Национальная политика кибербезопасности 2013

До 2013 года в Индии не существовало собственной политики по кибербезопасности. В 2013 году газета The Hindu, ссылаясь на документы, обнародованные разоблачителем из Агентства национальной безопасности США Эдвардом Сноуденом, сообщила, что значительная часть слежки велась в отношении внутренних политических процессов, а также стратегических и коммерческих интересов Индии^[5]. Эта информация вызвала широкий общественный резонанс. Под давлением общественности правительство объявило о введении Национальной политики кибербезопасности 2013 года 2 июля 2013 года.

Создание безопасного и устойчивого киберпространства для граждан, бизнеса и органов власти с целью защиты частной жизни пользователей от вмешательства. В документе поставлена пятилетняя задача по подготовке 500 тысяч специалистов по кибербезопасности к 2018 году.

Задача заключается в защите информации и информационной инфраструктуры в киберпространстве, формировании потенциала для предотвращения и реагирования на киберугрозы, снижении уязвимостей и минимизации ущерба от киберинцидентов посредством сочетания институциональных структур, кадров, процессов, технологий и сотрудничества.

Министерство связи и информационных технологий Индии определило следующие цели политики:

• Создание защищённой киберэкосистемы в стране, формирования доверия и уверенности в ИТ-системах и операциях в киберпространстве, что поспособствует более широкому внедрению ИТ во всех сферах экономики.
• Формирование системы гарантий при разработке политик безопасности и продвижении механизмов для соблюдения международных стандартов и лучших практик по принципу соответствия (продукт, процесс, технология и персонал).
• Усиление нормативной базы для обеспечения защищённой экосистемы киберпространства.
• Развитие национального и отраслевого 24/7 механизма для получения стратегической информации об угрозах ИКТ-инфраструктуре, создания сценариев реагирования, разрешения кризисных ситуаций посредством эффективных предиктивных, превентивных, защитных и восстановительных действий.
• Повышение прозрачности в отношении целостности ИКТ-продукции и сервисов посредством создания инфраструктуры для тестирования и валидации безопасности таких продуктов.
• Подготовка кадров: обучение и развитие квалификации для 500 000 специалистов в течение пяти лет.
• Предоставление финансовых стимулов для бизнеса, внедряющего стандартные практики и процессы обеспечения безопасности.
• Обеспечение защиты информации на всех стадиях обработки, хранения, передачи для охраны персональных данных граждан и снижения экономических потерь от киберпреступлений и кражи данных.
• Повышение эффективности предотвращения, расследования и привлечения к ответственности в сфере киберпреступности, а также развитие возможностей правоохранительных органов через необходимые законодательные изменения.

• Формирование защищённой киберэкосистемы.
• Создание системы гарантий (assurance framework).
• Поддержка открытых стандартов.
• Усиление нормативной базы.
• Разработка механизмов раннего предупреждения об угрозах, управления уязвимостями и реакции на инциденты безопасности.
• Защита сервисов электронного правительства (e-Governance).
• Защита и устойчивость критической информационной инфраструктуры.
• Стимулирование научных исследований и разработок в области кибербезопасности.
• Снижение рисков в цепочках поставок.
• Развитие человеческих ресурсов (поддержка образовательных и тренинговых программ как в формальном, так и в неформальном секторах для обеспечения потребностей национальной кибербезопасности).
• Повышение осведомлённости о кибербезопасности.
• Развитие эффективных партнёрств между государством и частным сектором.
• Выстраивание двусторонних и многосторонних отношений в области кибербезопасности с другими странами (обмен информацией и сотрудничество).
• Приоритетный подход к реализации политики.