Регулирование кибербезопасности - Cyber-security regulation

А регулирование кибербезопасности содержит директивы, которые защищают информационные технологии и Компьютерные системы с целью заставить компании и организации защищать свои системы и информацию от кибератаки подобно вирусы, черви, троянские кони, фишинг, отказ в обслуживании (DOS) атаки, несанкционированный доступ (кража интеллектуальной собственности или конфиденциальной информации) и система контроля атак.[1] Доступны многочисленные меры для предотвращения кибератак.

Информационная безопасность меры включают брандмауэры, антивирусное программное обеспечение, обнаружения вторжений и профилактика системы, шифрование, и войдите пароли.[2] Были попытки улучшить кибербезопасность за счет регулирования и совместных усилий между правительство и частный сектор для поощрения добровольных улучшений кибербезопасности.[1] Отраслевые регуляторы, в том числе банковские регуляторы, обратили внимание на риск, связанный с кибербезопасностью, и начали или планировали включить кибербезопасность в качестве аспекта нормативных проверок.[1]

Фон

В 2011 г. DoD выпустила руководство под названием Стратегия Министерства обороны США по работе в киберпространстве в котором сформулированы пять целей: рассматривать киберпространство как оперативную область, использовать новые защитные концепции для защиты сетей и систем Министерства обороны, сотрудничать с другими агентствами и частным сектором в реализации «общегосударственной стратегии кибербезопасности», работать с международными союзниками в поддержку коллективной кибербезопасности и для поддержки развития кибер-кадров, способных быстро внедрять технологические инновации.[2] Март 2011 г. GAO в отчете «определено, что защита информационных систем федерального правительства и национальной кибер-критической инфраструктуры является областью повышенного риска в масштабе правительства», отмечая, что федеральная информационная безопасность была обозначена как область повышенного риска с 1997 года. С 2003 года системы, защищающие критически важную инфраструктуру, назывались защита инфраструктуры Cyber ​​CIP также была включена.[3]

В ноябре 2013 года Министерство обороны выдвинуло новое правило кибербезопасности (78 Fed. Reg. 69373), которое предъявляет определенные требования к подрядчикам: соблюдение определенных требований. NIST Стандарты ИТ, обязательная отчетность об инцидентах в области кибербезопасности в DoD, а также пункт о переходе, который применяет те же требования к субподрядчикам.[4]

В отчете Конгресса за июнь 2013 года было обнаружено более 50 законодательных актов, касающихся соблюдения требований кибербезопасности. В Федеральный закон об управлении информационной безопасностью 2002 г. (FISMA) - один из ключевых законодательных актов, регулирующих федеральные правила кибербезопасности.[4]

Соединенные Штаты

Федеральное правительство

Существует несколько федеральных правил кибербезопасности, а те, которые существуют, ориентированы на конкретные отрасли. Три основных правила кибербезопасности - 1996 г. Медицинское страхование Портативность и Акт об ответственности (HIPAA), 1999 г. Закон Грэмма-Лича-Блайли, а 2002 Закон о внутренней безопасности, который включал Федеральный закон об управлении информационной безопасностью (FISMA). Три правила предписывают организациям здравоохранения, финансовым учреждениям и федеральным агентствам защищать свои системы и информацию.[3] Например, FISMA, который применяется к каждому правительственному учреждению, «требует разработки и внедрения обязательных политик, принципов, стандартов и руководств по информационной безопасности». Однако правила не затрагивают многие отрасли, связанные с компьютерами, такие как Интернет-провайдеры (ISP) и софтверные компании.[4] Кроме того, в правилах не указывается, какие меры кибербезопасности необходимо применять, и требуется лишь «разумный» уровень безопасности. Расплывчатая формулировка этих правил оставляет много места для толкования. Брюс Шнайер, основатель Counterpane Internet Security из Купертино, утверждает, что компании не будут делать достаточных инвестиций в кибербезопасность, если правительство не заставит их сделать это.[5] Он также заявляет, что успешные кибератаки на правительственные системы все еще происходят, несмотря на усилия правительства.[6]

Было высказано предположение, что Закон о качестве данных уже предоставляет Управление управления и бюджета законные полномочия по реализации защита критической инфраструктуры правила Закон об административном производстве нормотворческий процесс. Идея еще не была полностью проверена и потребует дополнительного юридического анализа перед тем, как нормотворчество может начаться.[5]

Правительства штатов

Правительства штатов пытались улучшить кибербезопасность за счет увеличения публичной видимости фирм со слабой безопасностью. В 2003 г. Калифорния приняла Закон об уведомлении о нарушении безопасности, который требует, чтобы любая компания, которая хранит личную информацию граждан Калифорнии и имеет нарушение безопасности, раскрыла подробности события. Личная информация включает имя, ИНН, номер водительских прав, Номер кредитной карты или финансовая информация.[7] Несколько других штатов последовали примеру Калифорнии и приняли аналогичные правила уведомления о нарушениях безопасности.[8] Такие правила уведомления о нарушениях безопасности наказывают компании за их сбои в кибербезопасности, давая им свободу выбора, как защитить свои системы. Кроме того, регулирование создает стимул для компаний добровольно инвестировать в кибербезопасность, чтобы избежать потенциальной потери репутации и связанных с этим экономических потерь, которые могут возникнуть в результате успешной кибератаки.[6]

В 2004 г. Законодательное собрание штата Калифорния приняла Закон 1950 г. о собрании Калифорнии, который также применяется к предприятиям, которые владеют или хранят личную информацию жителей Калифорнии. Регламент требует от предприятий поддерживать разумный уровень безопасности, и что требуемые ими меры безопасности распространяются также на деловых партнеров.[9] Регламент является усовершенствованием федерального стандарта, поскольку он расширяет число фирм, необходимых для поддержания приемлемого стандарта кибербезопасности. Однако, как и федеральное законодательство, он требует «разумного» уровня кибербезопасности, который оставляет много места для интерпретации до тех пор, пока не будет установлено прецедентное право.[10]

Предлагаемое регулирование

В Конгресс США предложил многочисленные законопроекты, расширяющие правила кибербезопасности. В Закон о защите данных и уведомлении потребителей вносит поправки в Закон Грэмма-Лича-Блайли требовать раскрытия информации о нарушениях безопасности финансовыми учреждениями. Конгрессмены также предложили «распространить Gramm-Leach-Bliley на все отрасли, которые касаются финансовой информации потребителей, включая любую фирму, которая принимает платежи с помощью кредитной карты».[11] Конгресс предложил правила кибербезопасности, аналогичные Закону об уведомлении о нарушениях безопасности Калифорнии, для компаний, которые хранят личную информацию. Закон о защите и безопасности информации требует, чтобы брокеры данных «обеспечивали точность и конфиденциальность данных, аутентифицировали и отслеживали пользователей, выявляли и предотвращали несанкционированные действия и снижали потенциальный ущерб для отдельных лиц».[12]

Конгресс не только требует от компаний повышения кибербезопасности, но и рассматривает законопроекты, которые криминализируют кибератаки. Закон о надежной защите от киберпреступлений (Шпионский акт ) был векселем такого типа. Он сосредоточен на фишинге и шпионское ПО законопроект и был принят 23 мая 2005 г. Палата представителей США но умер в Сенат США.[6] Законопроект "делает незаконным несанкционированное использование компьютера для получения контроля над ним, изменения его настроек, сбора или побуждения владельца к раскрытию информации. личная информация, устанавливать нежелательное программное обеспечение и вмешиваться в систему безопасности, антишпионское ПО или антивирусное программное обеспечение."[13]

12 мая 2011 г. Барак Обама предложил пакет законодательные реформы в области кибербезопасности для повышения безопасности населения США, федерального правительства и критически важной инфраструктуры. Затем последовал год публичных дебатов и слушаний в Конгрессе, в результате которых Палата представителей приняла законопроект об обмене информацией и Сенат разрабатывает компромиссный законопроект стремясь сбалансировать национальную безопасность, конфиденциальность и деловые интересы.

В июле 2012 года сенаторы предложили Закон о кибербезопасности 2012 года. Джозеф Либерман и Сьюзан Коллинз.[14] Законопроект потребовал бы создания добровольных «стандартов передовой практики» для защиты ключевой инфраструктуры от кибератак, которые предприятиям следует принять с помощью таких стимулов, как защита ответственности.[15] Законопроект был поставлен на голосование в Сенате, но не был принят.[16] Обама выразил свою поддержку закона в Wall Street Journal комментарий[17], и он также получил поддержку со стороны официальных лиц в вооруженных силах и национальной безопасности, включая Джон О. Бреннан, главный советник Белого дома по борьбе с терроризмом.[18][19] В соответствии с Вашингтон Постэксперты заявили, что непринятие закона может сделать Соединенные Штаты «уязвимыми для широкомасштабного взлома или серьезной кибератаки». [20] Против закона выступили сенаторы-республиканцы, такие как Джон Маккейн кто был обеспокоен тем, что закон введет правила, которые не будут эффективными и могут стать «бременем» для бизнеса.[21] После голосования в Сенате сенатор-республиканец Кей Бейли Хатчисон заявил, что противодействие законопроекту не является партизанским вопросом, но он не использует правильный подход к кибербезопасности.[22]Голосование в сенате не было строго партийным: шесть демократов проголосовали против, а пять республиканцев проголосовали за него.[23] Критики законопроекта включали Торговая палата США,[24] группы защиты, такие как Американский союз гражданских свобод и Фонд электронных рубежей,[25] эксперт по кибербезопасности Джоди Вестби и Фонд наследия Оба они утверждали, что, хотя правительство должно действовать в области кибербезопасности, законопроект был несовершенным в своем подходе и представлял «слишком навязчивую роль федерального правительства».[26]

В феврале 2013 года Обама предложил Указ о повышении кибербезопасности критически важной инфраструктуры. Он представляет собой последнее изменение политики, но не считается законом, поскольку Конгресс еще не рассматривал его. Он направлен на улучшение существующих государственно-частных партнерств путем повышения своевременности потока информации между DHS и компаниями, занимающимися критически важной инфраструктурой. Он предписывает федеральным агентствам передавать разведывательные предупреждения о киберугрозах любой организации частного сектора, указанной в качестве цели. Он также поручает DHS совершенствовать процесс ускорения процессов проверки безопасности для соответствующих организаций государственного и частного сектора, чтобы федеральное правительство могло делиться этой информацией на соответствующих конфиденциальных и секретных уровнях. Он руководит разработкой основы для снижения киберрисков с учетом передового опыта отрасли и добровольных стандартов. Наконец, он поручает федеральным агентствам, участвующим в защите частной жизни и гражданских свобод, в соответствии с Принципами честной информационной практики.[7]

В январе 2015 года Обама объявил о новом законодательном предложении по кибербезопасности. Это предложение было сделано с целью уберечь США от растущего числа киберпреступлений. В предложении Обама обозначил три основных направления работы по созданию более безопасного киберпространства США. Первое основное усилие подчеркивало важность обеспечения обмена информацией о кибербезопасности. Это предложение поощряло обмен информацией между правительством и частным сектором. Это позволило бы правительству узнать, с какими основными киберугрозами сталкиваются частные фирмы, а затем позволило бы правительству обеспечить защиту ответственности тех фирм, которые делятся своей информацией. Более того, это дало бы правительству лучшее представление о том, от чего нужно защищать США. Еще одно важное усилие, которое было подчеркнуто в этом предложении, заключалось в модернизации правоохранительных органов, чтобы сделать их более оснащенными для надлежащего ведения киберпреступлений, предоставив им инструменты, необходимые для этого. Это также обновит классификации киберпреступлений и их последствий. Один из способов сделать это - объявить преступлением продажу финансовой информации за границу. Еще одна цель усилий - привлечь к ответственности за киберпреступления. Последней важной попыткой законодательного предложения было требование от предприятий сообщать потребителям о взломе данных, если их личная информация была принесена в жертву. Требуя от компаний этого, потребители знают, когда им грозит кража личных данных.[8]

В феврале 2016 года Обама разработал План действий по кибербезопасности и национальной безопасности (CNAP). План был составлен для разработки долгосрочных действий и стратегий в целях защиты США от киберугроз. В центре внимания плана было информирование общественности о растущей угрозе киберпреступлений, улучшение защиты кибербезопасности, защита личной информации американцев и информирование американцев о том, как контролировать цифровую безопасность. Одним из основных моментов этого плана является создание «Комиссии по усилению национальной кибербезопасности». Цель этого - создать Комиссию, состоящую из разнообразной группы мыслителей с точками зрения, которые могут внести свой вклад в выработку рекомендаций о том, как создать более сильную кибербезопасность для государственного и частного секторов. Вторым важным моментом плана является изменение государственных информационных технологий. Новая государственная ИТ-служба сделает это так, чтобы можно было создать более безопасную ИТ-инфраструктуру. Третья изюминка плана - дать американцам знания о том, как они могут защитить свои онлайн-аккаунты и избежать кражи своей личной информации с помощью многофакторной аутентификации. Четвертый важный момент в плане - инвестировать в кибербезопасность на 35% больше денег, вложенных в 2016 году.[9]

Другие усилия правительства

Помимо регулирования, федеральное правительство пыталось улучшить кибербезопасность, выделяя больше ресурсов на исследования и сотрудничая с частным сектором в разработке стандартов. В 2003 г. Национальная стратегия защиты киберпространства сделано Департамент внутренней безопасности (DHS) отвечает за рекомендации по безопасности и исследует национальные решения. План призывает к совместным усилиям между правительством и промышленностью «для создания системы экстренного реагирования на кибератаки и снижения уязвимости страны перед такими угрозами».[27] В 2004 году Конгресс США выделил 4,7 миллиарда долларов на кибербезопасность и достижение многих целей, сформулированных в Президентской национальной стратегии по защите киберпространства.[28] Некоторые отраслевые эксперты по безопасности заявляют, что Национальная стратегия президента по обеспечению безопасности киберпространства является хорошим первым шагом, но недостаточным.[29] Брюс Шнайер заявил: «Национальная стратегия защиты киберпространства еще ничего не обеспечила». [30] Однако в Национальной стратегии президента четко указано, что цель состоит в том, чтобы предоставить владельцам компьютерных систем основу для повышения их безопасности, а не правительству, которое берет на себя и решает проблему.[31] Однако компании, которые участвуют в совместных усилиях, указанных в стратегии, не обязаны принимать обнаруженные решения безопасности.

В Соединенных Штатах Конгресс США пытается сделать информацию более прозрачной после того, как Закон о кибербезопасности 2012 года, который устанавливал бы добровольные стандарты защиты жизненно важной инфраструктуры, не прошел через Сенат.[10] В феврале 2013 г. белый дом издал распоряжение под названием «Улучшение кибербезопасности критически важной инфраструктуры», которое позволяет исполнительная власть делиться информацией об угрозах с большим количеством компаний и частных лиц.[10][11] В апреле 2013 года Палата представителей приняла Закон о совместном использовании и защите киберразведки (CISPA), который призывает к защите от судебных исков, направленных против компаний, раскрывающих информацию о нарушениях.[10] В Администрация Обамы сказал, что может наложить вето на законопроект.[10]

Индия

В свете взлома сайта Индийское космическое агентство коммерческое подразделение компании Antrix Corporation и правительственной программы Digital India в 2015 г., эксперт в области кибер-права и защитник Верховный суд Индии Паван Дуггал заявил, что «специальный закон о кибербезопасности является ключевым требованием для Индии. Недостаточно просто включить кибербезопасность как часть Закона об ИТ. Мы должны рассматривать кибербезопасность не только с секторальной точки зрения, но и также с национальной точки зрения ".[12]

Евросоюз

Стандарты кибербезопасности занимают важное место в сегодняшнем технологическом бизнесе. Чтобы максимизировать свою прибыль, корпорации используют технологии, выполняя большую часть своих операций через Интернет. Поскольку существует большое количество рисков, которые влекут за собой межсетевые операции, такие операции должны быть защищены всеобъемлющими и подробными правилами. Все существующие правила кибербезопасности охватывают различные аспекты бизнес-операций и часто различаются в зависимости от региона или страны, в которой работает бизнес. Из-за различий в обществе, инфраструктуре и ценностях страны один всеобъемлющий стандарт кибербезопасности не является оптимальным для снижения рисков. В то время как стандарты США обеспечивают основу для операций, Евросоюз разработала более индивидуализированные правила для предприятий, работающих конкретно в ЕС. Также в свете Brexit, важно учитывать, как Великобритания решила придерживаться таких правил безопасности.

Три основных нормативных документа в ЕС включают ENISA, Директиву NIS и GDPR ЕС. Они являются частью Единый цифровой рынок стратегия.

ENISA

В Агентство Европейского Союза по кибербезопасности (ENISA) - это управляющее агентство, которое было первоначально создано Постановлением (ЕС) № 460/2004 Европейского парламента и Совета от 10 марта 2004 г. с целью повышения сетевой и информационной безопасности (NIS) для всех межсетевых операций. в ЕС. ENISA в настоящее время работает в соответствии с Регламентом (ЕС) № 526/2013,[13] который заменил первоначальное регулирование в 2013 году. ENISA активно работает со всеми странами-членами ЕС, чтобы предоставить ряд услуг. Основное внимание в их деятельности уделяется трем факторам:

  • Рекомендации государствам-членам относительно действий при нарушениях безопасности
  • Поддержка разработки и реализации политики для всех стран-членов ЕС
  • Прямая поддержка ENISA с практическим подходом к работе с оперативными группами в ЕС[14]

ENISA состоит из правления, которое опирается на поддержку исполнительного директора и Постоянной группы заинтересованных сторон. Однако большинством операций руководят руководители различных отделов.[15]

ENISA выпустила различные публикации, охватывающие все основные вопросы кибербезопасности. Прошлые и текущие инициативы ENISA включают облачную стратегию ЕС, открытые стандарты в области информационных коммуникационных технологий, стратегию кибербезопасности ЕС и координационную группу кибербезопасности. ENISA также работает в сотрудничестве с существующими международными организациями по стандартизации, такими как ISO и ITU.[16]

Директива NIS

6 июля 2016 года Европейский парламент ввел в действие политику Директива о безопасности сети и информационных системДиректива NIS).[17]

Директива вступила в силу в августе 2016 года, и всем государствам-членам Европейского Союза был дан 21 месяц на то, чтобы включить положения директивы в свои национальные законы.[18] Целью Директивы NIS является повышение общего уровня кибербезопасности в ЕС. Директива существенно влияет на поставщиков цифровых услуг (DSP) и операторов основных услуг (OES). К операторам основных услуг относятся любые организации, деятельность которых может сильно пострадать в случае нарушения безопасности, если они будут участвовать в критически важной общественной или экономической деятельности. И DSP, и OES теперь несут ответственность за сообщение о серьезных инцидентах безопасности группам реагирования на инциденты компьютерной безопасности (CSIRT).[19] Хотя к DSP не предъявляются такие строгие правила, как к операторам основных услуг, DSP, которые не созданы в ЕС, но все еще работают в ЕС, по-прежнему подлежат регулированию. Даже если DSP и OES передают обслуживание своих информационных систем третьим лицам, Директива NIS по-прежнему возлагает на них ответственность за любые инциденты безопасности.[20]

Государства-члены ЕС должны создать стратегию директивы NIS, которая включает CSIRT, в дополнение к национальным компетентным органам (NCA) и единым контактным лицам (SPOC). На такие ресурсы возлагается ответственность за устранение нарушений кибербезопасности таким образом, чтобы минимизировать воздействие. Кроме того, всем государствам-членам ЕС рекомендуется делиться информацией о кибербезопасности.[21]

Требования безопасности включают технические меры, которые предотвращают риски нарушения кибербезопасности. И DSP, и OES должны предоставлять информацию, позволяющую проводить глубокую оценку их информационных систем и политик безопасности.[22] Обо всех существенных инцидентах необходимо сообщать CSIRT. Значительные инциденты кибербезопасности определяются количеством пользователей, затронутых нарушением безопасности, а также продолжительностью инцидента и географическим охватом инцидента.[22]

Закон ЕС о кибербезопасности

Кибербезопасность ЕС действовать устанавливает общеевропейскую систему сертификации кибербезопасности для цифровых продуктов, услуг и процессов. Он дополняет Директиву NIS. ENISA будет играть ключевую роль в создании и поддержании европейской системы сертификации кибербезопасности.[23]

GDPR ЕС

Основная статья: Общие правила защиты данных

ЕС Общие правила защиты данных (GDPR) был введен в действие 14 апреля 2016 года, но текущая дата вступления в силу установлена ​​25 мая 2018 года.[24] GDPR направлен на внедрение единого стандарта защиты данных для всех стран-членов ЕС. Изменения включают пересмотр географических границ. Это относится к организациям, которые работают в ЕС или имеют дело с данными любого резидента ЕС. Независимо от того, где обрабатываются данные, если обрабатываются данные гражданина ЕС, на организацию теперь распространяется GDPR.[25]

Штрафы также являются гораздо более строгими согласно GDPR и могут составлять 20 миллионов евро или 4% от годового оборота организации, в зависимости от того, что больше.[25] Кроме того, как и в предыдущих правилах, обо всех нарушениях данных, затрагивающих права и свободы лиц, проживающих в ЕС, необходимо раскрывать в течение 72 часов.

Всеобъемлющий совет, Совет по защите данных ЕС, EDP, отвечает за весь контроль, установленный GDPR.

Согласие играет важную роль в GDPR. Компании, которые хранят данные о гражданах ЕС, должны теперь также предложить им право отказаться от обмена данными так же легко, как когда они дали согласие на обмен данными.[26]

Кроме того, граждане также могут ограничить обработку хранящихся на них данных и могут разрешить компаниям хранить их данные, но не обрабатывать их, что создает четкую дифференциацию. В отличие от предыдущих правил GDPR также ограничивает передачу данных гражданина за пределы ЕС или третьему лицу без предварительного согласия гражданина.[26]

Предлагаемый Регулирование конфиденциальности также планируется ввести с 25 мая 2018 г.

Реакции

Хотя эксперты согласны с тем, что улучшения кибербезопасности необходимы, существуют разногласия по поводу того, является ли решение более серьезным государственным регулированием или более частными инновациями.

Поддерживать

Многие правительственные чиновники и эксперты по кибербезопасности считают, что частный сектор не смог решить проблему кибербезопасности и что необходимо регулирование. Ричард Кларк утверждает, что «промышленность реагирует только тогда, когда вы угрожаете регулированию. Если отрасль не реагирует [на угрозу], вы должны выполнить».[32] Он считает, что компании-разработчики программного обеспечения должны быть вынуждены создавать более безопасные программы.[33] Брюс Шнайер также поддерживает регулирование, которое побуждает компании-разработчики программного обеспечения писать более безопасный код с помощью экономических стимулов.[34] Представитель США Рик Буше (D–VA ) предлагает улучшить кибербезопасность, возложив ответственность на компании-разработчики программного обеспечения за недостатки безопасности в их коде.[35] Помимо повышения безопасности программного обеспечения, Кларк считает, что определенные отрасли, такие как коммунальные услуги и интернет-провайдеры, требуют регулирования.[36]

Оппозиция

С другой стороны, многие руководители и лоббисты частного сектора полагают, что усиление регулирования ограничит их способность улучшать кибербезопасность. Харрис Миллер, а лоббист и президент Ассоциация информационных технологий Америки, считает, что регулирование тормозит инновации.[37] Рик Уайт, бывший корпоративный поверенный и президент, Исполнительный директор лоббистской группы TechNet также выступает против усиления регулирования. Он заявляет, что «частный сектор должен и дальше иметь возможность вводить новшества и адаптироваться в ответ на новые методы атак в киберпространстве, и с этой целью мы благодарим президента Буша и Конгресс за проявление нормативной сдержанности».[38]

Еще одна причина, по которой многие руководители частного сектора выступают против регулирования, заключается в том, что оно требует больших затрат и требует государственного надзора за частными предприятиями. Фирмы озабочены регулированием, снижающим прибыль, так же, как и регулированием, ограничивающим их гибкость для эффективного решения проблемы кибербезопасности.

Смотрите также

Примечания

  1. ^ "Хронология утечек данных, зарегистрированных после инцидента с ChoicePoint. "(2005). Проверено 13 октября 2005 г.
  2. ^ "Отслеживание законопроектов центра электронной информации о конфиденциальности: отслеживание конфиденциальности, свободы слова и гражданских свобод на 109-м Конгрессе. "(2005). Проверено 23 октября 2005 г.
  3. ^ "Как работают компьютерные вирусы. "(2005). Проверено 10 октября 2005 г.
  4. ^ "Национальная стратегия защиты киберпространства. "(2003). Проверено 14 декабря 2005 г.
  5. ^ "Уведомление о нарушении безопасности - разделы гражданского кодекса 1798.29 и 1798.82 - 1798.84. "2003). Проверено 23 октября 2005 года.
  6. ^ "Ричард Кларк, интервью. "(2003). Проверено 4 декабря 2005 г.
  7. ^ Гордон, Л. А., Леб, М. П., Люцишин, В. и Ричардсон, Р. (2005). "2005 CSI / FBI исследование компьютерных преступлений и безопасности. "Проверено 10 октября 2005 г..
  8. ^ Хейман, Б. Дж. (2003). Регулирование кибербезопасности здесь. Конференция по безопасности RSA, Вашингтон, округ Колумбия, Проверено 17 октября 2005 г.
  9. ^ Кирби, К. (2003 г., 4 декабря 2003 г.). "Форум посвящен кибербезопасности "Хроники Сан-Франциско.
  10. ^ Лемос, Р. (2003). "Буш обнародовал окончательный план кибербезопасности. »Проверено 4 декабря 2005 г.
  11. ^ Менн, Дж. (2002, 14 января 2002 г.). "Недостатки безопасности могут стать ловушкой для Microsoft ". Los Angeles Times, стр. C1.
  12. ^ Расмуссен, М., и Браун, А. (2004). "Закон Калифорнии устанавливает обязанность заботы о информационной безопасности. "Проверено 31 октября 2005 г..
  13. ^ Шмитт, Э., Чаррон, К., Андерсон, Э. и Джозеф, Дж. (2004). "Что предложенные законы о данных будут значить для маркетологов. "Проверено 31 октября 2005 г..
  14. ^ Дженнифер Риццо. (2 августа 2012 г.) "Законопроект о кибербезопасности провалился в сенате. "Проверено 29 августа 2012 г.
  15. ^ Пол Розенцвейг. (23 июля 2012 г.) "Закон о кибербезопасности 2012 г .: в пересмотренном законопроекте о кибербезопасности все еще есть проблемы. "The Heritage Foundation. Доступ 20 августа 2012 г.
  16. ^ Эд О'Киф и Эллен Накашима. (2 августа 2012 г.) "Законопроект о кибербезопасности провалился в сенате. "The Washington Post. Доступ 20 августа 2012 г.
  17. ^ Алекс Фицпатрик. (20 июля 2012 г.) "Обама одобряет новый законопроект о кибербезопасности. "Mashable. Доступ 29 августа 2012 г.
  18. ^ Брендан Сассо. (4 августа 2012 г.) "После провала сенатского законопроекта о кибербезопасности Обама взвешивает вариант указа ". The Hill. Проверено 20 августа 2012 г.
  19. ^ Джайкумар Виджаян. (16 августа 2012 г.) "Сенатор Республиканской партии заявил, что никаких партийных споров из-за законопроекта о кибербезопасности ". Computerworld. Доступ 29 августа 2012 г.
  20. ^ Карл Францен. (2 августа 2012 г.) "Поскольку законопроект о кибербезопасности не проходит в сенате, защитники конфиденциальности радуются ". TPM. 29 августа 2012 г.
  21. ^ Алекс Фицпатрик. (2 августа 2012 г.) "Законопроект о кибербезопасности остается в Сенате ". Mashable. Доступ 29 августа 2012 г.
  22. ^ Джоди Уэстби (13 августа 2012 г.) "Конгрессу нужно вернуться в школу по кибер-законодательству ". Forbes. Доступ 20 августа 2012 г.

Рекомендации

  1. ^ а б «Cyber: думайте о рисках, а не об ИТ» (PDF). pwc.com. Практика регулирования финансовых услуг PwC, апрель 2015 г.
  2. ^ «Стратегия Министерства обороны США для работы в киберпространстве» (PDF).
  3. ^ Schooner, Стивен Л .; Берто, Дэвид Дж. (2012-03-01). Новые вопросы политики и практики (2011 г.). Рочестер, штат Нью-Йорк: Сеть исследований в области социальных наук. SSRN  2014385.
  4. ^ а б Шхуна, Стивен; Берто, Давид (01.01.2014). «Новые вопросы политики и практики». Публикации и другие работы юридического факультета GW.
  5. ^ «Есть ли у агентств уже право издавать правила защиты критически важной инфраструктуры?». Получено 27 декабря 2016.
  6. ^ а б «Закон о надежной защите от проникновения в киберпространство (2005; 109-й Конгресс, HR 29) - GovTrack.us». GovTrack.us.
  7. ^ «Исполнительный приказ - Улучшение кибербезопасности критически важной инфраструктуры». whitehouse.gov.
  8. ^ «ЗАЩИТА КИБЕРПРОСТРАНСТВА - Президент Обама объявляет о новом законодательном предложении по кибербезопасности и других мерах по кибербезопасности». whitehouse.gov. 2015-01-13. Получено 2017-08-06.
  9. ^ «ИНФОРМАЦИЯ: Национальный план действий по кибербезопасности». whitehouse.gov. 2016-02-09. Получено 2017-08-06.
  10. ^ а б c d Специальный отчет FT (7 июня 2013 г.). «Секретность мешает битве за Интернет». Financial Times. Получено 12 июн 2013.
  11. ^ «Исполнительный приказ - Повышение кибербезопасности критически важной инфраструктуры». Белый дом. Офис пресс-секретаря. Получено 12 июн 2013.
  12. ^ «Необходим специальный закон о кибербезопасности: Паван Дуггал - Express Computer». Экспресс Компьютер. 31 августа 2015 г.
  13. ^ "L_2013165EN.01004101.xml". eur-lex.europa.eu. Получено 2017-03-08.
  14. ^ «О компании ENISA - ENISA». www.enisa.europa.eu. Получено 2017-03-08.
  15. ^ «Структура и организация - ENISA». www.enisa.europa.eu. Получено 2017-03-08.
  16. ^ Персер, Стив (2014). «Стандарты кибербезопасности». В Хэтэуэй, Мелисса Э. (ред.). Лучшие практики защиты компьютерных сетей: обнаружение инцидентов и реагирование. Серия НАТО «Наука ради мира и безопасности» - D: Информационная и коммуникационная безопасность. 35. IOS Press. Дои:10.3233/978-1-61499-372-8-97. ISBN  978-1-61499-372-8.
  17. ^ «Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 года о мерах по обеспечению высокого общего уровня безопасности сети и информационных систем по всему Союзу». EUR Lex. Получено 2018-04-26.
  18. ^ «Директива о безопасности сети и информационных систем (Директива NIS)». Единый цифровой рынок. Получено 2017-03-12.
  19. ^ 09:36, 7 янв 2016 в; tweet_btn (), ЗАКОН COM. «Директива о сетевой и информационной безопасности - кто в силе, а кто нет?». Получено 2017-03-12.CS1 maint: числовые имена: список авторов (связь)
  20. ^ «Директива NIS опубликована: у государств-членов ЕС осталось менее двух лет на реализацию - отчет о защите данных». Отчет о защите данных. 2016-07-21. Получено 2017-03-12.
  21. ^ «Достигнуто соглашение о Директиве ЕС по сетевой и информационной безопасности (NIS) | Deloitte Luxembourg | Technology | Insight». Делойт Люксембург. Получено 2017-03-12.
  22. ^ а б «Директива о сетевой и информационной безопасности будет реализована в Великобритании, несмотря на голосование по Brexit, - утверждает правительство». www.out-law.com. Получено 2017-03-12.
  23. ^ «Закон ЕС о кибербезопасности». Получено 2019-12-06.
  24. ^ «Домашняя страница GDPR ЕС». Портал GDPR ЕС. Получено 2017-03-12.
  25. ^ а б «Ключевые изменения в Общем регламенте защиты данных». Портал GDPR ЕС. Получено 2017-03-12.
  26. ^ а б «Обзор Общего регламента защиты данных (GDPR)». ico.org.uk. 2017-03-03. Получено 2017-03-12.