Киберготовность Франции 2.0: Реагирование на инциденты

Киберготовность Франции 2.0: Реагирование на инциденты.

Параллельно с исполнением обязанностей национального органа, обеспечивающего безопасность информационных сетей, ANSSI также исполняет роль организации, ответственной за реагирование на кибер инциденты, «которые непосредственно касаются жизненно важных для страны организаций или операторов», а также за координацию таких действий, предпринимаемых правительством, бизнесом и международными организациями. 

Оглавление (показать/скрыть)

Введение
Национальная стратегия
Реагирование на инциденты
Киберпреступность и охрана правопорядка
Обмен информацией
Инвестиции в исследования и разработки (R&D)
Дипломатия и торговля
Оборона и кризисное реагирование
Заключение: Индекс Киберготовности CRI 2.0

Будучи ведущим игроком, обеспечивающим кибер-безопасность для Франции, ANSSI действует в качестве правительственной Компьютерной группы реагирования на чрезвычайные ситуации (CERT), которая также предоставляет рекомендации и советы в области защиты и устойчивости общественных сетей и важнейших элементов инфраструктуры, проводит аудит секретной правительственной инфраструктуры информационной безопасности, а также обучает правительственных специалистов. ANSSI на своем сайте регулярно публикует и обновляет информацию по вопросам кибер-безопасности, рекомендации и примеры из практики для государственных органов, компаний любых размеров и рядовых граждан.

ANSSI также является материнской организацией для Оперативного центра безопасности информационных систем (Centre Opérationnel de la Sécurité des Systemes d’Information, COSSI), который является государственной организацией, несущей исключительную ответственность за определение и предотвращение кибер-атак против государственных информационных систем. В 2000 году французское правительство создало первую национальную команду компьютерного реагирования (CERT), которая стала частью COSSI, и в чьи обязанности входила агрегация всех необходимых данных, а также обеспечение содействия жертвам в случае кибер-инцидентов. Изначально получившая название CERTA, эта организация в 2014 году была переименована в CERT-FR. Являясь подразделением ANSSI как часть COSSI, CERT-FR предоставляет поддержку в случаях инцидентов в круглосуточном режиме включая праздники и выходные, а также служит международным контактным узлом по вопросам всех кибер-инцидентов, так или иначе затрагивающих Францию. В частности, эта команда проводит анализ выявленных уязвимостей и вредоносных кодов; проводит мониторинг регионов страны на предмет возможных инцидентов; координирует меры реагирования на инциденты как со стороны правительства, так и операторов критически важных элементов инфраструктуры; рассылает оповещения и информацию об инцидентах национального масштаба; а также предлагает специальную систему информирования на основе электронной почты для ведения логов таких инцидентов.

Во Франции принят консолидированный межведомственный план реагирования на инциденты под названием “Vigipirate”, а один из 12 аспектов этого плана – инциденты в области кибер-безопасности, описывается специальным планом — “Plan Piranet”. Этот план разработан для противодействия атакам, которые ставят своей целью нанести серьезный ущерб жизненно важным интересам страны, ее населению, имуществу, окружающей среде или жизненно важной деятельности французских организаций. Такой уровень атаки, по определению ANSSI, определяется следующими признаками: наличием действий, ведущих к блокировке или параличу сетей или систем (например, распределенные DoS-атаки); широкомасштабным заражением устройств вредоносным ПО или целенаправленным повреждением целостности информационных систем (т.е. вирусы, вредоносное ПО и т.п.); а также, в широком смысле, любыми действиями, направленными на повреждение или разрушение информационных систем (т.е. захват, саботаж и т.п.).

В «Белой книге по вопросам национальной обороны и безопасности» 2013 года Франция объявила о необходимости «упреждающего ИТ-потенциала, связанного с возможностями разведки», чтобы расширить возможности реагирования, доступные правительству. Такой подход позволяет предпринимать действия, «различной степени сложности с более-менее обратимыми последствиями, в зависимости от масштаба и серьезности атак». Как и «Белая книга» 2008 г., новая версия сделала особый упор на том, что механизмы определения и защиты от кибер-атак и механизмы защиты конфиденциальных информационных систем являются «важнейшей частью национального суверенитета Франции» и ее экономического благосостояния. Документ содержит намерения увеличить финансирование и выделить больше человеческих ресурсов для реализации этих задач, одновременно указывая, что правительство Франции посредством законодательных и регулятивных действий, определит особые стандарты безопасности для всех операторов критически важных элементов инфраструктуры (Opérateurs d’Importance Vitale, OIV), а также других важных систем как в государственном, так и в частном секторе. Такие стандарты будут основаны в наибольшей степени на аудите, проверке качества информационных систем организаций, управлении системами оповещения об инцидентах, а также использовании возможностей ANSSI и, при необходимости, других государственных органов, для предотвращения наступления кризисов национального масштаба.

Кроме того, Министерство обороны, в сотрудничестве с ANSSI разрабатывает Резервные силы кибер-защиты (RCD), в которые войдут 4000 гражданских лиц, подготовленных на случай крупного кризиса на всей территории страны. Кроме того, к 2017 году планируется запустить цифровую платформу, на основе которой будет оказываться содействие жертвам атак в государственно-частном партнерстве, в частном секторе, а также рядовым гражданам.

Поскольку правительство Франции несет верховную ответственность за безопасность операторов критически важных элементов инфраструктуры (OIVs), Закон о военном планировании 2013 г. (Loi de Programmation Militaire 2014-2019, LPM) также содержит четыре специальных меры безопасности, применимые к государственным сетям и сетям частных операторов критически важной инфраструктуры. На основе этого закона ANSSI несет ответственность за: 1) определение обязательных требований безопасности для систем операторов инфраструктур; 2) проведение инспекций уровня обеспечения безопасности; 3) принятие требуемых мер в случае крупных кризисов; и 4) получение и обязательное уведомление об инцидентах, происходящих в критических системах операторов инфраструктуры. Многие из этих действий позднее появились в требованиях Директивы ЕС по вопросам безопасности сетей и инфраструктуры (EU Network and Information Security (NIS) Directive), принятой Советом Европы в мае 2016 года и вступившей в силе в августе 2016 г. Франция в значительной степени уже гармонизировала свое национальное законодательство с остальными требованиями этой Директивы. Остальные действия включают в себя обеспечение того, чтобы французские банки, провайдеры телекоммуникационных услуг и ритейлеры внедряли системы обнаружения вторжений, а также сообщали о любых инцидентах в ANSSI, который имеет право проводить аудит систем и сетей любых организаций во французской юрисдикции.

ANSSI, в сотрудничестве с промышленными кругами, также выступил с дополнительными предложениями для операторов инфраструктуры с целью оказать содействие собственникам, операторам и надзорным государственным структурам в области применения норм безопасности. Кроме того, ANSSI совместно с группой партнеров запустил инициативу по аккредитации организаций – «Знак соответствия в области кибер-безопасности» (Cyber-security label) – для компаний, работающих в ИТ и секторах обеспечения онлайн-безопасности. Цель этого процесса аккредитации – обеспечить высокие стандарты решений французских производителей в этой области как для внутреннего рынка, так и для экспорта в третьи страны.

Наконец, Франция раз в два года проводит национальные учения по кризисному управлению, организуемые Генеральным секретариатом обороны и национальной безопасности (SGDSN) в рамках проекта Piranet, а также другие учения, такие как: Pirate-Air (воздушные учения), Pirate-Mer (морские учения), Pirate-Nuclear, Radiological, Biological, Chemical (NRBC) (учения в области ядерной энергетики, радиологии, биологической и химической промышленностей), а также Metro-Pirate (городская инфраструктура). В ходе каждого такого мероприятия отрабатывается национальный план действий, а сами учения проводятся в плотном режиме и с определенным уровнем секретности для обеспечения высокого уровня национальной безопасности. Планирование таких учений занимает до шести месяцев и включает в себя серию встреч между представителями SGDSN, министерств и фирм-партнеров. Во время этих встреч отрабатываются и согласовываются сценарий, цели и ход учений. Франция также принимает участие в международных учениях, которые организовывает ЕС (например, Cyber Europe exercise) и НАТО (например, Locked Shields 2016).

Читать далее: Киберготовность Франции 2.0: Киберпреступность и охрана правопорядка