Этот модуль является ресурсом для лекторов   

 

Состояние дел в области кибербезопасности

 

Состояние дел в области кибербезопасности является термином, используемым для описания возможностей страны, организации или компании для обеспечения кибербезопасности. Существует несколько инструментов, используемых для оценки состояния дел в области кибербезопасности. Одним из таких инструментов является Глобальный индекс кибербезопасности (ГИК) Международного союза электросвязи. Согласно МСЭ (без даты), ГИК является инструментом наращивания потенциала, который оценивает приверженность стран делу обеспечения кибербезопасности, определяет их состояние дел в области кибербезопасности и аспекты, требующие улучшения. Состояние дел стран в области кибербезопасности может оцениваться на основе пяти принципов (правовые, технические, организационные меры, создание потенциала и сотрудничество), определенных в Глобальной программе кибербезопасности МСЭ. В частности, страны получают баллы ГИК в зависимости от уровня их приверженности этим пяти принципам. Эти оценки относят страны в группы начинающих (т.е. стран, которые делают первые шаги, демонстрирующие их приверженность этим принципам), развивающихся (т.е. стран, которые привержены этим принципам) и ведущих стран (т.е. стран, принявших высокие обязательства в отношении этих принципов) (ITU, 2017, p. 13).

Результаты исследования Глобального индекса кибербезопасности 2017 года показали, что половина стран-респондентов не имеют национальной стратегии кибербезопасности (ITU, 2017). Результаты исследования Глобального индекса кибербезопасности 2017 года также выявили значительные различия между государствами внутри и за пределами их регионов с точки зрения принятых обязательств в отношении обеспечения кибербезопасности. Результаты также показали, что степень обязательств стран в отношении обеспечения кибербезопасности варьирует в зависимости от конкретного показателя (т.е. страны получили высокие оценки по одному показателю, но средние и низкие оценки по другим показателям) (ITU, 2017; для получения подробной информации о результатах см. ITU, 2017). Однако, для того чтобы усилия были эффективными, обязательства в области обеспечения кибербезопасности должны быть выполнены по всем показателям. 

Глобальный центр создания потенциала в области кибербезопасности (GCSCC) при Оксфордском университете разработал модель зрелости потенциала в области кибербезопасности ( Cybersecurity Capacity Maturity Model) (CMM) для оценки состояния дел стран в сфере кибербезопасности (т.е. зрелости возможностей обеспечения кибербезопасности) путем изучения усилий стран в таких областях, как «нормативное регулирование и стратегия в области кибербезопасности», «киберкультура и общество», «образование, обучение и навыки в области кибербезопасности», «нормативно-правовая база», а также «стандарты, организации и технологии» (Global Cyber Security Capacity Centre, 2016, pp. 10-13). Эта оценка позволяет странам получить информацию об уровне зрелости их потенциала: начальный (т.е. кибербезопасность отсутствует или только начинает развиваться); формирующийся (т.е. существует некоторая кибербезопасность); установленный (т.е. кибербезопасность существует; уделяется минимальное внимание вопросу выделения ресурсов); стратегический (т.е. осознанный и взвешенный выбор в отношении кибербезопасности); и динамичный (т.е. меры обеспечения кибербезопасности адаптируются к изменениям условий и потребностей) (Global Cyber Security Capacity Centre, 2016, p. 7). Модель CMM использовалась для оценки многих стран по всему миру по отдельности или в рамках регионального исследования (Global Cyber Security Capacity Centre, 2018). В дополнение к модели CMM, Глобальный центр создания потенциала в области кибербезопасности разработал портал Cybersecurity Capacity Portal, который содержит материалы по созданию потенциала в области кибербезопасности, информацию о передовой практике и облегчает обмен информацией, чтобы помочь странам улучшить состояние дел в области кибербезопасности.

Некоторые страны также реализовали рамочные программы с целью оказания содействия государственному и частному секторам в улучшении их состояния дел в области кибербезопасности. В качестве примера можно привести принятую Национальным институтом стандартов и технологий США (NIST) Рамочную концепцию укрепления кибербезопасности жизненно важных инфраструктурных систем ( Framework for Improving Critical Infrastructure Cybersecurity) (опубликована в 2014 году; пересмотрена в 2017 и 2018 годах), в которой содержатся руководящие принципы, стандарты и передовые практические методы оказания содействия государственному и частному секторам в улучшении их состояния дел в области кибербезопасности. В 2017 году был принят исполнительный указ Президента США «Об укреплении кибербезопасности федеральных сетей и критической инфраструктуры» ( Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure), который предписывал федеральным агентствам использовать этот документ для укрепления своих сил и средств обеспечения кибербезопасности. Этот документ был также принят и/или адаптирован частными компаниями и организациями в США и ​​некоторых других странах (например, в Италии, Уругвае и на Бермудских островах) (NIST, 2018). Ассоциация по аудиту и контролю информационных систем (при упоминании которой теперь используют только акроним ISACA) разработала программу аудита для проверки эффективности мер обеспечения кибербезопасности, которые компании, организации и агентства внедрили с использованием Рамочной концепции NIST (ISACA, 2017). Точно так же  нормативные акты правительства Китая, такие как Специальный регламент о раскрытии информации коммерческими банками и мерах по представлению отчетов об инцидентах информационной безопасности в Интернете, и нормативные акты Тайваня, такие как Руководство по представлению отчетов о серьезных непредвиденных инцидентах в банках и мерах по представлению отчетов об инцидентах в системе безопасности национальной информационной и коммуникационной системы  и реагированию на них, представляют собой регламенты, принятые в целях способствования развитию государственно-частного партнерства в области кибербезопасности (Chang, 2012; Chang et al., 2018).

Признав, что состояние дел в области кибербезопасности зависит от количества и качества кадровых ресурсов, обеспечивающих кибербезопасность, в 2017 году Соединенные Штаты также создали системную структуру трудовых ресурсов в области кибербезопасности в рамках Национальной образовательной инициативы в области кибербезопасности (NICE) ( Cybersecurity Workforce Framework). Эта структура является частью стратегических целей инициативы NICE, направленных на развитие трудовых ресурсов посредством определения уровня знаний, навыков и умений, необходимых для различных должностей в системе кибербезопасности, а также на предоставление руководящих указаний образовательным учреждениям и работодателям в отношении разработки  и осуществления учебных программ и профессиональной подготовки. Проблема нехватки квалифицированных профессионалов в области кибербезопасности, наблюдаемая во всем мире, наглядно свидетельствует о необходимости уделять внимание мерам по развитию трудовых ресурсов в области кибербезопасности в большинстве стран (Frost & Sullivan Executive Briefing, 2017).

 
Далее: Заключение
Наверх