A4.1 Имеется ли в вашей стране стратегия обеспечения безопасности информационно-коммуникационных технологий?
Предпосылки
Компьютерная безопасность, кибербезопасность или информационная безопасность (ИТ-безопасность) - меры безопасности, применяемые для защиты компьютерных систем, а также компьютерных сетей от повреждения их аппаратного или программного обеспечения, изменения или уничтожения данных, а также для защиты предоставляемых ими услуг от случайного или несанкционированного доступа. Безопасность информационных технологий и систем безбумажной торговли должна обеспечивать уверенность пользователей в необходимости отказа от бумажных документов и перехода на электронный обмен информацией и данными.
Страна, планирующая внедрить системы безбумажной торговли, должна разработать стратегию в области кибербезопасности на национальном уровне. Обеспечение кибербезопасности на национальном уровне – комплексная задача, требующая общей ответственности и скоординированных действий со стороны государственных органов, частного сектора и гражданского общества по обнаружению, сопоставлению, реагированию и устранению угроз. Основной целью кибербезопасности является обеспечение конфиденциальности, целостности и доступности (КЦД) данных и услуг.
Возможные ответы
- Да - В стране разработана стратегия в области кибербезопасности на национальном уровне, например, в форме закона о кибербезопасности, политики или руководящих принципов в области ИТ-безопасности, утвержденных главой Правительства/Кабинетом министров или Министерством ИКТ/цифровой экономики.
- Нет - В стране не разработана стратегия в области кибербезопасности на национальном уровне.
Передовая практика
Необходимо, чтобы в стране была разработана стратегия в области кибербезопасности на национальном уровне, например, в форме закона о кибербезопасности, политики или руководящих принципов в области ИТ-безопасности. Данная политика и соответствующая практика в области кибербезопасности должны быть утверждены по крайней мере для критически важной для страны ИТ-инфраструктуры и систем ИКТ. Необходимо повышать уровень информированности и поощрять развитие навыков и компетенций в области кибербезопасности среди граждан и организаций.
Стратегия в области кибербезопасности как правило включает в себя определение общих руководящих принципов, концепции и сферы применения, целей, задач, подходов к управлению рисками и т.д.
Ссылки и тематические исследования
- ИСО/МЭК 27001: Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования, https://www.isms.online/iso-27001/information-security-policy/
- Операционные процедуры по обеспечению информационной безопасности, https://www.isms.online/iso-27001/annex-a-12-operations-security/
- Пример закона о кибербезопасности, https://thainetizen.org/wp-content/uploads/2019/11/thailand-cybersecrutiy-act-2019-en.pdf
- Пример национальной стратегии кибербезопаснтсти, https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf
A4.2 Если внедрены какие-либо из систем, упомянутых в пункте А2.1 «Электронные системы», какие имеются меры безопасности для защиты этих систем от несанкционированного доступа?
Предпосылки
Безопасность в данном контексте понимается как способности системы защищать данные и информацию от несанкционированного доступа. Вредоносное действие, предпринятое против компьютерной системы, называется кибератакой и может принимать различные формы. Это может быть несанкционированная попытка получить доступ к данным или услугам и их изменение, или препятствование предоставлению услуг авторизованным пользователям.
Необходимо разработать ряд мер безопасности, направленных на обеспечение защиты действующих в стране электронных систем безбумажной торговли, в частности, систем электронной таможни, электронных портов, электронных лицензий, электронных сертификатов и электронных разрешений, от несанкционированного доступа и кибератак.
Возможные ответы
- Да - Для систем, упомянутых в разделе А2, были разработаны все необходимые меры безопасности.
- Partially Yes - Не для всех систем, упомянутых в разделеА2, были разработаны меры безопасности, или были разработаны лишь некоторые, но не все необходимые меры безопасности.
- Нет - Меры безопасности разработаны не были, или были разработаны лишь некоторые, но не все необходимые меры безопасности, так что системы, упомянутые в разделе А2, не могут считаться полностью защищенными от попыток несанкционированного доступа или все еще подвержены высокому риску кибератак.
Передовая практика
Для обеспечения высокого уровня защиты платформ безбумажной торговли и системы «единого окна» рекомендуется, чтобы их инфраструктура была спроектирована с учетом стратегии углубленной защиты, например, архитектура системы ИТ-безопасности основного и резервного (аварийного) центров обработки данных может быть разработана по типу множественных колец защиты. Использование многоуровневых архитектур для решения проблем безопасности могут способствовать снижению риска кибератак или несанкционированного доступа.
Необходимо разработать ряд мер обеспечения информационной безопасности с применением аппаратных и программных средств, которые, в частности, включают: защиту от атак типа «распределенный отказ в обслуживании» (DDoS), сетевую защиту с использованием брандмауэров, криптографию, защиту от постоянной угрозы повышенной сложности (APT), разработку безопасного программного обеспечения, проведение регулярной оценки рисков, применение тестирования на проникновение и оценки уязвимости.
Ссылки и тематические исследования
- Структура архитектуры безопасности для критической инфраструктуры с множественными кольцами защиты, https://ieeexplore.ieee.org/abstract/document/8426099
- Национальный институт стандартов и технологий (НИСТ): Общие руководящие принципы по кибербезопасности, https://www.nist.gov/cyberframework
- ИСО/МЭК 27001: Управление рисками информационной безопасности, https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment
- ИСО/МЭК 27031:2011: Информационные технологии - Методы и средства обеспечения безопасности — Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
- ИСО/МЭК 29147:2018: Информационные технологии — Методы обеспечения безопасности — Раскрытие уязвимостей.
A4.3 Какой механизм аутентификации применяется для обеспечения безопасности информации, передаваемой в электронном виде?
Предпосылки
Аутентификация — это процесс подтверждения личности пользователя с целью предоставления ему доступа к компьютерной системе. В отличие от идентификации, которая представляет собой процесс распознавания пользователя или объекта в системе по его идентификатору, аутентификация — это процедура проверки подлинности такого идентификатора. Существует несколько механизмов аутентификации, используемых для обеспечения безопасности данных, передаваемых в электронном виде конкретным идентифицированным лицом.
Возможные ответы
- Да - Применяется механизм аутентификации для обеспечения безопасности данных, передаваемых в электронном виде между пользователями или системами.
- Нет - Механизм аутентификации не применяется или не обеспечена безопасность данных, передаваемых в электронном виде между пользователями или системами.
Передовая практика
Существует три основных категории факторов аутентификации, а именно:
- То, что вы знаете – обычно это пароль, PIN-код или кодовая фраза, или набор секретных вопросов и соответствующие ответы на них, известные только пользователю. Все, что пользователь может запомнить, а затем ввести, сказать, сделать, выполнить или иным образом вспомнить, когда это необходимо, относится к данной категории.
- То, что у вас есть – физические устройства, например, ключи, смартфоны, смарт-карты, USB-накопители, аппаратные токены. Аппаратный токен генерирует новый пароль с определенным интервалом времени (токен с синхронно динамическим паролем) или предоставляет расшифрованный вызов сервера (токен вызов-ответ).
- Часть вас – биометрические данные человека, например, отпечатки пальцев, рисунок ладони, изображение лица, сетчатка и радужная оболочка глаза, голос.
Для предоставления доступа к системе рекомендуется использовать механизм многофакторной аутентификации, которая требует от пользователя представления двух или более доказательств личности. Многофакторная аутентификация является предпочтительным методом аутентификации, так как значительно усложняет для злоумышленника процесс заполучения доступа к устройству или системе. Например, при однофакторной аутентификации по паролю злоумышленнику требуется провести лишь одну успешную атаку, тогда как при многофакторной аутентификации ему будет необходимо провести несколько одновременных успешных атак, что является довольно сложным.
Для обеспечения конфиденциальности обмена данными между любыми двумя сторонами или системой необходимо использовать протоколы безопасной передачи данных, например, расширенный защищенный протокол передачи гипертекста (HTTPS). При необходимости обеспечения более высокого уровня конфиденциальности может быть использован дополнительный алгоритм шифрования на уровне прикладного программного обеспечения.
Ссылки и тематические исследования
- Многофакторная аутентификация, https://www.globalknowledge.com/ca-en/resources/resource-library/articles/the-three-types-of-multi-factor-authentication-mfa/
- Руководство по безопасному обмену данными, https://uwaterloo.ca/information-systems-technology/about/policies-standards-and-guidelines/security/guidelines-secure-data-exchange-choosing-information
A4.4 Какой тип протокола связи используется в настоящее время для электронного обмена данными?
Предпосылки
Существует несколько видов протоколов связи, которые могут быть использованы для электронного обмена данными в системах безбумажной торговли или системах «единого окна». Сбор и анализ информации, касающийся применения различных протоколов передачи данных в стране, может быть полезен для изучения накопленного опыта и будущего сотрудничества.
Передовая практика
Разные страны имеют разнообразный опыт применения протоколов связи для электронного обмена данными. Можно выделить, к примеру, протокол передачи файлов (FTP), протокол передачи файлов прикладного уровня (SFTP), протокол передачи гипертекста (HTTP), протоколы ASx, службу обмена сообщениями ebXML, архитектурный стиль взаимодействия компонентов распределённого приложения в сети REST, веб-сервисы, не привязанные к HTTP и т.д.
Ссылки и тематические исследования
- Трансграничная совместимость между системами «единого окна»: справочник для руководителей, https://www.unescap.org/resources/cross-border-single-window-interoperability-managerial-guide
- Электронный обмен данными, http://tfig.itcilo.org/contents/recommendation-26.htm
- ИСО 26000: Протоколы передачи данных.
- Служба обмена сообщениями ebXML, http://www.ebxml.org/
- Стандарты и спецификации дизайна интерфейса HTTP/REST, https://standards.rest/
- Веб-сервисы, https://www.w3.org/standards/
A4.5 Каков план вашей страны в отношении будущей деятельности по повышению уровня безопасности, упомянутой в пунктах А4.1 и А4.2, и каковы намеченные временные рамки для этого?
Предпосылки
Компьютерная безопасность или кибербезопасность, понимаемая как меры безопасности, применяемые для защиты информационных систем от различного рода угроз, таких как кибератаки и несанкционированный доступ, имеет решающее значение для повышения доверия и лояльности пользователей к системам безбумажной торговли. Соответствующему органу следует рассмотреть вопрос об определении временных рамок и разработке плана по повышению уровня безопасности таких электронных систем их инфраструктуры.
Передовая практика
Стране необходимо обеспечить проведение регулярной оценки рисков критически важной инфраструктуры и систем ИКТ, например, на основе методологии, разработанной ИСО (ИСО/МЭК 27001: Управление рисками информационной безопасности, https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment), а также процедур тестирования на проникновение и оценки уязвимости. Данные результаты должны быть использованы для разработки конкретных мер безопасности, а на их основе - плана по повышению уровня безопасности, который будет способствовать повышению уровня безопасности критически важной инфраструктуры и систем ИКТ в стране.
Ссылки и тематические исследования
- ИСО/МЭК 27001: Управление рисками информационной безопасности, https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment
- Руководство по разработке планов обеспечения информационной безопасности для федеральных информационных систем, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-18r1.pdf
- Пример оценки рисков систем ИКТ, https://pdfs.semanticscholar.org/59f3/dc37e451fb24d35ca14b14e84ad3da937b76.pdf
- Структура архитектуры безопасности для критической инфраструктуры с множественными кольцами защиты, https://ieeexplore.ieee.org/abstract/document/8426099