Национальная стратегия защиты критической инфраструктуры Германии (2020)

Генерал-майор М. Вильданов,
кандидат военных наук, доцент;

капитан 1 ранга Н. Башкиров,
кандидат военных наук, профессор АВН

Германия, являясь одной из ведущих держав мира в индустриально-технологическом отношении, отличается высокой степенью зависимости от критической инфраструктуры (КИ) как основы экономики и благосостояния населения. Одновременно развитая инфраструктура обеспечивает конкурентоспособность ФРГ в системе международной экономики, в связи с чем ее защита - ключевая задача политики безопасности страны.

Согласно общепринятому в Германии определению критическая инфраструктура - это "организационные структуры и объекты (сооружения), имеющие особое значение для государства и общества, нарушение функционирования которых способно привести к длительным перебоям в снабжении, серьезным нарушениям в системе общественной безопасности или иным трагическим последствиям".

Концепция, стратегические цели и задачи федерального правительства республики по обеспечению безопасности КИ впервые были изложены в 2009 году в едином документе "Национальная стратегия защиты критической инфраструктуры". Предыдущим основополагающим документом в данной сфере являлась "Концепция основных мер защиты критической инфраструктуры" 2006-го.

Национальная стратегия защиты КИ (СЗКИ) Германии - это принятая военно-политическим руководством страны система взглядов на применение всех имеющихся ресурсов для обеспечения безопасности критической инфраструктуры, которая является основой планирования мероприятий долгосрочного характера и согласования деятельности государственных органов по снижению уязвимости КИ от угроз природного и техногенного характера, а также исходящих от террористической и преступной деятельности. Задачи защиты КИ сводятся к управлению рисками безопасности - превентивным (по предотвращению) и реактивным мерам по отражению угроз, а также к ликвидации последствий воздействий (ущерба) инфраструктуре.

СЗКИ базируется на государственно-частном партнерстве федерального правительства, органов власти федеральных земель, коммун и общин, а также промышленных кругов (экономических союзов и отраслевых объединений, предприятий промышленности1), научно-исследовательских учреждений и других институтов (в том числе СМИ и граждан), основанном на взаимном доверии. В случае же возникновения чрезвычайных и кризисных ситуаций управление частными объектами КИ переходит к государственным организациям. Вследствие того что невозможно обеспечить 100% безопасность КИ, основной упор в ее защите делается на развитие так называемой культуры безопасности, которая предполагает:
- функционирование постоянно действующей системы защиты на основе превентивных мер (раннее распознавание угроз, предупреждение, определение критических элементов и систем, предварительная оценка последствий воздействия, а также мероприятия по подготовке, обучению и отработке вопросов защиты инфраструктуры), управления рисками и кризисами, адекватных мер защиты (минимизации ущерба), наращивания потенциала по обеспечению безопасности КИ и ликвидации последствий (ущерба) в кратчайшие сроки;
- сотрудничество всех заинтересованных органов и структур в управлении рисками;
- ответственность собственников и операторов объектов КИ;
- самозащиту и самооборону общин и коммун, граждан страны и персонала объектов инфраструктуры;
- международную (межгосударственную) кооперацию и обмен опытом по защите КИ, в первую очередь в рамках ЕС (Западной Европы), стран "большой семерки" и НАТО.

Центральная, координирующая роль в обеспечении безопасности КИ Германии отведена министерству внутренних дел страны. В его структуре непосредственное отношение к защите критической инфраструктуры имеют: Федеральная служба гражданской защиты; Федеральное управление уголовной полиции; Федеральное агентство по оказанию технической помощи. Кроме того, для решения этих задач привлечены Федеральная разведывательная служба, военная контрразведка, федеральная полиция, Служба таможенного розыска и другие органы.

Специфическими вопросами информационной (кибер) безопасности занимается Федеральная служба безопасности информационной техники (ИТ-безопасности, ФСБИТ), созданная в 1991 году и насчитывающая в настоящее время более 900 специалистов.

Это центральный орган, который оказывает услуги в области обеспечения безопасности информационных технологий и информирует о рисках и опасностях при их использовании, разрабатывает стандарты (критерии) и процедуры оценки безопасности ИТ-систем, а также обеспечивает лицензирование и аудит по информационной безопасности.

Кроме того, задачами данного ведомства являются: предупреждение об обнаруженных уязвимостях, вредоносном программном обеспечении и кибератаках; поддержание ситуационной осведомленности о состоянии кибербезопасности (КБ) в стране; координация мер реагирования на кибератаки; содействие восстановлению информационной инфраструктуры после кибервоздействий. ФСБИТ несет непосредственную ответственность за КБ компьютерных сетей правительства и федеральных органов.

Важную роль в обеспечении безопасности КИ играет Федеральное сетевое агентство, подчиненное министерству экономики и технологий, которое осуществляет координацию деятельности электроэнергетической, информационно-телекоммуникационной, газотранспортной, почтовой и железнодорожной сетей страны. Одновременно оно является главным регулирующим органом рынков электроэнергии, газа, телекоммуникаций, почты и железнодорожных перевозок.

Таблица 1
Секторы и отрасли критической инфраструктуры ФРГ в соответствии с национальной стратегией ее защиты
Секторы Отрасли
Энергетика Электроснабжение
Газоснабжение
Снабжение нефтью и нефтепродуктами
Централизованное отопление
Информационно-телекоммуника-ционный сектор Телекоммуникационные системы
Информационные аппаратно-программные системы обработки и хранения данных
Транспортный сектор и управление транспортной сетью Воздушный транспорт и перевозки
Морской транспорт (судоходство)
Прибрежный транспорт (каботажное судоходство)
Железнодорожный транспорт
Городской автотранспорт
Грузовой автотранспорт (логистика)
Здравоохранение Медицинское обеспечение
Фармацевтика и вакцинация
Медицинские лаборатории
Водоснабжение Снабжение питьевой водой Канализация и сточные воды
Обеспечение продовольствием Агропромышленный комплекс
Торговля продовольствием
Банковско-финанасовый сектор и сфера страхования Банки
Биржи
Система страхования
Финансовая служба
Государственно-управленческий сектор Правительство и система государственного управления
Парламент
Юстиция
Аварийно-спасательные службы и система управления при чрезвычайных ситуациях
Инфраструктура СМИ и объекты культуры Радио и телевидение, печать и электронная пресса 
Культурное достояние и ценности Культурные символы (памятники культуры)

В случае обнаружения новых угроз и рисков, уязвимости КИ, несоответствия принимаемых мер требованиям обеспечения безопасности федеральное правительство обязано скорректировать существующие или принять новые нормативно-правовые акты для защиты КИ во взаимодействии с федеральными землями, коммунами и общинами, а также промышленными предприятиями и их отраслевыми объединениями и экономическими союзами.

Реализация национальной стратегии защиты критической инфраструктуры предполагает опору на разработанные под руководством государственных органов и утвержденные правительством стандарты безопасности, нормы и регулирующие механизмы. СЗКИ стала основой для таких планов и федеральных нормативно-правовых документов, как:
- "Национальный план защиты информационной инфраструктуры";
- "Управление рисками и кризисами в сфере защиты КИ";
- "Справочник по основным мерам защиты в области информационных технологий";
- "Закон об усилении безопасности в сфере ИТ" (BSI-Gesetz - BSIG), принятый 2009 году (заменил прежний - "Закон об учреждении Федерального ведомства по безопасности информационной техники", который действовал в период с 1991 по 2009 год);
- "Стратегия кибербезопасности Германии", опубликованная в 2011 году (в настоящее время действует редакция 2016- го);
- "Закон об энергетике" (Energie-WirtschaftsGesetz - EnWG);
- "Закон о повышении безопасности информационно-технических систем (закон об ИТ-безопасности)" 2015 года дополнил и внес изменения в законы BSIG и EnWG, возложив на собственников и операторов объектов КИ дополнительные обязанности по ее защите;
- "Проект руководства по определению важности объектов информационной инфраструктуры и отнесению их к КИ" (BSI-Kritisverordnung/BSI-KritisV) 2016 года и др.

Для республики также актуальны нормативно-правовые акты ЕС в сфере защиты КИ, которые вводят единые стандарты безопасности, минимальные требования по обмену информацией о состоянии безопасности объектов критической инфраструктуры, являясь основой для сотрудничества в данной области. Так, с 2016 года существует директива ЕС о кибербезопасности, на базе которой с 2017- го принят закон Евросоюза о применении данной директивы, рассматриваемый в качестве важного шага к повышению уровня КБ в Европе.

Представляют интерес методологические положения национальной СЗКИ по определению степени критичности (важности) объектов инфраструктуры. В качестве таковой выступает относительная мера значимости, измеряемая масштабом и длительностью последствий для обеспечения населения важными товарами и услугами, которые могут произойти из-за повреждения (нарушения функционирования) данного объекта. Критичность может носить системный или символический характер.

Критичность объекта инфраструктуры имеет системный характер, если у данного объекта в силу его структурной, функциональной и технической значимости высокая степень взаимозависимости во всей системе. Например, это объекты электроэнергетической и информационно-телекоммуникационной сетей страны, которые оказывают огромное влияние на жизнедеятельность и общественную безопасность.

Символическим характером обладает критичность объектов, имеющих культурную и идентификационную значимость, повреждение которых может повлечь эмоциональные и психические потрясения.

Различают также базовую техническую КИ (например, электроснабжение и транспорт) и КИ социоэкономической значимости (например, здравоохранение, снабжение продовольствием, аварийно-спасательные службы, система государственного управления - правительство с парламентом и органы юстиции, СМИ).

Детализация отраслей секторов водо- и энергоснабжения (согласно закону BSI-KritisV)

В законе BSI-KritisV описаны критерии и признаки классификации и оценки важности объектов секторов энергетики, водоснабжения, обеспечение продовольствием, а также информационно-телекоммуникационного. Для определения значимости отдельных секторов, систем и объектов предложены критерии, отражающие возможность обеспечения соответствующих областей жизнедеятельности 500 тыс. жителей при известных среднегодовых нормах потребления на человека. Так, объекты, компоненты и системы водоснабжения, имеющие производительность (мощность, пропускную способность), равную 21,9 млн м3или более в год, отнесены к критической инфраструктуре, а при меньших значениях критически важными не являются (рассчитано исходя из необходимости обеспечения такого числа жителей и среднегодовых норм потребления на человека).

Для объектов, компонент и систем снабжения энергоресурсами (электроэнергия, нефть, нефтепродукты и газ) для определения критичности принято пороговое значение 5,19 ГВт/ч.

Таблица 2 Основные угрозы критической инфраструктуре Германии
Природные события Техногенные катастрофы - технические отказы и человеческий фактор (ошибки) Терроризм, преступная деятельность и военные конфликты
Экстремальные события (ураганы, наводнения, засуха) Системные отказы, программные ошибки Терроризм
Пожары Небрежность Саботаж
Сейсмические процессы Аварии и несчастные случаи Другие преступления
Эпидемии (пандемии), охватывающей большое число людей Организационные проблемы (например, в управлении рисками при разрешении кризисов, недостаток координации и кооперации) Гражданские и межгосударственные войны

В качестве главной угрозы национальной безопасности руководство страны определяет терроризм, затем следуют природные стихийные бедствия, а также угрозы информационной инфраструктуре (киберугрозы).

Например, угрозами, исходящими от терроризма и другой преступной деятельности, являются:
Умышленные ошибки в обслуживании оборудования, то есть действия, способные привести к сбоям в результате применения простых приемов без использования орудий совершения преступления, могут совершаться как собственными работниками, так и посторонними лицами.
Манипуляция - умышленное изменение или смещение составляющих какой-либо системы в целях приведения ее в критическое состояние. Возможные примеры: неправильное программирование систем управления; нарушение юстировки измерительных приборов; подавление выдачи сообщений о ходе процесса и сбоях или аварийно-предупредительных сигналов либо же отключение систем защиты. Потенциальными нарушителями в этом случае выступают в основном "инсайдеры" с детальным знанием оборудования.
Другие возможные террористические угрозы: аварии транспортных средств; авиакатастрофы; несанкционированные действия с использованием поджогов, взрывчатых веществ, обстрелов, химического, биологического, радиологического или ядерного оружия; комбинированные действия.

Обобщенные рекомендации СЗКИ по основным мерам в сфере защиты критической инфраструктуры предполагают многоступенчатый подход:
1. Анализ потребности в защите (методы анализа потребности в защите, учет зависимостей и взаимодействий, обращение особого внимания на терроризм и преступные деяния).
2. Определение целей защиты. Используется синтез между "нисходящим" (top-down) подходом в централизованной иерархии, "восходящим" (bottom-up) децентрализованным дискуссионным подходом и инновационным сетевым оригинальным мышлением.
3. Меры, принимаемые для достижения целей защиты (внутренняя и внешняя защита, персонал, организация и менеджмент).
4. Управление рисками (планирование на случай возникновения чрезвычайной ситуации, коммуникация в условиях рисков для безопасности либо чрезвычайных ситуаций (ЧС), планирование на случай остановки производства и менеджмент по обеспечению непрерывности бизнес-процессов).
5. Управление качеством и документирование защитных мер (управление качеством защитных мер, документирование защитных мер).

История обеспечения безопасности инфраструктуры Германии характеризуется следующими значимыми событиями, непосредственно связанными с разработкой и реализацией стратегии защиты критической инфраструктуры:
- создание Федеральной службы по безопасности информационной техники (1991);
- развертывание первой группы реагирования на чрезвычайные ситуации в сфере кибербезопасности федерального правительства в рамках ФСБИТ (1994);
- проведение на регулярной основе с 2004 года учений по действиям при чрезвычайных ситуациях и кризисному управлению2;
- введение заграничного электронного паспорта для граждан ФРГ (с 2005 года);
- принятие "Концепции основных мер защиты критической инфраструктуры" (2006);
- развертывание государственными органами с 2007 года научной программы "Исследования по гражданской безопасности"3 как части высокотехнологичной стратегии по поиску и отработке новых инновационных решений по повышению безопасности КИ. Аналогичные исследования ведутся самостоятельно НИУ и промышленными предприятиями ФРГ, а также на уровне Евросоюза;
- принятие "Национальной стратегии защиты критической инфраструктуры Германии" (2009);
- появление в 2010 году электронного паспорта гражданина ФРГ, а с 2011-го - электронной медицинской карты;
- публикация "Стратегии кибербезопасности Германии" (2011-й, в настоящее время действует редакция 2016-го);
- начало функционирования Национального центра киберзащиты, Центра кризисного реагирования на инциденты в киберпространстве и Национального ситуационного центра кибербезопасности в рамках ФСБИТ (2011), немного позднее - совместного Ситуационного центра по КБ федерального правительства и земель, функционирующего в составе Федеральной службы гражданской защиты;
- появление Национального совета по кибербезопасности (2011);
- развертывание НИОКР в области кибербезопасности с созданием научно-исследовательского кластера в рамках министерства образования и научных исследований4, включающего: CRISP (Center for Research in Security and Privacy)5 в г. Дармштадт, CISPA (Center for IT-Security, Privacy and Accountability) в г. Саарбрюкен и KASTEL (Competence Center for Applied Security Technology) в г. Карлсруэ;
- формирование альянса по кибербезопасности ФСБИТ совместно с федеральным отраслевым союзом информатики, телекоммуникаций и новых СМИ (2012) и др.

Постоянно действующие органы UP KRITIS

Особо значимой в рамках реализации национальной СЗКИ является федеральная инициатива (Федеральной службы безопасности информационной техники и Федеральной службы гражданской защиты) по обеспечению безопасности критической инфраструктуры (UmsetzungsPlan KRITische InfraStrukturen - UP KRITIS), возникшая в 2007 году. Она представляет собой государственно-частное партнерство между государственными органами (в том числе федеральных земель), предприятиями промышленности, их союзами и отраслевыми объединениями.

Для активного участия в достижении целей СЗКИ, соответствующих проектов и проведения мероприятий в рамках UP KRITIS созданы постоянно действующие рабочие группы. В них входят представители экономических союзов, отраслевых объединений и предприятий всех секторов критической инфраструктуры.

Отраслевая рабочая группа может включать представителей одной либо нескольких отраслей промышленности или секторов КИ при необходимости. Рабочая группа по кибербезопасности занимается выработкой единых позиций в ИТ-сфере и соответствующих документов. Тематические рабочие группы обычно являются временными и могут создаваться в рамках определенного проекта.

Пленум - это кооперационный орган, который объединяет все отраслевые и тематические рабочие группы, и решает стратегические вопросы, в том числе создания и роспуска последних, а также планирует деятельность на перспективу и организует обмен информацией между рабочими группами. Члены пленума, как правило, являются руководителями рабочих групп и одновременно - членами штаба (отделов штаба).

Представители федерального правительства и федеральных земель участвуют в деятельности UP KRITIS в качестве постоянных гостей пленума. Штаб координирует работу этой службы между его заседаниями, готовит документы и формулирует стратегические цели, разрабатывает планы мероприятий по их достижению. Члены штаба, избираемые пленумом, являются представителями промышленных кругов и федеральных органов (МВД, ФСБИТ и Федеральной службы гражданской защиты). Отделы (бюро) штаба ответственны за организацию и координацию выполнения планов и мероприятий. Они, в свою очередь, координируются ФСБИТ и обеспечивают деятельность совета штаба и пленума.

Совет ставит стратегические цели в обеспечении безопасности критической инфраструктуры и определяет задачи проектов. Экономическая комиссия в составе этого органа включает представителей промышленности и представляет интересы собственников (операторов) объектов КИ, особенно в вопросах определения требований к уровню обеспечиваемой безопасности.

Существуют следующие отраслевые рабочие группы:
1. Датацентры и хостинг (3 ед.).
2. Медицинское обеспечение.
3. Снабжение продовольствием.
4. Нефть.
5. Газ.
6. Электроэнергетика.
7. Инфраструктура сети Интернет.
8. Телекоммуникационный сектор.
9. Системы кредитования.
10. Транспортная инфраструктура.
11. Торговля продовольствием.
12. Инфраструктура системы страхования.
13. СМИ.
14. Водоснабжение, канализация и сточные воды.

Тематическими являются следующие группы:
1. Разработки требований к поставщикам и производителям.
2. Аудита (сертификации) и стандартов.
3. АСУ технологическими процессами и производством, системы дистанционного сбора данных и диспетчерского управления.
4. Международной кооперации в сфере защиты КИ.
5. Подготовки заседаний по безопасности КИ.
6. Использования "облачных" информационных служб (сервисов).
7. Оперативного обмена информацией в рамках UP KRITIS.
8. По урегулированию кризисов и управлению чрезвычайными ситуациями по возможным сценариям (отключение электроснабжения, пандемия, стихийные бедствия, отказ информационно-коммуникационных систем).
9. По обеспечению информационной безопасности (значимых информационных услуг) - навигационных, геоинформационных систем и др. Соблюдение законов о свободе информации и высокоскоростных информационно-телекоммуникационных сетях.
10. Проведение учений по отработке мероприятий обеспечения безопасности КИ.

С 2007 года существует также постоянно действующая совместная группа федерального правительства и федеральных земель по защите КИ.

На уровне общин и коммун разрабатываются совместные проекты по защите КИ. Например, с 2006 года реализуется проект "Безопасные города и общины" по гражданской защите и безопасности КИ. Для руководящих лиц уровня коммун и общин организованы соответствующие семинары в Академии управления кризисами, планирования действий при чрезвычайных ситуациях и гражданской обороны в г. Арвейлер.

Примерами документов по обеспечению безопасности критической инфраструктуры, разработанных в рамках инициативы UP KRITIS, являются следующие:
- "Методы анализа уязвимости КИ по отношению к наводнениям";
- "Управление рисками и кризисами для предприятий, использующих объекты КИ";
- "Управление рисками для больниц и госпиталей";
- "Руководство по анализу и оценке рисков и действиям при ЧС в сфере водоснабжения";
- "Руководство по восстановлению и эксплуатации систем аварийного электроснабжения в сооружениях федерального значения и других общественно значимых объектах";
- "Наставление по планам действий при ЧС";
- "Рекомендации по планированию применения средств противопожарной защиты при катастрофах и обширных и продолжительных отключениях элек-тро снабжения";
- "Меры при отключении электроснабжения" и др.

Среди национальных научно-исследовательских проектов организации UP KRITIS, посвященных защите критической инфраструктуры, следует отметить:
- SKRIBT - оценка уязвимости и последствий вывода из строя мостов и тоннелей, разработка рекомендаций по обеспечению безопасности с целью снижения уязвимости;
- SKRIBT+ - разработка методов анализа рисков для производственного оборудования, систем обеспечения безопасности мостов и тоннелей, а также рекомендации по применению этих методов;
- GRASB - исследование рисков и уяз-вимостей систем электроснабжения населения;
- ITS KRITIS - разработка методов и способов надежной защиты жизненно важных ИТ-систем, которые способны гарантировать их функционирование, и др.

Таким образом, безопасность Германии как индустриально-технологической державы в возрастающей степени зависит от надежности функционирования критической инфраструктуры. Национальная стратегия по ее защите является ответом на вызовы безопасности страны в современную информационную эпоху. Стратегия защиты критической инфраструктуры ориентирована в первую очередь на использование превентивных (упреждающих) мер обеспечения безопасности КИ наряду с мерами реагирования (отражения угроз) и ликвидации последствий (минимизации ущерба). В качестве главной угрозы национальной безопасности называется терроризм. Вторая по значимости угроза - природные стихийные бедствия и лишь затем следуют техногенные катастрофы. При этом пристальное внимание уделяется угрозам информационной инфраструктуре (киберугрозам).

1 Для Германии характерна множественность подобных структур как федеральных, так и частных, имеющих непосредственное отношение к защите критической инфраструктуры. Примерами являются: Федеральный союз по энергетике и водному хозяйству; Германская техническая и научная ассоциация по газу и воде; Германская ассоциация по управлению водными ресурсами, сточными водами и отходами; Федеральный отраслевой союз информатики, телекоммуникаций и новых СМИ.

2 К этим учениям привлекаются все объекты страны, относящиеся к КИ, с отработкой мероприятия в рамках общенациональной системы управления кризисами с участием государственных и частных промышленных предприятий.

3 Активным координатором и участником исследований выступает Академия управления кризисами, планирования действий при чрезвычайных ситуациях и гражданской обороны в г. Арвейлер.

4 Исследования в сфере КБ ведет научный кибер-кластер Университета бундесвера в г. Мюнхен. Основан в 2013 году.

5 С 2015 года - крупнейший в Европе Исследовательский центр по кибербезопасности. Функционирует в рамках научного сообщества Фраунхофер.

Зарубежное военное обозрение. - 2020. - №5. - С. 26-34

Всего комментариев: 0
avatar