Американската агенция за киберсигурност CISA публикува за обществено обсъждане проект на актуализирания си Национален план за реагиране при киберинциденти (NCIRP).
Първоначално публикуван през 2016 г., NCIRP е замислен като рамка за начина, по който федералните, частните, щатските, местните, племенните и териториалните (SLTT) и международните организации се справят с киберинциденти, които са с по-висока степен на сериозност и които могат да причинят прекъсване на работата на критичната инфраструктура или повреда на оборудването.
Планът описва усилията, механизмите, участващите страни, както и решенията и дейностите, които правителството на САЩ ще използва за координиране на реакцията при киберинциденти, и има за цел да насърчи националното единство на усилията при откриване и реагиране.
NCIRP определя киберинцидентите като събития в мрежата, които включват използваеми уязвимости, процедури за сигурност, вътрешен контрол или внедряване и които могат да засегнат компютри, комуникационни системи или мрежи, физическа инфраструктура или информация.
В него се казва, че за значими киберинциденти се считат събития, „които могат да доведат до очевидна вреда за интересите на националната сигурност, външните отношения или икономиката на САЩ или за общественото доверие, гражданските свободи или общественото здраве и безопасност на американския народ“.
NCIRP „предоставя гъвкава рамка, която отговорните лица могат да използват, за да координират усилията си с цел постигане на максимална ефективност. Макар да е доброволна за всички заинтересовани страни извън федералното правителство, CISA насърчава частния сектор, правителството на СЛТТ и всички други заинтересовани страни извън федералното правителство да прегледат NCIRP, за да разберат как правителството на САЩ ще си партнира с тях при реагирането на киберинциденти“, отбелязва CISA.
Планът очертава четири области на усилия – Реагиране на активи, Реагиране на заплахи, Подкрепа от разузнаването и Реагиране на засегнати субекти – и определя координационни структури, които заинтересованите страни могат да използват, когато киберинцидентите изискват междусекторна, публично-частна или федерална координация.
В документа се прави разграничение и между фазата на откриване, която включва наблюдение, анализ и откриване, за да се определи дали даден инцидент може да се счита за значителен киберинцидент, и фазата на реагиране, която включва дейности, предназначени за ограничаване, ликвидиране и възстановяване от инцидента.
„Цялостната национална готовност за киберинциденти изисква допълнително планиране, което да се занимава с по-специфични въпроси и общности от заинтересовани страни, отколкото може да осигури само NCIRP. Агенцията за киберсигурност и инфраструктурна сигурност (CISA) ще разработи и поддържа допълнителни документи за планиране, за да отговори на тези нужди“, се казва в плана.
Според CISA проектът за актуализация отчита не само еволюцията на средата на киберзаплахите, но и поуките от исторически инциденти, и разглежда ролята, която всяка от участващите заинтересовани страни има при реагирането на даден инцидент.
„CISA търси още гледни точки, които да помогнат за укрепването на NCIRP, и приканва заинтересованите страни от целия публичен и частен сектор да споделят своите знания и опит, като предоставят допълнителна информация за нашите констатации и допринесат за това преразглеждане“, отбелязва Агенцията за киберсигурност.
CISA откри публичното обсъждане на проекта за актуализация на NCIRP в понеделник и ще приема мнения до 15 януари 2025 г. Заинтересованите страни могат да предоставят коментари чрез Федералния регистър.
