Смотреть оригинал
Комментарии

Европейский опыт проведения киберучений: методические рекомендации ENISA

Предлагаем сокращённое изложение статьи «Киберучения: методические рекомендации ENISA», опубликованной в №3 журнала «Вопросы кибербезопасности» за 2015 год. Авторы: к.т.н. Александр Петренко, д.т.н. Сергей Петренко. Статья обобщает опыт Европейского агентства по безопасности сетей и информационной безопасности (ENISA), полученный в результате учений по кибербезопасности.

В настоящее время вопросами организации и проведения крупномасштабных национальных и международных или транснациональных киберучений занимаются ведущие международные организации: Азиатско-Тихоокеанское экономическое сотрудничество; Ассоциация государств Юго-Восточной Азии; Европейский союз; Совет Европы; Европол; Форум по реагированию на инциденты безопасности; Группа восьми (в настоящее время — семи) и др.

Среди них важное место занимает Европейский союз, который организует и проводит киберучения на основе ранее принятых специальных Сообщений Европейской Комиссии.

Принятая в декабре 2009 года резолюция Совета ЕС закрепила за странами ЕС право «проводить национальные киберучения», а также призвала к активному участию в международных «транснациональных киберучениях». В результате первое киберучение Евросоюза Cyber Europe 2010 было проведено 4 ноября 2010 года, а первое совместное киберучение ЕС и США Cyber Atlantic 2011 — в 2011 году.

Отличительными чертами европейского подхода является работа на принципах «множественного участия» и «открытого диалога» между различными государственными и коммерческими организациями как внутри, так и за пределами Евросоюза. Этому способствуют и принятые в ЕС принципы субсидиарности и многоуровнего управления. Данные положения нашли отражение и в соответствующей структуре регуляторов: полномочия по вопросам кибербезопасности распределены между институтами ЕС (ЕК, Парламентом, Советом ЕС), агентствами ЕС и национальными органами. При этом проблематика кибербезопасности в ЕС перестает быть лишь вопросом внутренней безопасности: возрастающее значение приобретает внешнее измерение в рамках ОВПБ и ОПБО. Основным «союзником» ЕС в данной сфере являются США. Продолжается активное сотрудничество с НАТО и Советом Европы. Кроме того, Евросоюз и государства-члены участвуют и в работе других глобальных форумов, в частности, ООН и МСЭ.

Роль ENISA

Ведущей организацией Евросоюза, ответственной за проведение киберучений, является Европейское агентство сетевой и информационной безопасности (European Network and Information Security Agency — ENISA, www.enisa.europa.eu), которое было учреждено в ноябре 2004 года и 1 сентября 2005 года приступило к работе.

В состав ENISA входит: аппарат управления, постоянные группы представителей, а также временные рабочие группы по специальным вопросам. Кроме того, государства-участники ЕС представлены в агентстве одним офицером связи от каждой из стран ЕС и Европейской экономической зоны, которые вместе с представителями от Европейской комиссии и Совета ЕС образуют сеть национальных офицеров связи (National Liaison Officers Network). Обязанности исполнительного директора ENISA с 2009 года исполняет доктор Удо Хельмбрехт (Udo Helmbrecht), ранее возглавлявший немецкое Федеральное управление по информационной безопасности.

Следует отметить, что при проведении киберучений существенную помощь ENISA оказывают и другие автономные агентства Евросоюза (общее количество которых — более 35), созданных в период 1994-2010 годов для решения специальных технических, научно-исследовательских и административных задач.

Также необходимо отметить помощь недавно созданного (1 января 2013 года) Центра по борьбе с киберпреступностью — ECCC (European Cyber Crime Centre).

К основным практическим результатам ENISA следует отнести ряд разработанных им документов:

  • «Лучшие практики» по координации и управлению европейскими центрами оперативного реагирования на инциденты кибербезопасности CERT/CSIRT (Computer Security and Incident Response Team);
  • «Проект национальной Стратегии кибербезопасности» в рамках Евросоюза;
  • Рекомендации по облачной безопасности;
  • Концепция информирования о серьезных инцидентах;
  • Рекомендации по безопасности АСУ технологическими процессами (АСУ ТП);
  • «Лучшие практики» организации и проведения крупномасштабных транснациональных киберучений.[box]Фактография ENISAСравнительно недавно агентством ENISA был проведен критический анализ 85 киберучений, которые были организованы и проведены в период с 2002 по 2012 годы с участием более 20 стран ЕС и 60 стран-партнеров.

    По данным ENISA, из 31 страны ЕС и Европейской ассоциации свободной торговли (ЕАСТ) 6 провели собственные национальные киберучения три раза, 4 — два раза и 12 — один раз. При этом 61% киберучений были национальными и 39% — международными. В 57% киберучениях принимали участие представители государственных и коммерческих организаций и структур, в 41% — только государственных организаций.

    И только одно киберучение было организовано и проведено коммерческой структурой, что свидетельствует о необходимости более активного вовлечения коммерческих организаций в данный процесс. В целом, в ближайшие годы прогнозируется устойчивый рост государственно-коммерческого сотрудничества в области кибербезопасности. Среднее количество участников типового киберучения составило 200 человек. [/box]

    Сводная карта европейских киберучений

    Отечественная практика

    Следует констатировать, что в настоящее время отечественная практика организации и проведения киберучений только зарождается. Вместе с тем, накоплен значительный положительный опыт проведения учений и тренировок различными отечественными силовыми структурами, например, МЧС России. Если обобщить известный опыт и переложить его на новую область киберучений, то становится возможным предложить следующие методические указания.

    Киберучения должны проводиться в соответствии с требованиями планирующих документов, в отдельных случаях — по указаниям соответствующих должностных лиц. Основными условиями подготовки и проведения киберучений являются:

  • всесторонний учет характера возможных последствий информационно-технических воздействий атакующей стороны;
  • практический опыт нейтрализации групповых и массовых кибератак.В ходе киберучений должны отрабатываться мероприятия по обеспечению требуемой устойчивости функционирования критически важных объектов национальной инфраструктуры в условиях информационно-технического воздействия вероятного противника, в том числе:
  • приведение служб информационных технологий и информационной безопасности в состояния, оптимальные для своевременного пресечения, выявления и нейтрализации известных и неизвестных ранее кибератак;
  • определение оптимальных способов сокращения сроков приведения в различные степени готовности;
  • устранение ранее выявленных недостатков и замечаний.

    При проведении киберучений необходимо воспроизвести максимально приближенную к реальности ситуацию, имитирующую возможное достижение слаженности и согласованности в работе киберкомандования и подчиненных органов управления и формирований; оценивание качества соответствующих организационных и технических мер информационной безопасности, проверка правильности и полноты разработанных ранее планов и других нормативных документов по организации и проведению киберучений и пр.

    В целом киберучения должны способствовать повышению уровня специальной подготовки руководящего состава и подчиненных органов управления, сил и средств кибербезопасности для надлежащего обеспечения устойчивости функционирования критически важных объектов национальной инфраструктуры в условиях информационно-технических воздействий вероятного противника.

    Киберучения можно разделить по своему назначению на плановые, проверочные, показательные и исследовательские, а по уровню проведения — на международные, национальные или федеральные, региональные, муниципальные и объектовые.

    Возможные виды киберучений

    Руководитель киберучения несет полную ответственность за своевременную подготовку и качество проведения учения. Он также осуществляет контроль за разработкой необходимых документов для проведения киберучения, в ходе киберучения направляет работу заместителей (помощников), штаба руководства киберучениями, а также обучаемых на достижение поставленных целей киберучения, полную и качественную отработку всех вопросов в соответствии с планом киберучения.

    При подготовке киберучения разрабатываются следующие основные документы:

  • приказ о подготовке и проведении киберучения;
  • календарный план подготовки киберучения;
  • схема организации руководства киберучением;
  • замысел киберучения;
  • организационно-методические указания для привлекаемых формирований по подготовке и проведению киберучения;
  • задания, вводные, распоряжения;
  • план проведения киберучения;
  • план наращивания обстановки;
  • план проведения практических мероприятий в ходе киберучения (разрабатывается отдельно для привлекаемых на учение формирований);
  • частные планы работы заместителей (помощников) и руководителей формирований и пр.

    Представленный перечень возможных документов, разрабатываемых при подготовке киберучения, в зависимости от обстановки может быть сокращен или расширен по решению руководителя учения.

    Приказ (распоряжение) о проведении киберучений рекомендуется издать не позднее чем за два месяца до их начала.

    Замысел киберучения разрабатывается текстуально (желательно с приложениями электронной карты или схемы, BD-модели и спутниковых фотоснимков высокой разрешимости). В нем указывается:

  • тема киберучения;
  • учебные вопросы и порядок их отработки;
  • продолжительность киберучения;
  • состав участников;
  • организация руководства;
  • общая (исходная) и частная обстановка;
  • порядок проведения киберучения; его этапы, их наименование, ход, продолжительность;
  • отрабатываемые практические мероприятия;
  • порядок проведения разбора.

    После разработки и утверждения замысла киберучения руководителем штабу руководства необходимо разработать организационно-методические указания по подготовке и проведению киберучения, которые в срок не позднее 1 месяца до начала мероприятия необходимо довести до соответствующих органов управления, государственных и частных компаний и организаций, привлекаемых к киберучению.

    Подготовка обучаемых представляет собой комплекс мероприятий, имеющий целью обеспечить успешное проведение киберучения, и включает в себя подготовку руководящего состава, органов управления, формирований различной подчиненности, служб информационной безопасности и информационных технологий, привлекаемых государственных и коммерческих организаций и структур. Упомянутая подготовка осуществляется заблаговременно на плановых занятиях и течение всего учебного года, а также на дополнительно проводимых занятиях, сборах и тренировках в ходе непосредственной подготовки к киберучению.

    Основными методами и содержанием работы должностных лиц руководства и посредников в ходе киберучения являются:

  • принятие на вооружение так называемой «лучшей практики» организации и проведения крупномасштабных транснациональных и национальных киберучений;
  • формирование и совершенствование личного опыта проведения киберучений;
  • личное изучение стиля и методов работы обучаемых в ходе учения;
  • заслушивание кратких докладов обучаемых;
  • изучение отработанных документов;
  • проверка качества и эффективности выполняемых на учении практических мероприятий;
  • оказание помощи обучаемым в выполнении функциональных обязанностей;
  • обобщение опыта работы и объективная информация о положительных результатах или недостатках, выявленных в ходе киберучений;
  • формирование и сопровождение актуального банка организационно-распорядительных документов, методического и научного сопровождения киберучений и пр.

    Целесообразно проведение киберучений с максимальной практической направленностью, когда при отработке конкретных задач обучаемые демонстрируют не только теоретические знания, но и практические навыки с использованием соответствующих технических средств обеспечения устойчивости критически важных объектов в условиях информационно-технических воздействий, а также способность оперативно принимать правильные решения и взаимодействовать с коллегами в условиях меняющейся оперативной обстановки.

    Разбор киберучения является важной заключительной частью киберучений и имеет большое учебно-воспитательное значение. Цель разбора состоит в том, чтобы на основе требований нормативных документов, а также всестороннего анализа работы и действий обучаемых подвести итоги киберучения и определить — в какой степени достигнуты поставленные учебные цели, какие выводы необходимо сделать для устранения выявленных недочетов и дальнейшего повышения готовности критически важных объектов национальной инфраструктуры к пресечению, обнаружению и своевременному подавлению массовых и групповых кибератак.

    Заключение

    В едином пространстве стран СНГ вопросам информационной безопасности уделяется достаточно много внимания. Так, в октябре 2008 года решением Совета глав государств Содружества была утверждена Концепция сотрудничества государств-участников СНГ в сфере обеспечения информационной безопасности. В ходе минского (октябрь 2013 года) саммита глав государств СНГ была одобрена Концепция сотрудничества государств-участников СНГ в борьбе с преступлениями, совершаемыми с использованием информационных технологий. На заседании Совета глав правительств СНГ 20 ноября 2013 года в Санкт-Петербурге было принято Соглашение о сотрудничестве государств-участников Содружества Независимых Государств в области обеспечения информационной безопасности.

    25 декабря 2013 года Белоруссия и Россия подписали двухстороннее межправительственное Соглашение о сотрудничестве в области обеспечения международной информационной безопасности. Прорабатывается вопрос о создании единого центра по обеспечению безопасности в киберпространстве государств-участников СНГ.

    В Российской Федерации в Государственной программе «Информационное общество (2011-2020 годы)» выделен ряд приоритетов развития в области информационной безопасности.

    В целевой программе «Обеспечение безопасности автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) критически важных объектов (КВО) инфраструктуры Российской Федерации» определены актуальные задачи.

    Вместе с тем проведенный сравнительный анализ поставленных задач с аналогичными задачами Цифровой повестки дня для Европы и рядом специальных Сообщений Европейской Комиссии свидетельствует о необходимости оперативной проработки вопросов организации и проведения киберучений и обсуждения соответствующих вопросов не только на государственном и межведомственном, но и на международном уровнях взаимодействия.

    Для этого целесообразно воспользоваться накопленным передовым опытом Евросоюза, в частности ENISA, а также учесть положительный опыт проведения киберучений соответствующими отечественными силовыми структурами.

Наверх