версия для печатиВ апреле в Сенат США поступил законопроект, предлагающий расширить полномочия федеральных властей по контролю над Интернетом. В частности, дать президенту США право отключать от Сети неугодные организации "в случае необходимости", а Департаменту Торговли - получать доступ к любым "нужным данным" без каких-либо ограничений.
Очевидно, что если такой закон будет принят, это затронет и интересы российского интернет-бизнеса. Резюме основных положений данного законопроекта переводит и комментирует директор компании "Регтайм" Алексей Созонов (его комментарии выделены курсивом).
"Акт о Советнике по Национальной Кибер-Безопасности" (The National Cybersecurity Advisor Act of 2009)
Sec. 1 - Офис Управления Национальной Безопасности
Эта секция предполагает создание офиса Управления Безопасности в Интернете, подотчетного Советнику по Национальной Безопасности в Канцелярии Президента США. Должность Советника по Национальной Безопасности в Интернете подотчетна непосредственно Президенту США. Кроме того, в данной секции подчеркивается ряд важных функции и полномочий Советника по Национальной Безопасности в Интернете.
Пояснение аналитиков: Данный раздел является одним из основных компонентов законопроекта. Множество Экспертов рекомендовало создание официального Управления из высокопоставленных чиновников, которое будет координировать усилия Правительства и частного сектора в Сети. За образец предлагается взять существующую модель офиса Управления Торговли Соединенных Штатов, входящего в Канцелярию Президента. Это важно, чтобы придать Советнику по Национальной Безопасности в Интернете полномочия, обязательные для выполнения всеми учреждениями без исключения.
Советник будет являться ведущим должностным лицом по всем вопросам Интернета, координируя работу как гражданских, так и разведывательных учреждений нации.
- Более детальные предложения содержатся в «Акте о кибербезопасности 2009», который предложен на рассмотрение Сената сенаторами Дж. Рокфеллером и Олимпией Сноу. В частности, этот закон дает право отключать сети государственных и частных организаций от Интернета в случае серьезных инцидентов.
"Акт о Национальной Кибер-Безопасности 2009" (The Cybersecurity Act of 2009)
Sec. 1 – Заголовок и содержание
Sec. 2 – Свидетельства
Этот раздел включает в себя свидетельства, подтверждающие необходимость создания данного органа.
Sec. 3 - Создание Консультативной Группы по Кибер-Безопасности
В этом разделе содержится обращение, призывающее Президента создать/назначить Консультативную Группу по Безопасности в Интернете.
Эта группа должна состоять из экспертов в области кибер-безопасности, представителей бизнеса, академических кругов и Некоммерческих Организаций информационно-пропагандистской деятельности (НКО – Оранжевая Революция на Украине, Революция Роз в Грузии и т.д.), которые будут призваны консультировать Президента по вопросам, связанным с кибер-безопасностью.
Пояснение аналитиков: Эта консультативная группа представлена группами интересов представителей бизнеса, научных и гражданских кругов. Группа призвана дать потенциальным группам поддержки гражданских свобод возможность пересмотра программы федеральной Безопасности в Сети и корректировки усилий сообщества в направлении прогресса. Группа готовит доклад Президенту раз в два года, предоставляя рекомендации по улучшению программы.
- Отдается отчет в том, что в результате реализации акта возможно «попрание интересов» представителей бизнеса, научных и гражданских кругов в угоду «интересам Кибер-Безопасности». Заранее предлагается создание Консультативной Группы по разрешению спорных вопросов.
Sec. 4 - Установка Панели Кибер-Безопасности
Этот раздел обосновывает необходимость внедрения комплексной приборной панели по управлению безопасностью в Сети, работающей динамически в режиме реального времени. Панель позволит отслеживать и сообщать статус и уязвимости всех федеральных информационных систем и сетей, в рамках создаваемого Управления.
Пояснение аналитиков: отсутствие оперативного контроля за динамикой ситуации Интернете является одним из ключевых ограничений обеспечения кибер-безопасности. Предлагаемый инструмент призван предоставлять визуальную информацию, которая позволит новому Управлению анализировать уровень возникающих в Сети угроз, с тем, чтобы эффективно руководить распределением ограниченных ресурсов противодействия.
Данная документация по внедрению Комплексной Приборной Панели может рассматриваться в контексте пилотного проекта для последующего еще большего усиления роли Федерального правительства в Интернете.
- Здесь говорится об информации в режиме реального времени по всей Сети, использующей корневые сервера ICANN – в нашем случае Россия будет представлена на панели доменами .RU .SU .РФ.
Sec. 5 – Программа по обеспечению государственной безопасности в Сети на национальном и региональном уровнях
Данная программа призвана решать вопросы безопасности в Интернете на уровне компаний малого и среднего бизнеса силами создаваемых национальных и региональных центров безопасности.
Тогда как крупные компании, по мнению аналитиков, обладают собственными ресурсами и опытом для решения вопросов сетевой безопасности, компании среднего и малого нуждаются в государственной защите. Данная программа призвана оказать такую защиту.
Sec. 6 - Необходимость разработки новых стандартов Национальным институтом стандартов и технологий (НИСТ) США.
Этот раздел обязывает НИСТ разработать стандарты измерения и проверки состояния безопасности в Интернете для всех уровней федерального правительства, его подрядчиков и других грантов критической информационной инфраструктуры систем и сетей.
Этот раздел также обязывает НИСТ разработать и установить стандарты и показатели безопасности в Интернете - управления, программного обеспечения и конфигурации. Запланировать соответствующее увеличение ассигнований НИСТ для решения поставленных задач.
- В обеспечение внедрения комплексной приборной панели по управлению безопасностью в Интернете (Sec. 4)
Sec. 7 - Лицензирование и сертификация специалистов по безопасности в Интернете
Этот раздел вменяет в обязанности Президента, используя соответствующие департаменты и агентства, разработать и интегрировать национальную программу лицензирование и сертификация специалистов по безопасности в Сети.
Этот раздел также обязывает всех существующих федеральных специалистов по безопасности в Сети пройти данное лицензирование.
Пояснение аналитиков: если представители обычных профессий - врачи, юристы, водопроводчики, электрики и т.д. обязаны иметь лицензию для подтверждения их квалификации, то профессионалы по безопасности в Сети тем более не должны быть исключением из правила. Существующие в настоящее время различные сертификаты по кибербезопасности не в счет, т.к. не объединены общим стандартом.
- Создание института «комиссаров» - сертифицированных специалистов по безопасности в Интернете.
Sec. 8 – Ревизия существующего контракта с Национальной Администрацией по Информации и Телекоммуникациям при Департаменте Торговли США по управлению доменным пространством
Этот раздел предполагает создание Консультативной группы для ревизии и последующей модификации существующих контрактов Национальной Администрацией по Информации и Телекоммуникациям на предмет их соответствия интересам обеспечения национальной безопасности США.
Пояснение аналитиков: это положение касается существующего контракта Департамента Торговли США с ICANN управляющим доменным пространством, являющимся самим «сердцем» Интернета. Таким образом, предлагается исключить возможность компроментирования интересов информационной безопасности США, вследствие уступки ICANN международному давлению с тем, чтобы вывести его из-под контроля правительства США.
- Четко дается понять о неприемлимости международного контроля над Интернетом.
Sec. 9 - DNSSEC - Безопасность системы адресации доменных имен
Данный раздел обязывает Помощника Секретаря Национальной Администрацией по Информации и Телекоммуникациям при Департаменте Торговли США разработать стратегию и обеспечить выполнение программы безопасности в системе адресации имен в Интернете.
Мнение аналитиков: сохраняется множество разногласий по вопросу внедрения системы DNSSEC – защищенной версии системы доменных имен (Защищенной только для США) Хотя в обязанности ICANN входило руководство данными процессами, однако эта организация не смогла справится с данными обязанностями, поэтому федеральное правительство должно употребить свое влияние с тем, чтобы окончательно решить вопрос безопасности в Интернете.
- Ключевой пункт. В существующем виде DNSSEC затрагивает потенциальные интересы других стран. Схемы DNSSEC еще обсуждаются, а представители России не раз заявляли о несогласии с предложенной схемой.
Sec. 10 – Пропаганда осознания важности вопросов безопасности в Сети Интернет.
Этот раздел призван санкционировать Советника Президента на проведение кампании пропаганды и информирования общественности по вопросам безопасности и существующих рисков, а так же использования возможных контрмер для защиты.
Sec. 11 - Федеральная программа по кибер-безопасности: исследования и разработки
Этот раздел призван увеличить федеральную поддержку научных исследований и разработок по вопросам безопасности Национального научного фонда.
Секция также подчеркивает важность ответственных областей исследований в соответствии с рекомендациями доклада Президентского консультативного комитета по Информации и Технологиям от 2005 года.
Sec. 12 - Выделение стипендии для обслуживания программы
Этот раздел предполагает создать в уставе Программы Национального научного Фонда стипендии ориентированные на набор студентов на учебную программу по безопасности в Сети. После окончания данные студенты будут служить обществу войдут в государственные агентства и департаменты для применения полученных навыков. Эта секция предполагает увеличение количества учащихся от существующих 300 до 1000 в год.
Пояснение аналитиков: стипендия за услуги была учреждена на основе Исполнительного указа, что определяет ее ранг. Дополнительно определяются полномочия для присвоения Стипендии уже служащим на Федеральной Службе сотрудникам без необходимости участия в отборочных конкурсных процедурах.
Sec. 13 – Проведение соревнований и конкурсов в области кибер-безопасности
Этот раздел предполагает поручить Директору Национальной Администрации по Информации и Телекоммуникациям учреждать проведение соревнований и конкурсов по проблемам безопасности в Сети с целью привлечения и найма наиболее талантливых людей в этой области.
Sec. 14 – Создание объединенного государственно-частного федерального клирингового центра
Этот раздел позволит Советнику Национальной Администрации по Информации и Телекоммуникациям определить клиринговое федеральное агентство для работы в качестве государственно-частного центра по безопасности в Сети угрозы и уязвимым данным. Данное клиринговое агентство будет отвечать за распределение и совместное использование данных критическими операторами в инфраструктуре федерального правительства и частного сектора.
По мнению аналитиков, один из главных недостатков существующей федеральной системы безопасности заключается в системе обмена критической информацией между федеральным правительством и представителями отрасли. Обмена важными данными между ними просто не происходило. Федеральное правительство, имеющее доступ к данным о потенциальных угрозах, не ставит в известность представителей отрасли (которые могут являться объектом потенциальных атак). Комиссия прямо призывает правительство изменить свое отношение с частным сектором (скажем, с Google, блогосферой и т.д.) и содействовать обмену информацией в целях повышения безопасности в Сети.
Необходимо принятие соответствующего законодательства, регламентирующего обмен информацией с частным сектором. (Скажем, обязывающего «стучать» по фактам неугодных действий)
- -В данноом случае обмен информацией частного сектора с государством может быть и принудительным.
Sec. 15 - Доклад по безопасности управлению и рисками в Сети Интернет
Этот раздел предполагает информирование Президента о создании рыночных механизмов по безопасности и управлению рисками в Сети, включая страхование гражданско-правовой ответственности и ответственности Правительства.
Sec. 16 – Обзор правовых рамок доклада
Эта секция обязывает Президента, силами соответствующих ведомств,
завершить детальный обзор федеральных законов и нормативов, применимых к безопасности в Интернете.
Sec. 17 - Нормы идентификации пользователей и гражданские свободы в Интернет.
Эта секция обязывает президента предложить программы по установления подлинности личности и идентификации пользователей Интернета в интересах безопасности.
Аналитика: многие эксперты полагают, что анонимный характер Интернет является одной из главных причин его уязвимости. Эксперты считают, что установления подлинности личности и идентификации в Интернете будут содействовать интересам общей безопасности. Предлагается предварительная проработка данной меры, ввиду ее спорности с точки зрения гражданских свобод.
- (!!!) Критически важный пункт. Касается КАЖДОГО пользователя Интернет.
Sec. 18 - Безопасность в Интернете - обязанности и полномочия
Разработка всеобъемлющей национальной стратегии в области кибер-безопасности находится в компетенции Президента. Президент также будет обладать возможностью отключения любого федерального департамента или агентства от Интернета в случаях, если они не принимают меры по исправлению, находясь в опасности.
Sec. 19 - Четырехгодичные проверки программы
Данный раздел обязывает президента раз в четыре года проводить проверку программы США по кибер-безопасности, подвергая ревизии стратегию, принципы, правила и бюджеты.
Аналитика: Данные проверки будут повторять периодические четырехгодичные проверки Департамента обороны для анализа состояния безопасности Сети в стране.
Sec. 20 – Объединение разведывательных служб в оценке угроз
Данная секция обязывает Директора Национальной Службы Разведки и Министра торговли (Глава Департамента Торговли – головной организации ICANN) совместно обеспечивать оценку угроз и уязвимости важнейших национальных информационных ресурсов, коммуникаций и сетевой инфраструктуры.
Sec. 21 – Координация международных усилий содействия безопасности Интернета
Данный раздел обязывает президента развивать международные стандарты и технологии повышения безопасности Интернета.
Аналитика. Учитывая, что Интернет не ограничен географическими границами, необходимо координировать международные усилия по безопасности Сети на глобальной основе.
- Меры, предлогаемые Актом, де-факто уже будут предворять международные усилия в данной сфере..
Sec. 22 - Федеральный совет по Закупкам безопасных продуктов и сервисов
Этот раздел предполагает создание совета по Закупкам безопасных продуктов и сервисов. Совет по Закупкам несет ответственность за сертификацию, удостоверяющую, что продукция, закупаемая федеральным правительством, соответствует стандартам безопасности, установленным Советом.
Аналитика: Многие критики призвали федеральное правительство использовать свои возможности закупок в качестве способа принуждения производителей и поставщиков продукции и программного обеспечения к повышению безопасности своих товаров и услуг.
Многие из ответственных за закупки лиц не включают требование обеспечения безопасности в закупочные контракты (от недостатка знаний и понимания важности они не считают это обязательным), а Совет по Закупкам призван устранить эту проблему, рассматривая и утверждая закупаемые информационные и коммуникационные технологии.
- Нам отводится роль пассивного наблюдателя за закупкой и установкой «безопасных» технологий и сервисов.
