Этот модуль является ресурсом для лекторов   
 

 

Национальные стратегии кибербезопасности: жизненные циклы, передовая практика и репозитории

 

Жизненный цикл национальной стратегии кибербезопасности состоит из пяти этапов (ITU, 2018, pp. 16-27):

  • Первый этап (этап 1) - инициирование, который предусматривает определение соответствующих заинтересованных сторон и их ролей в процессе разработки стратегии, а также подготовку плана разработки стратегии.
  • Второй этап (этап 2), обзор и критический анализ имеющегося опыта, предусматривает оценку положения дел в стране в области кибербезопасности, выявление угроз кибербезопасности и анализ текущих и будущих рисков кибербезопасности.
  • Третий этап (этап 3) - разработка национальной стратегии кибербезопасности. Этот этап предусматривает подготовку проекта стратегии, консультации с соответствующими заинтересованными сторонами, окончательную доработку стратегии с учетом замечаний и публикацию стратегии.
  • Четвертый этап (этап 4), имплементация, предусматривает разработку плана действий, определение того, какие инициативы, основанные на задачах стратегии, будут реализованы, определение ресурсов, необходимых для реализации этих инициатив, и определение конкретных действий и сроков выполнения этих действий. На этом этапе также разрабатываются параметры и ключевые показатели деятельности для оценки эффективности (т.е. своевременности) и результативности (т.е. позитивного результата) инициатив.

Как правило, в планах действий указываются решения (или меры), которые могут быть реализованы для достижения целей, заинтересованные стороны, ответственные за выполнение задач, параметры, которые будут использоваться для оценки сроков выполнения задач и достижения желаемых результатов. Планы действий реализуются на национальном уровне (например, Национальная служба безопасности, План действий по реализации концепции кибербезопасности Словацкой Республики на 2015-2020 годы ) и региональном уровне (например, План действий по обеспечению кибербезопасности и предупреждению киберпреступности КАРИКОМ)

  • Пятый этап (этап 5), мониторинг и оценка, предусматривает оценку соответствия плана действий задачам стратегии кибербезопасности, а также анализ стратегии и плана действий, чтобы установить, сохраняют ли они свою актуальность, удовлетворяют ли они потребностям страны в области обеспечения кибербезопасности, и могут ли они противодействовать новым рискам кибербезопасности. Если задачи стратегии кибербезопасности не выполняются в результате реализации плана действий, в план действий вносятся изменения. Изменения могут также вноситься в стратегию в случае, если она более не является актуальной и/или не может применяться для противодействия новым угрозам кибербезопасности.

Знаете ли вы?

Новые технологии (например, блокчейн, искусственный интеллект и квантовые вычисления) упоминаются в некоторых национальных стратегиях кибербезопасности (см., например, Стратегию национальной кибербезопасности США и Национальную стратегию кибербезопасности Великобритании на 2016-2021 годы).

Image 2: Lifecycle of a national cybersecurity strategy

 

Рисунок 2
Источник:ИСЭ (2018). Руководство по разработке национальной стратегии кибербезопасности, стр.17. https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-CYB_GUIDE.01-2018-PDF-E.pdf.

Руководство по передовой практике разработки национальной стратегии кибербезопасности (2016), принятое Европейским агентством по сетевой и информационной безопасности (ENISA), включает в себя примеры стратегических целей и задач, которые необходимо выполнить для достижения этих целей, и содержит руководящие указания по разработке национальной стратегии кибербезопасности (pp. 14-21). В 2014 году агентство ENISA также подчеркнуло необходимость создания национальных стратегий кибербезопасности, основанных на фактических данных, путем проведения однократных и периодических оценок этих стратегий (т.е. изучения результатов на основе предварительно установленных критериев оценки) и использования результатов этих оценок для изменения стратегий и планов действий по реализации стратегий (pp. 9-10).  

Национальные стратегии кибербезопасности могут быть включены в единый документ, или части стратегии могут быть распределены между различными документами, каждый из которых охватывает определенные аспекты кибербезопасности (ITU, n.d.). Международный союз электросвязи (МСЭ) имеет архив данных национальных стратегий кибербезопасности ( National Cybersecurity Strategies repository), который включает в себя национальные стратегии, планы и другие документы, относящиеся к кибербезопасности. Кроме того, Центр передового опыта по совместной защите от киберугроз Организации Североатлантического договора (НАТО) размещает на своем веб-сайте стратегии кибербезопасности и связанные с ними документы, принятые странами-членами НАТО и странами, не входящими в НАТО. Более того, агентство ENISA разработало интерактивную карту, на которой показаны национальные стратегии кибербезопасности государств-членов Европейского союза и задачи этих стратегий (например, борьба с киберпреступностью; создание возможностей реагирования на инциденты; участие в международном сотрудничестве; установление требований в отношении базовых уровней безопасности; создание государственно-частных партнерств и т.д.). 

 
потом:  Международное сотрудничество по вопросам кибербезопасности
Наверх