ОСНОВИ НА КИБЕРСИГУРНОСТТА

ТЕМА
ЗАКОНИ И РАЗПОРЕДБИ ЗА КИБЕРСИГУРНОСТТА В САЩ И ГЕРМАНИЯ.
Специфични сектори за киберпрестъпления. Съдебни спорове за
киберсигурността. Застраховане. Разследващи и полицейски правомощия при
разследване на инциденти.

ИЗГОТВЕЛИ:
Цветелин Марианов Василев
 ОСНОВИ НА КИБЕРСИГУРНОСТТА

УВОДУвод:
В настоящата тема се разглеждат различията в
законодателствата между Американската и
Германската правна система свързана с
киберсигурността. Основополагащи закони и
специфични закони, сектори и служби.
Застраховка срещу нарушение на закона за
киберсигурността , разследващи и полицейски
правомощия на правоприлагащите органи при
разследване на инциденти.
Основополагащи федерални закони за киберсигурността в

• Health Insurance Portability and Accountability Act (HIPAA) (1

(Закон за здравното осигуряване и надежност)
• Грам-Лийч-Блайли (GLBA) (1999) Gramm-Leach-Bliley
• Glass-Steagall
• Federal Information Security Management Act of 2002 (FISM
(Федералния закон за управление на информационната
сигурност)
 Закони на щатско ниво
• California Assembly Bill
• Notice of Security Breach Act (2003)

• Примерно законодатеслтво: DE S 153

 Американските еквиваленти за стандарти на киберсигурноста о
NIST националния институт за технологйите за частни и държа
организаций:

• FIPS 200 under SECURITY CONTROL BASELINE (2006)

• https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.200.pdf
• NIST SP 800-18 Rev. 1 underSecurityControl (2006)
• Baselinehttps://nvlpubs.nist.gov/nistpubs/Legacy/SP/
nistspecialpublication800-18r1.pdf
• NIST SP 800-39 underSecurityControlBaseline CNSSI 4009 (2011)
• https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication
39.pdf
• NIST SP 800-30 Rev. 1 CNSSI 1253 NIST SP 800-137 NIST SP 800-5
• Mного ръководители от частния сектор се противопоставят
на регулирането, защото то е скъпо и включва държавен
надзор в частното предприятие. Фирмите са също толкова
загрижени за регулирането, което намалява печалбите,
колкото и за регулирането, ограничаващо тяхната гъвкавост
за ефективно решаване на проблема с киберсигурността.
• От друга страна Брус Шнайер подкрепя регулациите, които
насърчават софтуерните компании да пишат по-сигурен код
чрез икономически стимули. Американският представител
Рик Баучер предлага подобряване на киберсигурността,
като накара софтуерните компании да носят отговорност за
пропуски в сигурността в своя код. За да се подобри
сигурността на софтуера, Кларк вярва, че някои индустрии,
като телекомукационни услуги и доставчици на интернет
услуги, изискват регулиране.
 Американските правни теории за
киберсигурността
• Деликтните теории
(Tort)

• Общо Право

• Теории за щети

• Искове за измама

• Измама с ценни книжа

 Германският подход към ИТ сигурността и защитата на
данните

• Общият регламент на ЕС за защита на данните (EU

GDPR) служи като основа за всички национални
закони, които се занимават с въпроси относно ИТ
сигурността и защитата на данните в рамките на
Европейския съюз (ЕС)
• Разлика от американските закони.
• Федералната служба за информационна сигурност (BSI)
• Държавната служба за информационна сигурност (LSI)
Киберпрестъпления и наказания в Германия.

• Закон за Федералната служба за информационна

сигурност (Закон за BSI - BSIG)

• Съвет на ИТ комисарите на федералното

правителство.

• Законът за ИТ сигурността.
 Специфични сектори за киберпрестъпления в САЩ

• Телекомуникации

• Федералните и щатските закони спрямо

различните сектори

• Публичния сектор

• Съдебни действия за нарушаване на данни

Критични инфраструктури в Германия

• В допълнение към GDPR на ЕС, Законът за ИТ сигурност е в сила за

критични инфраструктури от 2016 г., а именно за секторите на
информационните технологии и телекомуникациите,
здравеопазването, енергетиката, финансите и застраховането,
транспорта и трафика, водата и храненето. Този закон ще бъде
актуализиран отново тази година и по този начин ще бъде
адаптиран към изискванията на GDPR на ЕС. В допълнение
регламентът за неприкосновеността на личния живот на
Европейския парламент е съвсем близо. Специфичните за
отрасъла закони се прилагат и за много отрасли. Доставчиците на
финансови услуги трябва, в съответствие с раздел 25-ти от
Германския закон за банковото дело и раздел 33 от Закона за
търговия с ценни книжа. И двата закона изискват от доставчиците
на финансови услуги да разработят система за управление на ИТ
риска. Неспазването може да доведе до глоба до 5 милиона евро.
Корпоративно управление на киберсигурността в САЩ

Кибератаки срещу американски публични компании са повредни бизнес

операции, компрометиращи корпоративна интелектуална собственост и
частната данни на потребителите и застрашяващи национални сигурности.
Тези атаки се увеличиха през 2014 г., кулминиране с нападението на
Северна Корея срещу Sony.
Бордовете на директорите и служителите на публичните компании дължат
на акционерите фискални задължения, включително задълженията за
грижа и лоялност. За да изпълняват тези задължения, наред с други неща,
бордове и офицери трябва да се уверят, че те са надлежно информирани
относно рисковете за киберсигурноста на компанията и усилията, които
компанията има направени да се обръщат към тях. В случай на инцидент
бордове и служители може да се изправят пред глоби и потенциално
съдебни спорове, свързани с техния надзор над киберсигурността на
компанията. Например в известното нарушение на бази данни на Yahoo
през 2016, членове на управителния съвет и длъжностни лица се сблъскаха
с деривативно действие на акционер, твърдейки, че не са успели да
упражнят своите фискални задължения, не успяли да гарантират
правилните мерки за сигурност, не успяли да разследват адекватно
инцидента и направили заблуждаващи изявления.
 Системи и структури срещу
кибератакити в Германия
• Структури за киберсигурност на федерално ниво.
• Национален център за киберзащита (Cyber-AZ)
• Федерална служба за информационна сигурност (BSI).
• Федерална служба за криминална полиция (BKA)
• Федерална служба за защита на конституцията (BfV)
• Централен офис за информационни технологии в
сектора на сигурността (ZITiS)
• Агенция за иновации в киберсигурността (Кибер
агенция).
• Правителствени инициативи за повече киберсигурност
Застраховка срещу нарушение на закона за киберсигурността в
Германия

• Застрахователна защита за частни лица.

• Застрахователно покритие за компании.

• Компаниите имат две възможности.

• Важни изисквания за застрахователно покритие

• Косвени рискове.

• Директни рискове.

• Риск от изнудване и изтриване.

• Киберзастрахователни обезщетения.

• Оферти според модела на приложение или модела на риска.

Застраховка срещу нарушение на закона за киберсигурността
в Америка

• Самостоятелните киберзастрахователни полици обикновено

покриват и двете задължения на трети лица, произтичащи от
защитата и уреждането на искове, свързани с инциденти,
заедно с покритие от първа страна за собствени загуби на
притежателя на полицата, които могат да включват разходи за
разследването на случая, юрисконсултско възнаграждение,
разходи за уведомяване и разходи, предоставяне на кредитен
мониторинг и услуги за кражба на самоличност.Кибер
формите на застрахователната полица обикновено не са
стандартизирани и варират значително от фирма на фирма.
Обща Отговорност или други политики могат, в някои случаи,
да покриват загуби, свързани с киберсигурноста, но
разходите, свързани с инцидентите, са често изключени.
Разследващи и полицейски правомощия на правоприлагащите органи при
разследване на инциденти в САЩ

• Subpoena , Wiretap Act, Pen Register, Щатски Кодекс

• CLOUD Законът

• Закона за чуджестранни наблюдения и разузнаване ( Foreign

Intelligence Surveillance Act „FISA“)
• Писма за националната сигурност („NSLs“)

• Федерални регулаторни органи като Federal Trade Commision (FTC),

U.S. Securitiesand Exchange Commission (SEC) и Office for Civil Rights
(OCR)

• Commission on Accreditation for Law Enforcement Agencies („CALEA“),

. Борба с развиващата се киберзаплаха в
Германия
• Хакване, шпиониране, прихващане

• Всяко хакерство ще бъде наказано

• Неправилна употреба

• Подаване на нарушения
 Заключение
• В близките години Американските и Европейските
административни и законодателствени институции
намират нуждата за разработване на единен стандарт
за киберсигурността, тъй като двата континента са
твърде взаимно свързани от бизнес и културни връзки,
които само се задълбочават и развиват. В момента
американските фирми, които работят с европейските
трябва да спазват GDPR законите на Европейския Съюз
и тези нужди от взаимно разбиране на законите и
практиките, ще доведе то по-лесно разработване на
единна система на стандартите и законите за по-
успешна работа между двете сфери.