Из Википедии, свободной энциклопедии
Перейти к навигацииПерейти к поиску

Регулирование кибербезопасности содержит директивы, гарантию информационных технологий и компьютерные системы с целью понуждения компаний и организаций для защиты своих систем и информации от кибератак , таких как вирусы , черви , троянские программы , фишинг , отказа в обслуживании (DoS) атаки , несанкционированный доступ (кражи интеллектуальная собственность или конфиденциальная информация) и системы контроля атак . [1] Существует множество мер по предотвращению кибератак.

Меры кибербезопасности включают брандмауэры , антивирусное программное обеспечение , системы обнаружения и предотвращения вторжений , шифрование и пароли для входа . [2] Были попытки улучшить кибербезопасность посредством регулирования и совместных усилий между правительством и частным сектором для поощрения добровольных улучшений кибербезопасности. [1] Отраслевые регулирующие органы, в том числе банковские регулирующие органы , обратили внимание на риск, связанный с кибербезопасностью, и либо начали, либо планировали включить кибербезопасность в качестве одного из аспектов регуляторных проверок. [1]

Фон

В 2011 году Министерство обороны выпустило руководство под названием «Стратегия Министерства обороны по работе в киберпространстве», в котором сформулированы пять целей: рассматривать киберпространство как оперативную область, использовать новые защитные концепции для защиты сетей и систем Министерства обороны, сотрудничать с другими агентствами и частными организациями. в стремлении к реализации «общегосударственной стратегии кибербезопасности», чтобы работать с международными союзниками в поддержку коллективной кибербезопасности и поддерживать развитие кибер кадров, способных быстро внедрять технологические инновации. [2] GAO за март 2011 г.в отчете «определено, что защита информационных систем федерального правительства и национальной кибер-критической инфраструктуры является областью повышенного риска в масштабе правительства», отмечая, что федеральная информационная безопасность была обозначена как область повышенного риска с 1997 года. также включена защита инфраструктуры Cyber ​​CIP. [3]

В ноябре 2013 года Министерство обороны выдвинуло новое правило кибербезопасности (78 Fed. Reg. 69373), которое налагает определенные требования к подрядчикам: соответствие определенным ИТ-стандартам NIST , обязательное сообщение об инцидентах кибербезопасности в Министерство обороны и "перетекание вниз". "пункт, который применяет те же требования к субподрядчикам. [4]

В отчете Конгресса от июня 2013 года было обнаружено, что существует более 50 законодательных актов, касающихся соблюдения требований кибербезопасности. Федеральный закон об управлении информационной безопасности 2002 года (FISMA) является одним из ключевых законодательных актов , регулирующих федеральные правила кибербезопасности. [4]

Соединенные Штаты

Федеральное правительство

Существует несколько федеральных правил кибербезопасности, а те, которые существуют, ориентированы на конкретные отрасли. Три основных правила кибербезопасности - это Закон 1996 года о переносимости и подотчетности медицинского страхования (HIPAA), Закон Грэмма-Лича-Блайли 1999 года и Закон о внутренней безопасности 2002 года , который включал Федеральный закон об управлении информационной безопасностью (FISMA). Три правила предписывают организациям здравоохранения, финансовым учреждениям и федеральным агентствам защищать свои системы и информацию. [3]Например, FISMA, который применяется к каждому правительственному учреждению, «требует разработки и внедрения обязательных политик, принципов, стандартов и руководств по информационной безопасности». Однако правила не касаются многих связанных с компьютерами отраслей, таких как интернет-провайдеры (ISP) и компании-разработчики программного обеспечения. [4] Кроме того, в правилах не указывается, какие меры кибербезопасности необходимо применять, и требуется лишь «разумный» уровень безопасности. Расплывчатая формулировка этих правил оставляет много места для толкования. Брюс Шнайер , основатель Counterpane Internet Security в Купертино, утверждает, что компании не будут делать достаточных инвестиций в кибербезопасность, если правительство не заставит их сделать это.[5] Он также заявляет, что успешные кибератаки на правительственные системы все еще происходят, несмотря на усилия правительства. [6]

Было высказано предположение, что Закон о качестве данных уже предоставляет Управлению и бюджету законодательные полномочия для реализации положений о защите критически важной инфраструктуры в процессе нормотворчества Закона об административных процедурах . Идея еще не была полностью проверена и потребует дополнительного юридического анализа, прежде чем можно будет начать нормотворчество . [5]

Правительства штатов

Правительства штатов пытались улучшить кибербезопасность за счет повышения публичности фирм со слабой безопасностью. В 2003 году Калифорния приняла Закон об уведомлении о нарушении безопасности, который требует, чтобы любая компания, которая хранит личную информацию граждан Калифорнии и имеет нарушение безопасности, раскрыла подробности происшествия. Личная информация включает имя, номер социального страхования, номер водительского удостоверения, номер кредитной карты или финансовую информацию. [7] Несколько других штатов последовали примеру Калифорнии и приняли аналогичные правила уведомления о нарушениях безопасности. [8]Такие правила уведомления о нарушениях безопасности наказывают компании за их сбои в кибербезопасности, давая им свободу выбора, как защитить свои системы. Кроме того, регулирование создает стимул для компаний добровольно инвестировать в кибербезопасность, чтобы избежать потенциальной потери репутации и связанных с этим экономических потерь, которые могут возникнуть в результате успешной кибератаки. [6]

В 2004 году Законодательное собрание штата Калифорния приняло Закон 1950 года о собрании Калифорнии, который также применяется к предприятиям, которые владеют или хранят личную информацию жителей Калифорнии. Регламент требует от предприятий поддерживать разумный уровень безопасности, и что требуемые ими методы безопасности также распространяются на деловых партнеров. [9] Регламент является усовершенствованием федерального стандарта, поскольку он увеличивает количество фирм, необходимых для поддержания приемлемого стандарта кибербезопасности. Однако, как и федеральное законодательство, он требует «разумного» уровня кибербезопасности, который оставляет много места для интерпретации, пока не будет установлено прецедентное право. [10]

Предлагаемое положение

Конгресс США предложил многочисленные законопроекты , которые расширяют по регулированию в области кибербезопасности. Закон о защите данных и уведомлении потребителей вносит поправки в Закон Грэмма-Лича-Блайли, требуя раскрытия информации о нарушениях безопасности финансовыми учреждениями. Конгрессмены также предложили «распространить Gramm-Leach-Bliley на все отрасли, которые касаются финансовой информации потребителей, включая любую фирму, которая принимает платежи с помощью кредитной карты». [11]Конгресс предложил правила кибербезопасности, аналогичные Закону об уведомлении о нарушениях безопасности Калифорнии, для компаний, которые хранят личную информацию. Закон о защите и безопасности информации требует, чтобы брокеры данных «обеспечивали точность и конфиденциальность данных, аутентифицировали и отслеживали пользователей, выявляли и предотвращали несанкционированные действия и снижали потенциальный ущерб для отдельных лиц». [12]

Конгресс не только требует от компаний повышения кибербезопасности, но и рассматривает законопроекты, которые криминализируют кибератаки. Закон о безопасной защите от киберпреступлений ( SPY ACT ) был законопроектом такого типа. Он был посвящен закону о фишинге и шпионском ПО и был принят 23 мая 2005 года в Палате представителей США, но умер в Сенате США . [6] Законопроект «делает незаконным несанкционированное использование компьютера , чтобы взять контроль над ним, изменять его настройки, собирать или побудить владельца раскрывать личную информацию , установить незапрашиваемый программное обеспечение и тампера безопасности, анти-шпионского или анти -вирусное программное обеспечение ". [13]

12 мая 2011 года Барак Обама из США предложил пакет законодательных реформ в области кибербезопасности, направленных на повышение безопасности граждан США, федерального правительства и критически важной инфраструктуры. За этим последовал год публичных дебатов и слушаний в Конгрессе, в результате которых Палата представителей приняла закон об обмене информацией, а Сенат разработал компромиссный закон, стремящийся сбалансировать национальную безопасность, конфиденциальность и интересы бизнеса.

В июле 2012 года Закон о кибербезопасности 2012 года был предложен сенаторами Джозефом Либерманом и Сьюзан Коллинз . [14] Законопроект потребовал бы создания добровольных «стандартов передовой практики» для защиты ключевой инфраструктуры от кибератак, которые предприятиям следует принять с помощью таких стимулов, как защита ответственности. [15] Законопроект был поставлен на голосование в Сенате, но не был принят. [16] Обама выразил свою поддержку закона в Уолл Стрит Джорнал обзорных [17] , и он также получил поддержку со стороны должностных лиц в военной и национальной безопасности , в том числе Джон О. Бреннан, главный советник Белого дома по борьбе с терроризмом. [18] [19] Согласно The Washington Post , эксперты заявили, что отказ от принятия закона может сделать Соединенные Штаты «уязвимыми для широкомасштабного взлома или серьезной кибератаки». [20] Против закона выступили сенаторы-республиканцы, такие как Джон Маккейн, который был обеспокоен тем, что закон введет правила, которые не будут эффективными и могут стать «бременем» для бизнеса. [21] После голосования в Сенате сенатор-республиканец Кей Бейли Хатчисон заявила, что противодействие законопроекту не является партизанским вопросом, но это неправильный подход к кибербезопасности. [22]Голосование в сенате не было строго партийным: шесть демократов проголосовали против, а пять республиканцев проголосовали за него. [23] Критика законопроекта включала Торговую палату США , [24] пропагандистские группы , такие как Американский союз гражданских свобод и Electronic Frontier Foundation , [25] Эксперт кибербезопасности Джодите Westby и The Heritage Foundation , , оба из которых утверждали , что , хотя Правительство должно действовать в отношении кибербезопасности, законопроект был несовершенным в своем подходе и представлял «слишком навязчивую роль федерального правительства». [26]

В феврале 2013 года Обама предложил Указ о повышении кибербезопасности критически важной инфраструктуры. Он представляет собой последнее изменение политики, но не считается законом, поскольку Конгресс еще не рассматривал его. Он направлен на улучшение существующих государственно-частных партнерств за счет повышения своевременности потока информации между DHS и компаниями критически важной инфраструктуры. Он предписывает федеральным агентствам передавать разведывательные предупреждения о киберугрозах любой организации частного сектора, указанной в качестве цели. Он также поручает DHS совершенствовать процесс ускорения процедур проверки безопасности для соответствующих организаций государственного и частного секторов, чтобы позволить федеральному правительству обмениваться этой информацией на соответствующих конфиденциальных и секретных уровнях. Он направляет разработку основы для снижения киберрисков,включение передовых отраслевых практик и добровольных стандартов. Наконец, он поручает федеральным агентствам, участвующим в обеспечении защиты частной жизни и гражданских свобод, в соответствии с Принципами честной информационной практики.[7]

В январе 2015 года Обама объявил о новом законодательном предложении по кибербезопасности. Предложение было сделано с целью уберечь США от растущего числа киберпреступлений. В предложении Обама обозначил три основных направления работы по созданию более безопасного киберпространства для США. Первое основное усилие подчеркивало важность обеспечения обмена информацией о кибербезопасности. Благодаря этому предложение поощряло обмен информацией между правительством и частным сектором. Это позволило бы правительству узнать, с какими основными киберугрозами сталкиваются частные фирмы, а затем позволило бы правительству обеспечить защиту ответственности тех фирм, которые делятся своей информацией. Более того, это дало бы правительству лучшее представление о том, от чего нужно защищать США.Еще одно важное усилие, которое было подчеркнуто в этом предложении, заключалось в модернизации правоохранительных органов, чтобы сделать их более оснащенными для надлежащего реагирования на киберпреступления, предоставив им инструменты, необходимые для этого. Это также обновит классификации киберпреступлений и их последствий. Один из способов сделать это - объявить преступлением продажу финансовой информации за границу. Еще одна цель усилий - привлечь к ответственности за киберпреступления. Последним важным усилием законодательного предложения было требование от предприятий сообщать потребителям о взломе данных, если их личная информация была принесена в жертву. Требуя от компаний сделать это, потребители знают, когда им грозит кража личных данных.[8]

В феврале 2016 года Обама разработал План действий по кибербезопасности и национальной безопасности (CNAP). План был разработан для разработки долгосрочных действий и стратегий в целях защиты США от киберугроз. В центре внимания плана было информирование общественности о растущей угрозе киберпреступлений, улучшение защиты кибербезопасности, защита личной информации американцев и информирование американцев о том, как контролировать цифровую безопасность. Одним из основных моментов этого плана является создание «Комиссии по усилению национальной кибербезопасности». Цель этого - создать Комиссию, состоящую из разнообразной группы мыслителей с точками зрения, которые могут внести свой вклад в выработку рекомендаций о том, как создать более сильную кибербезопасность для государственного и частного секторов. Второй важный момент плана - изменить государственную ИТ-инфраструктуру.Новая государственная ИТ-служба сделает это так, чтобы можно было внедрить более безопасную ИТ-инфраструктуру. Третий важный момент плана - дать американцам знания о том, как они могут защитить свои онлайн-аккаунты и избежать кражи своей личной информации с помощью многофакторной аутентификации. Четвертый момент в плане - инвестировать в кибербезопасность на 35% больше денег, вложенных в 2016 году.[9]

Другие усилия правительства

Помимо регулирования, федеральное правительство пыталось улучшить кибербезопасность, выделяя больше ресурсов на исследования и сотрудничая с частным сектором в разработке стандартов. В 2003 году президента Национальная стратегия защиты киберпространства сделал Департамент внутренней безопасности (DHS) отвечает за рекомендациями безопасности и исследующих национальных решений. План призывает к совместным усилиям между правительством и промышленностью «создать систему экстренного реагирования на кибератаки и снизить уязвимость страны перед такими угрозами» [27]. В 2004 году Конгресс США выделил 4,7 миллиарда долларов на кибербезопасность и достижение многих из цели, сформулированные в Национальной стратегии президента по обеспечению безопасности киберпространства. [28]Некоторые отраслевые эксперты по безопасности заявляют, что Национальная стратегия президента по защите киберпространства является хорошим первым шагом, но недостаточным. [29] Брюс Шнайер заявил: «Национальная стратегия защиты киберпространства еще ничего не обеспечила». [30] Однако в Национальной стратегии президента четко указано, что цель состоит в том, чтобы предоставить владельцам компьютерных систем основу для повышения их безопасности, а не правительству, которое берет на себя и решает проблему. [31] Однако компании, которые участвуют в совместных усилиях, изложенных в стратегии, не обязаны принимать обнаруженные решения безопасности.

В Соединенных Штатах Конгресс США пытается сделать информацию более прозрачной после того, как Закон о кибербезопасности 2012 года, который устанавливал бы добровольные стандарты для защиты жизненно важной инфраструктуры, не прошел через Сенат. [10] В феврале 2013 года Белый дом издал распоряжение под названием «Улучшение кибербезопасности критически важной инфраструктуры», которое позволяет исполнительной власти обмениваться информацией об угрозах с большим количеством компаний и отдельных лиц. [10] [11] В апреле 2013 года Палата представителей приняла Закон о совместном использовании и защите киберразведки.(CISPA), который призывает к защите от судебных исков, направленных против компаний, раскрывающих информацию о нарушениях. [10] Администрация Обамы заявила, что может наложить вето на законопроект. [10]

Индия

В свете взлома веб-сайта коммерческого подразделения Индийского космического агентства в 2015 году, Antrix Corporation и правительственной программы Digital India, эксперт по кибер-праву и адвокат в Верховном суде Индии Паван Дуггал заявил, что "специализированный кибер- законодательство о безопасности является ключевым требованием для Индии. Недостаточно просто включить кибербезопасность как часть Закона об ИТ. Мы должны рассматривать кибербезопасность не только с секторальной точки зрения, но и с национальной точки зрения ». [12]

Европейский Союз

Стандарты кибербезопасности имеют большое значение в сегодняшних технологических компаниях. Чтобы максимизировать свою прибыль, корпорации используют технологии, выполняя большую часть своих операций через Интернет. Поскольку существует большое количество рисков, связанных с межсетевыми операциями, такие операции должны быть защищены всеобъемлющими и подробными правилами. Все существующие правила кибербезопасности охватывают различные аспекты бизнес-операций и часто различаются в зависимости от региона или страны, в которой работает бизнес. Из-за различий в обществе, инфраструктуре и ценностях страны один всеобъемлющий стандарт кибербезопасности не является оптимальным для снижения рисков. В то время как стандарты США обеспечивают основу для операций, Европейский Союзразработал более индивидуализированные правила для предприятий, работающих конкретно в ЕС. Кроме того, в свете Brexit важно учитывать, как Великобритания решила придерживаться таких правил безопасности.

Три основных правила в ЕС включают ENISA, Директиву NIS и GDPR ЕС. Они являются частью стратегии единого цифрового рынка .

ENISA

Агентство Европейского Союза по кибербезопасности (ENISA) - это управляющее агентство, которое было первоначально создано Постановлением (ЕС) № 460/2004 Европейского парламента и Совета от 10 марта 2004 г. с целью повышения сетевой и информационной безопасности ( NIS) для всех межсетевых операций в ЕС. ENISA в настоящее время работает в соответствии с Регламентом (ЕС) № 526/2013 [13], который заменил исходное положение в 2013 году. ENISA активно работает со всеми странами-членами ЕС, чтобы предоставить ряд услуг. Основное внимание в их деятельности уделяется трем факторам:

  • Рекомендации государствам-членам относительно действий при нарушениях безопасности
  • Поддержка разработки и реализации политики для всех стран-членов ЕС
  • Прямая поддержка ENISA с практическим подходом к работе с оперативными группами в ЕС [14]

ENISA состоит из правления, которое опирается на поддержку исполнительного директора и Постоянной группы заинтересованных сторон. Однако большинством операций руководят руководители различных отделов. [15]

ENISA выпустила различные публикации, охватывающие все основные вопросы кибербезопасности. Прошлые и текущие инициативы ENISA включают облачную стратегию ЕС, открытые стандарты в области информационных коммуникационных технологий, стратегию кибербезопасности ЕС и координационную группу кибербезопасности. ENISA также работает в сотрудничестве с существующими международными организациями по стандартизации, такими как ISO и ITU . [16]

Директива NIS

6 июля 2016 года Европейский парламент ввел в действие Директиву о безопасности сетей и информационных систем ( Директива NIS ). [17]

Директива вступила в силу в августе 2016 года, и всем странам-членам Европейского Союза был дан 21 месяц на то, чтобы включить положения директивы в свои национальные законы. [18] Целью Директивы NIS является создание в целом более высокого уровня кибербезопасности в ЕС. Директива существенно влияет на поставщиков цифровых услуг (DSP) и операторов основных услуг (OES). Операторы основных услуг включают любые организации, деятельность которых может быть сильно затронута в случае нарушения безопасности, если они будут участвовать в критически важной общественной или экономической деятельности. И DSP, и OES теперь несут ответственность за сообщение о серьезных инцидентах безопасности группам реагирования на инциденты компьютерной безопасности (CSIRT). [19]Хотя к DSP не предъявляются столь же строгие правила, как к операторам основных услуг, к DSP, которые не созданы в ЕС, но все еще работают в ЕС, все еще применяются правила. Даже если DSP и OES передают обслуживание своих информационных систем третьим сторонам, Директива NIS по-прежнему возлагает на них ответственность за любые инциденты безопасности. [20]

Государства-члены ЕС должны создать стратегию директив NIS, которая включает CSIRT, в дополнение к национальным компетентным органам (NCA) и единым контактным лицам (SPOC). На такие ресурсы возлагается ответственность за устранение нарушений кибербезопасности таким образом, чтобы минимизировать воздействие. Кроме того, всем государствам-членам ЕС рекомендуется делиться информацией о кибербезопасности. [21]

Требования безопасности включают технические меры, которые предотвращают риски нарушения кибербезопасности. И DSP, и OES должны предоставлять информацию, позволяющую проводить глубокую оценку их информационных систем и политик безопасности. [22] Обо всех существенных инцидентах необходимо сообщать CSIRT. Значительные инциденты кибербезопасности определяются количеством пользователей, затронутых нарушением безопасности, а также продолжительностью инцидента и географическим охватом инцидента. [22]

Закон ЕС о кибербезопасности

Кибербезопасность ЕС Закон устанавливает на всей территории ЕС основы сертификации кибербезопасности для цифровых продуктов, услуг и процессов. Он дополняет Директиву NIS. ENISA будет играть ключевую роль в создании и поддержании европейской системы сертификации кибербезопасности. [23]

GDPR ЕС

Общий регламент ЕС по защите данных (GDPR) был введен в действие 14 апреля 2016 года, но текущая дата вступления в силу назначена на 25 мая 2018 года. [24] GDPR направлен на введение единого стандарта защиты данных для всех участников. государства в ЕС. Изменения включают пересмотр географических границ. Это относится к организациям, которые работают в ЕС или имеют дело с данными любого резидента ЕС. Независимо от того, где обрабатываются данные, если обрабатываются данные гражданина ЕС, организация теперь подпадает под действие GDPR. [25]

Штрафы также являются гораздо более строгими в соответствии с GDPR и могут составлять 20 миллионов евро или 4% от годового оборота организации, в зависимости от того, что больше. [25] Кроме того, как и в предыдущих правилах, все нарушения данных, затрагивающие права и свободы лиц, проживающих в ЕС, должны быть раскрыты в течение 72 часов.

Всеобъемлющий совет, Совет по защите данных ЕС, EDP, отвечает за весь надзор, установленный GDPR.

Согласие играет важную роль в GDPR. Компании, которые хранят данные о гражданах ЕС, должны теперь также предложить им право отказаться от обмена данными так же легко, как когда они дали согласие на обмен данными. [26]

Кроме того, граждане также могут ограничить обработку данных, хранящихся на них, и могут разрешить компаниям хранить их данные, но не обрабатывать их, что создает четкую дифференциацию. В отличие от предыдущих правил, GDPR также ограничивает передачу данных гражданина за пределы ЕС или третьей стороне без предварительного согласия гражданина. [26]

Предлагаемый Регламент конфиденциальности также планируется ввести в действие с 25 мая 2018 года.

Реакции

Хотя эксперты согласны с тем, что улучшения в области кибербезопасности необходимы, существуют разногласия по поводу того, является ли решение более серьезным государственным регулированием или более частными инновациями.

Поддержка

Многие правительственные чиновники и эксперты по кибербезопасности считают, что частный сектор не смог решить проблему кибербезопасности и что необходимо регулирование. Ричард Кларк заявляет, что «промышленность реагирует только тогда, когда вы угрожаете регулированию. Если промышленность не реагирует [на угрозу], вы должны действовать». [32] Он считает, что компании-разработчики программного обеспечения должны быть вынуждены создавать более безопасные программы. [33] Брюс Шнайер также поддерживает правила, побуждающие компании-разработчики программного обеспечения писать более безопасный код с помощью экономических стимулов. [34] Представитель США Рик Баучер ( З.– Вирджиния)) предлагает улучшить кибербезопасность, возложив на компании-разработчики программного обеспечения ответственность за недостатки безопасности в их коде. [35] Помимо повышения безопасности программного обеспечения, Кларк считает, что определенные отрасли, такие как коммунальные услуги и интернет-провайдеры, требуют регулирования. [36]

Оппозиция

С другой стороны, многие руководители и лоббисты частного сектора считают, что усиление регулирования ограничит их возможности по повышению кибербезопасности. Харрис Миллер, лоббист и президент Ассоциации информационных технологий Америки , считает, что регулирование тормозит инновации. [37] Рик Уайт, бывший корпоративный поверенный, президент и главный исполнительный директор лоббистской группы TechNet, также выступает против усиления регулирования. Он заявляет, что «частный сектор должен продолжать иметь возможность вводить новшества и адаптироваться в ответ на новые методы атак в киберпространстве, и с этой целью мы благодарим президента Буша и Конгресс за проявление нормативной сдержанности». [38]

Другая причина, по которой многие руководители частного сектора выступают против регулирования, заключается в том, что оно дорого обходится и требует государственного надзора за частными предприятиями. Фирмы озабочены регулированием, снижающим прибыль, так же, как и регулированием, ограничивающим их гибкость для эффективного решения проблемы кибербезопасности.

См. Также

  • Координационный центр CERT
  • Стандарты кибербезопасности
  • Закон об обмене информацией о кибербезопасности
  • Пароль по умолчанию
  • Список утечек данных
  • Угон медицинского оборудования
  • Управление национальной кибербезопасности
  • Национальная стратегия защиты киберпространства
  • Президентская директива
  • Проактивная киберзащита
  • Группа готовности к компьютерным чрезвычайным ситуациям США
  • Министерство внутренней безопасности США

Примечания

  1. ^ «Хронология утечек данных, зарегистрированных после инцидента с ChoicePoint». (2005). Проверено 13 октября 2005 года.
  2. ^ «Электронный трек законопроекта информационного центра конфиденциальности: Отслеживание конфиденциальности, свободы слова и гражданских свобод на 109-м Конгрессе». (2005). Проверено 23 октября 2005 года.
  3. ^ «Как работают компьютерные вирусы». (2005). Проверено 10 октября 2005 года.
  4. ^ «Национальная стратегия защиты киберпространства». (2003). Проверено 14 декабря 2005 года.
  5. ^ "Уведомление о нарушении безопасности - разделы гражданского кодекса 1798.29 и 1798.82 - 1798.84." 2003 г.). Проверено 23 октября 2005 года.
  6. ^ «Интервью Ричарда Кларка». (2003). Проверено 4 декабря 2005 года.
  7. ^ Гордон Л.А., Loeb, MP, Lucyshyn, W. & Richardson, R. (2005). «Исследование компьютерных преступлений и безопасности, проведенное CSI / ФБР в 2005 году». Проверено 10 октября 2005 года.
  8. Перейти ↑ Heiman, BJ (2003). Регулирование кибербезопасности здесь. Конференция по безопасности RSA, Вашингтон, округ Колумбия, последнее посещение - 17 октября 2005 г.
  9. Кирби, К. (2003, 4 декабря 2003 г.). «Форум фокусируется на кибербезопасности». Хроники Сан-Франциско.
  10. Перейти ↑ Lemos, R. (2003). «Буш обнародовал окончательный план кибербезопасности». Проверено 4 декабря 2005 года.
  11. ^ Мень, J. (2002, 14 января 2002). «Недостатки безопасности могут стать ловушкой для Microsoft». Лос-Анджелес Таймс, стр. C1.
  12. Перейти ↑ Rasmussen, M., & Brown, A. (2004). «Закон Калифорнии устанавливает обязанности по обеспечению информационной безопасности». Проверено 31 октября 2005 г.
  13. Перейти ↑ Schmitt, E., Charron, C., Anderson, E., & Joseph, J. (2004). «Что предложенные законы о данных будут значить для маркетологов». Проверено 31 октября 2005 г.
  14. ^ Дженнифер Риццо. (2 августа 2012 г.) «Сенат не принимает закон о кибербезопасности». По состоянию на 29 августа 2012 г.
  15. ^ Пол Розенцвейг. (23 июля 2012 г.) «Закон о кибербезопасности 2012 г .: в пересмотренном законопроекте о кибербезопасности все еще есть проблемы». Фонд «Наследие». Доступ 20 августа 2012 г.
  16. Эд О'Киф и Эллен Накашима. (2 августа 2012 г.) «Сенат не принимает закон о кибербезопасности». Вашингтон Пост. Доступ 20 августа 2012 г.
  17. ^ Алекс Фицпатрик. (20 июля 2012 г.) «Обама одобряет новый закон о кибербезопасности». Mashable. По состоянию на 29 августа 2012 г.
  18. ^ Брендан Сассо. (4 августа 2012 г.) «После провала сенатского закона о кибербезопасности Обама взвешивает вариант распоряжения исполнительной власти». Холм. Доступ 20 августа 2012 г.
  19. ^ Jaikumar Виджаян. (16 августа 2012 г.) «Никаких партийных споров из-за закона о кибербезопасности, - заявляет сенатор от Республиканской партии». Компьютерный мир. По состоянию на 29 августа 2012 г.
  20. ^ Карл Францен. (2 августа 2012 г.) «Поскольку законопроект о кибербезопасности отклоняется в Сенате, защитники конфиденциальности радуются». TPM. 29 августа 2012 г.
  21. ^ Алекс Фицпатрик. (2 августа 2012 г.) "Законопроект о кибербезопасности откладывается в сенате". Mashable. По состоянию на 29 августа 2012 г.
  22. ^ Джоди Westby (13 августа 2012) «Конгресс должен вернуться в школу на Cyber законодательства». Forbes. Доступ 20 августа 2012 г.

Ссылки

  1. ^ a b «Кибер: думайте о риске, а не об ИТ» (PDF) . pwc.com . Практика регулирования финансовых услуг PwC, апрель 2015 г.
  2. ^ «Стратегия Министерства обороны США для работы в киберпространстве» (PDF) .
  3. ^ Schooner, Стивен Л .; Берто, Дэвид Дж. (2012-03-01). Новые вопросы политики и практики (2011) . Рочестер, штат Нью-Йорк: Сеть исследований в области социальных наук. SSRN 2014385 . 
  4. ^ a b Шхуна, Стивен; Берто, Давид (01.01.2014). «Новые вопросы политики и практики» . Публикации и другие работы юридического факультета GW .
  5. ^ "У агентств уже есть полномочия издавать правила защиты критически важной инфраструктуры?" . Проверено 27 декабря 2016 года .
  6. ^ a b «Закон о защите от проникновения в киберпространство (2005; 109-й Конгресс HR 29) - GovTrack.us» . GovTrack.us .
  7. ^ «Исполнительный приказ - Улучшение кибербезопасности критической инфраструктуры» . whitehouse.gov - через Национальный архив .
  8. ^ «ЗАЩИТА КИБЕРПРОСТРАНСТВА - Президент Обама объявляет о новом законодательном предложении по кибербезопасности и других усилиях по кибербезопасности» . whitehouse.gov . 2015-01-13 . Проверено 6 августа 2017 г. - из Национального архива .
  9. ^ «ИНФОРМАЦИЯ: Национальный план действий по кибербезопасности» . whitehouse.gov . 2016-02-09 . Проверено 6 августа 2017 г. - из Национального архива .
  10. ^ a b c d Специальный отчет FT (7 июня 2013 г.). «Секретность мешает битве за Интернет» . Financial Times . Проверено 12 июня 2013 года .
  11. ^ «Исполнительный приказ - Улучшение кибербезопасности критической инфраструктуры» . Белый дом . Офис пресс-секретаря . Проверено 12 июня 2013 года .
  12. ^ «Специальное законодательство для кибербезопасности необходимо: Паван Дуггал - Экспресс-компьютер» . Экспресс-компьютер . 31 августа 2015 г.
  13. ^ "L_2013165EN.01004101.xml" . eur-lex.europa.eu . Проверено 8 марта 2017 .
  14. ^ "О ENISA - ENISA" . www.enisa.europa.eu . Проверено 8 марта 2017 .
  15. ^ "Структура и организация - ENISA" . www.enisa.europa.eu . Проверено 8 марта 2017 .
  16. ^ Персер, Стив (2014). «Стандарты кибербезопасности» . В Хэтэуэй, Мелисса Э. (ред.). Лучшие практики защиты компьютерных сетей: обнаружение инцидентов и реагирование на них . Серия НАТО «Наука ради мира и безопасности» - D: Информационная и коммуникационная безопасность. 35 . IOS Press. DOI : 10.3233 / 978-1-61499-372-8-97 . ISBN 978-1-61499-372-8.
  17. ^ «Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 года о мерах по обеспечению высокого общего уровня безопасности сети и информационных систем по всему Союзу» . EUR Lex . Проверено 26 апреля 2018 .
  18. ^ «Директива о безопасности сети и информационных систем (NIS Directive)» . Единый цифровой рынок . Проверено 12 марта 2017 .
  19. ^ 09:36, 7 января 2016 г. в; tweet_btn (), ЗАКОН COM. «Директива о сетевой и информационной безопасности - кто в силе, а кто нет?» . Проверено 12 марта 2017 .CS1 maint: числовые имена: список авторов ( ссылка )
  20. ^ «Директива NIS опубликована: у государств-членов ЕС осталось чуть меньше двух лет на реализацию - Отчет о защите данных» . Отчет о защите данных . 2016-07-21 . Проверено 12 марта 2017 .
  21. ^ «Достигнуто соглашение о Директиве ЕС по сетевой и информационной безопасности (NIS) | Deloitte Luxembourg | Technology | Insight» . Делойт, Люксембург . Проверено 12 марта 2017 .
  22. ^ a b «Директива о сетевой и информационной безопасности будет реализована в Великобритании, несмотря на голосование по Brexit, - подтверждает правительство» . www.out-law.com . Проверено 12 марта 2017 .
  23. ^ «Закон ЕС о кибербезопасности» . Проверено 6 декабря 2019 .
  24. ^ «Домашняя страница GDPR ЕС» . Портал GDPR ЕС . Проверено 12 марта 2017 .
  25. ^ a b «Ключевые изменения в Общем регламенте защиты данных» . Портал GDPR ЕС . Проверено 12 марта 2017 .
  26. ^ a b «Обзор Общего регламента защиты данных (GDPR)» . ico.org.uk . 2017-03-03 . Проверено 12 марта 2017 .