Інформаційної безпеки

(опубліковано в збірнику Актуальні проблеми міжнародних відносин: зб. наук. пр. / Київський нац. ун-т ім. Тараса Шевченка, Ін-т міжнар. відносин. – К., 2009. – Вип.87,ч.2. – С.36-45).

The article focuses on the European Union’s approach to the information security as well as to the fight against cybercrime. Besides conceptual aspects of EU policy the practice of information security policy implementation on national level is studied. Two leading countries in information security area Finland and Estonia are chosen as examples.

Домінантною рисою сучасних міжнародних відносин є стрімкий розвиток інформаційного суспільства, основу якого складають інформаційно-комунікаційні технології (ІКТ). Для інформаційного суспільства характерне постійне вдосконалення інформаційних технологій й швидкі темпи їхнього впровадження у всі сфери суспільного життя. Результатом є віртуалізація значної частини суспільних відносин (розвиток державних онлайн послуг, е-комерції, дистанційного навчання та ін.) і посилення залежності країн від електронних мереж та інформаційних систем.

Важливими тенденціями сучасного етапу розвитку людства є також інтенсифікація транскордонних інформаційних потоків, поширення різноманітних способів і засобів інформаційного обміну, що практично не контролюються державою. За цих умов набувають поширення нові – інформаційні – загрози та виклики, що вимагають від держав негайного реагування й застосування нестандартних заходів і рішень.

У зв’язку з цим пріоритетним питанням «порядку денного» на міжнародному, регіональному та національному рівнях стає інформаційна безпека. Активну політику в сфері інформаційної безпеки проводить Європейський Союз.

Мета роботи – розкрити пріоритети діяльності ЄС в сфері інформаційної безпеки та показати їх реалізацію на національному рівні на прикладі Фінляндії та Естонії.

У 2001 році Європейською Комісією було представлено перший документ під назвою «Мережева та інформаційна безпека: європейський політичний підхід» (Network and Information Security: Proposal for A European Policy Approach), в якому окреслено європейський підхід до проблеми інформаційної безпеки. У документі використовується термін «мережева та інформаційна безпека», який трактується як здатність мережі або інформаційної системи чинити опір випадковим подіям або зловмисним діям, які становлять загрозу доступності, аутентичності, цілісності та конфіденційності даних, що зберігаються або передаються, а також послуг, що надаються через ці мережі і системи [1].

Дії, що порушують безпеку інформаційних мереж і систем, згруповані таким чином:

· перехоплення електронної комунікації, копіювання або модифікація даних;

· неавторизований доступ до комп’ютера або комп’ютерних мереж;

· деструктивні атаки на мережі, зокрема атаки на доменні імена, перевантаження мережі штучними повідомленнями, атаки, спрямовані на порушення маршрутизації;

· шкідливе програмне забезпечення;

· підробка веб-сайтів;

· безпекові інциденти як наслідок непередбачених і ненавмисних подій, таких як природні катаклізми, збої у роботі апаратних засобів та програмного забезпечення, людські помилки.

Європейське співтовариство відмічає, що мережева та інформаційна безпека стає ключовим фактором у розвитку інформаційного суспільства. Перш за все, мережі та інформаційні системи містять конфіденційні дані та економічно цінну інформацію, що підвищує стимул для атак. Атаки на інформаційні системи можуть мати серйозні у національному масштабі наслідки, як то збої у роботі систем комунікацій, витік конфіденційної інформації.

Проблема полягає у тому, що точно оцінити масштаб фактичних і потенційних збитків внаслідок порушення мережевої безпеки дуже важко, оскільки по-перше, немає системи оповіщення, по-друге, атаки спричиняють значну кількість нематеріальних збитків, зокрема репутаційних, і багато кампаній намагаються не інформувати про такі події, боячись негативної реклами. До того ж, мережева та інформаційна безпека є динамічною проблемою. Швидкий технологічний розвиток постійно створює нові виклики і загрози і вимагає нових рішень.

У документі визначено такі основні напрями європейської політики інформаційної безпеки:

1. Підвищення обізнаності користувачів щодо можливих загроз під час користування комунікаційними мережами.

Основна мета країн ЄС - забезпечити громадян, бізнес, державні адміністрації доступною і надійною інформацією про мережеву та інформаційну безпеку. Для цього пропонуються такі заходи:

- країни-члени мають проводити інформаційно-освітню кампанію для громадськості;

- країни-члени мають просувати використання кращого досвіду у сфері безпеки, що базується на існуючих стандартах, таких як ISO/IEC 17799;

- країни-члени мають приділяти більше уваги у навчальних програмах курсам, присвяченим питанням безпеки.

2. Створення європейської системи попередження та інформування про нові загрози

Основне завдання країн ЄС – створити систему попередження для користувачів, яка б не лише інформувала про небезпеку, але й давала поради щодо протидії атакам, а також створити конфіденційний механізм сповіщення про атаки для бізнесових структур. Насьогодні у країнах-членах функціонують “Комп’ютерні групи швидкого реагування” (CERTs). Однак, такі групи часто не мають потрібного обладнання і чітко визначених функціональних обов’язків. До того ж, CERTs в Європі залежать від політики Координаційного центру комп’ютерних груп швидкого реагування (CERT/СС), що фінансується американським урядом. Як наслідок, європейське співробітництво є обмеженим. Для вирішення цієї проблеми пропонуються такі дії:

- перегляд країнами-членами системи CERT з точки зору технічного забезпечення та компетенції;

- створення зв’язку CERT мережі Євросоюзу з подібними структурами інших країн;

- обговорення з країнами-членами питання щодо організації на європейському рівні збору даних, аналізу та планування схем реагування на існуючі і потенційні загрози безпеці.

3. Забезпечення технологічної підтримки

Пріоритетне значення надається розвитку досліджень з проблеми мережевої та інформаційної безпеки. Для цього пропонується включати питання безпеки у Рамкові програми ЄС, а країнам-членам рекомендується активно просувати використання засобів змінного стійкого шифрування.

4. Підтримка ринково орієнтованої стандартизації та сертифікації

Однією з основних умов підвищення безпеки інформаційних систем є використання усіма суб’єктами єдиних стандартів. Насьогодні в ЄС функціонує Організація європейського співробітництва з питань акредитації (European cooperation for accreditation), яка відповідає за сертифікацію бізнес-процесів та систем управління інформаційною безпекою, Європейська ініціатива з питань стандартизації електронних підписів (European Electronic Signatures Standardisation Initiative), спрямована на розробку єдиних рішень на підтримку директиви ЄС про електронні підписи, а також ініціативи впровадження інфраструктури з відкритими ключами (Public Key Infrastructure).

Основна проблема полягає в існуванні великої кількості конкуруючих стандартів та специфікацій, що призводить до фрагментації ринку та несумісних рішень. Отже, основним завданням є координація та гармонізація існуючих стандартів.

З цією метою Комісією пропонуються такі заходи:

- європейські організації зі стандартизації мають прискорити роботу над сумісними і безпечними продуктами і послугами;

- країни-члени мають просувати використання процедур сертифікації та акредитації по загальноприйнятим європейським та міжнародним стандартам, сприяючи взаємному визнанню сертифікатів;

- європейські комерційні організації мають брати більш активну участь в європейській (CEN, Cenelec, ETSI) та міжнародній діяльності зі стандартизації;

- країни-члени мають переглянути існуючі стандарти безпеки.

5. Правове забезпечення

Пріоритетними напрямами політики ЄС в сфері правового регулювання інформаційної безпеки є захист персональних даних, телекомунікаційні послуги та кіберзлочинність. Для вдосконалення правової бази в сфері інформаційної безпеки Європейською Комісією пропонуються такі заходи:

- забезпечення спільного розуміння правових наслідків безпеки в електронних комунікаціях;

- створення країнами-членами сприятливих умов для вільного обігу продуктів і послуг шифрування через гармонізацію адміністративних експортних процедур та послаблення експортного контролю;

- розробка Комісією правових заходів для зближення національних законодавств щодо атак на комп’ютерні системи.

6. Зміцнення безпеки на державному рівні

Проблема безпеки має важливе значення для подальшого розвитку е-врядування. За цих умов завданням державних органів влади є не лише забезпечення відповідності інформаційно-комунікаційних систем вимогам безпеки, але й сприяння розвитку культури безпеки, що передбачає розробку «організаційної політики безпеки». За цим напрямом передбачається реалізація таких заходів:

- країни-члени мають впровадити ефективні та сумісні засоби інформаційної безпеки як основу е-врядування та електронних державних закупівель;

- країни-члени мають використовувати електронні підписи під час надання державних онлайн послуг;

- Європейська Комісія має вжити заходи для посилення вимог безпеки для своїх інформаційно-комунікаційних систем.

7. Розвиток міжнародного співробітництва з питань інформаційної безпеки

Насьогодні Європейська Комісія бере участь у роботі Великої Вісімки, Організації економічного співробітництва і розвитку та ООН. Приватний сектор працює над проблемами безпеки в таких організаціях, як Глобальний бізнес-діалог (www.GBDe.org) або Глобальний Інтернет-проект (www.GIP.org). Основне завдання ЄС – подальше зміцнення діалогу Європейської Комісії з міжнародними організаціяи та партнерами щодо проблеми мережевої безпеки та, зокрема, щодо зростаючої залежності від електронних мереж.

10 березня 2004 року було створено Європейську агенцію з питань мережевої та інформаційної безпеки (European Network and Information Security Agency - ENISA). Це спеціалізована агенція ЄС, діяльність якої спрямована на зміцнення можливостей європейської спільноти, країн-членів, а також ділових кілв сферіпопередженняі реагування на проблеми, пов’язані з інформаційною безпекою.

Основними напрямами діяльності Агенції є: надання консультацій та допомоги Комісії і країнам-членам в сфері інформаційної безпеки; збір та аналіз даних щодо безпекових інцидентів в Європі та ризиків, що виникають; розробка методів оцінки та управління ризиками для підвищення здатності ЄС реагувати на загрози інформаційній безпеці;підвищення обізнаності та розвиток співробітництва між різними акторами в сфері інформаційної безпеки, зокрема шляхом стимулювання взаємодії між державним і приватним секторами. Агенція також допомогає Європейській Комісії у попередній технічній роботі з метою оновлення і вдосконалення європейського законодавства в сфері мережевої та інформаційної безпеки [2].

У своїй діяльності Агенція спирається на щорічні робочі плани/програми, які містять перелік основних пріоритетів і цілей та запланованих заходів для виконання поставлених завдань. Так, у робочій програмі Агенції на 2010 рік визначено такі стратегічні пріоритети:

1. Підвищення здатності європейських електронних мереж протистояти зовнішнім впливам

В рамках цього напряму діяльність Агенції включає такі заходи:

1) надання підтримки зусиллям зацікавлених сторін у створенні довідника з практики сповіщення про інциденти;

2) надання допомоги провайдерам у зміцненні стійкості їхніх мереж через проведення аналізу правових і політичних перешкод в обміні інформацією та визначення критерієв стійкості систем;

3) створення сприятливих умов для проведення європейських тренінгів з питань інофрмаційної безпеки тощо.

2. Розвиток співробітництва між країнами-членами

З 2007 року ENISA підтримує проекти співробітництва між країнами-членами ЄС в сфері інформаційної безпеки. Так, ENISA надала підтримку проектам співпраці між Угорщиною та Болгарією щодо створення Болгарскої урядової комп’ютерної групи швидкого реагування (CERT), а також співробітництва між CERT-FI (Фінляндія) та CSIR/MERAKA (Південна Африка) щодо обміну досвідом та створення Південно-африканської групи реагування на комп’ютерні інциденти (Computer Security Incident Response Team).

ENISA також сприяла розвитку партнерства між приватними і державними структурами щодо обміну інформацією про кіберзлочини між фінансовим сектором і державними органами через Центри фінансової інформації та аналізу (FI-ISAC);

У 2010 році проекти співробітництва будуть спрямовані, насамперед, на заохочення обміну позитивним досвідом у розвитку безпечної інфраструктури, підвищення ролі національних/урядових комп’ютерних груп швидкого реагування (CERTs), зміцнення співробітництва між державним і приватним секторами (зокрема, EISAS, FI-ISAC), розвиток e-ідентичності, аутентичності, захисту даних тощо, з метою визначення основних заходів для підтримання високого рівня безпеки та довіри у життєво важливих сферах діяльності країн-членів ЄС. Планується створення онлайн порталу з інформацією про поточні і завершені проекти, реєстром кращої практики в сфері мережевої та інформаційної безпеки, онлайн публікаціями Доповідей по країнах.

Крім того, Агенцією буде проаналізовано практичну діяльність Комп’ютерних груп швидкого реагування і визначено перспективні послуги, які можуть надавати ці групи, зокрема, моніторинг і раннє попередження про інциденти/атаки, дослідження вразливостей, аналіз шкідливого програмного забезпечення тощо.

3. Ідентифікація нових ризиків в сфері інформаційної безпеки і формування довіри

Основна мета Агенції – розвиток взаємної довіри між зацікавленими особами у реагуванні на нові ризики. У 2008-2009 роках Агенцією створено структуру/систему, що допомагає зацікавленим сторонам краще ідентифікувати та розуміти поточні та майбутні ризики (Emerging and Future Risks), породжені новітніми інформаційними технологіями. Агенцією започатковано також Форум з безпекових питань та створено експертні групи, які дають оцінку та аналізують відповідні проблеми.

На 2010 рік Агенцією заплановано такі заходи, як публікація доповідей з оцінки ризиків та аналіз і розробка системи показників, що мають відображати рівень національної підготовки в сфері управління ризиками (National Risk Management Preparedness).

Проблема інформаційної безпеки є одним з пріоритетів Сьомої Рамкової програми ЄС (2007-2013 рр.) Дослідження з безпеки інформаційно-комунікаційних технологій в Сьомій Рамковій Програмі спрямовані на розвиток знань і технологій для розбудови відкритого, безпечного інформаційного суспільства в Європі, в якому громадяни та організації можуть повною мірою користуватися перевагами нових технологій. Основний акцент зроблено на підвищенні можливостей користувачів управляти і захищати свої цифрові засоби, ідентичність та персональні дані у цифровому середовищі [3].

В рамках дослідницької програми розробляються п’ять тематичних блоків:

- безпечні й надійні мережеві інфраструктури та їхній захист від кіберзагроз;

- захист критичних інформаційних інфраструктур та управління їх взаємозалежностями;

- надійні і безпечні інфраструктури обслуговування;

- довіра, приватне життя та ідентичність у цифровій економіці;

- високоефективні технології для безпеки та надійність інформаційно-комунікаційних технологій.

У 2008 році розпочато реалізацію 33 дослідницьких проекти з проблеми безпеки і довіри в інформаційному суспільстві. Бюджет складає понад 160 мільйонів євро.

Значна увага в рамках ЄС приділяється проблемі кібербезпеки як складової інформаційної безпеки.

З 1999 року ЄС реалізує програми «Безпечніший Інтернет» (Safer Internet). Тривалість кожної програми – 4-5 років. Так, в рамках програми «Safer Internet plus» на період 2005–2008 роки з бюджетом у 45 мільйонів євро основна увага приділялась заходам із підвищення обізнаності громадськості, шкідливому онлайн контенту та заходам щодо підвищення безпеки онлайн середовища.

В рамках нової програми «Безпечніший Інтернет» на 2009-2013 роки передбачаються заходи не лише щодо боротьби зі шкідливим контентом, але й з небезпечною поведінкою в мережі. Бюджет програми складає 55 мільйонів євро [4]. Основними цілями програми є підвищення обізнаності громадськості, забезпечення громадськості мережею контактних пунктів для повідомлення про незаконний та шкідливий контент і поведінку; сприяння саморегулюючим ініціативам у цій сфері та залучення дітей до створення безпечнішого онлайн середовища; створення бази знань щодо нових тенденцій у використанні онлайн технологій та їхніх наслідків для життя дітей.

В рамках програми фінансується низка проектів. Перш за все, це Інтернет-центри, які створюються на національному рівні і координуються на європейському рівні. Основна мета діяльності центрів – підвищення обізнаності дітей, батьків, вчителів про онлайн ризики, а також надання порад молоді щодо безпечного користування мережею через телефони довіри та контактні пункти. Такі Інтернет-центри функціонують у 27 країнах-членах ЄС.

Для боротьби з незаконним контентом в рамках програми фінансуються такі проекти, як CIRCAMP – тематична мережа для розвитку міжнародного співробітництва правоохоронних органів; База даних Інтерполу про акти сексуального насильства над дітьми (INTERPOL International Child Sexual Exploitation Image Database), мета якої полягає у попередженні та виявленні актів сексуального насильства над дітьми через ідентифікацію жертв та зловмисників тощо.

На підтримку діяльності Інтернет-центрів щодо підвищення обізнаності громадськості, в рамках програми «Безпечніший Інтернет» профінансовано онлайн проект PEGI (Pan European Game Information) – нова версія Панєвропейської ігрової інформаційної системи PEGI, що має за мету захистити молодь від шкідливого ігрового контенту та підвищити обізнаність батьків щодо ризиків та можливої шкоди, якої можуть завдати онлайн ігри; SIP-BENCH – експертне дослідження наявного програмного забезпечення для фільтрування контенту з точки зору ефективності, простоти і зручності використання, придатності для європейських споживачів. Загалом, насьогодні в рамках програми «Безпечнійши Інтернет» фінансується понад 30 проектів.

У травні 2007 році Європейською Комісією представлено документ «На шляху до загальної політики в сфері боротьби з кіберзлочинністю» (Towards a general policy on the fight against cyber crime), в якому дається визначення терміну «кіберзлочинність» та висвітлено основні напрями політики ЄС в сфері боротьби з кіберзлочинністю [5].

Згідно з документом, кіберзлочинність - це кримінальні дії, скоєні з використанням електронних комунікаційних мереж та інформаційних систем або проти таких мереж та систем. Це поняття включає три категорії злочинів: 1) традиційні форми злочину (шахрайство та підробки в електронних комунікаційних мережах та інформаційних системах); 2) публікація протизаконного контенту в електронних медіа (дитяча порнографія, матеріали із закликами до расової ненависті і т.п.); 3) специфічні злочини в електронних мережах (атаки на інформаційні системи, хакерство тощо). Характерною рисою кіберзлочинів є масовий масштаб та значна географічна відстань між самим злочином і його наслідками.

Політика Європейської Комісії в сфері боротьби з кіберзлочинністю реалізується за чотирьма основними напрямами.

По-перше, це участь у законодавчому процесі. Найбільш важливим законодавчим рішенням є Рамкове рішення Ради Міністрів ЄС щодо атак на інформаційні системи від 17 січня 2005 року. Рамкове рішення покликане забезпечити мінімальний рівень зближення кримінального права для найбільш поширених форм кримінальної діяльності відносно інформаційних систем, таких як незаконний доступ, незаконне втручання у систему та дані. Сюди відноситься хакерство, DoS-атаки, поширення шкідливого коду, шпіонських програм та вірусів. Згідно з рішенням покарання за незаконне втручання у системутанезаконна модифікація, пошкодження або знищення даних має складати щонайменше 2-3 роки тюремного ув’язнення. Підбурювання, надання допомоги, співучасть та спроби вчинити вище зазначені злочини також мають кваліфікуватися країнами-членами як кримінальні злочини.

По-друге, Європейська Комісія заохочує транскордонне співробітництво правоохоронних органів країн-членів ЄС. В рамках цього напряму діяльності здійснюються такі заходи, як організація конференцій з питань кіберзлочинності, створення цілодобових контактних пунктів у країнах-членах ЄС, розвиток платформи для навчання експертів у сфері боротьби з кіберзлочинністю.

По-третє, Європейська Комісія розвиває співробітництво між державним і приватним секторами у боротьбі з кіберзлочинністю, зокрема, співпрацю між правоохоронними органами та приватними компаніями. У 2007 році Комісією було орагнізовано зустріч експертів державних і приватних установ, на якій обговорювалося питання розвитку співпраці між цими спеціалістами в рамках ЄС.

По-четверте, Європейська Комісія відіграє координуючу роль на міжнародному рівні: заохочує підписання країнами-членами та іншими країнами Конвенції про кіберзлочинність, розробленої Радою Європи, та бере участь у міжнародних робочих групах.

У березні 2009 року опубліковано Повідомлення Європейської Комісії під назвою «Захист Європи від широкомасштабних кібер-атак та руйнувань: посилення рівня підготовленості, безпеки та стійкості» (Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience), в якому визначено основні виклики/проблеми, які потребують негайного реагування ЄС, а також окреслено основні заходи, необхідні для посилення безпеки та здатності європейської критичної інформаційної інфраструктури протистояти зовнішнім впливам [6].

Згідно з документом, сьогодні основними викликами безпеці інформаційних інфраструктур ЄС є некоординовані національні підходи до безпеки інформаційних інфраструктур, що знижує ефективність національних заходів; відсутність на європейському рівні партнерства між державним та приватним секторами; обмежені можливості ЄС щодо раннього попередження та реагування на безпекові інциденти, зумовлені нерівномірністю розвитку систем моніторингу і сповіщення про інциденти у країнах-членах, нерозвиненістю міждержавного співробітництва та обміну інформацією щодо цих проблем; відсутність міжнародного консенсусу щодо пріоритетів у реалізації політики захисту критичної інформаційної інфраструктури.

Для ефективного реагування ЄС на існуючі виклики кібербезпеці необхідна реалізація заходів:

1. Забезпечення належного рівня підготовки на всіх рівнях, що передбачає визначення країнами-членами базових можливостей для національних Комп’ютерних команд швидкого реагування та систем реагування на безпекові інциденти; посилення співпраці між державним і приватним секторами; створення європейського форуму для обміну інформацією між країнами-членами;

2. Створення європейської системи раннього сповіщення про кіберзагрози;

3. Зміцнення захисних механізмів для критичної інформаційної інфраструктури ЄС, що передбачає розробку національних планів реагування на надзвичайні події та організація тренінгів для широкомасштабного реагування на безпекові інциденти; проведення панєвропейських навчань з проблеми безпекових інцидентів в мережі Інтернет; зміцнення співпраці між національними комп’ютерними групами швидкого реагування;

4. Вироблення європейських керівних принципів щодо забезпечення стійкості і стабільності мережі Інтернет та їхнє просування на міжнародній арені;

5. Визначення критерієв ідентифікації європейської критичної інфраструктури для сектору інформаційно-комунікаційних технологій.

Політичні пріоритети в сфері інформаційної безпеки, визначені керівними органами Європейського Союзу, втілюються у життя на національному рівні як органами державної влади, так і неурядовими організаціями.

Однією з країн-лідерів ЄС за показниками розвитку інформаційного суспільства є Фінляндія. В рейтингу країн ЄС Фінляндіязаймає перше місце за рівнем цифрової грамотності (понад 50% населення), друге місце – за показником поширення мережі широкосмужного зв’язку (34% населення) [7].

Основними державними установами, відповідальними за розробку та реалізацію політики інформаційної безпеки, є Міністерство транспорту та комунікацій та Омбудсмен з питань захисту даних (Data Protection Ombudsman) тощо.

Повноваженнями Міністерства транспорту та комунікацій є розробка законодавства щодо комунікаційних мереж, безпеки даних, забезпечення доступу до комунікаційних послуг, а також вироблення і реалізація національної політики в сфері інформаційної безпеки. Інформаційна безпека визначається як комплекс адміністративних та технічних заходів щодо забезпечення конфіденційності та цілісності інформації, а також зручності користування інформаційною системою.

У грудні 2008 року урядом Фінляндії прийнято Національну стратегію інформаційної безпеки [8].

У Стратегії визначено п’ять пріоритетних цілей державної політики в сфері інформаційної безпеки, а саме:

1. розвиток співробітництва з питань інформаційної безпеки на національному та міжнародному рівнях;

2. підтримання національної конкурентоспроможності та створення сприятливих умов для національних операторів інформаційно-комунікаційних технологій;

3. вдосконалення системи управління ризиками в сфері інформаційної безпеки;

4. забезпечення захисту основоположних прав громадян та інтелектуального капіталу країни;

5. підвищення громадської обізнаності в сфері інформаційної безпеки.

Діяльність з розвитку національного і міжнародного співробітництва в сфері інформаційної безпеки передбачає реалізацію таких заходів: створення Консультативної Ради з питань інформаційної безпеки, уповноваженої контролювати виконання стратегії; участь у розробці законодавства та стандартів в сфері інформаційної безпеки в рамках ЄС та міжнародних організацій; започаткування дослідницького проекту щодо важливості довіри і інформаційної безпеки в сучасному суспільстві; надання підтримки державних суб’єктам у зміцненні інформаційної безпеки.

За другим пріоритетним напрямом передбачаються такі заходи, як забезпечення доступності інформації про інформаційну безпеку для компаній та інших організацій; сприяння розвитку інновацій в сфері інформаційної безпеки, формуванню експертних мереж між організаціями та розвитку співробітництва між державним і приватним секторами; надання підтримки компаніям та дослідницьким інститутам у виробництві нових засобів/продуктів інформаційної безпеки; створення умов для підвищення сумісності інформаційних систем/мереж в державному та приватному секторах; проведення регулярної оцінки впливу законодавства та міжнародних договорів в сфері інформаційної безпеки на комунікаційні послуги, банківські онлайн послуги, послуги електронної ідентифікації, e-комерцію та електронні транзакції в діловій сфері.

Для вдосконалення системи управління ризиками в сфері інформаційної безпеки передбачається реалізація таких заходів: створення системи моніторингу та здійснення регулярної оцінки ризиків інформаційній безпеці; розробка методів аналізу вразливостей в сфері інформаційної безпеки; створення робочої групи з питань інформаційної безпеки під керівництвом Консультативної Ради з питань інформаційної безпеки.

Діяльність щодо захисту фундаментальних прав та національного інформаційного капіталу включає забезпечення свободи висловлення, конфіденційності комунікацій, захисту недоторканості приватного життя та інших громадянських прав, які мають бути враховані у законодавстві та стандартах, що стосуються інформаційного суспільства та інформаційної безпеки тощо.

Для підвищення обізнаності та компетентності в сфері інформаційної безпеки передбачено такі заходи, як дослідження сучасного рівня обізнаності та компетентності в сфері інформаційної безпеки, визначення потрібного рівня компетентності та започаткування необхідних проектів для підвищення загального рівня обізнаності громадськості з питань інформаційної безпеки; поширення фактичної інформації та впровадження курсів з інформаційної безпеки на всіх рівнях шкільного навчання; сприяння розробці та використанню сертифікатів якості в сфері інформаційної безпеки тощо.

Структурним підрозділом Міністерства транспорту та комунікацій є Управління Фінляндії з регулювання комунікацій (Finnish Communications Regulatory Authority – FICORA), яке уповноважене здійснювати контроль та державне регулювання сфери інформаційно-комунікаційних технологій [9].

Основне призначення FICORA полягає у забезпеченні ефективних та безпечних комунікаційних з’єднань та послуг, а також у сприянні розвитку інформаційного суспільства.

До повноважень FICORA відноситься контроль функціональності електронних комунікаційних мереж, інформування про можливі загрози інформаційній безпеці, підвищення обізнаності громадян з питань інформаційної безпеки, планування і управління використанням радіочастот, мережевими адресами, а також контроль змісту програм і реклами на телебаченні та радіо.

У Стратегії FICORA на 2009-2015 роки визначено такі пріоритетні напрями діяльності установи [10]:

- забезпечення високоякісних та прийнятних за ціною комунікаційних послуг для громадян та компаній Фінляндії;

- забезпечення швидких і надійних телекомунікаційних послуг;

- захист прав громадян як користувачів комунікаційних послуг (зокрема, поширення інформації про ціни, якість та інші характеристики комунікаційних послуг; розробка єдиної системи вимог до компаній, що надають телекомунікаційні послуги тощо);

- забезпечення високоякісних медіа послуг за прийнятними цінами для всіх громадян, відстеження шкідливого для дітей контенту телепрограм, сприяння підвищенню медіаграмотності громадян;

- підвищення обізнаності громадян з питань інформаційної безпеки і захисту приватного життя та забезпечення конфіденційності комунікацій;

- забезпечення функціональності ринку комунікацій (аналіз конкурентного середовища, моніторинг цін на телекомунікаційні послуги тощо);

- забезпечення ефективного розподілення радіочастотних діапазонів;

- зміцнення інформаційної безпеки на корпоративному рівні;

- встановлення стандартів інформаційної безпеки для національних комунікаційних систем і продуктів;

- сприяння розвитку співробітництва між компаніями, які надають телекомунікаційні послуги;

- поліпшення технічної якості та надійності комунікаційних мереж і послуг.

В структурі FICORA функціонує CERT-FI (Computer Emergency Response Team of Finland) – фінська комп’ютерна група швидкого реагування, завданням якої є підтримання безпеки в інформаційному суспільстві шляхом попередження, виявлення та реагування на інциденти в сфері інформаційної безпеки (information security incident[*]), а також поширення інформації про загрози інформаційній безпеці.

CERT-FI здійснює моніторинг інцидентів на національному рівні і веде статистику. Підрозділ отримує повідомлення про безпекові інциденти від операторів телекомунікаційних послуг, а також від державних та приватних організацій. До компетенції CERT-FI також відноситься: підтримання обізнаності громадськості про загрози інформаційній безпеці; вироблення рекомендацій для зміцнення інформаційної безпеки; поширення інформації про способи попередження інцидентів, пов’язаних з інформаційною безпекою; надання допомоги у вирішенні проблем в сфері інформаційної безпеки; співробітництво з постачальниками обладнання та програмного забезпечення, з правоохоронних органами; проведення моніторингу і аналізу загроз інформаційній безпеці на міжнародному рівні тощо [11].

Омбудсмен з питань захисту даних (Data Protection Ombudsman) - незалежний орган, уповноважений забезпечувати захист права громадян на недоторканість приватного життя шляхом здійснення контролю за обробкою персональних даних та надання консультацій з цих питань. Омбудсмен спільно з FICORA видає спеціалізований журнал «Tietosuoja», присвячений проблемі захисту даних. Журнал містить інформацію про норми і практику в сфері захисту даних, про безпеку даних в електронних систмах комунікації, а також вимоги ЄС щодо рівня захисту даних в країнах-членах [7].

Серед неурядових організацій, які займаються питаннями інформаційної безпеки, провідна роль належить Фінській федерації комунікацій та телеінформатики (Finnish Federation for Communications and Teleinformatics – FiCom) та Фінській асоціації з питань інформаційної безпеки (Finnish Information Security Association) [7].

Фінська федерація комунікацій та телеінформатики об’єднує компанії, що працюють в сфері інформаційно-комунікаційних технологій. Основна мета діяльності федерації – розвиток бізнес-можливостей своїх членів та підвищення їхньої конкуретоспроможності. Діяльність FiCom включає планування і координацію заходів щодо розвитку інформаційно-комунікаційних технологій, здійснення моніторингу ситуації в ІКТ-секторі, здійснення впливу в сфері регулювання ринку інформаційно-комунікаційних технологій тощо. Федерація підтримує тісні контакти з політичними діячами, державними службовцями, представниками ЗМІ та іншими організаціями.

Фінська асоціація з питань інформаційної безпеки є найбільшою неприбутковою асоціацією Фінляндії в сфері інформаційної безпеки, яка функціонує з 1997 року й об’єднує понад 90 членів. Метою діяльності асоціації є розвиток професіоналізму й обізнаності в сфері інформаційної безпеки. Діяльність асоціації включає організацію дискусій, конференцій, участь у різних програмах з інформаційної безпеки.

В країні реалізується низка програм в сфері інформаційної безпеки, що фінансуються урядом Фінляндії. Такими програмами є Фінський проект з Інтернет-обізнаності та безпеки (The Finnish Internet Awareness and Safety project), Проект Інтернет довіри (TrustInet Project) та Інтернет-автобус (Internet Bus) [7].

Фінський проект з Інтернет-обізнаності та безпеки, розрахований на період 2008-2010 роки, є спільним проектом трьох організацій: «Save the Children Finland», Ліга захисту дітей імені Маннергейма (The Mannerheim League for Child Welfare) та FICORA. Метою проекту є просування безпечного користування мережею Інтернет та боротьба з незаконним контентом. В рамках проекту реалізуються такі заходи, як організація Дня безпечного Інтернету, створення навчальних програм з питань безпеки Інтернет для провайдерів веб-контенту, встановлення «телефону довіри» для користувачів Інтернет для повідомлення про незаконний контент та інші проблеми.

Суть проекту TrustInet полягає у дослідженні проблеми довіри у відносинах між провайдерами послуг та споживачами в мережі Інтернет. Проект фінансується Державним агентством фінансування технологій та іновацій (Finnish Funding Agency for Technology and Innovation - Tekes), яке виділило 1,8 мільойнів євро на створення експертної групи «Надійний Інтернет» (Trustworthy Internet) в Гельсинському Інституті інформаційних технологій, Лабораторії телекомунікацій та мультимедіа в Гельсинському технологічному університеті та Комп’ютерного департаменту в Гельсинському національному університеті.

З червня 2001 року реалізується проект «Інтернет-автобус», що має за мету навчити людей працювати з комп’ютерами та користуватися мережею Інтернет. У фінському місті Тампере їздить яскраво розмальований автобус «Netti-Nysse», обладнаний комп’ютерами, в якому проводяться навчальні курси з комп’ютерної грамотності. Навчальні групи складаються з 7-10 осіб. Тренінг триває 2 години. Тренінги проводять досвідчені спеціалісти по роботі зі споживачами.

Серед країнЦентрально-Східної Європи, які отримали членство в ЄС, провідні позиції у розробці і впровадженні політики інформаційної безпеки займає Естонія. Розробкою і впровадженням політики інформаційної безпеки займається Міністерство економіки та комунікацій, а точніше такі його структурні підрозділи, як Департамент державної інформаційної системи та Естонський центр інформатики [7].

Департамент державної інформаційної системи уповноважений координувати політичну діяльність в сфері інформаційних технологій та розробляти плани в сфері державних адміністративних інформаційних систем, а саме: державні ІТ-бюджети, законодавство в сфері інформаційних технологій, координація ІТ-проектів, ІТ-аудити, стандартизація, міжнародне співробітництво в сфері державних інформаційних систем.

Естонський центр інформатики є виконавчим органом в загальній системі координації державної інформаційної політики та розвитку державного сектору інформаційних технологій. Основне завдання Центру – координувати розробку і управління державною інформаційною системою. До компетенції Центру відноситься управління проектами, включаючи підготовку ІТ-проектів для державних інституцій; проведення моніторингу ситуації з інформаційними технологіями; створення державних реєстрів; розвиток комп’ютерних мереж; вироблення правових засад для сфери інформаційних технологій; здійснення державних закупівель інформаційних технологій тощо.

Міністерством економіки та комунікацій Естонії розроблено національну політику інформаційної безпеки. Основна мета політики Естонії в сфері інформаційної безпеки – створення безпечного і відкритого для міжнародної співпраці інформаційного суспільства. Більш конкретними цілями політики інформаційної безпеки є усунення неприйнятних ризиків, захист основних прав людини, забезпечення обізнаності та тренінгів в сфері інформаційної безпеки, участь у міжнародних ініціативах з е-безпеки, а також підвищення конкурентоспроможності економіки. Державна політикав сфері інформаційної безпеки охоплює п’ять сфер:

1. Співробітництво з питань е-безпеки, що координується Міністерством економіки та комунікацій. Сюди відносяться координація аналізу ризиків естонського ІКТ-середовища, створення і управління естонською комп’ютерною групою швидкого реагування, участь у діяльності Європейської агенції з питань мережевої та інформаційної безпеки, а також координація транскордонних ініціатив.

2. Кризовий менеджмент та кіберзлочинність, що координується Міністерством внутрішніх справ спільно з Міністерством оборони. Ця сфера діяльності включає підготовку плану державного кризового управління, координацію роботи державних і локальних кризових комітетів та координацію міжнародних ініціатив з кіберзлочинності.

3. Освіта і навчання, що координується Міністерством освіти і науки, Міністерством оборони, Міністерством економіки і комунікацій та Державною канцелярією. Діяльність в цій сфері включає здійснення заходів зі зв’язків з громадськістю, проведення тренінгів, створення інформаційних веб-сайтів, розвиток співпраці зі школами тощо.

4. Безпечне е-врядування, що базується на відповідному законодавстві, стандартах та процедурах, таких як безпекові вимоги до баз даних, послуг та державних закупівель. Нормативні питання узгоджуються Міністерством економіки і комунікацій спільно з Міністерством внутрішніх справ.

5. Сфера додатків, що координується Міністерством внутрішніх справ та Міністерством оборони. Сюди відноситься координація завдань, пов’язаних з безпекою додатків, зокрема, розповсюдження ідентифікаційних карток (ID cards), використання інтегрованих засобів передачі й обробки інформації (телематики) в адміністративних мережах.

8 травня 2008 року урядом Естонії затверджено Стратегію кібербезпеки Естонії на 2008-2013 роки [12]. Згідно зі Стратегією, політика кібербезпеки має здійснюватися за такими напрямами, як оцінка уразливості національної критичної інфраструктури, розробка системи превентивних заходів проти кібератак, визначення повноважень в сфері управління кібербезпекою на національному рівні, а також вдосконалення правової бази, підвищення обізнаності громадськості щодо кіберзагроз та посилення міжнародного співробітництва.

Національна стратегія кібербезпеки базується на таких принципах:

- інтеграція планів дій з кібербезпеки у систему національної безпеки;

- координація дій усіх зацікавлених сторін як державного, так і приватного секторів;

- високий рівень соціальної обізнаності щодо загроз у кіберпросторі та готовності реагувати на них;

- співробітництво з міжнародними організаціями та іншими країнами для посилення кібербезпеки;

- захист прав людини, персональних даних та ідентичності тощо.

У документі визначено такі стратегічні цілі Естонії у сфері кібербезпеки:

1. створення багаторівневої системи безпекових заходів;

2. розширення компетенції та обізнаності громадян країни з питань інформаційної безпеки;

3. правове регулювання питань кібербезпеки;

4. зміцнення позиції Естонії як однієї з країн-лідерів у міжнародній співпраці в сфері кібербезпеки.

При створенні багаторівневої системи безпекових заходів пріоритетне значення надається захисту критичної інформаційної інфраструктури, розробці і впровадженню заходів безпеки та організаційному співробітництву.

Діяльність щодо захисту критичної інформаційної інфраструктури включає:

- визначення послуг, необхідних для функціонування критичної інформаційної інраструктури;

- визначення взаємозалежності критичної інфраструктури та критичної інформаційної інфраструктури;

- розробка загальної методології оцінки уразливості інформаційних систем критичної інфраструктури;

- збір та обробка інформації щодо поточної ситуації у кіберпросторі для планування превентивних заходів та контрзаходів у сфері національної кібербезпеки.

Розробка та впровадження системи заходів безпеки передбачає визначення додаткових засобів безпеки інформаційних систем; визначення мінімального рівня функціональності інформаційної інфраструктури та забезпечення цього рівня функціонування у кризовій ситуації; визначення заходів протидії у надзвичайній ситуації, якщо на об’єкти критичної інфраструктури здійснено атаку; вироблення економічно прийнятних й оптимальних методів забезпечення інформаційної безпеки; розробка методів тестування для засобів безпеки; вдосконалення систем ідентифікації та моніторингу електромангітного впливу на критичну інфраструктуру; зміцнення інфраструктури Інтернет; підвищення безпеки систем контролю (наприклад, SCADA (Система управління і збору даних) - автоматизована система управління і контролю, що використовуються в промисловості); перевірка рівня безпеки об’єктів критичної інформаційної інфраструктури з точки зору електромагнітних впливів.

Контроль за впровадженням заходів безпеки для критичної інфраструктури здійснює Міністерство внутрішніх справ та Міністерство економіки і комунікацій у співробітництві з іншими міністерствами, що відповідають за різні сектори критичної інфраструктури.

Для зміцнення організаційного співробітництва передбачено реалізацію таких заходів:

- створення Ради з кібербезпеки в Комітеті з питань безпеки естонського уряду, уповноваженого втілювати у життя Стратегію кібербезпеки;

- визначення повноважень структурного підрозділу Міністерства економіки і комунікацій, що відповідає за безпеку державних інформаційних систем;

- вдосконалення методів оцінки ризиків, розроблених міністерствами та використання цих методів в сфері кібербезпеки;

- створення експертної робочої групи (яка надаватиме професійні поради Раді з кібербезпеки), уповноваженої виявляти прогалини в інформаційній безпеці, визначати необхідні ресурси для оновлення безпекових заходів та обмінюватися оперативною інформацією;

- формулювання пропозицій для внесення поправок у національне і міжнародне законодавство;

- координація заходів щодо підвищення обізнаності в сфері кібербезпеки та визначення органу, відповідального за проведення цих заходів.

Основними способами підвищення компетентності в сфері кібербезпеки визначено організацію навчань (тренінгів) з питань кібербезпеки та проведення досліджень. Сюди відноситься, зокрема, встановлення вимог до знань в сфері інформаційної безпеки та кіберзахисту для робітників державного і приватного секторів та впровадження відповідної системи оцінювання; підвищення рівня підготовленості до кризових ситуацій в державному та приватному секторах; створення в Естонії під егідою НАТО Центру експертизи з питань кооперативної кібер-оборони (NATO Cooperative Cyber Defence Centre of Excellence).

Діяльність щодо правового регулювання сфери кібербезпеки включає розробку правових визначень кібербезпеки та кіберзлочину; впровадження законодавства щодо питань кібербезпеки, включаючи запровадження обов’язкових заходів та стандартів безпеки і встановлення мінімальних вимог до безпеки інформаційних систем; започаткування ініціатив у законотворчій діяльності на міжнародному рівні тощо.

Діяльність щодо зміцнення міжнародної співпраці з питань кібербезпеки передбачає винесення проблем кібербезпеки на міжнародний «порядок денний»; сприяння ратифікації країнами Конвенції Ради Європи про кібезлочинність; обговорення проблем кібербезпеки на конференціях, семінарах та форумах; надання підтримки міжнародним корпораціям, асоціаціям, дослідницьким інститутам та неурядовим організаціям, які займаються проблемами кібербезпеки; просування кращої практики в сфері кібербезпеки на міжнародному рівні; направлення представників Естонії до експертних груп міжнародних організацій, задіяних в сфері кібербезпеки.

Важливу роль у вирішенні проблем інформаційної безпеки в Естонії відіграє Естонська інспекція захисту даних. Це установа державного нагляду, основними напрямами діяльності якої є [13]:

- надання правової допомоги і здійснення контролю (надання порад, роз’яснення, розгляд скарг, здійснення перевірок, участь у діяльності європейських організацій з питань захисту даних);

- створення баз даних державного сектору;

- реєстрація обробки конфіденційних персональних даних;

- авторизація обробки даних (авторизація обробки даних для наукових або статистичних цілей без згоди людини, авторизація передачі персональних даних з недостатнім рівнем захисту до зарубіжних країн);

- здійснення адміністративного примусу та виконання наказів щодо правової відповідальності тощо.

Інспекція здійснює нагляд за власниками інформації та особами, які обробляють персональні дані. Крім приватного сектору, діяльність Інспекції охоплює усі державні установи. У випадках, коли інтереси по захисту персональних даних протирічать інтересам щодо розголошення інформації, роль Інспекції полягає у тлумаченні та застосуванні правових норм так, щоб забезпечити збалансований захист обох благ.

З 2006 року в Естонії працює Комп’ютерна група швидкого реагування (CERT Estonia) – організація, відповідальна за управління безпековими інцидентами в національних комп’ютерних мережах (точніше, мережах домену «.ee»). Організація надає допомогу естонським Інтернет-користувачам у реалізації превентивних заходів, з метою мінімізації шкоди від безпекових інцидентів та у реагуванні на загрози безпеці. Обсяг підтримки, що надається CERT Estonia, залежить від типу та серйозності безпекового інциденту, від кількості потенційно постраждалих користувачів та наявних в організації ресурсів.

Комп’ютерною групою швидкого реагування Естонії надаються такі послуги:

- управління інцидентом – прийняття повідомлень про інцидент, пріоритизація інцидентів залежно від рівня серйозності; аналіз інциденту; надання допомоги у реагуванні на інцидент; координація дій з реагування на інцидент;

- інформування і попередження – інформування користувачів про атаки, віруси, «хробаків», «троянів» в мережах домену першого рівня «.ee» та сповіщення про уразливі місця, виявлені у найбільш популярних в Естонії системах і додатках.

CERT Estonia не надає послуг кінцевим користувачам, тому у разі безпекового інциденту користувачі мають звертатитися до системних адміністраторів їхнього Інтернет-провайдеру, до мережевих адміністраторів або до служби підтримки споживачів.

В Естонії також функціонує декілька неурядових організацій, які роблять свій внесок у зміцнення інформаційної безпеки держави. Серед них - Фонд Look@World та Центр сертифікації.

У 2001 році десять провідних компаній Естонії створили Фонд Look@World з метою підвищення кількості Інтернет-користувачів в країні.Фондом реалізовано такі проекти, як тренінги з користування комп’ютерами та мережею Інтернет для 100,000 громадян, створення середовища eSchool, відкриття 500 пунктів доступу до мережі Інтернет.

23 травня 2006 року основні учасники Фонду Look@World та Міністерство економіки і комунікацій Естонії підписали договір про співпрацю щодо започаткування загальнонаціональної ініціативи під назвою «Computer Protection 2009». Мета проекту – перетворити Естонію на країну з найбільш безпечним інформаційним суспільством у світі до 2009 року [14]. Ініціатива відома під назвою «Look@World 2». Впродовж трьох років партнери Фонду Hansapank, EMT, SEB Eesti Ühispank та Elion фінансують ініціативу у розмірі 3.83 мільйонів євро.

За договором, сторони зобов’язуються забезпечити стійкий розвиток е-послуг та ІТ-рішень, що надаються державою та приватним сектором; дати можливість користувачам е-послуг активно брати участь у захисті інформаційного суспільства, зберігаючи при цьому стабільне середовище та довіру до цих послуг; сприяти заходам із підвищення обізнаності та вдосконалення навичок, пов’язаних із ІТ-безпекою; створити умови для підвищення простоти, доступності та зручності у користуванні апаратних засобів та програмного забезпечення.

Сторони домовилися об’єднати зусилля для забезпечення розробки і впровадження додатків на базі ідентифікаційної картки (ID card) та сучасної криптографічної системи з відкритим ключем.

Згідно з договором внесок Міністерства економіки і комунікацій Естонії у реалізацію інціативи полягає у наступному:

- надання пріоритетного значення питанням інформаційної безпеки під час розробки стратегій та законодавства стосовно інформаційного суспільства і забезпечення ефективної діяльності Комп’ютерної групи швидкого реагування Естонії;

- використання рішень, що враховують можливості ідентифікаційної картки у розвитку нових безпечних публічних е-послуг та у функціонуванні державної адміністрації;

- сприяння діалогу з питань безпеки мережі Інтернет між державним і приватним секторами;

- пошук і обмін інформацією про програми ЄС, спрямовані на розвиток безпечного інформаційного суспільства;

- поширення досвіду Естонії в сфері електронної ідентифікації в країнах ЄС та полегшення обміну кращим досвідом з іншими країнами;

- участь у розробці та просуванні системи показників безпеки Інтернет та реалізації аналітичних досліджень щодо використання ідентифікаційних карток та е-послуг.

Діяльність Фонду Look@World в рамках ініціативи «Computer Protection 2009» полягає у наступному:

- просування і пріоритетний розвиток ідентифікаційних карток;

- інтеграція ідентифікаційної картки та інших механізмів ідентифікації на базі технології PKI (Public Key Infrastructure) у свої послуги та забезпечення максимального використання цифрового підпису у бізнес-процесах;

- інвестування в інфраструктуру та подібні послуги;

- проведення тренінгів та надання інформації естонським громадянам щодо користування ідентифікаційною карткою в електронних системах;

-розробка і впровадження нових послуг, що базуються на ID-картках;

- надання консультацій підприємствам та установам щодо розвитку послуг на базі ідентифікаційних карток;

- реалізація заходів щодо підвищення громадської обізнаності в сфері інформаційної безпеки, зокрема створення і підтримку порталу, присвяченого безпеці інформаційних технологій;

- поширення інформації про безпеку інформаційних технологій через засоби інформації;

- розробка показників Інтернет-безпеки та їхнє просування.

З метою інформування громадськості про ідентифікаційну картку як найбільш простий та безпечний механізм самозахисту під час використання е-послуг створено сайт http://koolitus.id.ee, на якому пояснюється, чому необхідна ідентифікаційна картка, як її отримати, як нею користуватися, як зробити електронний підпис тощо. Інформація доступна естонською та російською мовою. Крім того, створено сайт, де розміщено корисну інформацію з питань безпеки інформаційних технологій: www.arvutikaitse.ee (естонська версія), www.infosecurity.ee (російська версія).

У лютому 2001 року двома провідними банками Естонії Hansapank і SEB спільно з двома телекомунікаційними компаніями Elion і EMT створено Центр сертифікації. Це єдина установа в Естонії, яка видає сертифікати на аутентифікацію та електронний підпис для ID-карток. Основна функція Центру – забезпечення надійності та цілісності електронної інфраструктури для ідентифікаційних карток. Центр не лише видає сертифікати на ідентифікаційні картки, але й надає послуги, пов’язані із юридичною дієвістю сертифікатів та використанням електронних підписів. Послугами Центру користуються естонські банки, судові органи і нотаріуси, правоохоронні органи, Республіки Латвія та Литва та багато інших [15].

Центром сертифікації та його партнерами створено безпечну, надійну й зручну технологію DigiDoc, яка дозволяє створювати електронні підписи у будь-яких формах комунікації. Технологія, яка стала стандартом в Естонії, використовується здебільшого державним сектором (судами, урядом, органами місцевого самоврядування, банками тощо).

Таким чином, в рамках ЄС інформаційна безпека розглядається, насамперед, як такий стан інформаційних мереж і систем, що забезпечує достатній рівень захисту цілісності, доступності й конфіденційності інформації та належний рівень протидії зовнішнім негативним впливам. Відповідно одним з пріоритетів політики країн ЄС в сфері інформаційної безпеки є розробка і впровадження програм та різних технічних засобів, які дозволяють підтримувати певний рівень захисту інформаційно-комунікаційних технологій. Поряд з цим, значна увага в рамках ЄС приділяється правовим засадам інформаційної безпеки, що передбачає розробку нормативно-правових актів, які б встановлювали перелік злочинів, пов’язаних із інформаційними технологіями, й визначали відповідну кримінальну відповідальність. Іншим пріоритетом політики ЄС є інформаційна безпека громадян. По суті це високий рівень обізнаності громадськості щодо ризиків та загроз, пов’язаних з інформаційними технологіями, та щодо способів захисту своїх інформаційних систем/мереж від небажаних впливів. Сюди відноситься не лише протидія кібератакам, але й захист персональних даних, виявлення шкідливого контенту в мережі Інтернет тощо.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ:

1. Communication from the European Commission: "Network and Information Security: Proposal for a European Policy Approach" (COM (2001) 298 (June 6, 2001) - http://ec.europa.eu/information_society/eeurope/2002/news_library/pdf_files/netsec_en.pdf

2. The European Network and Information Security Agency (ENISA). - http://www.enisa.europa.eu/

3. EU Seventh Framework Programme (FP7). – http://cordis.europa.eu/fp7/dc/index.cfm

4. Safer Internet Programme. - http://ec.europa.eu/information_society/activities/sip/policy/programme/current_prog/index_en.htm

5. Communication from the Commission: Towards a general policy on the fight against cyber crime. Brussels, 22.5.2007. COM(2007) 267 final. - http://eur-lex.europa.eu/LexUriServ/site/en/com/2007/com2007_0267en01.pdf

6. Communication from the Commission on Critical Information Infrastructure Protection: Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience. Brussels, 30.3.2009. COM (2009)149. - http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/index_en.htm

7. ENISA Country Reports. 2009. - http://www.epractice.eu/files/media/media2624.pdf

8. Information Security Strategy

9. The Ministry of Transport and Communications. - http://www.lvm.fi/web/en/39

10. The Strategy Of The Finnish Communications Regulatory Authority 2009-2015. – http://www.ficora.fi/.../strategy/.../DOHA_n561005_v1_Viestintaviraston_strategia _2009-2015_in_English.pdf

11. CERT-Fi. - http://www.cert.fi/en/index.html

12. Estonian Cyber Security Strategy. -http://www.mod.gov.ee/static/sisu/files/Estonian_Cyber_Security_Strategy.pdf

13. Estonian Data Protection Inspectorate - http://www.aki.ee/eng/

14. Computer Protection 2009. - http://www.riso.ee/en/pub/2006it/docs/3.1.htm

15. Certification Centre (AS Sertifitseerimiskeskus) - http://www.sk.ee/pages.php/0203

[*] Information security incident визначається як незаконне порушення доступності, цілісності або конфіденційності даних в інформаційній системі організації чи індивіда.