Евросоюз заставляет тестировать ИТ-системы на кибератаки каждую по отдельности

Безопасность Стратегия безопасности Бизнес Законодательство
мобильная версия
, Текст: Валерия Шмырова

Европейские компании проходят ИБ-тестирование, введенное директивой Европейского парламента в июле 2016 г. Директива определяет конкретные группы предприятий, подлежащих обязательной проверке в части кибербезопасности. Ее внедрение должно привести к взрывному росту рынка ИБ-услуг.


Европейские компании проходят обязательную ИБ-проверку

Европейские компании начали проходить обязательное тестирование кибербезопасности, предусмотренную Директивой о безопасности компьютерных сетей и информационных систем (NIS Directive), которая была принята Европейским парламентом в июле 2016 г.

Российские эксперты предрекают, что данная тенденция вскоре дойдет и до нашей страны.

Чему именно посвящена директива

NIS Directive определяет группы компаний, которые должны подвергаться обязательному ИБ-тестированию. Такие группы выделены в энергетической, транспортной, нефтегазовой, медицинской, финансовой и других сферах. Это не относится к микро- и малым предприятиям. Тестирование компаний проводится путем моделирования атак на системы со стороны специально аккредитованных провайдеров. Новые правила должны привести к бурному росту рынка ИБ-услуг в ЕС, поскольку многие предприятия из списка не проходили раньше сторонних проверок кибербезопасности.

Новые правила ЕС заставляют компании тестироваться на кибербезопасность

Также компании теперь обязаны сообщать о серьезных киберугрозах или сбоях в защите соответствующим государственным органам. В частности, они должны указывать масштаб атаки, ее тип, продолжительность, географическое распространение и последствия для сети, а также отчитываться о мерах, которые были приняты по ее сдерживанию и устранению. Повышенное внимание в NIS Directive уделяется безопасности финансовых площадок в интернете, облачных хранилищ и поисковых систем.

Какое отношение это может иметь к России

Введение NIS Directive прокомментировал Дмитрий Гвоздев, генеральный директор российской компании «Монитор безопасности». По его словам, введение обязательной проверки причиняет много хлопот тестируемым компаниям. На это жаловались австрийские партнеры его фирмы, в частности, компания Sec-Consult. По словам Гвоздева, интерес европейских компаний к ИБ-услугам значительно возрос, что провоцирует рост этого сегмента рынка в ЕС.

Гвоздев отмечает, что в России в большинстве случаев определяется тип информации, которая должна быть защищена. Соответственно, организациям, работающим с этим типом информации, необходимо предпринимать определенные действия по ее защите. В отличие от российской практики в NIS Directive определяются конкретные типы компаний, которые будут проверяться. По мнению эксперта, вскоре эта практика придет и в Россию, поскольку стандарты Международной организации по стандартизации в конечном счете внедряются по всему миру. А значит, российский рынок ИБ-услуг также ожидает рост.

К чему NIS Directive обязывает страны ЕС

NIS Directive была утверждена Европейским парламентом 6 июля 2016 г. и вступила в силу в августе того же года. У стран-участниц есть 21 месяц, чтобы интегрировать директиву в национальные законодательства, и еще шесть месяцев, чтобы составить список провайдеров цифровых услуг, которые подлежат проверке. NIS Directive может не затронуть Великобританию в связи с ее выходом из ЕС, но будет работать в Германии, несмотря на то, что в 2015 г. там был принят собственный национальный закон о кибербезопасности.

NIS Directive требует, чтобы каждая страна-участник имела группу или несколько групп реагирования на инциденты, связанные с кибербезопасностью (CSIRT), а также профильные ИБ-ведомства при правительстве. Впоследствии CSIRT будут объединены в международную общеевропейскую сеть.

На международном уровне будет также создана специальная Группа кооперации, при посредничестве которой страны-участницы будут делиться информацией об инцидентах и угрозах. Группа также поможет странам адаптировать NIS Directive к местным условиям и подготовиться к ее выполнению. Группа кооперации должна представить рабочую программу в течение 18 месяцев, каждые 1,5 года она будет отчитываться перед ЕС.

Также каждая страна-участница должна разработать и представить национальную ИБ-стратегию. В стратегии должны быть указаны объекты, требующие повышенной кибербезопасности, и описаны меры по ее упрочению. Стратегия должна содержать план по оценке рисков, методологию сотрудничества частного и общественного секторов, а также план исследований и разработок в ИБ-секторе.