Евросоюз заставляет тестировать ИТ-системы на кибератаки каждую по отдельности

Европейские компании проходят обязательную ИБ-проверку Европейские компании начали проходитьобязательное тестирование кибербезопасности, предусмотренную Директивой о безопасности компьютерных сетей и информационных систем (NIS Directive),которая была принята Европейским парламентом в июле 2016 г. Российские эксперты предрекают, что даннаятенденция вскоре дойдет и до нашей страны. Чему именно посвященадиректива NIS Directive определяет группыкомпаний, которые должны подвергаться обязательному ИБ-тестированию. Такиегруппы выделены в энергетической, транспортной, нефтегазовой, медицинской,финансовой и других сферах. Это не относится к микро- и малым предприятиям.Тестирование компаний проводится путем моделирования атак на системы со стороныспециально аккредитованных провайдеров. Новые правила должны привести к бурномуросту рынка ИБ-услуг в ЕС, поскольку многие предприятия из списка не проходилираньше сторонних проверок кибербезопасности. http://filearchive.cnews.ru/img/zoom/2016/10/07/evrosoyuz_698.jpg"> Новые правила ЕС заставляют компании тестироваться на кибербезопасность Также компании теперь обязанысообщать о серьезных киберугрозах или сбоях в защите соответствующимгосударственным органам. В частности, они должны указывать масштаб атаки, еетип, продолжительность, географическое распространение и последствия для сети,а также отчитываться о мерах, которые были приняты по ее сдерживанию и устранению.Повышенное внимание в NIS Directive уделяется безопасности финансовых площадокв интернете, облачных хранилищ и поисковых систем. [b]Какое отношение это может иметь к России[/b] Введение NIS Directiveпрокомментировал [b]Дмитрий Гвоздев[/b],генеральный директор российской компании «Монитор безопасности». По его словам,введение обязательной проверки причиняет много хлопот тестируемым компаниям. На это жаловались австрийские партнеры его фирмы, в частности, компанияSec-Consult. По словам Гвоздева, интерес европейских компаний к ИБ-услугамзначительно возрос, что провоцирует рост этого сегмента рынка в ЕС. Гвоздев отмечает, что в России в большинстве случаев определяется тип информации, которая должна быть защищена.Соответственно, организациям, работающим с этим типом информации, необходимопредпринимать определенные действия по ее защите. В отличие от российской практики в NIS Directiveопределяются конкретные типы компаний, которые будут проверяться. По мнениюэксперта, вскоре эта практика придет и в Россию, поскольку стандартыМеждународной организации по стандартизации в конечном счете внедряются по всему миру. А значит, российский рынок ИБ-услуг также ожидает рост. [b]К чему NIS Directive обязывает страны ЕС[/b] NIS Directive была утвержденаЕвропейским парламентом 6 июля 2016 г. и вступила в силу в августе того жегода. У стран-участниц есть 21 месяц, чтобы интегрировать директиву в национальныезаконодательства, и еще шесть месяцев, чтобы составить список провайдеровцифровых услуг, которые подлежат проверке. NIS Directive может не затронутьВеликобританию в связи с ее выходом из ЕС, но будет работать в Германии,несмотря на то, что в 2015 г. там был принят собственный национальный закон о кибербезопасности. NIS Directive требует, чтобы каждаястрана-участник имела группу или несколько групп реагирования на инциденты, связанные с кибербезопасностью(CSIRT), а также профильные ИБ-ведомства при правительстве. Впоследствии CSIRTбудут объединены в международную общеевропейскую сеть. На международном уровне будет также созданаспециальная Группа кооперации, при посредничестве которой страны-участницыбудут делиться информацией об инцидентах и угрозах. Группа также поможетстранам адаптировать NIS Directive к местным условиям и подготовиться к еевыполнению. Группа кооперации должна представить рабочую программу в течение 18месяцев, каждые 1,5 года она будет отчитываться перед ЕС. Также каждая страна-участница должнаразработать и представить национальную ИБ-стратегию. В стратегии должны бытьуказаны объекты, требующие повышенной кибербезопасности, и описаны меры по ееупрочению. Стратегия должна содержать план по оценке рисков, методологиюсотрудничества частного и общественного секторов, а также план исследований и разработок в ИБ-секторе.[img]http://filearchive.cnews.ru/img/zoom/2016/10/07/evrosoyuz_698.jpg"> Новые правила ЕС заставляют компании тестироваться на кибербезопасность Также компании теперь обязанысообщать о серьезных киберугрозах или сбоях в защите соответствующимгосударственным органам. В частности, они должны указывать масштаб атаки, еетип, продолжительность, географическое распространение и последствия для сети,а также отчитываться о мерах, которые были приняты по ее сдерживанию и устранению.Повышенное внимание в NIS Directive уделяется безопасности финансовых площадокв интернете, облачных хранилищ и поисковых систем. Какое отношение это может иметь к России Введение NIS Directiveпрокомментировал Дмитрий Гвоздев,генеральный директор российской компании «Монитор безопасности». По его словам,введение обязательной проверки причиняет много хлопот тестируемым компаниям. На это жаловались австрийские партнеры его фирмы, в частности, компанияSec-Consult. По словам Гвоздева, интерес европейских компаний к ИБ-услугамзначительно возрос, что провоцирует рост этого сегмента рынка в ЕС. Гвоздев отмечает, что в России в большинстве случаев определяется тип информации, которая должна быть защищена.Соответственно, организациям, работающим с этим типом информации, необходимопредпринимать определенные действия по ее защите. В отличие от российской практики в NIS Directiveопределяются конкретные типы компаний, которые будут проверяться. По мнениюэксперта, вскоре эта практика придет и в Россию, поскольку стандартыМеждународной организации по стандартизации в конечном счете внедряются по всему миру. А значит, российский рынок ИБ-услуг также ожидает рост. К чему NIS Directive обязывает страны ЕС NIS Directive была утвержденаЕвропейским парламентом 6 июля 2016 г. и вступила в силу в августе того жегода. У стран-участниц есть 21 месяц, чтобы интегрировать директиву в национальныезаконодательства, и еще шесть месяцев, чтобы составить список провайдеровцифровых услуг, которые подлежат проверке. NIS Directive может не затронутьВеликобританию в связи с ее выходом из ЕС, но будет работать в Германии,несмотря на то, что в 2015 г. там был принят собственный национальный закон о кибербезопасности. NIS Directive требует, чтобы каждаястрана-участник имела группу или несколько групп реагирования на инциденты, связанные с кибербезопасностью(CSIRT), а также профильные ИБ-ведомства при правительстве. Впоследствии CSIRTбудут объединены в международную общеевропейскую сеть. На международном уровне будет также созданаспециальная Группа кооперации, при посредничестве которой страны-участницыбудут делиться информацией об инцидентах и угрозах. Группа также поможетстранам адаптировать NIS Directive к местным условиям и подготовиться к еевыполнению. Группа кооперации должна представить рабочую программу в течение 18месяцев, каждые 1,5 года она будет отчитываться перед ЕС. Также каждая страна-участница должнаразработать и представить национальную ИБ-стратегию. В стратегии должны бытьуказаны объекты, требующие повышенной кибербезопасности, и описаны меры по ееупрочению. Стратегия должна содержать план по оценке рисков, методологиюсотрудничества частного и общественного секторов, а также план исследований и разработок в ИБ-секторе.