынка .

Что касается стандартов, Закон о кибербезопасности / Регламент ENISA не имеет прямого отношения к стандартам. Тем не менее, ENISA признает на своем веб-сайте, что «стратегия кибербезопасности ЕС подчеркивает поддержку большей стандартизации через европейские организации по стандартизации (CEN, CENELEC и ETSI), а также ISO. [15] "

Стандарты ISO/IEC, а также европейские стандарты CEN, CENELEC и ETSI могут использоваться на добровольной основе для поддержки требований законодательства ЕС. За обновленным списком стандартов ISO/IEC и CEN/CENELEC по теме кибербезопасности можно следить на бесплатном и общедоступном информационном веб-сайте Genorma.com. [16]

ЭНИСА [ править

Агентство Европейского Союза по кибербезопасности (ENISA) является руководящим агентством, которое было первоначально создано Регламентом (ЕС) № 460/2004 Европейского парламента и Совета от 10 марта 2004 года с целью повышения сетевой и информационной безопасности ( NIS) для всех межсетевых операций в ЕС. ENISA в настоящее время действует в соответствии с Регламентом (ЕС) № 526/2013. [17] которое заменило первоначальный регламент в 2013 году. ENISA активно работает со всеми государствами-членами ЕС, предоставляя широкий спектр услуг. Основное внимание в их деятельности уделяется трем факторам:

  • Рекомендации государствам-членам о порядке действий в случае нарушений безопасности
  • Поддержка разработки и реализации политики для всех государств-членов ЕС
  • Прямая поддержка ENISA при практическом подходе к работе с оперативными группами в ЕС. [18]

ENISA состоит из правления, которое опирается на поддержку исполнительного директора и группы постоянных заинтересованных сторон. Однако большинством операций руководят руководители различных ведомств. [19]

ENISA выпустила различные публикации, охватывающие все основные вопросы кибербезопасности. Прошлые и текущие инициативы ENISA включают облачную стратегию ЕС, открытые стандарты в информационных коммуникационных технологиях, стратегию кибербезопасности ЕС и координационную группу кибербезопасности. ENISA также работает в сотрудничестве с существующими международными организациями по стандартизации, такими как ISO и ITU . [20]

Директива НИС [ править ]

6 июля 2016 года Европейский парламент утвердил в политике Директиву о безопасности сетей и информационных систем ( Директива NIS ). [21]

Директива вступила в силу в августе 2016 года, и всем государствам-членам Европейского Союза был дан 21 месяц на включение положений директивы в свои национальные законы. [22] Целью Директивы NIS является создание общего более высокого уровня кибербезопасности в ЕС. Директива существенно затрагивает поставщиков цифровых услуг (DSP) и операторов основных услуг (OES). К операторам основных услуг относятся любые организации, деятельность которых может сильно пострадать в случае нарушения безопасности, если они занимаются критически важной общественной или экономической деятельностью. И DSP, и OES теперь несут ответственность за сообщение о серьезных инцидентах безопасности группам реагирования на инциденты компьютерной безопасности (CSIRT). [23] Хотя DSP не подчиняются таким строгим правилам, как операторы основных услуг, DSP, которые не созданы в ЕС, но все еще работают в ЕС, по-прежнему сталкиваются с правилами. Даже если DSP и OES передают обслуживание своих информационных систем третьим лицам, Директива NIS по-прежнему возлагает на них ответственность за любые инциденты безопасности. [24]

Государства-члены ЕС обязаны разработать директивную стратегию ННГ, которая включает CSIRT, а также национальные компетентные органы (NCA) и единые точки контакта (SPOC). На такие ресурсы возлагается ответственность за устранение нарушений кибербезопасности таким образом, чтобы минимизировать последствия. Кроме того, всем государствам-членам ЕС рекомендуется обмениваться информацией о кибербезопасности. [25]

Требования безопасности включают технические меры, которые превентивно управляют рисками нарушений кибербезопасности. И DSP, и OES должны предоставлять информацию, позволяющую провести углубленную оценку их информационных систем и политик безопасности. [26] Обо всех значимых инцидентах необходимо уведомлять CSIRT. Серьезные инциденты кибербезопасности определяются количеством пользователей, пострадавших от нарушения безопасности, а также продолжительностью инцидента и географическим охватом инцидента. [26] NIS 2 находится в разработке. [27]

Только 23 государства-члена полностью реализовали меры, предусмотренные Директивой NIS. В отношении них не было возбуждено дел о нарушении прав с целью обеспечения соблюдения Директивы, и не ожидается, что они будут иметь место в ближайшем будущем. [28] Эта неудачная реализация привела к фрагментации возможностей кибербезопасности в ЕС: в разных государствах-членах применяются разные стандарты, требования к отчетности об инцидентах и ​​правоприменительные требования.

Закон кибербезопасности о ЕС

ЕС о кибербезопасности Закон устанавливает общеевропейскую систему сертификации кибербезопасности для цифровых продуктов, услуг и процессов. Он дополняет Директиву NIS. ENISA будет играть ключевую роль в создании и поддержании европейской системы сертификации кибербезопасности. [29]

GDPR ЕС [ править ]

Основная статья: Общие положения о защите данных

Общий регламент ЕС по защите данных (GDPR) вступил в силу 14 апреля 2016 года, но текущая дата вступления в силу назначена на 25 мая 2018 года. [30] GDPR направлен на введение единого стандарта защиты данных для всех государств-членов ЕС. Изменения включают в себя переопределение географических границ. Это относится к организациям, которые работают в ЕС или имеют дело с данными любого резидента ЕС. Независимо от того, где обрабатываются данные, если обрабатываются данные гражданина ЕС, на организацию теперь распространяется действие GDPR. [31]

Штрафы также гораздо более строгие в соответствии с GDPR и могут составлять 20 миллионов евро или 4% от годового оборота организации, в зависимости от того, что больше. [31] Кроме того, как и в предыдущих правилах, все утечки данных, которые затрагивают права и свободы лиц, проживающих в ЕС, должны быть раскрыты в течение 72 часов.

Главный совет, Совет ЕС по защите данных (EDP), отвечает за весь надзор, установленный GDPR.

Согласие играет важную роль в GDPR. Компании, которые хранят данные о гражданах ЕС, теперь также должны предложить им право отказаться от обмена данными так же легко, как и тогда, когда они согласились на обмен данными. [32]

Кроме того, граждане также могут ограничить обработку хранящихся у них данных и разрешить компаниям хранить их данные, но не обрабатывать их, что создает четкую дифференциацию. В отличие от предыдущих правил, GDPR также ограничивает передачу данных гражданина за пределы ЕС или третьей стороне без предварительного согласия гражданина. [32]

Директива NIS II [ править ]

16 января 2023 года Парламент и Совет ЕС приняли Постановление 2022/2555 Европейского парламента и Совета от 14 декабря 2022 года о мерах по обеспечению высокого общего уровня кибербезопасности во всем Союзе, внося поправки в Регламент (ЕС) № 910/2014. и Директиву (ЕС) 2018/1972, а также отменяющую Директиву (ЕС) 2016/1148 (Директива NIS). Эта новая Директива направлена ​​на расширение объема обязательств организаций, обязанных принимать меры для повышения своих возможностей в области кибербезопасности. Директива также направлена ​​на гармонизацию подхода ЕС к уведомлениям об инцидентах, требованиям безопасности, мерам надзора и обмену информацией. [33]

Закон о цифровой операционной устойчивости DORA ( )

Основная статья: Закон о цифровой операционной устойчивости

DORA создает нормативную базу для обеспечения устойчивости цифровых операций, в соответствии с которой всем компаниям необходимо убедиться, что они могут противостоять всем типам сбоев и угроз, связанных с ИКТ, реагировать на них и восстанавливаться после них. Эти требования одинаковы во всех государствах-членах ЕС.Постановление будет применяться с 17 января 2025 года к соответствующим финансовым организациям и сторонним поставщикам услуг ИКТ. [34]

киберустойчивости о Закон

Основная статья: Закон о киберустойчивости

Закон о киберустойчивости (CRA) — это постановление, предложенное Европейской комиссией 15 сентября 2022 года, в котором излагаются общие стандарты кибербезопасности для аппаратных и программных продуктов в ЕС. [35] [36] [37]

ЕС Отдельные страны

Республика Ирландия [ править ]

Основная статья: Закон об уголовном правосудии (преступления, связанные с информационными системами) 2017 г.

Закон об уголовном правосудии (преступления, связанные с информационными системами) 2017 года был принят в мае 2017 года для консолидации законов о компьютерных преступлениях. [38] [39]

Реакция [ править ]

Хотя эксперты сходятся во мнении, что улучшение кибербезопасности необходимо, существуют разногласия относительно того, будет ли решение заключаться в усилении государственного регулирования или в инновациях частного сектора.

Поддержка [ править ]

Многие правительственные чиновники и эксперты по кибербезопасности считают, что частный сектор не смог решить проблему кибербезопасности и что необходимо регулирование. Ричард Кларк утверждает, что «промышленность реагирует только тогда, когда вы угрожаете регулированием. Если промышленность не реагирует [на угрозу], вам придется довести дело до конца». [32] Он считает, что компании-разработчики ПО должны быть вынуждены производить более безопасные программы. [33] Брюс Шнайер также поддерживает регулирование, которое поощряет компании-разработчики программного обеспечения писать более безопасный код посредством экономических стимулов. [34] Представитель США Рик Баучер ( демократ от штата Вирджиния ) предлагает улучшить кибербезопасность, возложив на компаний-разработчиков программного обеспечения ответственность за недостатки безопасности в их коде. [35] Кроме того, Кларк считает, что для улучшения безопасности программного обеспечения некоторые отрасли, такие как коммунальные услуги и интернет-провайдеры, требуют регулирования. [36]

Оппозиция [ править ]

С другой стороны, многие руководители и лоббисты частного сектора считают, что усиление регулирования ограничит их возможности улучшить кибербезопасность. Харрис Миллер, лоббист и президент Американской ассоциации информационных технологий , считает, что регулирование сдерживает инновации. [37] Рик Уайт, бывший корпоративный адвокат, а также президент и генеральный директор лоббистской группы TechNet, также выступает против усиления регулирования. Он заявляет, что «частный сектор должен продолжать быть в состоянии внедрять инновации и адаптироваться в ответ на новые методы атак в киберпространстве, и с этой целью мы воздаем должное президенту Бушу и Конгрессу за проявление нормативной сдержанности». [38]

Другая причина, по которой многие руководители частного сектора выступают против регулирования, заключается в том, что оно обходится дорого и предполагает государственный надзор за частными предприятиями. Фирмы так же обеспокоены регулированием, которое снижает прибыль, так же, как и регулированием, ограничивающим их гибкость в эффективном решении проблем кибербезопасности.

В частности, в отношении CRA выражается обеспокоенность по поводу широты влияния известных организаций по бесплатному и открытому программному обеспечению: Eclipse Foundation , Internet Society и Python Software Foundation . Эти организации выдвигают несколько последствий, которые не указаны в регламенте, и заключают, что они наносят фундаментальный ущерб движению открытого исходного кода. Они предлагают изменения, которые позволят использовать открытый исходный код в ЕС без какого-либо регулирования, как это было бы в отношении разработчиков коммерческого программного обеспечения. [40] [41] [42] [43]

См. также [ править ]

Примечания [ править ]

  1. ^ « Хронология утечек данных, зарегистрированных после инцидента с ChoicePoint ». (2005). Проверено 13 октября 2005 г.
  2. ^ « Отслеживание законопроекта об электронном информационном центре конфиденциальности: отслеживание конфиденциальности, слова и гражданских свобод на 109-м конгрессе ». (2005). Проверено 23 октября 2005 г.
  3. ^ « Как работают компьютерные вирусы ». (2005). Проверено 10 октября 2005 г.
  4. ^ « Национальная стратегия по обеспечению безопасности киберпространства. Архивировано 27 февраля 2012 г. в Wayback Machine ». (2003). Проверено 14 декабря 2005 г.
  5. ^ « Уведомление о нарушении безопасности – разделы гражданского кодекса 1798.29 и 1798.82 – 1798.84 ». 2003). Проверено 23 октября 2005 г.
  6. ^ « Интервью Ричарда Кларка ». (2003). Проверено 4 декабря 2005 г.
  7. ^ Гордон, Лос-Анджелес, Леб, член парламента, Люсишин, В. и Ричардсон, Р. (2005). « Обследование компьютерной преступности и безопасности CSI/FBI 2005 года ». Проверено 10 октября 2005 г.
  8. ^ Хейман, Би Джей (2003). Регулирование кибербезопасности здесь . Конференция по безопасности RSA , Вашингтон, округ Колумбия. Проверено 17 октября 2005 г.
  9. ^ Кирби, К. (2003, 4 декабря 2003 г.). « Форум посвящен кибербезопасности ». Хроника Сан-Франциско.
  10. ^ Лемос, Р. (2003). « Буш представляет окончательный план кибербезопасности ». Проверено 4 декабря 2005 г.
  11. ^ Менн, Дж. (2002, 14 января 2002 г.). « Недостатки безопасности могут стать ловушкой для Microsoft ». Лос-Анджелес Таймс, стр. C1.
  12. ^ Расмуссен, М., и Браун, А. (2004). « Закон Калифорнии устанавливает обязанность заботиться об информационной безопасности ». Проверено 31 октября 2005 г.
  13. ^ Шмитт Э., Чаррон К., Андерсон Э. и Джозеф Дж. (2004). « Что предлагаемые законы о данных будут означать для маркетологов ». Проверено 31 октября 2005 г.
  14. ^ Дженнифер Риццо. (2 августа 2012 г.) « Законопроект о кибербезопасности провалился в Сенате ». По состоянию на 29 августа 2012 г.
  15. ^ Пол Розенцвейг. (23 июля 2012 г.) « Закон о кибербезопасности 2012 г.: в пересмотренном законопроекте о кибербезопасности все еще есть проблемы ». Фонд наследия. По состоянию на 20 августа 2012 г.
  16. ^ Эд О'Киф и Эллен Накашима. (2 августа 2012 г.) « Законопроект о кибербезопасности провалился в Сенате ». Вашингтон Пост. По состоянию на 20 августа 2012 г.
  17. ^ Алекс Фицпатрик. (20 июля 2012 г.) « Обама положительно оценивает новый законопроект о кибербезопасности ». Машаемый. По состоянию на 29 августа 2012 г.
  18. ^ Брендан Сассо. (4 августа 2012 г.) « После отклонения законопроекта Сената о кибербезопасности Обама взвешивает вариант исполнительного указа ». Холм. По состоянию на 20 августа 2012 г.
  19. ^ Джайкумар Виджаян. (16 августа 2012 г.) « Никакой партийной борьбы по поводу законопроекта о кибербезопасности, говорит сенатор Республиканской партии ». Компьютерный мир. По состоянию на 29 августа 2012 г.
  20. ^ Карл Франзен. (2 августа 2012 г.) « Поскольку законопроект о кибербезопасности провалился в Сенате, защитники конфиденциальности радуются ». ТПМ. 29 августа 2012 г.
  21. ^ Алекс Фицпатрик. (2 августа 2012 г.) « Законопроект о кибербезопасности застопорился в Сенате ». Машаемый. По состоянию на 29 августа 2012 г.
  22. ^ Джоди Вестби (13 августа 2012 г.) « Конгрессу необходимо вернуться к изучению киберзаконодательства ». Форбс. По состоянию на 20 августа 2012 г.

Ссылки [ править ]

  1. ^ Jump up to: Перейти обратно: а б Кианпур, Мазахер; Раза, Шахид (2024). «Больше, чем вредоносное ПО: разоблачение скрытого риска правил кибербезопасности» . Обзор международного права в области кибербезопасности . 5 : 169–212. дои : 10.1365/s43439-024-00111-7 . HDL : 11250/3116767 .
  2. ^ Jump up to: Перейти обратно: а б «Кибер: думайте о риске, а не об ИТ» (PDF) . pwc.com . Практика регулирования финансовых услуг PwC, апрель 2015 г.
  3. ^ Jump up to: Перейти обратно: а б «Стратегия Министерства обороны США для работы в киберпространстве» (PDF) .
  4. ^ Хопкрафт, Рори (2018). «Эффективное регулирование морской кибербезопасности – аргументы в пользу киберкода». Журнал региона Индийского океана . 14 (3): 354–366. дои : 10.1080/19480881.2018.1519056 . S2CID   158311827 .
  5. ^ Шхуна, Стивен Л.; Берто, Дэвид Дж. (01 марта 2012 г.). Возникающие проблемы политики и практики (2011 г.) . Рочестер, Нью-Йорк: Сеть исследований социальных наук. ССРН   2014385 .
  6. ^ Jump up to: Перейти обратно: а б Шхуна, Стивен; Берто, Дэвид (01 января 2014 г.). «Новые вопросы политики и практики» . Публикации юридического факультета GW и другие работы .
  7. ^ «Есть ли у агентств уже полномочия издавать правила защиты критически важной инфраструктуры?» . Проверено 27 декабря 2016 г.
  8. ^ Jump up to: Перейти обратно: а б «Закон о надежной защите от киберпреступлений (2005 г.; HR 29 109-го Конгресса) – GovTrack.us» . GovTrack.us .
  9. ^ «Распоряжение – Улучшение кибербезопасности критической инфраструктуры» . Белый дом . 12 февраля 2013 г. - через Национальный архив .
  10. ^ «БЕЗОПАСНОСТЬ КИБЕРПРОСТРАНСТВА – Президент Обама объявляет о новом законодательном предложении по кибербезопасности и других усилиях по кибербезопасности» . Белый дом . 13 января 2015 г. Проверено 6 августа 2017 г. - из Национального архива .
  11. ^ «ФАКТИЧЕСКИЙ ЛИСТ: Национальный план действий по кибербезопасности» . Белый дом . 09.02.2016 . Проверено 6 августа 2017 г. - из Национального архива .
  12. ^ Jump up to: Перейти обратно: а б с д «Секретность мешает борьбе за Интернет» . Файнэншл Таймс . 7 июня 2013 года . Проверено 12 июня 2013 г.
  13. ^ «Распоряжение – Улучшение кибербезопасности критической инфраструктуры» . Белый дом . Кабинет пресс-секретаря. 12 февраля 2013 года . Проверено 12 июня 2013 г.
  14. ^ «Необходим специальный закон о кибербезопасности: Паван Дуггал – Экспресс-компьютер» . Экспресс Компьютер . 31 августа 2015 г.
  15. ^ «Стандарты» . сайт ЭНИСА .
  16. ^ «Список стандартов кибербезопасности» . ГЕНОРМА.КОМ .
  17. ^ "L_2013165EN.01004101.xml" . eur-lex.europa.eu . Проверено 8 марта 2017 г.
  18. ^ «Об ЭНИСА — ENISA» . www.enisa.europa.eu . Проверено 8 марта 2017 г.
  19. ^ «Структура и организация — ENISA» . www.enisa.europa.eu . Проверено 8 марта 2017 г.
  20. ^ Персер, Стив (2014). «Стандарты кибербезопасности» . В Хэтэуэе, Мелисса Э. (ред.). Лучшие практики защиты компьютерных сетей: обнаружение инцидентов и реагирование на них . Серия «Наука НАТО ради мира и безопасности» - D: Информационная и коммуникационная безопасность. Том. 35. ИОС Пресс. дои : 10.3233/978-1-61499-372-8-97 . ISBN  978-1-61499-372-8 .
  21. ^ «Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 г. о мерах по обеспечению высокого общего уровня безопасности сетей и информационных систем на территории Союза» . Евро Лекс . 19 июля 2016 года . Проверено 26 апреля 2018 г.
  22. ^ «Директива по безопасности сетевых и информационных систем (Директива NIS)» . Единый цифровой рынок . Проверено 12 марта 2017 г.
  23. ^ «Директива о сетевой и информационной безопасности – кто в ней, а кто нет?» . Регистр . 7 января 2016 года . Проверено 12 марта 2017 г.
  24. ^ «Опубликована директива NIS: государствам-членам ЕС осталось чуть меньше двух лет на реализацию – отчет о защите данных» . Отчет о защите данных . 21 июля 2016 г. Проверено 12 марта 2017 г.
  25. ^ «Достигнуто соглашение по Директиве ЕС по сетевой и информационной безопасности (NIS) | Deloitte Luxembourg | Technology | Insight» . Делойт Люксембург . Архивировано из оригинала 02 марта 2018 г. Проверено 12 марта 2017 г.
  26. ^ Jump up to: Перейти обратно: а б «Директива о сетевой и информационной безопасности будет реализована в Великобритании, несмотря на голосование по Брекситу, подтверждает правительство» . www.out-law.com . Проверено 12 марта 2017 г.
  27. ^ «директива NIS 2» . digitaleurope.org . Проверено 29 сентября 2021 г.
  28. ^ «Отслеживание внедрения NIS» .
  29. ^ «Закон ЕС о кибербезопасности» . Проверено 6 декабря 2019 г.
  30. ^ «Домашняя страница GDPR ЕС» . Портал GDPR ЕС . Проверено 12 марта 2017 г.
  31. ^ Jump up to: Перейти обратно: а б «Основные изменения в Общем регламенте защиты данных» . Портал GDPR ЕС . Проверено 12 марта 2017 г.
  32. ^ Jump up to: Перейти обратно: а б «Обзор Общего регламента защиты данных (GDPR)» . ico.org.uk. ​03.03.2017 . Проверено 12 марта 2017 г.
  33. ^ «Директива NIS2» . eur-lex.europa.eu . Проверено 27 марта 2023 г.
  34. ^ «Закон о цифровой операционной устойчивости (DORA)» . eiopa.europa.eu/ . Проверено 27 марта 2024 г.
  35. ^ Бертуцци, Лука (16 сентября 2021 г.). «Глава ЕС объявляет о законе о кибербезопасности подключенных устройств» . www.euractiv.com . Проверено 30 января 2023 г.
  36. ^ «Почему четкая кибер-политика имеет решающее значение для компаний» . Файнэншл Таймс . 09.11.2022 . Проверено 30 января 2023 г.
  37. ^ «ЕС предлагает кибер-закон, чтобы исправить неоднородный Интернет вещей» . ПОЛИТИКА . 15 сентября 2022 г. Проверено 30 января 2023 г.
  38. ^ Рейди, Дайан (15 апреля 2019 г.). «В гостях в рубке» . Юридическое общество Ирландии . Проверено 19 февраля 2024 г.
  39. ^ Финли, Адам; Хьюз, Рут. «iclg.com > Области практики > Кибербезопасность > Ирландия» . iclg.com . Проверено 20 февраля 2024 г.
  40. ^ Милинкович, Майк. «Закон о киберустойчивости: благие намерения и непредвиденные последствия» . Блог Eclipse Foundation . Исполнительный директор Фонда «Эклипс» . Проверено 11 апреля 2023 г.
  41. ^ Колкман, Олаф (24 октября 2022 г.). «Предлагаемый ЕС закон о киберустойчивости нанесет ущерб экосистеме открытого исходного кода» . Интернет-сообщество . Руководитель Общества Интернета – Интернет-технологии, политика и пропаганда . Проверено 11 апреля 2023 г.
  42. ^ Николсон, Деб (11 апреля 2023 г.). «Предлагаемый ЕС закон о CRA может иметь непредвиденные последствия для экосистемы Python» . Блог Фонда программного обеспечения Python . Фонд программного обеспечения Python . Проверено 11 апреля 2023 г.
  43. ^ Милинкович, Майк (16 января 2023 г.). «Европейский закон о киберустойчивости: потенциальное влияние на Eclipse Foundation» . Блог Eclipse Foundation . Проверено 11 апреля 2023 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Cyber-security_regulation&oldid=1229576907"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 0b9247fa820b307bdde5241415cff464__1718627520
URL1:https://arc.ask3.ru/arc/aa/0b/64/0b9247fa820b307bdde5241415cff464.html
Заголовок, (Title) документа по адресу, URL1:
Cyber-security regulation - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)