план реализации национальной стратегии кибербезопасности
Стратегии

Опубликован план реализации национальной стратегии кибербезопасности с подробным описанием десятков инициатив агентства

Всего через несколько месяцев после публикации обновленной и всеобъемлющей Национальной стратегии кибербезопасности Белый дом опубликовал свой план реализации Национальной стратегии кибербезопасности, делегирующий обязанности по продвижению ряда инициатив вперед.

Национальная стратегия кибербезопасности, опубликованная в начале марта, предусматривает создание “более защищенной и устойчивой цифровой экосистемы” посредством “инвестиций поколений” в кибер-инфраструктуру, усиления цифровой дипломатии и партнерских отношений с частным сектором, регулирования критических секторов и привлечения компаний-разработчиков программного обеспечения к ответственности, если их продукты оставляют дверь открытой для хакеров.

Стратегия построена на пяти столпах: защита критически важной инфраструктуры, устранение действующих лиц, создающих угрозы, формирование рыночных сил для обеспечения безопасности и устойчивости, инвестиции в устойчивое будущее и налаживание международных партнерских отношений для достижения общих целей. В нем содержится призыв установить правила кибербезопасности в важнейших секторах, согласовать и упорядочить новые и существующие правила, помочь регулируемым организациям покрыть расходы на кибербезопасность, усилить сотрудничество между государственным и частным секторами, включая обмен данными, изменить законы, регулирующие ответственность за потерю данных и ущерб, причиненный ошибками в области кибербезопасности, и многое другое.

“Это положительный признак того, что администрация продолжает быть прозрачной и своевременной в своей работе над Стратегией кибербезопасности, и публичное обнародование Плана реализации с соответствующей помпой является уместным”, – сказал HSToday Боб Коласки, который возглавлял Национальный центр управления рисками Агентства кибербезопасности и безопасности инфраструктуры в качестве одного из помощников директора CISA. “Было бы хорошо, если бы это сопровождалось объявлением постоянной кандидатуры на должность Национального директора по кибербезопасности — но, надеюсь, такое объявление не за горами. Нынешний исполняющий обязанности НИЗ Кемба Уолден проделал отличную работу, руководя этой работой ”.

Бывший директор по информационным технологиям Управления DHS по борьбе с оружием массового уничтожения (CWMD) Антонио Виллафана сказал HSToday, что “что действительно выделяется” в плане реализации, “это подробные инструкции и ожидания от 65 федеральных инициатив по пяти основным направлениям”.

“Нескольким агентствам было поручено обеспечить надзор за назначенными компонентами и целями. Я считаю, что этот подход будет иметь решающее значение для общего успеха этого EO ”, – сказал Виллафана, член редакционного совета HSToday. “Первый компонент, за которым я буду очень внимательно следить, устанавливает правила и стандарты для усиления защиты нашей критически важной инфраструктуры как в частном, так и в государственном секторах. Последние сообщения указывают на увеличение атак на нашу критически важную инфраструктуру в ближайшие годы ”.

Офису Национального директора по кибербезопасности было поручено координировать реализацию Национальной стратегии кибербезопасности под надзором Совета национальной безопасности и работать с межведомственными партнерами над разработкой и публикацией плана реализации. ONCD будет координировать выполнение плана реализации и будет работать с Управлением по вопросам управления и бюджета, чтобы соответствующим образом сформировать предложения о финансировании. ONCD также выпустит RFI в “ближайшем будущем” для “информации, касающейся гармонизации нормативных актов в области кибербезопасности”, – сообщили в Белом доме.

“Если агентства не будут обеспечены ресурсами для выполнения своих кибер-миссий, они не смогут выполнять свою работу, и мы не увидим никакого прогресса”, – заявила HSToday бывший старший советник CISA Кэтрин Ледесма.

“Как и в случае со стратегией, Конгресс является основной заинтересованной стороной”, – сказал Коласки, член редакционного совета HSToday. “Ключевым остается обеспечение постоянных консультаций с законодательной властью в областях, где требуются новые органы власти. Я надеюсь, что этот план приведет к значимым законодательным предложениям, которые получат реальное рассмотрение в Конгрессе в следующем году ”.

В 57-страничном плане реализации национальной стратегии кибербезопасности, опубликованном в четверг, говорится, что это “первая итерация” “живого документа, который будет обновляться ежегодно”.

“Я хотел бы видеть это обновленным не только по мере изменения ландшафта угроз, но и по мере прогресса и воздействия”, – сказал Ледесма. “Отчетность о завершении инициативы будет важна, но еще важнее будет воздействие. Действительно ли мы снизили киберриск для нации и нашей критически важной инфраструктуры? На этот вопрос сообщество надеется ответить по мере начала реализации ”.

План включает в себя более 65 инициатив, порученных 18 федеральным агентствам, со сроками завершения, но не охватывает деятельность агентства, направленную на реализацию стратегии кибербезопасности.

“Некоторые инициативы, такие как обнародование приоритетов Администрации в области кибербезопасности в бюджете на 2025 финансовый год, были завершены досрочно”, – заявили в Белом доме. “Другие завершенные мероприятия, такие как передача 26 мая Киберстратегии Министерства обороны на 2023 год Конгрессу и создание 20 июня Министерством юстиции нового отдела кибербезопасности национальной безопасности, являются ключевыми вехами в завершении инициатив”.

Коласки сказал, что первая строка плана реализации, которая привлекла его внимание, заключалась в его введении: “Правительство Соединенных Штатов преуспеет в реализации Национальной стратегии кибербезопасности только благодаря тесному сотрудничеству с частным сектором; гражданским обществом; правительствами штатов, местных сообществ, племен и территорий; международными партнерами; и Конгрессом. Агентства будут работать с заинтересованными сторонами над реализацией инициатив этого Плана и налаживанием новых партнерских отношений, где это возможно ”.

“Я надеюсь, что каждое ведущее агентство по инициативе очень серьезно отнесется к этим словам и разработает процессы для решения конкретных проблем”, – сказал Коласки.

Например, что касается первого компонента защиты критически важной инфраструктуры, то план реализации предписывает Агентству кибербезопасности и инфраструктурной безопасности (CISA) возглавить процесс обновления Национального плана реагирования на киберинциденты, “чтобы более полно реализовать политику, согласно которой “обращение к одному – это обращение ко всем”” и включить “четкие указания внешним партнерам о роли и возможностях федеральных агентств в реагировании на инциденты и восстановлении”.

“Также следует отметить, что самой первой инициативой в Плане является гармонизация киберрегулирования”, – сказал Ледесма, ссылаясь на директиву для ONCD и OMB работать с независимыми регуляторами и органами исполнительной власти для синхронизации базовых требований кибербезопасности для критической инфраструктуры. “Я полагаю, что администрация выслушала заинтересованные стороны отрасли о том, насколько важна гармонизация нормативных актов. Я надеюсь, что администрация не только определит возможности для согласования базовых требований к кибербезопасности, как того требует план, но и предпримет оперативные действия для фактического выполнения этого ”.

“Особенно сейчас, когда мы рассматриваем все более регулируемый подход к кибербезопасности во всех секторах критической инфраструктуры, мы не хотим, чтобы бремя регулирования отвлекало от реального снижения рисков”, – добавила она. “Четкие, скоординированные базовые показатели кибербезопасности во всех отраслях позволяют организациям сосредоточить свои средства на обеспечении безопасности на тех элементах, которые приводят к реальному снижению рисков, а не к простому соблюдению нормативных требований”.

Что касается второго компонента стратегии, заключающегося в уничтожении участников угрозы, то, среди прочих инициатив, ФБР будет сотрудничать с партнерами “для проведения операций по нарушению экосистемы программ-вымогателей, включая поставщиков виртуальных активов, которые позволяют отмывать доходы от программ-вымогателей”, в то время как CISA возглавит инициативу, направленную на предоставление таких ресурсов, как “обучение, услуги кибербезопасности, технические оценки, планирование перед атакой и реагирование на инциденты для объектов высокого риска, таких как больницы и школы, чтобы снизить вероятность их воздействия и чтобы уменьшить масштаб и продолжительность последствий, если они подвергнутся нападению ”.

Продвижение третьего компонента формирования рыночных сил и повышения безопасности и устойчивости будет включать в себя продолжение CISA руководства работой с ключевыми заинтересованными сторонами по выявлению и сокращению пробелов в масштабе и внедрении спецификации программного обеспечения (SBOM). Четвертый компонент, ориентированный на инвестиции в устойчивое будущее, будет включать в себя созыв Национальным институтом стандартов и технологий (NIST) Межведомственной международной рабочей группы по стандартизации кибербезопасности “для координации основных вопросов международной стандартизации кибербезопасности и расширения участия федерального агентства США в этом процессе”. NIST также “завершит стандартизацию одного или нескольких криптографических алгоритмов с открытым ключом, устойчивых к квантам”.

Пятый столп развития международных партнерств по укреплению кибербезопасности включает в себя публикацию Государственным департаментом Стратегии международной политики в области киберпространства и цифровых технологий и работу “по стимулированию развития знаний и навыков персонала, связанных с киберпространством и цифровой политикой, которые могут быть использованы для создания и укрепления страновых и региональных межведомственных кибергрупп для облегчения координации со странами-партнерами”.

Одна из инициатив в рамках этого компонента, за которую отвечает NIST, заключается в “повышении доверия к иностранным поставщикам путем распространения лучших практик C-SCRM в стране и за рубежом в рамках проекта ”Национальные центры передового опыта в области безопасности цепочки поставок программного обеспечения”. Центры передового опыта в области кибербезопасности”. Коласки сказал, что инициативы по цепочке поставок в плане “являются хорошим началом”, но этот конкретный “мог бы потребовать большей детализации и большего внимания”.

“Я не уверен, как одни только методы NIST позволят достичь цели C-SCRM в секторе широкой критической инфраструктуры”, – сказал он. “Я бы хотел, чтобы SRMA получили более четкие задания в рамках инициативы”.

Высокопоставленный представитель администрации заявил при публикации стратегии в марте, что Белый дом надеется обнародовать план публичной реализации в течение нескольких месяцев.

“Поздравляем команду Офиса Национального директора по кибербезопасности за разработку и распространение этого документа в рекордно короткие сроки; однако предстоит еще много работы. И это должно включать достаточную координацию с частным сектором”, – сказал Ледесма. “В самом плане реализации признается, что успех плана зависит от сотрудничества, в том числе с промышленностью”.

“Это было важно для поддержания динамики”, – сказал Коласки, добавив, что “впереди еще много работы”.

admin
Author: admin