×Закрыть

Как новый Акт ЕС о кибербезопасности может быть полезен украинским инженерам

27 июня 2019 года в Европейском Союзе вступил в силу новый Регламент 2019/881 об Агентстве ЕС по кибербезопасности (ENISA) и сертификации по кибербезопасности информационных и коммуникационных технологий, более известный под названием «Акт о кибербезопасности» (Cybersecurity Act).

Как и GDPR, Акт о кибербезопасноти является частью Европейской Стратегии Единого Цифрового Рынка. По оценкам Европейской Комиссии, Единый Цифровой Рынок ЕС обладает потенциалом стать самым большим рынком онлайн бизнеса в мире и приносить приблизительно 415 миллиардов Евро в экономику Европейского Союза ежегодно. По некоторым подсчетам, оборот Единого Цифрового Рынка ЕС может достигнуть 1 триллион Евро уже в 2020 году. Для украинских компаний такой цифровой рынок также открывает большие возможности для предложения своих услуг. Ожидаемо, что будет расти и спрос на специалистов в сфере кибербезопасности и защиты данных.

В этом материале старший юрист юридической фирмы AURUM Илья Шенгелия расскажет о новом Регламенте ЕС о кибербезопасности (Cybersecurity Act), рассмотрит основные его аспекты и потенциальную пользу для вашего бизнеса.

Для удобства, Акт о кибербезопасности по тексту упоминается как «Акт».

Нововведения

Акт устанавливает единый фреймворк сертификации в сфере кибербезопасности для информационных и коммуникационных технологий (IT). Этот фреймворк в первую очередь интересен владельцам и разработчикам программных решений, которые предоставляют свои продукты или услуги в Европейском Союзе.

Целью Акта является развитие и поддержка кибербезопасности IT продуктов и услуг на рынке ЕС. Ключевую роль в этом процессе должна выполнять ENISA, чьи полномочия были существенно расширены в связи с принятием Акта.

Сертификация

Акт предусматривает добровольную сертификацию по кибербезопасности IT продуктов, услуг и процессов. Тем не менее, акты Европейского Союза или государств-членов могут определять сферы, в которых сертификация продуктов, услуг или процессов будет обязательной. Со временем Европейская Комиссия должна оценить эффективность такого подхода и установить обязательность сертификации в определенных сферах деятельности, но уже сейчас понятно, что в скором времени сертификация по кибербезопасности станет стандартом работы в странах Европейского Союза.

Сертификация происходит у аккредитованных органов в соответствии с выбранной схемой. ENISA готовит такие схемы на основании программы Европейской Сертификации, которая должна быть подготовлена Европейской Комиссией до 28 июля 2020 года и будет включать список продуктов, услуг и процессов, которые могут быть сертифицированы.

ENISA должна поддерживать специальный сайт, посвященный сертификации, который будет предусматривать всю необходимую информацию.
Сертифицированные продукты, услуги и процессы должны соответствовать требованиям установленных технических регламентов и стандартов в сфере кибербезопасности.

Сертификация признается во всех странах ЕС, а максимальный срок ее действия составляет 5 лет и может быть продлен на тех же условиях.

На момент написания этого материала вышеупомянутая программа не опубликована, схемы сертификаций не разработаны, а вышеупомянутый сайт не поддерживается. Их представление ожидается до лета 2020 года.

IT продукты, услуги и процессы

Сертификация применяется к:

  • IT продуктам (например, компьютеры, цифровые телевизоры, IoT, и т.д.);
  • IT услугам (например, разработка ПО, консультационные услуги в сфере IT, хостинг и т.д.); и
  • IT процессам (мероприятия, выполненные для проектирования, разработки, поставки или поддержки IT продуктов и услуг).

Зачем нужна сертификация по кибербезопасности?

Сертификация по кибербезопасности может быть интересна для владельцев и разработчиков программных решений, которые предоставляют свои продукты или услуги в Европейском Союзе. В особенности, это касается продуктов и услуг в тех сферах, где кибербезопасность или угроза кибератаки могут нести серьезные риски, например: медицина, финтех, банковская деятельность.

Сертификация подтверждает техническую надежность продуктов, услуг, а также процессов их разработки и поддержки одновременно во всех странах ЕС.

Также стоит учитывать, что сертификация может служить дополнительным доказательством того, что разработчик IT решений выполняет требования GDPR, так как одна из обязанностей, предусмотренных GDPR, — принятие необходимых технических мер для обеспечения безопасности работы с персональными данными.

Уровни сертификации

Существует три возможных уровня сертификации:

  • базовый;
  • существенный;
  • высокий.

Базовый уровень подразумевает, что продукт, услуга или процесс соответствует требованиям безопасности на уровне, предназначенном для минимизации основных известных рисков, инцидентов и кибератак.

Оценка включает в себя проверку технической документации.

Существенный уровень. Продукт, услуга или процесс соответствует вышеупомянутым требованиям, при этом обеспечивается минимизация рисков кибератак, которые проводятся лицами, имеющими ограниченные навыки и ресурсы.

Оценка включает в себя проверку, демонстрирующую отсутствие общеизвестных уязвимостей, а также тестирование, демонстрирующее, что продукт, услуга или процесс правильно реализуют необходимые функции безопасности.

Высокий уровень. Продукт, услуга или процесс соблюдает вышеупомянутые требования, при этом обеспечивается минимизация рисков современных (‘state-of-the-art’) кибератак, которые проводятся лицами с существенным опытом и ресурсами.

Оценка включает в себя проверку, демонстрирующую отсутствие общеизвестных уязвимостей; тестирование, демонстрирующее, что продукт, услуга или процесс правильно реализует необходимые функции безопасности на современном уровне техники; и оценку их устойчивости к квалифицированным злоумышленникам, используя тест на защиту от несанкционированного доступа (‘penetration testing’).

Уровень сертификации зависит от уровня риска, связанного с предполагаемым использованием IT продукта, услуг или процесса. Уровень также зависит от таких факторов, как: (1) вид данных, которые обрабатываются, (2) объем данных, (3) вероятность возникновения инцидента/атаки, (4) возможные последствия инцидента/атаки.

Самостоятельная сертификация

Программа Европейской Сертификации, разработанная Европейской Комиссией, может предусматривать самостоятельную сертификацию производителей и поставщиков продуктов, услуг или процессов. Такая самостоятельная сертификация возможна только для базового уровня сертификации, как описывалось выше.

Для этого, производитель или поставщик должен предоставить в национальный орган по сертификации кибербезопасности (1) заявление о соответствии, (2) техническую документацию, а также (3) другую необходимую информацию. Копия заявления о соответствии также направляется в ENISA.


Принятие Акта, а также единых в рамках ЕС схем сертификаций по кибербезопасности позволит значительно улучшить противодействие кибератакам и защиту данных. Также единые стандарты по кибербезопасности во всех странах ЕС должны значительным образом способствовать развитию Единого Цифрового Рынка в ЕС и доверию пользователей к цифровым услугам.

Украинским компаниям, которые работают на рынке ЕС стоит задуматься над тем, чтобы сертифицировать свои продукты, услуги или процессы в соответствии с Актом ЕС о кибербезопасности (Cybersecurity Act), а украинским инженерам — над тем, чтобы развивать экспертизу в сфере кибербезопасности и защиты данных.

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Ничем. Вот если бы украинские банки заблочили до тех пор пока в их штате не будут сертифицированные безопасники по этой системе — тогда да. А так — фигня на постном масле.

Как новый Акт ЕС о кибербезопасности может быть полезен украинским инженерам

а может и не быть гг

Единый Цифровой Рынок

Читай: монополия

обладает потенциалом

Читай: война с этим самым потенциалом, пленных здесь не берут

Акт устанавливает единый фреймворк

Читай: бюрократия

Целью Акта является

Читай: что угодно кроме

развития и поддержкv кибербезопасности IT продуктов и услуг на рынке ЕС.
Сертификация

Читай: коррупция

не. ну pci dss много полезного сделал, перестали пароли хранить незашифрованные и даже узнали что такое salt гг

Ага, перестали, щщас. Даже те кто не планировал хранить персональные данные — стали думать о том как бы и что бы поиметь с заблудшего юзверя.
Лучше ответь на простой вопрос: сколько сотых процента читают теперь соглашение пользователя?

сколько сотых процента читают теперь соглашение пользователя?

не знаю. но я читаю :)

смотриш на Пение и видишь 73%

Единый Цифровой Рынок

!=

монополия
единый фреймворк

забыл дописать

сертификации

!=

бюрократия
добровольную сертификацию

!=

коррупция

Сначала они называют стандартизацию и сертификацию на гос уровне бюрократией и коррупцией, а потом орут о 15 разных коммьюнити стандартах и тяжкой жизни гребца.

Риторические вопросы:
— Эту стандартизацию делали специалисты в области IT, или же в области мафиозных распилов и политического бла-бла-бла?
— Эти стандарты — опытная наработка, или же «одна задница сказала»?

PS. Вот тебе недавно покращили стандартизировали украинский язык — чего ж не пользуешься? Зроби павзу, з′їж іще єтіх мяґкіх фґанцузьких булокинь та випий йаду

Риторический вопрос:
— Может ли манки-кодерок, стать инженером до того как поймет, зачем во взрослой инженерии существуют такие штуки как ЕСКД?

И где теперь этот ЕСКД? И почему в твоём телефоне гигабайтец-другой софта «манки-кодерков», и ни байта кода по ЕСКД, включая прошивки и микрокод железа?

Потому что все гигабайтики кода манки кодерков живут в корпусе разработанном по стандартам, не знаю может быть ISO, а не ЕСКД но если к говнософту претензии есть, то к корпусу претензий нет.

А что батарея взорвалась — так это ж soft skills

Подписаться на комментарии