Стратегия Франции по кибербезопасности 2011

СТРАТЕГИЯ ПО ЗАЩИТЕ И БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ФРАНЦИИ
Февраль 2011
Введение
В Белой книге по обороне и безопасности, представленной Президентом в июне 2008 года, безопасность информационных систем, наряду со средствами устрашения, определена как сфера, в которой необходимо полностью реализовывать суверенитет Франции. Для выполнения этой задачи необходимо приложить коллективные усилия.
Может показаться, что киберпространство только отдаленно связано с обороной и национальной безопасностью. В двадцатых годах цифровые технологии разрушили границы между личной и профессиональной жизнью, повысили корпоративную конкурентоспособность до беспрецедентного уровня, сделали государственные услуги более доступными для пользователей и способствовали развитию прозрачности деятельности институтов нашей страны.
Киберпространство, новая Вавилонская башня, позволяет делать общедоступными культуры мира, распространять идеи и информацию в режиме реального времени и обсуждать различные темы между людьми. Исключение из цифрового пространства приводит к изоляции людей, упадку компаний и зависимости наций.
В материальном мире жестокие действия преступников, а также разрушения, принесенные войной или терроризмом, у всех на виду и обычно придаются широкой огласке. В киберпространстве последствия кибератак на правительство, компании или информационные системы отдельных лиц наиболее видимы только для специалистов и остаются неизвестными для широкой общественности.
Киберпространство, как виртуальное поле боя, стало местом конфронтации: присвоение личных данных, шпионаж в отношении научных, экономических и коммерческих активов компаний, которые стали жертвой конкурентов или иностранных держав, сбой услуг, необходимых для надлежащего функционирования экономики и повседневной жизни, несанкционированное разглашение информации, связанной с нашим суверенитетом, и даже при определенных обстоятельствах потеря человеческих жизней сегодня являются потенциальными или фактическими последствиями объединения цифрового мира и деятельности человека.
С учетом неожиданного возникновения киберпространства в сфере национальной безопасности и масштабов предстоящих проблем, французское правительство приняло решение обеспечить Франции структурированный потенциал в сфере обороны и безопасности. Исходя из этого, в 2009 году было учреждено Национальное агентство Франции по безопасности информационных систем (ANSSI) для реализации потребностей государственных институтов, компаний и граждан. В июле 2010 года Президент принял решение о поручении Агентству задачи по обеспечению защиты информационных систем в дополнение к их безопасности.
Цель настоящего документа – представить стратегию, реализуемую Францией с момента публикации Белой книги по обороне и безопасности в целях обеспечения безопасности наших граждан, компаний и нашего государства в киберпространстве.
/подпись/
Фрасис Делон
Министр обороны и национальной безопасности

Краткая информация
Среди основных угроз, с которыми Франция столкнется в ближайшие пятнадцать лет, Белая книга по обороне и безопасности 2008 года определила масштабные кибератаки на национальную инфраструктуру.
Исходя из этого, французское правительство приняло решение о существенном укреплении национального потенциала в сфере киберобороны. Создание Национального агентства Франции по безопасности информационных систем (ANSSI) в 2009 году стало первым шагом этого процесса.
Настоящее изложение национальной стратегии защиты и безопасности информационных систем отражает цели, изложенные в Белой книге. Настоящая стратегия основана на четырех целях.
1. Стать мировой силой в сфере киберобороны
Поддерживая свою стратегическую независимость, Франция должна работать в направлении обеспечения для себя места в узком кругу лидирующих государств в сфере киберобороны. Таким образом, мы будем извлекать пользу из цепной реакции сотрудничества, как на оперативном уровне, так и на уровне реализации единой стратегии для борьбы с общими угрозами.
2. Защищать способность Франции принимать решения посредством защиты информации, связанной с ее суверенитетом
Правительственные органы и другие органы по управлению кризисными ситуациями должны иметь в своем распоряжении ресурсы для осуществления коммуникаций в любой ситуации и в полной конфиденциальности. Необходимо обеспечить расширение сетей, которые соответствуют этим требованиям, в частности, на местном уровне.
Обеспечение конфиденциальности информации, которая распространяется по таким сетям, требует управления продуктами безопасности. Мы должны поддерживать необходимый уровень профессиональных знаний для их разработки и оптимизации их развития.
3. Укрепление кибербезопасности ключевой национальной инфраструктуры
Нормальное функционирование нашего общества все больше зависит от информационных систем и сетей, в частности, от интернета. Успешная атака на ключевые информационные системы или интернет может иметь серьезные последствия для населения или экономики. В тесном сотрудничестве с производителями и операторами соответствующего оборудования Государство должна работать для обеспечения и совершенствования безопасности таких ключевых систем.
4. Обеспечение безопасности в киберпространстве
Угрозы информационным системам одновременно влияют на государственные услуги, частные компании и граждан.
Государственные услуги должны безупречно функционировать и повышать защиту их информационных систем и переданных данных.
Одновременно, необходимо провести кампании по повышению осведомленности среди компаний и граждан.
В целях борьбы с киберпреступностью Франция будет стимулировать развитие действующего законодательства и международного судебного сотрудничества.
Для выполнения этих целей необходимо выделить семь направлений деятельности:
1. осуществлять эффективное прогнозирование и анализ внешних условий для принятия взвешенных решений.
2. выявлять и сдерживать атаки, предупреждать и помогать потенциальным жертвам.
3. усиливать и поддерживать наш научный, технический, отраслевой и человеческий потенциал для защиты нашей независимости.
4. защищать информационные системы Государства и операторов ключевой инфраструктуры в целях обеспечения более высокой национальной устойчивости.
5. адаптировать французское законодательство для внедрения новых технологических разработок и практик.
6. развивать инициативы международного сотрудничества в сфере безопасности информационных систем, киберобороны и борьбы с киберпреступностью для лучшей защиты национальных информационных систем.
7. Сообщать, информировать и убеждать в рамках повышения осведомленности французского населения о рисках, связанных с безопасностью информационных систем.
Настоящий документ обобщает публичную часть принципов и действий, одобренных стратегическим комитетом по безопасности информационных систем, учрежденным согласно Указу № 2009-834 от 7 июля 2009 г., предусматривающим создание Национального агентства Франции по безопасности информационных систем (ANSSI)
« Франция должна удерживать сферы суверенитета, сконцентрировавшись на потенциале, необходимом для поддержания стратегической и политической автономии страны: при этом приоритетными сферами действий являются ядерные средства устрашения; баллистические ракеты; SSBN и SSN; и кибербезопасность. »
«Белая книга по обороне и безопасности», с.306
Четыре стратегические цели
1. Стать мировой державой в сфере киберобороны
Развитие информационного общества при поддержке электронных коммуникационных сетей является колоссальным стимулом роста Франции, поскольку оно создает ценность и рабочие места. Оно значительно поддерживает конкурентоспособность нашей экономики и международной позиции Франции.
При этом электронные коммуникационные сети подвергаются незаконной деятельности, осуществляемой, прямо или косвенно, иностранными государствами. Некоторые из них ведут через эти сети масштабный шпионаж для получения доступа к информации, связанной с нашим суверенитетом, напр., конфиденциальным материалам национальной обороны, либо к научным, технологическим, коммерческим или финансовым активам компаний, действующих в стратегических секторах нашей страны.
Террористические группировки также используют те же коммуникационные сети для распространения своих идей и оперативного информирования своих организаций, а также для ведения пропаганды.
В ближайшем будущем иностранные государства или террористические группировки могут проводить атаки на ключевую инфраструктуру государств, которых они считают идеологически враждебными.
Поэтому Франции необходимо нарастить потенциал в сфере киберобороны.
При этом в отличие от материального мира, конфронтации в киберпространстве не имеют границ. Таким образом, надежная кибероборона не может быть ограничена национальным уровнем. Она должна основываться на сети союзников, с которыми в реальном времени возможна передача информации о степени уязвимости, механизмах защиты, атаках и контрмерах, которые могут применяться против кибератаки, проведенной, прямо или косвенно, государствами или террористическими группировками. Франция будет укреплять оперативное сотрудничество с ближайшими партнерами и будет развивать свой потенциал для активного участия в разработке политики киберобороны в рамках международных организаций, в частности, Европейского Союза.
2. Охранять возможность Франции принимать решения посредством защиты информации, связанной с ее суверенитетом
Необходимость мгновенного доступа и информации в различных форматах все больше становится тенденцией современного общества. Тем не менее, часть мировой стабильности все еще зависит от нашей способности скрывать «информацию, связанную с нашим суверенитетом», напр., фрагменты дипломатической, военной, научной, технической и экономической информации, которая обеспечит свободу действий и процветание стран.
Как и в прошлом, разведка во всем мире, помимо прочего, стремится собрать информацию, связанную с нашим суверенитетом. Коммуникационные сети, в частности, интернет, и информация, которая содержится в сетях, стали как источником информации, так и средством их сбора.
Самый эффективный способ защитить информацию, связанную с нашим суверенитетом, это использовать техники шифрования, которые предотвращают или, как минимум, затрудняют понимание информации в случае ее раскрытия или перехвата. Достижения в криптоанализе, которые отражают потенциал по обработке компьютерных данных, требуют понимания и использования методов и техник, которые более сложно анализировать и регулярно пересматривать.
Охрана нашей стратегической независимости зависит от наших способностей освоения криптографических техник и основных технологий, необходимых для разработки наших продуктов безопасности; поэтому нам необходимо обеспечить привлекательность сферы безопасности информационных систем для молодых выпускников вузов в целях предотвращения постепенного разрушения нашей компетентности.
Помимо необходимости безопасных и конфиденциальных коммуникаций, лица, принимающие решения, и организации, вовлеченные в управлении кризисными ситуациями, должны иметь в своем распоряжении средства коммуникации, которые можно использовать в любых ситуациях. Такие безопасные ресурсы обмена электронными данными, телефонной связи и проведения видеоконференций уже разработаны. В последующие годы мы будем работать в направлении их освоения, в частности, операторами ключевой инфраструктуры.
3. Укрепление кибербезопасности ключевой национальной инфраструктуры
Посредством взаимопроникновения многих технологий реальный и виртуальный миры становятся все более взаимосвязанными. Многие объекты реального мира – от этикеток в магазине до нефтеперерабатывающих заводов, от фотокопировальных аппаратов до боевых дронов – имеют встроенные информационные системы и связаны друг с другом. Удаленно, через сети, становится возможным сбор информации, передаваемой такими объектами для обеспечения их работы и управления ими.
В своем Оборонном кодексе Франция определила ключевые секторы, в которых операторы выполняют задачи, имеющие принципиальное значение для жизни населения, реализации государственной власти, управления экономикой, обеспечения оборонного потенциала и безопасности страны, поскольку такие виды деятельности тяжело заменить.
Большая часть операторов ключевой инфраструктуры широко используют коммуникационные сети, особенно, интернет, как для управления своей деятельностью, так и для текущей работы. Однако в устоявшихся взаимоотношениях между промышленным миром и IT миром, получившим революционное развитие благодаря взаимосвязанным системам, промышленному миру не хватает обучения и осведомленности о безопасности информационных систем, в то время как IT миру часто не хватает знаний об ограничениях и функционировании промышленных систем.
Зависимость всех игроков от интернета растет в силу основных тенденций нашей экономической и социальной организации: аутсорсинг и облачная обработка данных, объединение вспомогательных служб, управление «точно в срок» и в режиме реального времени, роуминг данных, передача задач клиентам и гражданам, создание или реинжиниринг многочисленных процессов.
В случае сбоя в работе коммуникационных сетей или интернета ресурсы, доступные для замены, могут оказаться крайне неэффективными по причине недостатка квалифицированного персонала, способного восстановить процессы до наступления цифровой эпохи. В случае процессов, связанных с новыми практиками использования информационных технологий, ресурсы, способные их заменить, еще не созданы.
Как показывает мировая практика, еще не проводилась надлежащая оценка возможных последствий вредоносных действий в отношении автоматизированных систем управления промышленными процессами, используемых операторами ключевой инфраструктуры. Вследствие этого, защита электронных коммуникационных сетей – и, в частности, интернета – вместе с защитой основных систем операторов ключевой инфраструктуры стали национальными приоритетами.
4. Обеспечение безопасности в киберпространстве
Для все большего количества наших граждан использование электронных коммуникационных сетей, таких как интернет, проникает в задачи повседневной жизни, напр., шопинг, административные процедуры и межличностное общение.
Одновременно с этим, техники, используемые в киберпространстве злоумышленниками и преступными группировками, становятся все более эффективными и нацелены на присвоение персональных данных, получение информации, необходимой для доступа к банковским счетам либо сбора и перепродажи личных данных. Резко возрастает количество случаев удаленного захвата злоумышленниками контроля над компьютерами в целях подключения их к сети взломанных машин («бот-сети») для осуществления незаконной деятельности, такой как кибератаки либо рассылка вредоносных электронных писем.
С учетом указанных достижений государственные органы должны стать примером защиты открытого киберпространства. Пользователи должны иметь возможность доверять электронным услугам, предлагаемым администрацией, в частности, относительно защиты их персональных данных. Общая концепция безопасности (RGS), опубликованная в начале 2010 года, представляет нормативные аспекты укрепления такой безопасности. Ее соблюдение и применение государственными органами является приоритетами.
Систематическая защита киберпространства подразумевает обеспечение компаний и граждан соответствующей информацией о рисках и способах их снижения. Долгосрочная цель состоит в повышении осведомленности граждан о кибербезопасности через систему образования. Данная инициатива потребует реализации активной правительственной политики в сфере коммуникаций.
И последнее, но не по значимости, интернет должен регулироваться на законодательном уровне. Франция должна поддержать совершенствование или принятие законодательных актов, регулирующих киберпространство, если действующее законодательство оказывается неэффективным, а также продвигать международное судебное сотрудничество в сфере пресечения преступлений, совершенных с помощью электронных коммуникационных сетей.
Для достижения четырех стратегических целей были определены 7 направлений деятельности.
1. Прогнозирование и анализ
Количество рисков и угроз, связанных с киберпространством, резко возрастает. Выпуск новых продуктов или новых версий программного обеспечения, выявление неисправленных недостатков в широко используемых программных продуктах, развитие новых технологий и практик и даже политические заявления могут создать угрозу для безопасности информационных систем в течение очень короткого периода времени.
В свете вышеизложенного, первым шагом в обеспечении безопасности и защиты наших информационных систем является контроль и изучение последних достижений в сфере технологий, полное понимание и даже предсказание действий государственных или частных игроков.
2. Выявлять, сообщать и реагировать
С учетом растущей зависимости компаний, инфраструктуры и услуг от интернета, а также принимая во внимание системные риски, связанные с некоторыми недостатками, исключительное значение приобретает способность выявить недостатки и атаки в кратчайшие сроки, сообщить об этом потенциальным и известным жертвам и предложить им оперативную помощь в форме анализа и разработке контрмер.
— Как и планировалось в Белой книге по обороне и безопасности, Франция создает потенциал по выявлению атак на информационные системы. Находясь, в частности, в рамках министерских сетей, эти системы позволяют соответствующему персоналу получить сигнал о возникшей проблеме, помогают оценить природу атаки и разработать соответствующие контрмеры.
— в целях управления всей информацией, собранной вышеупомянутыми инструментами выявления проблем и контрольными механизмами либо предоставленной нашими партнерами, в целях формирования представления о ситуации в национальных сетях на текущий момент, и, при необходимости, для управления кризисными ситуациями, ANSSI было оборудовано «оперативными пунктами», адаптированными к проблемам.
— в целях реагирования на основные кризисные ситуации, угрожающие безопасности информационных систем администрации или операторов ключевой инфраструктуры Государство должно быть способно принимать неотложные меры. С этой целью было создано ANSSI, национальный орган, отвечающий за защиту информационных систем.
3. Усиливать и поддерживать наш научный, технический, отраслевой и человеческий потенциал
Безопасность информационных систем основана на освоении технологий и ноу-хау, которые также доступны организациям и лицам, намеревающимся нанести им вред. Государственные игроки, ответственные за безопасность информационных систем, должны быть не только знакомы с самыми последними технологиями, но и должны быть способны предсказывать или даже стимулировать технологические достижения с помощью поддержания исследовательского потенциала, поскольку это единственный способ ограничить тактическое преимущество нападающего перед защищающимся.
Франция имеет научно-исследовательские группы мирового класса, работающие в области криптологии и формальных методов. В других сферах, таких как архитектура безопасности информационных систем, Франция быстро приближается к уровню наиболее развитых стран.
— В целях стимулирования такого исследовательского развития на данный момент изучается возможность создания совместно с отраслевыми партнерами исследовательского центра в сфере киберобороны. Такой центр будет осуществлять научно-исследовательскую деятельность (исследования в области криптологии, анализ атакующих групп и их методов, изучение хакерских программ и недостатков программного обеспечения, разработка безопасного программного обеспечения с открытым исходным кодом, разработка концепций киберобороны,…), а также деятельность по повышению квалификации и обучению.
Развитие информационного общества предлагает компаниям мировой рынок, на котором на данный момент лидирующие позиции занимают игроки, находящиеся за пределами Европы. В отношении безопасности информационных систем такая ситуация нежелательна и необороноспособна. При этом Франция обладает современной отраслевой базой, не имеющей аналогов в Европе, которая имеет потенциал для разработки большей части технологий, необходимых для разработки продуктов безопасности, включая их компоненты. Такая база состоит из большого количества инновационных представителей малого и среднего бизнеса (SME). Однако такие компании еще не достигли необходимого размера и не пользуются достаточным спросом.
— Отраслевое развитие будет стимулироваться с помощью различных ресурсов Государства, в частности, с помощью стратегических инвестиционных фондов.
В целях обеспечения более высокой эффективности разработчики IT продуктов и информационных систем должны учитывать вопросы безопасности с самого начала процесса разработки. Поэтому следует увеличить присутствие экспертов по безопасности информационных систем в нашей отраслевой базе. В целях расширения арсенала экспертов, доступных в стране, будет проводиться стимулирование молодежи к выбору таких профессий.
Как общее правило, научное и техническое обучение в сфере информационных технологий должно включать курсы по безопасности информационных систем.
4. Защищать информационные системы Государства и операторов ключевой инфраструктуры
Как указано в Белой книге по обороне и безопасности, Франция «для защиты государственной тайны должна освоить и разрабатывать продукты с самым высоким уровнем безопасности, а также ряд ‘аттестованных продуктов и услуг’ для использования правительственными ведомствами и услугами, которые будут широко доступы для бизнес сектора». Необходимо использовать надежные защищенные сети «для всей сети принятия решений и управления Франции».
— В отношении засекреченной информации, была пересмотрена стратегия Франции по продуктам безопасности и их компонентам. В частности, она полностью учитывает присоединение Франции к интегрированной системе управления НАТО.
— В рамках министерских сетей на уровень безопасности существенно повлияет внедрение систем надежной аутентификации, основанных, например, на использовании технологии смарт-карт, которой Франция владеет в совершенстве.
— сегодня правительственные органы имеют в своем распоряжении защищенный межведомственный интранет, высоконадежную телефонную сеть, которая к 2012 году будет полностью оснащена новыми терминалами шифрования, а также защищенную систему видеоконференций, предназначенную, в основном, для использования в министерских центрах принятия решений. Распространение таких сетей будет продолжаться, особенно, на уровне местных администраций.
— В отношении безопасности информационных систем операторов ключевой инфраструктуры, будет установлено государственно-частное партнерство, в первую очередь, с тем, чтобы такие операторы смогли пользоваться результатами анализа угроз, проведенного Государством; а, во-вторых, чтобы позволить Государству обеспечить необходимый уровень защиты инфраструктуры, которая имеет определяющее значение для надлежащего управления страной. Такие аттестации также будут проводиться с производителями оборудования.
5. Адаптировать французское законодательство
В случае недостаточного внимания новые практики, внедренные по мере развития киберпространства, могут угрожать личным свободам, функционированию ключевой инфраструктуры и стабильности наших компаний.
Наша законодательная и нормативная база должна отражать последние достижения в сфере технологий. Законы будут пересматриваться по мере возникновения новых технологий и новых практик в целях укрепления безопасности граждан, а также для обеспечения баланса между желанием минимизировать влияние на конкурентоспособность компаний и необходимостью вмешательства Государства для соблюдения интересов страны.
— В отношении операторов электронных коммуникаций, перенос норм европейских директив во французское законодательство позволит принять новые нормы для защиты информационных систем и информирования правительственных органов об инцидентах.
— Исполнение «Общей концепции безопасности» (RGS) и ее развитие позволит государственным ведомствам существенно повысить уровень защиты своих информационных систем, в частности, в отношении их пользователей.
6. Развивать международное сотрудничество
Безопасность информационных систем частично основана на качестве обмена данными между соответствующими службами различных государств. Франция будет работать в направлении создания широкой сети иностранных партнеров для обмена важными данными – напр., информацией об уязвимости или недостатках продуктов и услуг.
Франция также будет укреплять свои отношения с партнерами в сфере борьбы с киберпреступностью.
Аналогичным образом, крепкие отношения между союзниками создают основу эффективной политики в сфере киберобороны. Франция создает тщательно отобранный портфель надежных партнеров, с которыми будет осуществляться обмен оперативными данными.
7. Сообщать, информировать и убеждать
Безопасность информационных систем зависит не только от индивидуальной бдительности, но и от организации, решений и технических мер компаний и действий правительства.
Учитывая потенциальные последствия серьезных атак на информационные системы для страны и ее граждан, мы должны обеспечить осведомленность и мотивацию граждан и организаций.
Во Франции информация и общественный диалог об угрозах, связанных с нарушением безопасности информационных систем, их влиянии на оборону и национальную безопасность либо просто на повседневную жизнь остаются в значительной степени неразвитыми.
— ANSSI будет предоставлять целевую поддержку игрокам, принимающим решения, для разработки мер и принятия необходимых решений в отношении безопасности информационных систем, которые имеют ключевое значения для управления их организациями и защиты их технических, научных, коммерческих и финансовых активов.
— В более широком смысле ANSSI будет проводить соответствующие кампании в сфере коммуникаций, нацеленные на широкую общественность и компании.
Глоссарий
Бот-сеть
Бот-сеть или робот-сеть представляет собой сеть взломанных машин, контролируемую злоумышленником (хозяином). Сеть построена таким образом, что хозяин может отдавать приказы одной или всем машинам сети и свободно ими управлять.
Примечание: некоторые сети состоят из огромного количества машин (нескольких миллионов). Они могут незаконно перепродаваться или использоваться для осуществления вредоносных действий в отношении других машин.
Засекреченная информация
Статья 41 3-9 Уголовного кодекса Франции определяет, что «процессы, объекты, документы, информация, компьютерные сети, компьютеризированные данные или файлы, раскрытие которых противоречит интересам национальной обороны либо приведет к раскрытию секретной информации о национальной обороне» подлежат соответствующим мерам, которые ограничивают их распространение или доступ к ним.
Криптоанализ
Процесс расшифровки зашифрованных данных, без ключей шифрования.
Криптография
Дисциплина, которая включает принципы, средства и методы трансформации данных с целью сокрытия содержания данных, предотвращения изменения данных и/или несанкционированного использования данных (ISO 7498-2).
Криптология
Наука, объединяющая криптографию и криптоанализ.
Киберпреступность
Действия, нарушающие международные соглашения и национальное законодательство, нацеленные на сети или информационные системы или использующие их для совершения преступления.
Кибероборона
Комплекс технических и нетехнических мер, позволяющий государству защищать в киберпространстве информационные системы, которые считаются ключевыми.
Кибербезопасность
Желаемое состояние информационной системы, при котором она противостоит событиям, которые могут негативно повлиять на доступность, целостность или конфиденциальность хранимых, обрабатываемых или передаваемых данных либо данных связанных услуг, которые такие информационные системы предлагают и делают доступными.
Кибербезопасность основана на использовании техник обеспечения безопасности информационных систем, борьбе с киберпреступностью и создании киберобороны.
Киберпространство
Коммуникационное пространство, созданное мировой взаимосвязью автоматизированного оборудования обработки цифровых данных.
Недостаток
Уязвимость компьютерной системы, позволяющая злоумышленнику нарушить нормальное функционирование такой системы либо нанести вред конфиденциальности или целостности данных, которые содержатся в такой системе.
Общая концепция безопасности (RGS — Référentiel général de sécurité)
Набор правил, разработанных ANSSI и закрепленный Распоряжением No. 2005-151 6 от 8 декабря 2005 г. «для сферы обмена электронными данными между пользователями и государственной администрацией и между государственными администрациями» и предусматривающих требования о соответствии определенных функций требованиям безопасности информации. К ним, помимо прочего, относятся электронные подписи, аутентификация, конфиденциальность и отметки времени. Правила, закрепленные RGS, обязательны к исполнению и приведены в соответствие с уровнем безопасности, определенным административным органом в отношении безопасности онлайн услуг, за которые он несет ответственность. Условия разработки, утверждения, изменения и обнародования таких правил закреплены в Указе No. 2010¬112 от 2 февраля 2010 в отношении исполнения Статей 9, 10 и 12 распоряжения о безопасности информации, передаваемой в электронных сетях. (См. http://www.ssi.gouv.fr/rgs).
Информационная система
Организованный набор ресурсов (аппаратное обеспечение, программное обеспечение, персонал, данные и процедуры), используемых для обработки и распространения информации.
Безопасность информационных систем
Комплекс технических и нетехнических предупредительных мер, позволяющих информационной системе противостоять событиям, которые могут негативно повлиять на доступность, целостность или конфиденциальность хранимых, обрабатываемых или передаваемых данных либо данных связанных услуг, которые такие информационные системы предлагают и делают доступными.
Нетикет
Хартия, разработанная в 1995 году Инженерным Советом Интернета (IETF) и содержащая комплекс этических правил обмена данными в киберпространстве (см. http://tools.ietf.org/html/rfc1855).
Оператор ключевой инфраструктуры (OIV — Opérateur d’importance vitale)
Статья R. 1332-1 Оборонного кодекса Франции определяет, что операторы ключевой инфраструктуры назначаются из числа государственных или частных операторов, перечисленных в Статье L. 1 332-1 того же кодекса, либо из числа менеджеров организаций, перечисленных в Статье L. 1332-2.
Оператор ключевой инфраструктуры:
— выполняет задачи, изложенные в Статье R. 1332-2 и относящиеся к ключевому сектору;
— для выполнения указанных задач управляет или привлекает одну или несколько организаций или ведомств, нанесение вреда которым либо уничтожение которых в результате противоправных действий, саботажа или терроризма, прямо или косвенно, нанесут серьезный вред военному или экономическому потенциалу, безопасности или выживаемости страны либо создадут серьезную угрозу для жизни населения.
Устойчивость
В сфере компьютерных технологий, способность информационной системы противостоять сбоям или кибератакам, а также способность восстановления первоначального состояния системы до инцидента.
Продукт безопасности
Аппаратное или программное обеспечение, разработанное для защиты доступности, целостности или конфиденциальности хранимых, обрабатываемых или передаваемых данных либо данных связанных услуг, которые информационная система предлагает и делает доступными.
О ANSSI
Национальное агентство Франции по безопасности информационных систем (ANSSI) было создано 7 июля 2009 г. в форме национальной административной службы.
Согласно Указу No. 2009-834 от 7 июляy 2009 г. и Указу о внесении изменений No. 201 1-170 от 11 февраля 2011 г., агентство является национальным органом по защите и безопасности информационных систем. Оно подчиняется непосредственно Министру обороны и национальной безопасности, под управлением Премьер-министра.
Более детальная информация об ANSSI и его задачах доступна на сайте www.ssi.gouv.fr/en/
February 2011