新しい「国家サイバー保護と情報セキュリティに関する指令」が最近発表されました。
新しい標準が必要ですか?
はいと言うでしょう。
新機能を理解し、個人的な一般的な考慮事項を作成してみましょう。
「サイバー保護と国家ITセキュリティのための指令設定ガイドライン」は、2月17 2017に発行され、87 April 13の2017番号の一般的なシリーズの公式ジャーナルで公開された閣僚会議の大統領令です。
その目的は何ですか?
まず、4年前の既存の法律(DPCM 24 January 2013)を更新するため、危機的状況の管理に関与するさまざまな能力をシステムに戻し、統一する...「サイバー分野では、1つ以上の国家の重要なインフラストラクチャに対するサイバー攻撃の可能性に答えるのが困難であることの明確な原因は、(単一性の)欠如です。
1の記事では、ディレクティブの主題を示す主題を紹介しています(物質的および非物質的な重要インフラに関連する国家安全保障の保護に特化した制度的アーキテクチャ...)および主な利害関係者(主に経済開発省、デジタルイタリア庁、国防省、内務省)。
2の記事は、サイバー分野の最も重要な定義が含まれているという点で興味深いものです。 疑いの影なしに、すべてを個人的に共有できるわけではない場合でも必要です。 特に、「サイバースペース」の定義と、これがサイバーリスク分析に与える影響についてお話します。
DPCMの定義から始めましょう。
"サイバースペース:相互接続されたITインフラストラクチャのセット(ハードウェア、ソフトウェア、データ、ユーザー、およびそれらの間の確立された論理関係)".
次に、この分野で最も先進的な国である米国とロシアで採用されているサイバースペースの定義をいくつか見てみましょう。
-アメリカ: コンピューターネットワークを介した通信が発生する概念的な環境;
-ロシア: 通信および通信ネットワークのシステムによって形成される、情報空間内の活動範囲。;
これらの定義は、エストニアのタリンにあるタリンのNATO協力サイバー防衛センターのサイトから取られています(https://ccdcoe.org/cyber-definitions.html).
さて、ロシアの定義を考えてみましょう:インターネットと通信チャネルについて話すことに加えて、それは「通信ネットワークの機能を可能にする技術的インフラストラクチャ」を指し、米国の定義またはイタリアの。
私の意見では、この参照の欠如は、例えば重要なデータセンターに電力を供給する発電所を無視させることにより、重要なインフラのサイバーリスク分析の開発に興味のある人々を誤解させる可能性があります。
確かにこれは些細な例にすぎませんが、プラティティが違いを生むことがあります!
私の意見では、不完全なもう1つの定義は、「サイバーイベント」のことです。
指令によれば、サイバネティックイベントは「データの違法な取得と転送、その変更または違法な破壊、または通常の機能の不適切な制御、損傷、破壊またはブロックからなる、自発的または偶発的な性質の重要なイベントです。ネットワークおよび情報システムまたはそれらの構成要素」。
また、この場合、私の意見では、何かが欠けています。実際に、米国とイスラエル(知られている限り)がナタンツのイラン原子力発電所を妨害した「Stuxnet」のようなイベントをどのように組み立てることができますか?
この場合のウイルスは、遠心分離機を損傷しました。つまり、コンピュータネットワークの一部ではない要素に対して作用しましたが、このイベントを「サイバー攻撃」と見なすしかありません。
適切な法律と正しい定義を採用することの重要性を示すXNUMXつの例を次に示します。 これらが視点であり、それらを強調することは、意識を高め、知識を広めるのに役立つだけであることは明らかです。
それでは、とにかく明確なDPCMへようこそ!
しかし、さらに先に進みましょう。
3の記事は、閣僚会議の議長に割り当てられたタスクを示しています。サイバー空間でも国家安全保障を保護する目的で、共和国の安全のための政府の一般政策および情報システムの首脳に責任を負う".
評議会の議長は、サイバー空間の安全のための国家戦略的枠組みの定義のために共和国の安全のための省庁間委員会(CISR)を使用しています。
この文脈で興味深いのは、「国益のシステムとネットワークの脅威と脆弱性の進化的傾向、公共と民間のさまざまな主題の役割とタスクの定義、および国外で活動する国の人々、[..]サイバー空間の出来事に対する予防と対応のための国の能力の成長を追求するためのツールと手順。セキュリティ。 "
国家戦略フレームワークと一貫した目標と行動方針を含む「サイバー保護と情報セキュリティのための国家計画」を採用するのは、常にPCM(CISR決議に基づく)です。
4の記事はCISR、特にパラグラフfを扱っています。 読み取り: "サイバー空間の安全のための国家計画の実施に関して高い監視を行使する".
5の記事では、技術情報CISRをCISRの支持機関として紹介し、セキュリティ情報局(DIS)の局長が議長を務め、最終的には厚かったです! これがまさにビッグニュースのある場所です。
DISの具体的な属性は、記事6で詳しく説明されています。 実際、
正確には、DISは、そのゼネラルマネージャーの図では、DPCMによって「誰が適切なイニシアチブを採用して、一般的な関心の必要な行動方針を定義する".
アクションラインの目的は、「システムとネットワークのセキュリティレベルを上げて改善する...「コントラストの可能性のあるアクションと可能なものへの対応を見越して」行政機関、公的機関、民間事業者のサイバー危機...".
実際には、DISには、イタリアでのサイバー攻撃と戦い、それに対応するための行動を調整する権限が与えられています。 DISのディレクターがイタリアのサイバー保護とITセキュリティの強化を目的とした情報研究活動の調整を担当すると述べている第7条第2項で明確に表現された概念。
8の記事では、「サイバーセキュリティの中核「危機状況の予防と準備の側面のためにDISで恒久的に設立され、警告手順の有効化「この核は、DISの副局長が議長を務め、軍事評議員と以下の代表者で構成されています。
-DIS;
-AISE;
-AISI;
-外務省;
-内務省。
-防衛省。
-法務省;
-経済開発省。
-経済財務省。
-市民保護局;
-デジタルイタリアの代理店。
-中央秘密事務所。
コアは、記事9を念頭に置いて、「サイバーセキュリティの分野でさまざまな方法で介入する制度アーキテクチャのさまざまなコンポーネント間のリンク「特に、危機的な状況に警告して対応するためにユニットをアクティブに保ちます。アクティブなユニットはh24、7日は7日です。
10の記事は、サイバー緊急事態の場合のユニットの構成とタスクを確立します。特に、反応と安定化のために配置しなければならない調整に言及しています。 3段落では、その技術活動に、経済発展省の国家CERTとデジタルイタリア機関のCERT PAを使用していると言われています。 そして、この場合、私は力(そしてリソース!)に参加する必要性について完全に同意していると思います。
11の記事では、プライベートオペレーターが一連のルールを持っている必要があります。 これらの中には、「コンピューターシステムのセキュリティと整合性の重大な違反」を伝える義務と、管理するシステムとネットワークの機能の回復に貢献することにより、サイバー危機の管理に協力する義務があります。 違反の苦情については、サイバネティックイベントの「重要性」が何らかの方法で定義されていないため、実質的なことはおそらく起こりません。つまり、誰もが望むように評価することを意味します。会社「セキュリティオペレーションセンター」が利用可能です。
段落11の記事2は、常に、経済開発省が「セキュリティ条件と脆弱性の欠如を検証するための国家評価および認証センターの設立...「私が思うに、DISの監督下の大学と研究省により適した仕事です。
最後に、記事13、移行および最終条項を見てみましょう。
段落1は、政府レベルでサイバー問題がどのように感じられるかを明確に示しています。実際、段落1は次のように述べています。現在の法令から、州の予算に新たな負担はありません".
疑問があります:それはすべて冗談ですか?
実際、13の記事である1の段落は、前述のすべてと互換性があるとは思いません!
