Укрепление глобальной культуры кибербезопасности и управление Интернет Содержание Введение. Актуальность проблемы Терминология История вопроса Роль ООН в решении вопроса Заключение Ссылки для дальнейшего изучения темы Введение. Актуальность проблемы. XXI век характеризуется все более широким использованием информационных технологий в жизни общества. Широкое проникновение социальных сетей, использование Интернет как основного источника информации внесли серьезные изменения в социальные отношения в мире. Сегодня информационные технологии дают возможность людям из различных стран и континентов обсуждать интересующие их проблемы в режиме реального времени. Современные информационные технологии позволяют получать информацию непосредственно с места событий или от лиц принимавших участие. Все крупные мировые СМИ сегодня уже имеют представительство в Интернет, и у нас есть уникальная возможность получать информацию из различных источников, формируя полное представление о происходящем, понимая через это общение различие в культурах. Отличительной особенностью Интернет до последнего времени являлась возможность остаться анонимным, скрыть свое социальное положение, место проживания, гендерную принадлежность. Фактически мы получили возможность общения за рамками наших предрассудков, и это довольно часто помогало услышать собеседника. 1 Однако благодаря этим особенностям, информационные технологии одновременно являются уникальной средой для развития различных негативных явлений, таких как: распространение нелегального контента, использование уязвимостей информационных систем для совершения противоправных действий, включая конечно рассылку SPAM сообщений. На сегодняшний день ситуация с кибербезопасностью в Интернет внушает серьезные опасения. Терминология Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Безопасность — защищенность жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, состояние, при котором чему-либо или комулибо не угрожает опасность. Информационная безопасность — состояние защищённости информационной среды; защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния. В связи с этим различают: Информационную безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере1; Информационную безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие2; Информационную безопасность личности — состояние, при котором наиболее полно реализуются основные права человека и гражданина на доступ к Информационная безопасность // URL: http://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0% B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B 0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C 2 Там же. 1 2 информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность3. Выделяют три основных аспекта информационной безопасности: Конфиденциальность - свойство, обеспечивающее ограничение доступа к информации или не разглашение её неуполномоченным лицам, организациям или процессам. Целостность - термин в информатике и теории телекоммуникаций, означающий, что данные полны, условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление. Доступность - свойство быть доступным и годным к употреблению по требованию уполномоченного лица. Владелец информационных ресурсов — субъект, осуществляющий владение и пользование указанным объектом и реализующий полномочия распоряжения в пределах, установленных законом и собственником информационных ресурсов. Доступ к информации (разграничительной) системы санкционированный — часть разрешительной доступа к персонала конфиденциальной информации, представляет собой практическую реализацию права сотрудника на работу с подобной информацией, необходимой ему для выполнения возложенных на него функций. Доступ руководителем, санкционируется его заместителем, полномочным руководителем должностным лицом подразделения, (первым службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника фирмы. Доступ к информации несанкционированный — случайное или преднамеренное овладение конфиденциальными сведениями и возможное опасное воздействие на них лиц, не имеющих права доступа к конкретной защищаемой информации. Доступ, не санкционированный полномочным должностным лицом, считается незаконным. Доктрина информационной безопасности Российской Федерации // URL: http://www.rg.ru/oficial/doc/min_and_vedom/mim_bezop/doctr.shtm 3 3 Защита информации — (концепции) информационной практическая реализация безопасности фирмы, комплексной жестко программы регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы. В данном случае безопасность расценивается в качестве реального результата, достигнутого за счет функционирования выбранной системы защиты информации. Злоумышленник — лицо (или группа лиц), предполагающее совершить или умышленно совершающее действия с целью осуществления несанкционированного доступа к информации; лицо (или группа лиц) осуществляющее распространение нелегального контента. Интеллектуальная собственность — физического на лица результаты труда (информационный исключительное интеллектуальной продукт), имеющего право юридического или деятельности, конкретную творческого ценность для собственника или владельца этих результатов. Нелегальный контент – наполнение информационных ресурсов в нарушение местных и/или международных законов. Право информационное — совокупность законодательных информационно-правовых норм, регулирующих общественные отношения в информационной сфере и являющихся гарантированным инструментом охраны интеллектуальной информационной собственности (информационного продукта) юридических и физических лиц. История вопроса Проблема кибербезопасности сравнительно молодая и связана с изобретением во второй половине XX века средств вычислительной техники, компьютерных сетей и современных средств связи. Теоретические разработки самовоспроизводящихся программ предложил Джон Фон Нейман в 1951 году, в 1961 году были получены первые примеры подобных программ. Первый известный инцидент, связанный с безопасностью произошел в 1981 году и был связан с распространением компьютерных вирусов для персонального компьютера (ПК) 4 Apple II. А уже зимой 1984 года появились первые антивирусные утилиты — CHK4BOMB и BOMBSQAD, автором которых был Andy Hopkins. Основными целями злоумышленников тогда являлись самоутверждение и поиск новых возможностей самореализации. Основными задачами в области информационной безопасности, в мировом масштабе, были противодействие вирусным эпидемиям и защита информационных ресурсов от несанкционированного доступа. В конце 1980-х впервые появляется информация о возможности мошенничеств с использованием банковских карт. Именно этот момент стал поворотным – криминальный мир узнал, что с помощью информационных технологий можно получать реальные деньги. При этом правоохранительные органы были поставлены перед необходимостью разбираться в новых технологиях и строить доказательную базу на основе виртуальных улик. В это время проблема обеспечения информационной безопасности трактовалась как обеспечение конфиденциальности и основными заказчиками в этой области были представители различного рода государственных структур и разведывательных управлений. Новые возможности киберпреступность получила с изобретением технологий HTTP, HTML и URL в 1990 году и запуском первого «www» сайта 6 августа 1991 года. Влияние этого изобретения на современные средства коммуникации довольно трудно оценить, но некоторые эксперты в области информационных технологий считают, что Интернет стал мировой сетью только благодаря технологиям Web. Фактически до этого момента Интернет был просто средой обмена статичной информацией через электронную почту, электронные доски объявлений и специализированные серверы. Технология гипертекста позволила пользователям с минимальными техническими возможностями создавать документы со ссылками на ресурсы расположенные на других серверах. Развитие информационных технологий представления информации во всемирной паутине, эволюция сетевых технологий, позволяющих увеличить скорость подключения компьютеров к Интернет, и внедрение технологий on-line платежей дало киберпреступникам широкие возможности для своей противоправной деятельности. Существенную роль здесь сыграло развитие технологий Web 2.0. в сентябре 2005 года. По словам автора технологии Тима О’Рейли: «Особенностью Web 2.0. является принцип привлечения пользователей к наполнению и многократной выверке контента». Определение Тима О’Рейли нуждается в уточнении. Говоря «становятся лучше», имеют в виду скорее «становятся полнее», то есть речь, как правило, идёт о наполнении 5 информацией, однако вопросы её надёжности, достоверности, объективности не рассматриваются. Строго говоря, Web 2.0 не является технологией или каким-то особым стилем Webдизайна. Для определения сути подходит определение Web 2.0 как комплексного подхода к организации, реализации и поддержке Web-ресурсов. Предлагаю рассмотреть наиболее известные «проявления» Web 2.0, с которыми, так или иначе, встречался каждый пользователь Интернета. C точки зрения кибербезопасности Web 2.0 замечателен тем, что позволяет злоумышленнику на сайте поддерживающем возможность наполнения пользователями разместить нелегальный контент. Таким образом, мир столкнулся с проблемой определения юрисдикции в киберпространстве. Суть проблемы заключается в ответе на вопрос: В случае если в преступлении участвовали, например хакер из Китая, серверы находились на территории США, а пострадавший был из Австралии по законам какой страны вести судебное разбирательство? Рисунок 1. Мировое взаимодействие. Еще одним интересным явлением, оказавшим влияние на кибербезопасность, стал приход в Интернет рекламы. На сегодняшний день существуют сайты с количеством посещений сотни тысяч и миллионы в сутки. Особенностью информационных технологий в этой области является достаточно большой объем информации о человеке, который просматривает рекламное сообщение. Мы можем узнать его адрес, включая номер дома, мы можем узнать какие сайты он просматривал перед этим, мы можем узнать какие 6 запросы он вводил в поисковых системах, какой у него компьютер, какая операционная система. Вся эта информация позволяет сделать рекламное сообщение нацеленным на вполне конкретную аудиторию. Сегодня существует множество сайтов единственным доходом, которых является показ рекламы. С приходом в Интернет коммерции поменялись и цели киберпреступников. Ведущей задачей стало получение денежных средств. Если рассмотреть наполнение сайта публикующего нелегальный контент, то можно обнаружить следующие функции: Показ рекламных баннеров, в том числе провоцирование пользователя на переход на соответствующие сайты-рекламодатели; Malware. Установка (заражение) компьютера различного рода злонамеренного программного обеспечения. Цели могут быть следующие: o Кража идентификационной информации – логин/пароль на известных серверах; номера, пароли адреса интернет-банков, реквизиты платежных карт; o Установка botnet клиентов для последующего использования компьютера без ведома жертвы. Публикация материалов нарушающих международное и местное законодательство. Безопасность личности в современных системах информационного обмена в последнее время стала одной из наиболее важных проблем. Появление в 1995 году американского портала Classmates.com привело к созданию нового поколения информационных сервисов объединяющих людей не только по интересам в информационной сфере, но и по социальным связям. Сегодня они называются Социальными сетями. Сейчас многие социальные сети используются не только для общения с людьми, разделяющими взгляды, убеждения или просто знакомыми, а так же в электронной коммерции для поиска контрагентов и партнеров в бизнесе. Однако социальные сети стали еще и полем с которого можно собрать обширнейшую информацию о человеке с целью использования ее в противоправных целях. Так, например, в исследовании PandaSecurity4 приводятся следующие данные: 20% детей, регулярно использующих Интернет, один раз подвергались сексуальным домогательствам при виртуальном общении, 11 % подверглись этому несколько раз. В Как уберечь детей от опасностей интернета: правила поведения в сети http://reggin.ru/publ/kak_uberech_detej_ot_opasnostej_interneta_pravila_povedenija_v_seti/20-1-0-55 4 7 // URL: других случаях воздействие может принимать форму оскорблений со стороны других Интернет-пользователей или почтовых сообщений с оскорбительным содержанием. Тревожные данные: 14.5 % детей, принявших участие в опросе, назначали встречи с незнакомцами через Интернет. 10 % из них ходили на встречи в одиночку, а 7 % никому не сообщили, что с кем-то встречаются. Как следствие уже зафиксированы преступления, которые совершались после сбора информации о жертве, ее привычках, распорядке дня, именах знакомых, анализа фотографий для определения финансового состояния жертвы. Следует так же отметить использование ресурсов Интернет различного рода экстремистскими группировками, а так же террористическими организациями. К сожалению, не игнорируют современные технологии, и секты различного толка. Киберпреступники этого вида используют информацию и сервисы социальных сетей для вербовки новых последователей и исполнителей. Однако роль современных коммуникационных технологий при организации беспорядков и революций, сегодня пока еще переоценена. Как показали недавние события в Египте, отключение целой страны от международного сетевого пространства не оказало существенного влияния на развитие событий. Сегодня можно выделить следующие проблемы в области кибербезопасности: 1. Защита детей в при online коммуникациях 2. Противодействие проявлениям экстремизма, разжиганию межнациональной вражды. 3. Защита авторских прав. 4. Обеспечение безопасности электронных платежей и торговых сделок. 5. Противодействие рассылке спама. 6. Противодействие хищениям с использованием современных сетевых технологий. 7. Обеспечение сохранности тайны личной жизни при сетевом взаимодействии. Роль ООН в решении вопроса Появление на международной арене вопроса кибербезопасности и управления Интернет произошло на одном из заседаний Подготовительного комитета Всемирной встречи на высшем уровне по вопросам информационного общества, в феврале 2003 г. 8 Непосредственно сама Всемирная встреча на высшем уровне по вопросам информационного общества (ВВУИО) состоялась двумя годами позже и проходила в два этапа: в Женеве с 10 по 12 декабря 2003 года и в Тунисе с 16 по 18 ноября 2005 года; и завершилась принятием Итоговых документов ВВУИО, в которых было принято обязательство «построить ориентированное на интересы людей, открытое для всех и направленное на развитие информационное общество, в котором каждый мог бы создавать информацию и знания, иметь к ним доступ, пользоваться и обмениваться ими». Одним из значимых документов Встречи является Декларация принципов «Построение информационного общества – глобальная задача в новом тысячелетии»5, принятый в Женеве 12 декабря 2003 года. Особого внимания заслуживает Глава 5 и Глава 6 Декларации. Положения Главы 5 «Укрепление доверия и безопасности при использовании ИКТ» сводятся к следующему: Необходимо формировать, развивать и внедрять глобальную культуру кибербезопасности в сотрудничестве со всеми заинтересованными сторонами и компетентными международными организациями. Данные усилия должны опираться на расширяющееся международное сотрудничество. В рамках этой глобальной культуры кибербезопасности важно повышать безопасность и обеспечивать защиту данных и неприкосновенность частной жизни, расширяя при этом доступ и масштаб торговых операций. Кроме того, необходимо принимать во внимание уровень социально-экономического развитии каждой страны и учитывать связанные с ориентацией на развитие аспекты информационного общества. (Статья 35) Признавая принципы универсального и недискриминационного доступа к ИКТ для всех стран, мы поддерживаем деятельность Организации Объединенных Наций, направленную на предотвращение возможности использования ИКТ в целях, которые несовместимы с задачами обеспечения международной стабильности и безопасности и способны оказать отрицательное воздействие на целостность государственных инфраструктур, нанося ущерб их безопасности. Следует предотвращать использование информационных ресурсов и технологий в 5 Декларация принципов. Построение информационного общества – глобальная задача в новом тысячелетии // URL: http://www.un.org/russian/conferen/wsis/dec.pdf 9 преступных и террористических целях, соблюдая при этом права человека. (Статья 36) Вопросы, касающиеся спама и кибербезопасности, следует рассматривать на соответствующем национальном и международном уровнях. (Статья 37) Глава 6 «Благоприятная среда» включает в себя следующие положения: Необходимым условием существования информационного общества является благоприятная среда на национальном и международном уровнях. ИКТ следует применять как важный инструмент надлежащего государственного управления. Верховенство права, наряду с благоприятной, прозрачной, способствующей конкуренции, основанной на принципе технологической нейтральности и предсказуемой политической и регламентарной базой, учитывающей национальные особенности, необходимо для создания ориентированного на интересы людей информационного общества. Жизненно важными дополнительными компонентами относящихся к ИКТ национальных усилий в области развития являются динамичная и благоприятная международная среда, способствующая привлечению прямых иностранных инвестиций, передаче технологий и международному сотрудничеству, в первую очередь в областях финансов, задолженности и торговли, а также полномасштабное и эффективное участие развивающихся стран в принятии решений на мировом уровне. Расширение приемлемой в ценовом отношении возможности глобального подключения может значительно способствовать эффективности этих усилий в области развития. ИКТ, способствуя повышению эффективности и производительности, прежде всего предприятий малого и среднего бизнеса (МСП), являются мощным катализатором экономического роста. В этом отношении развитие информационного общества важно для экономического роста на широкой основе, как в развитых, так и в развивающихся странах. Следует поощрять обусловливаемый ИКТ рост производительности и внедрение инноваций в секторы экономики. Справедливое распределение создаваемых благ способствует ликвидации нищеты и социальному развитию. 10 Для поощрения инновационной деятельности и творчества в информационном обществе важно обеспечивать защиту интеллектуальной собственности ... . Содействие осознанному участию всех в решении вопросов интеллектуальной собственности и совместном использовании знаний посредством полномасштабного информирования и наращивания потенциала является одним из основополагающих элементов открытого для всех информационного общества. Разработка и использование открытых, обеспечивающих возможность взаимодействия, недискриминационных и определяемых спросом стандартов с учетом потребностей пользователей и потребителей, – одно из основных условий развития и расширения распространения ИКТ и обеспечения более приемлемого в ценовом отношении доступа к ним, прежде всего в развивающихся странах. Международные стандарты имеют целью создание среды, в которой потребители могли бы пользоваться соответствующими услугами в любой точке мира, независимо от применяемой технологии. Государства настоятельно призываются принимать при построении информационного общества меры, направленные на недопущение и отказ от какихлибо односторонних действий, несоответствующих международному праву и Уставу Организации Объединенных Наций и препятствующих полномасштабному обеспечению социально-экономического развития затрагиваемых стран и благосостояния их населения. Интернет превратился в публичный ресурс глобального масштаба, и управление его использованием должно стать одним из основных вопросов повестки дня информационного общества. Управление использованием Интернет на международном уровне необходимо осуществлять на многосторонней, прозрачной и демократической основе при полномасштабном участии органов государственного управления, частного сектора, гражданского общества и международных организаций. Это управление должно обеспечивать справедливое распределение ресурсов, способствовать доступу для всех, гарантировать стабильное и защищенное функционирование Интернет с учетом многоязычия. Управление использованием Интернет охватывает как технические вопросы, так и вопросы государственной заинтересованные стороны политики, и и в нем соответствующие должны межправительственные международные организации. В связи с этим признается, что: 11 участвовать все и а) политические полномочия по связанным с Интернет вопросам государственной политики являются суверенным правом государств. Государства имеют права и обязанности в отношении связанных с Интернет вопросов государственной политики международного уровня; b) частный сектор играет и должен продолжать играть важную роль в развитии Интернет, как в технической, так и в экономической сфере; с) гражданское общество также играет важную роль в относящихся к Интернет вопросах, в особенности на уровне общин, и должно продолжать играть такую роль; d) межправительственные организации играют и должны продолжать играть роль, способствующую координации связанных с Интернет вопросов государственной политики; е) международные организации также играют и должны продолжать играть важную роль в разработке относящихся к Интернет технических стандартов и соответствующей политики. Вопросы управления использованием Интернет на международном уровне следует решать согласованным образом. Мы обращаемся к Генеральному секретарю Организации Объединенных Наций с просьбой учредить рабочую группу по управлению использованием Интернет в рамках открытого и всеобъемлющего процесса, обеспечивающего механизм для полномасштабного и активного участия органов государственного управления, частного сектора и гражданского общества как из развивающихся, так и из развитых стран, в том числе соответствующих межправительственных и международных организаций и форумов, в целях изучения вопроса об управлении использованием Интернет и представления к 2005 году в надлежащих случаях предложений для принятия решения в отношении организации управления использованием Интернет. Вопросы обеспечения кибербезопасности также нашли свое отражение в деятельности специализированного учреждения Международный союз электросвязи6. Международный союз электросвязи. Виды деятельности МСЭ, связанные с кибербезопасностью // URL: http://www.itu.int/cybersecurity/index-ru.html 6 12 Вопросы, связанные с государственной политикой в области управления Интернет, были изложены в Тунисской программе для информационного общества «Управление использованием Интернета» (док. A/60/6877). В дальнейшем, чтобы лучше понять вопросы, касающиеся управления Интернет, и содействовать транспарентному и открытому диалогу между заинтересованными сторонами было решено создать Форум по вопросам управления Интернет, созываемый Генеральным секретарем ООН. Основное предназначение Форума состоит в обсуждении вопросов государственной политики, касающихся ключевых элементов управления Интернет, перечисленных в Тунисской программе, в целях содействия обеспечению устойчивого характера, надежности, безопасности, стабильности и развития Интернет в развитых и развивающихся странах. Данный Форум был призван обеспечить нейтральный, исключающий дублирование и не имеющий обязательной силы процесс, никоим образом не вмешивающийся в вопросы повседневной эксплуатации или технического обслуживания сети Интернет. Когда в 2006 году Форум по вопросам управления Интернет был создан, ему была предоставлена значительная свобода действий в плане определения своей собственной повестки дня с тем очевидным ограничением, что его программа работы должна быть связана с ключевыми элементами управления Интернет. Форум должен способствовать построению «ориентированного на интересы людей, открытого для всех и направленного на развитие информационного общества» при уважении всеобщих прав человека и основных свобод. Эти основополагающие цели были сформулированы в Женевской декларации принципов и затем подтверждены в пунктах 29 и 31 Тунисской программы в качестве преамбулы к обязательствам государств-членов Форума по вопросам управления Интернет. В 2006 г. Генеральным секретарем была создана Консультативная группа, в рамках которой было сформировано общее представление о том, как должен функционировать Форум и какие проблемы он должен решать. Данная Консультативная группа является своего рода бюро Форума и насчитывает 56 членов, предлагаемых различными заинтересованными группами с учетом необходимости географической и гендерной сбалансированности. Консультативная группа готовит программу ежегодного совещания Генеральная Ассамблея ООН. Доклад Всемирной встречи на высшем уровне по вопросам информационного общества (док. A/60/687) // URL: http://daccess-ddsny.un.org/doc/UNDOC/GEN/N06/254/44/IMG/N0625444.pdf?OpenElement 7 13 Форума. По сложившейся практике Группа проводит три заседания в год под председательством Специального советника по вопросам управления Интернет. Мандат Форума содержит дополнительные указания в отношении того, какого рода ключевые вопросы государственной политики он должен рассматривать. Хотя это и не предлагается в качестве исчерпывающего перечня пунктов повестки дня, конкретно упоминается следующее: a) обеспечение устойчивого характера, надежности, безопасности, стабильности и развития Интернета; b) доступность и ценовая приемлемость Интернета в странах развивающегося мира; c) возникающие проблемы; d) оценка практического осуществления принципов Всемирной встречи по вопросам информационного общества в процессе управления Интернетом; e) вопросы, касающиеся важнейших ресурсов Интернета; f) вопросы, возникающие в связи с надлежащим и ненадлежащим использованием Интернета, имеющим особое значение для повседневных пользователей. За период, прошедший с создания Форума, произошло существенное уточнение контуров этих вопросов и улучшилось понимание их взаимосвязи. Например, в 2006 г. вопросы открытости и безопасности обсуждались отдельно, а начиная с 2008 г. эти два вопроса наряду с конфиденциальностью стали рассматриваться вместе в признание связи между такими вторичными вопросами, как доступ к знаниям, свобода выражения мнений, права интеллектуальной собственности, преступность в Интернете и государственная безопасность. В рамках более широких проблемных областей акцент также сместился. Если в 2008 г. в контексте более широкого вопроса о разнообразии значительное внимание было уделено многоязычию, то в 2010 г. значительно больший вес имеют вопросы инфраструктуры и регулирования в рамках пункта о доступе и разнообразии. Аналогичным образом в 2006 г. видное место в обсуждении вопросов безопасности занимал спам, а в 2010 г. тема безопасности программ была расширена за счет включения более общего вопроса о регулировании вредоносного интернет-контента. В своей работе Форум по вопросам управления Интернет и Консультативная группа широкого состава опираются на секретариат, возглавляемый Исполнительным координатором, и отчитываются перед Департаментом по экономическим и социальным 14 вопросам через Отдел государственно-административной деятельности и управления развитием. Секретариат финансируется за счет добровольных взносов и находится в Отделении Организации Объединенных Наций в Женеве. Организационно Форум стал ежегодной конференцией заинтересованных сторон. Первое совещание состоялось в Афинах в 2006 г., второе в Рио-де-Жанейро (Бразилия), в 2007 г., третье в Хайдарабаде (Индия), в 2008 г. и четвертое в Шарм-эш-Шейхе (Египет), в 2009 г. Правительство Литвы примет у себя пятое ежегодное совещание Форума, которое пройдет в Вильнюсе в сентябре 2010 г. Заседания проводятся каждый год на разных континентах, с тем чтобы содействовать широкому участию. Заключение Подводя итог, необходимо отметить, что стремительное развитие информационной технологии изменило то, как государственные органы, предприятия, другие организации и индивидуальные пользователи, которые разрабатывают эти информационные системы и сети, имеют, поставляют их, управляют ими, обслуживают и используют их («участники»), должны подходить к кибербезопасности. Глобальная культура кибербезопасности будет требовать от всех участников учета следующих девяти взаимодополняющих элементов: a) осведомленность. Участники должны быть осведомлены о необходимости безопасности информационных систем и сетей и о том, что они могут сделать для повышения безопасности; b) ответственность. Участники отвечают за безопасность информационных систем и сетей сообразно с ролью каждого из них. Участники должны подвергать свои политику, практику, меры и процедуры регулярному обзору и оценивать, соответствуют ли они среде их применения; c) реагирование. Участники должны принимать своевременные и совместные меры по предупреждению инцидентов, затрагивающих безопасность, их обнаружению и реагированию на них. Они должны обмениваться в надлежащих случаях информацией об угрозах и факторах уязвимости и вводить процедуры, предусматривающие оперативное и эффективное сотрудничество в деле предупреждения таких инцидентов, их обнаружения и реагирования на них. Это может предполагать трансграничный информационный обмен и сотрудничество; 15 d) этика. Поскольку информационные системы и сети проникли во все уголки современного общества, участникам необходимо учитывать законные интересы других и признавать, что их действия или бездействие могут повредить другим; e) демократия. Безопасность должна обеспечиваться так, чтобы это соответствовало ценностям, которые признаются демократическим обществом, включая свободу обмена мыслями и идеями, свободный поток информации, конфиденциальность информации и коммуникации, надлежащая защита информации личного характера, открытость и гласность; f) оценка риска. Все участники должны выполнять периодическую оценку риска, которая: позволяет выявлять угрозы и факторы уязвимости; имеет достаточно широкую базу, чтобы охватить такие ключевые внутренние и внешние факторы, как технология, физические и человеческие факторы, применяемая методика и услуги третьих лиц, сказывающиеся на безопасности; дает возможность определить допустимую степень риска; помогает выбрать надлежащие инструменты контроля, позволяющие регулировать риск потенциального ущерба информационным системам и сетям с учетом характера и значимости защищаемой информации; g) проектирование и внедрение средств обеспечения безопасности. Участники должны рассматривать соображения безопасности в качестве важнейшего элемента планирования и проектирования, эксплуатации и использования информационных систем и сетей; h) управление обеспечением безопасности. Участники должны принять комплексный подход к управлению обеспечением безопасности, опираясь на динамичную оценку риска, охватывающую все уровни деятельности участников и все аспекты их операций; i) переоценка. Участники должны подвергать вопросы безопасности информационных систем и сетей обзору и повторной оценке и вносить надлежащие изменения в политику, практику, меры и процедуры обеспечения безопасности, учитывая при этом появление новых и изменение прежних угроз и факторов уязвимости. Вопросы, которые следует осветить в заключительном документе 1. Подчеркнуть значимость распространения информационно-коммуникационных технологий в мире, а в особенности, в наименее экономически развитых странах. 2. Обратить внимание на основные факторы безопасной работы в Интернет, а так же на слабую осведомленность большинства пользователей. 16 3. Призвать общественные группы и политическую власть, а также международные организации к консолидации и учету общих интересов человечества 5. Предложить ряд мер по улучшению сложившейся ситуации в области управления развитием Интернет. Ссылки для дальнейшего изучения темы: - Глобальная программа кибербезопасности МСЭ. Основа для международного сотрудничества в области кибербезопасности // URL: http://www.ifap.ru/pr/2008/080908aa.pdf - Генеральная Ассамблея ООН. Доклад Всемирной встречи на высшем уровне по вопросам информационного общества (док. A/60/687) // URL: http://daccess-ddsny.un.org/doc/UNDOC/GEN/N06/254/44/IMG/N0625444.pdf?OpenElement - Доктрина информационной безопасности Российской Федерации // URL: http://www.rg.ru/oficial/doc/min_and_vedom/mim_bezop/doctr.shtm - Декларация принципов. Построение информационного общества – глобальная задача в новом тысячелетии // URL:www.un.org/russian/conferen/wsis/dec.pdf - Как уберечь детей от опасностей интернета: правила поведения в сети // URL: http://www.detionline.ru/innocense.htm - Интернет Governance Forum // URL: http://www.intgovforum.org/cms/aboutigf - World Summit on the Information Society // URL: http://www.itu.int/wsis/index.html 17