Թվային անվտանգության կանոնակարգ

Այս հոդվածը կարող է վիքիֆիկացման կարիք ունենալ Վիքիպեդիայի որակի չափանիշներին համապատասխանելու համար։ Դուք կարող եք օգնել հոդվածի բարելավմանը՝ ավելացնելով համապատասխան ներքին հղումներ և շտկելով բաժինների դասավորությունը, ինչպես նաև վիքիչափանիշներին համապատասխան այլ գործողություններ կատարելով։(Ներքին հղումների զգալի մասը սխալ է՝ հոլովական վերջավորություններով)

Թվային անվտանգության կանոնակարգ, այն պարունակում է հրահանգներ, որոնք պաշտպանում են տեղեկատվական տեխնոլոգիաները և համակարգչային համակարգերը, նպատակ ունենալով ընկերություններին և կազմակերպություններին պաշտպանել իրենց համակարգերն ու տեղեկատվությունը թվային հարձակումներից, ինչպիսիք են թվային վարակներ, թվային որդերը, տրոյական ձիերը, ֆիշինգը, ծառայության մերժումը (DOS) հարձակումները, չարտոնված մուտքը (մտավոր սեփականության կամ զգայուն տեղեկատվության գողություն) և կառավարման համակարգերի վրա հարձակումները:

Թվային հարձակումները կանխելու բազմաթիվ միջոցառումներ կան։ Թվայիյն անվտանգության միջոցները ներառում են firewall-ներ, հակավարակային ծրագրեր, ներխուժման հայտնաբերման և կանխարգելման համակարգեր, գաղտնագրում և մուտքի գաղտնաբառեր^[1]։ Փորձեր են արվել բարձրացնել թվային անվտանգությունը կարգավորման, կառավարության և մասնավոր հատվածի համատեղ ջանքերի միջոցով, որոնք ուղղված են թվային անվտանգության ոլորտում կամավոր բարելավումների խրախուսմանը^[1][2][3]։ Արդյունաբերության կարգավորիչները, ներառյալ բանկային ծառայությունները, ուշադրություն են դարձրել թվային անվտանգության հետ կապված ռիսկերին և կամ սկսել են, կամ նախատեսում են սկսել թվային անվտանգության խնդիրները ներառել որպես կարգավորող ստուգումների ասպեկտ^[2]։

Վերջին ուսումնասիրությունները ցույց են տալիս, որ ծովային բիզնեսը նույնպես չունի թվային անվտանգության կարգավորում և կիրարկում, ներառյալ նավերի և նավահանգիստների միջև թվային հաղորդակցությունը^[4]։

2011 թ. - ին ԱՄՆ պաշտպանության նախարարությունը հրապարակեց «թվային տարածքում գործողությունների պաշտպանության դեպարտամենտի ռազմավարությունը» վերնագրով ուղեցույց, որը նեռարում է հինգ նպատակ, թվային տարածքը դիտարկել որպես գործառնական տարածք, օգտագործել պաշտպանական նոր հասկացություններ պաշտպանության նախարարության ցանցերն ու համակարգերը պաշտպանելու համար, համագործակցել այլ գերատեսչությունների և մասնավոր հատվածի հետ, «համապարփակ համագործակցության» որոնման համար, «թվային անվտանգության պետական ռազմավարություն», որի նպատակն է համագործակցել միջազգային դաշնակիցների հետ հավաքական թվային անվտանգության ապահովման և արագ տեխնոլոգիական նորարարությունների ընդունակ թվային կազմակերպության զարգացմանը նպաստելու նպատակով ^[3]: GAO-ի 2011 թ.մարտ ամսվա զեկույցում «դաշնային կառավարության տեղեկատվական համակարգերի և ազգային կարևոր թվային ենթակառուցվածքների պաշտպանությունը սահմանվել է որպես բարձր ռիսկային պետական տարածք», նշելով, որ 1997 թվականից ի վեր դաշնային տեղեկատվական անվտանգությունը դասակարգվել է որպես բարձր ռիսկային գոտի: 2003 թվականից ի վեր ներառվել են նաև կրիտիկական ենթակառուցվածքների պաշտպանության համակարգեր, որոնք կոչվում են Cyber CIP-ի կրիտիկական թվային ենթակառուցվածքի պաշտպանություն ^[5]։ 2013-ի նոյեմբերին պաշտպանության նախարարությունը հանեց թվային անվտանգության նոր կանոն (78 Fed. Reg. 69373), որը կապալառուներին որոշակի պահանջներ է ներկայացնում, համապատասխանելով NIST-ի որոշակի ՏՏ ստանդարտներին, պաշտպանության նախարարությանը պարտադիր տեղեկացնելով թվային անվտանգության հետ կապված միջադեպերի մասին և «պարզեցման» դրույթ, որը նույն պահանջները կիրառում է ենթակապալառուների նկատմամբ ^[6]։

Կոնգրեսի 2013 թվականի զեկույցում նշվել է, որ կան ավելի քան 50 օրենսդրական ակտեր, որոնք վերաբերում են թվային անվտանգության պահանջներին: 2002 թ. - ի տեղեկատվական անվտանգության կառավարման դաշնային օրենքը (FISMA) հանդիսանում է թվային անվտանգության դաշնային կանոնակարգերը կարգավորող հիմնական օրենսդրական ակտերից մեկը ^[6]։

Թվային անվտանգության մի քանի Դաշնային կանոններ կան և դրանք, որոնք գոյություն ունեն, ուղղված են հատուկ արդյունաբերություններին: Գոյություն ունեն թվային անվտանգության երեք հիմնական կանոններ, 1996 թ. առողջության ապահովագրության դյուրատարության և հաշվետվողականության մասին օրենք (HIPAA), 1999 թ․ Գրամ-Լիչ-Բլիլի օրենքը, և 2002 թ․ Ազգային անվտանգության ծառայության օրենքը, որը ներառում է տեղեկատվական անվտանգության կառավարման դաշնային օրենքը (FISMA): Այս երեք կանոնակարգերը պարտավորեցնում են առողջապահական կազմակերպություններին, ֆինանսական հաստատություններին և դաշնային գործակալություններին պաշտպանել իրենց համակարգերն ու տեղեկատվությունը ^[2]: Օրինակ, FISMA-ն, որը վերաբերում է բոլոր պետական հաստատություններին, «պահանջում է տեղեկատվական անվտանգության պարտադիր քաղաքականության, սկզբունքների, ստանդարտների և ուղեցույցների մշակում և իրականացում»: Այնուամենայնիվ, կանոնները չեն տարածվում համակարգիչների հետ կապված բազմաթիվ արդյունաբերությունների վրա, ինչպիսիք են համացանց ծառայություններ մատուցողները (ISP) և ծրագրային ապահովման ընկերությունները ^[3]: Բացի այդ, կանոնները չեն նշում, թե թվային անվտանգության ինչ միջոցներ պետք է ձեռնարկվեն, և պահանջվում է միայն անվտանգության «խելամիտ» մակարդակ: Այս կանոնների անորոշ ձևակերպումները մեկնաբանման շատ հնարավորություններ են թողնում: Կուպերտինոյում տեղակայված Counterpane Internet Security-ի հիմնադիր Բրյուս Շնայերը պնդում է, որ ընկերությունները բավարար ներդրումներ չեն կատարի թվային անվտանգության ոլորտում, քանի դեռ կառավարությունը նրանց չի ստիպել դա անել ^[4]։ Նա նաև պնդում է, որ չնայած կառավարության ջանքերին, իր համակարգերի վրա հաջող թվային հարձակումները դեռ տեղի են ունենում ^[5]։

Առաջարկվում է, որ տվյալների որակի մասին օրենքն արդեն իսկ վարչական և բյուջետային վարչությանը տալիս է օրենսդրական լիազորություններ, «վարչական ընթացակարգերի մասին» օրենքով նախատեսված կանոնակարգման գործընթացի շրջանակներում կարևոր ենթակառուցվածքի պաշտպանության վերաբերյալ դրույթներ իրականացնելու համար: Այս գաղափարը դեռ ամբողջությամբ չի ստուգվել և կպահանջի լրացուցիչ իրավական վերլուծություն, նախքան նորմավորումը սկսելը ^[7]։

Պետական կառավարությունները փորձել են բարձրացնել թվային անվտանգությունը, հասարակության ուշադրությունը հրավիրելով թույլ պաշտպանությամբ ընկերությունների վրա: 2003 թվականին Կալիֆոռնիայում ընդունվեց «անվտանգության խախտման ծանուցման մասին» օրենքը, որը պահանջում է, որ ցանկացած ընկերություն, որը պահում է Կալիֆոռնիայի քաղաքացիների անձնական տվյալները և ունի անվտանգության խախտում, բացահայտի իրադարձության մանրամասները: Անձնական տվյալները ներառում են անունը, Սոցիալական ապահովության, վարորդական իրավունքի և վարկային քարտի համարը կամ ֆինանսական տեղեկատվությունը ^[6]։ Մի քանի այլ նահանգներ հետևեցին Կալիֆոռնիայի օրինակին և ընդունեցին անվտանգության խախտումների մասին ծանուցման նմանատիպ կանոններ ^[7]։ Անվտանգության խախտումների մասին ծանուցման նման կանոնները պատժում են ընկերություններին թվային անվտանգության խափանումների համար, նրանց ազատություն տալով ընտրելու իրենց համակարգերը պաշտպանելու ուղիներ: Բացի այդ, որոշումը խթան է ստեղծում ընկերությունների համար, կամավոր ներդրումներ կատարելու թվային անվտանգության մեջ, խուսափելու հեղինակության հնարավոր կորստից և դրա հետ կապված տնտեսական կորուստներից, որոնք կարող են առաջանալ հաջող թվային հարձակման արդյունքում ^[8]։

2004 թվականին Կալիֆոռնիայի նահանգի օրենսդիր մարմինը ընդունեց 1950 թվականին օրինագիծը, որը տարածվում է նաև այն ընկերությունների վրա, որոնք տիրապետում կամ պահում են Կալիֆոռնիայի բնակիչների անձնական տվյալները: Կանոնակարգը ձեռնարկություններին հանձնարարում է պահպանել անվտանգության խելամիտ մակարդակ, և նրանց կողմից պահանջվող անվտանգության միջոցները տարածվում են նաև բիզնես գործընկերների վրա ^[8]։ Այս որոշումը դաշնային ստանդարտի կատարելագործում է, քանի որ այն ընդլայնում է այն ընկերությունների թիվը, որոնք պահանջում են պահպանել թվային անվտանգության ընդունելի մակարդակ: Այնուամենայնիվ, ինչպես դաշնային օրենսդրությունը, այն պահանջում է թվային անվտանգության «խելամիտ» մակարդակ, ինչը մեկնաբանման շատ տեղ է թողնում մինչև դատական պրակտիկայի ստեղծումը ^[9]։

ԱՄՆ Կոնգրեսը բազմաթիվ օրինագծեր է առաջարկել, որոնք ընդլայնում են թվային անվտանգության կարգավորման ոլորտը ։ Սպառողների տվյալների պաշտպանության և ծանուցման մասին օրենքը փոփոխում է Գրամ-Լիչ-Բլիլի օրենքը, պահանջելով ֆինանսական հաստատությունների կողմից անվտանգության խախտումների բացահայտում։ Կոնգրեսականները նաև առաջարկել են Գրամ-Լիչ-Բլիլի համակարգը տարածել բոլոր ոլորտներում, որոնք վերաբերում են Սպառողների ֆինանսական տեղեկատվությանը, ներառյալ ցանկացած ընկերություն, որն ընդունում է կրեդիտ քարտի վճարումները ^[10]։ Կոնգրեսը առաջարկել է թվային անվտանգության կանոնակարգեր, որոնք նման են Կալիֆոռնիայի անվտանգության խախտումների մասին ծանուցումների մասին օրենքին այն ընկերությունների համար, որոնք պահում են անձնական տեղեկություններ: Տեղեկատվության պաշտպանության և անվտանգության մասին օրենքը պահանջում է, որ տվյալների բրոքերները «ապահովեն տվյալների ճշգրտությունն ու գաղտնիությունը, վավերացնեն և հետևեն օգտվողներին, հայտնաբերեն և կանխեն չարտոնված գործողությունները և նվազեցնեն անհատների հնարավոր վնասը» ^[11]։

Բացի ընկերությունների թվային անվտանգության մակարդակը բարձրացնելու պահանջից, կոնգրեսը նաև քննարկում է թվային հարձակումների համար քրեական պատասխանատվություն նախատեսող օրինագծերը: Նման օրինագծերից մեկը թվային հանցագործությունների դեմ հուսալի պաշտպանության մասին օրենքն էր (SPY ACT): Այն կենտրոնացված էր ֆիշինգի և լրտեսող ծրագրերի մասին օրինագծին և ընդունվել է 2005 թվականի մայիսի 23-ին ԱՄՆ Ներկայացուցիչների պալատի կողմից, բայց չի ընդունվել ԱՄՆ Սենատում ^[8]։ Օրինագիծը «անօրինական է համարում համակարգչի չարտոնված օգտագործումը, դրա նկատմամբ վերահսկողություն ձեռք բերելու, դրա կարգավորումները փոխելու, սեփականատիրոջը անձնական տեղեկություններ հավաքելու կամ հարկադրելու, անցանկալի ծրագրակազմ տեղադրելու և անվտանգության համակարգին, հակալրտեսային կամ հակավարակային ծրագրակազմին^[9] միջամտելու նպատակով ^[12]»։

2011 թվականի մայիսի 12-ին ԱՄՆ նախագահ Բարաք Օբաման առաջարկեց թվային անվտանգության ոլորտում օրենսդրական բարեփոխումների փաթեթ, որն ուղղված է ԱՄՆ քաղաքացիների, դաշնային կառավարության և կարևոր ենթակառուցվածքների անվտանգության բարձրացմանը: Հաջորդեց Կոնգրեսի հանրային քննարկումների և լսումների մեկ տարին, որի արդյունքում Ներկայացուցիչների պալատն ընդունեց տեղեկատվության փոխանակման մասին օրինագիծը, իսկ Սենատը մշակեց փոխզիջումային օրինագիծ, որը նախատեսված էր հավասարակշռելու ազգային անվտանգությունը, գաղտնիությունը և բիզնեսի շահերը: 2012-ի հուլիսին սենատորներ Ջոզեֆ Լիբերմանը և Սյուզան Քոլինզը առաջարկեցին ընդունել 2012 թվի անանվտանգության մասին օրենքը ^[13]։ Օրինագիծը կպահանջի ստեղծել «կամավոր լավագույն փորձի ստանդարտներ», հիմնական ենթակառուցվածքները թվային հարձակումներից պաշտպանելու համար, որոնք ձեռնարկությունների կողմից խրախուսվում են այնպիսի խթանների միջոցով, ինչպիսիք են պատասխանատվության պաշտպանությունը ^[14]։ Օրինագիծը քվեարկության դրվեց Սենատում, սակայն չընդունվեց ^[15]։ Օբաման իր աջակցությունն է հայտնել այս օրենքին Wall Street Journal-ի հոդվածում ^[16], և դա նաեւ աջակցություն է ստացել Զինված ուժերի եւ ազգային անվտանգության ծառայության պաշտոնյաների կողմից, այդ թվում, Ջոն Օ Բերնան֊ի կողմից, Սպիտակ տան ահաբեկչության դեմ պայքարի գլխավոր խորհրդական:^[17][18] Ինչպես հաղորդում Է Վաշիգտոն Փոստ-ը, փորձագետները հայտարարել են, որ օրենքի չընդունումը կարող է Միացյալ Նահանգներին «խոցելի դարձնել լայնածավալ հաքերային հարձակման կամ լուրջ թվային հարձակման համար» ^[19]: Այս օրենքին դեմ էին հանրապետական սենատորները, ինչպիսին Ջոն Մաքքեյնն էր, ովքեր մտահոգված էին, որ օրենքը կսահմանի կանոններ, որոնք արդյունավետ չեն լինի և կարող են«բեռ» դառնալ բիզնեսի համար^[20]։ Սենատում քվեարկությունից հետո հանրապետական սենատոր Քեյ Բեյլի Հաթչիսոնը հայտարարել է, որ օրինագծին ընդդիմությունը կուսակցական խնդիր չէ, բայց դա թվային անվտանգության նկատմամբ սխալ մոտեցում է ^[21]։ Սենատի քվեարկությունը խիստ կուսակցական չէր, քանի որ վեց դեմոկրատներ դեմ էին քվեարկել, իսկ հինգ հանրապետականներ, կողմ ^[22]։ Օրինագծի քննադատների թվում էր ԱՄՆ առևտրի պալատը,^[23] իրավապաշտպան խմբեր, ինչպիսիք են քաղաքացիական ազատությունների պաշտպանության ամերիկյան միությունը և էլեկտրոնային սահմանների հիմնադրամը,^[24] թվային անվտանգության փորձագետ Ջոդի Ուեսթբին եւ ժառանգության հիմնադրամը (Heritage Foundation), որոնք երկուսն էլ պնդում էին, որ թեեւ կառավարությունը պետք է գործի թվային անվտանգության ոլորտում, օրինագծի մոտեցումը սխալ էր եւ ներկայացնում էր «չափազանց ներխուժող դաշնային դեր» ^[25]։

2013-ի փետրվարին Օբաման առաջարկել էր գործադիր հրամանագիր արձակել կրիտիկական ենթակառուցվածքների օբյեկտների թվային անվտանգության բարելավման մասին ։  Այն ներկայացնում է քաղաքականության վերջին տարբերակը, բայց չի համարվում օրենք, քանի որ Կոնգրեսը դեռ չի դիտարկել այն: Այն նպատակ ունի բարելավել պետական և մասնավոր հատվածների միջև առկա գործընկերությունը ՝ բարձրացնելով DHS-ի և կրիտիկական ենթակառուցվածքային ընկերությունների միջև տեղեկատվության փոխանակման արդյունավետությունը: Այն դաշնային գործակալություններին հանձնարարում է թվային սպառնալիքների վերաբերյալ հետախուզական տվյալները փոխանցել մասնավոր հատվածի ցանկացած կազմակերպության, որը սահմանված է որպես թիրախ: Այն նաև հանձնարարում է DHS-ին կատարելագործել գործընթացը ՝ արագացնելու անվտանգության ստուգման ընթացակարգերը համապատասխան պետական և մասնավոր հատվածի կազմակերպությունների համար, որպեսզի դաշնային կառավարությունը կարողանա այդ տեղեկատվությունը տարածել համապատասխան գաղտնի և գաղտնի մակարդակներում: Սա ուղղորդում է թվային անվտանգության նվազեցման շրջանակի զարգացումը, որը ներառում է ոլորտի լավագույն փորձը և կամավոր ստանդարտները: Վերջապես, այն դաշնային գերատեսչությունների առջև խնդիր է դնում ապահովել գաղտնիության և քաղաքացիական ազատությունների պաշտպանությունը ՝ համաձայն բարեխիղճ տեղեկատվական պրակտիկայի սկզբունքների ^[10]։

2015-ի հունվարին Օբաման հայտարարեց թվային անվտանգության վերաբերյալ նոր օրենսդրական առաջարկի մասին: Այս առաջարկն արվել է, փորձելով ԱՄՆ-ին նախապատրաստել թվային հանցագործությունների աճող թվին ։  Այս նախադասության մեջ Օբաման նախանշել է ԱՄՆ-ի համար ավելի անվտանգ թվային տարածություն ստեղծելու ուղղությամբ աշխատանքի երեք հիմնական ուղղություններ: Հիմնական հոդված թվային անվտանգության մասին տեղեկատվության փոխանակման հնարավորություն նման հնարավորություն ընձեռելով ՝ առաջարկը խրախուսեց տեղեկատվության փոխանակումը կառավարության և մասնավոր հատվածի միջև։ Դա թույլ կտար կառավարությանը իմանալ, թե ինչ հիմնական թվային սպառնալիքների են բախվում մասնավոր ընկերությունները, այնուհետև թույլ կտար կառավարությանը պաշտպանել այն ընկերությունների պատասխանատվությունից, որոնք կիսվել են իրենց տեղեկատվությամբ: Բացի այդ, դա կառավարությանը ավելի լավ պատկերացում կտար այն մասին, թե ինչից պետք է պաշտպանվի ԱՄՆ-ը: Մեկ այլ կարևոր քայլ, որն ընդգծվեց այս առաջարկության մեջ, Իրավապահ մարմինների արդիականացումն էր, որպեսզի նրանք ավելի պատրաստ լինեն թվային հանցագործությունների դեմ պատշաճ պայքարին, նրանց տրամադրելով դրա համար անհրաժեշտ գործիքները: Այն նաև կթարմացնի թվային հանցագործությունների դասակարգումները և դրանց հետևանքները: Դրան հասնելու միջոցներից մեկը արտերկրում ֆինանսական տեղեկատվության վաճառքը որակելն է որպես քրեական հանցագործություն: Օրինագծի մեկ այլ նպատակն է պատասխանատվության ենթարկել թվային հանցագործությունների համար: Վերջին կարևոր օրենսդրական ակտն այն էր, որ ընկերությունները պետք է սպառողներին տեղեկացնեն տվյալների խախտման մասին, եթե նրանց անձնական տվյալները կորել են: Ընկերություններից պահանջելով դա անել, սպառողները կիմանան, երբ իրենց սպառնում է ինքնության գողության վտանգ ^[11]։

2016-ի փետրվարին Օբաման մշակեց թվային անվտանգության ազգային անվտանգության գործողությունների ծրագիր (CNAP): Ծրագիրը մշակվել է, նպատակ ունենալով մշակել երկարաժամկետ գործողություններ և ռազմավարություններ, ԱՄՆ-ը թվային սպառնալիքներից պաշտպանելու համար: Ծրագրի նպատակն էր հանրությանը տեղեկացնել թվային հանցագործությունների աճող սպառնալիքի մասին, բարելավել թվային անվտանգության միջոցառումները, պաշտպանել ամերիկացիների անձնական տվյալները և ամերիկացիներին տեղեկացնել, թե ինչպես վերահսկել թվային անվտանգությունը: Այս ծրագրի հիմնական կետերից մեկը «Ազգային թվային անվտանգության բարձրացման հանձնաժողովի» ստեղծումն է ։  Դրա նպատակն է ստեղծել հանձնաժողով, որը բաղկացած է մի խումբ մտածողներից, որոնք ունեն տարբեր տեսակետներ, որոնք կարող են նպաստել առաջարկությունների մշակմանը, թե ինչպես բարելավել պետական և մասնավոր հատվածների թվային անվտանգությունը: Ծրագրի երկրորդ կարևոր կետը տեղեկատվական տեխնոլոգիաների ոլորտում կառավարության փոփոխությունն է ։  Նոր կառավարությունը տեղեկատվական տեխնոլոգիաների ոլորտում դա անելու է այնպես, որ ապահովվի տեղեկատվական տեխնոլոգիաների ավելի հուսալի համակարգ: Ծրագրի երրորդ նպատակն է ամերիկացիներին գիտելիքներ տալ այն մասին, թե ինչպես նրանք կարող են պաշտպանել իրենց առցանց հաշիվները և խուսափել անձնական տեղեկատվության գողությունից ՝ օգտագործելով բազմագործոն նույնականացում: Ծրագրի չորրորդ նպատակը թվային անվտանգության ոլորտում 35% - ով ավելի շատ միջոցներ ներդնելն է, քան ներդրվել է 2016 թվականին ^[12]։

Կարգավորումից բացի, դաշնային կառավարությունը փորձեց բարձրացնել թվային անվտանգությունը, ավելի շատ ռեսուրսներ հատկացնելով հետազոտություններին և համագործակցելով մասնավոր հատվածի հետ ստանդարտների մշակման գործում: 2003 թվականին թվային տարածության անվտանգության նախագահական ազգային ռազմավարությունը ազգային անվտանգության դեպարտամենտին (DHS) հանձնարարեց պատասխանատվություն ստանձնել անվտանգության առաջարկությունների և ազգային լուծումների որոնման համար: DHS-ը նաև պատասխանատու էր թվային տարածքի անվտանգության համար: Ծրագիրը նախատեսում է կառավարության և արդյունաբերության համատեղ ջանքերը «թվային հարձակումներին արտակարգ արձագանքման համակարգ ստեղծելու և նման սպառնալիքների նկատմամբ երկրի խոցելիությունը նվազեցնելու համար» ^[26]։ 2004 թվականին ԱՄՆ Կոնգրեսը 4,7 միլիարդ դոլար Է հատկացրել թվային անվտանգության ապահովման և նախագահի թվային տարածքի անվտանգության ազգային ռազմավարության մեջ սահմանված բազմաթիվ նպատակների իրականացման համար ^[27]։ Արդյունաբերության անվտանգության որոշ փորձագետներ պնդում են, որ նախագահի թվային տարածքի անվտանգության ազգային ռազմավարությունը լավ առաջին քայլ է, բայց ոչ բավարար ^[28]։ Բրյուս Շնայերը հայտարարել է, որ «թվային տարածության պաշտպանության ազգային ռազմավարությունը դեռ ոչինչ չի ապահովել» ^[29]։ Այնուամենայնիվ, նախագահի ազգային ռազմավարության մեջ հստակ նշվում է, որ նպատակն է համակարգչային համակարգերի սեփականատերերին հիմք տալ նրանց անվտանգությունը բարձրացնելու համար, այլ ոչ թե կառավարությունը լուծի այդ խնդրը ^[30]։ Այնուամենայնիվ, ռազմավարության մեջ նկարագրված համատեղ ջանքերում ներգրավված ընկերությունները պարտավոր չեն իրականացնել հայտնաբերված անվտանգության լուծումները:

ԱՄՆ-ում ԱՄՆ Կոնգրեսը փորձում է տեղեկատվությունն ավելի թափանցիկ դարձնել այն բանից հետո, երբ 2012 թվականի թվային անվտանգության մասին օրենքը, որը պետք է ստեղծեր կենսական ենթակառուցվածքների պաշտպանության կամավոր ստանդարտներ, չանցավ Սենատում ^[13]։ 2013-ի փետրվարին Սպիտակ տունը հրապարակեց հրամանագիր, որը կոչվում էր «կրիտիկական ենթակառուցվածքների թվային անվտանգության բարձրացում», որը գործադիր իշխանությունը թույլ է տալիս սպառնալիքների մասին տեղեկատվություն տարածել ավելի շատ ընկերությունների և անհատների հետ ^[13][14]։ 2013-ի ապրիլին Ներկայացուցիչների պալատն ընդունեց «թվային հետազոտությունների փոխանակման և պաշտպանության մասին» օրենքը (CISPA), որը նախատեսում է պաշտպանություն դատական հայցերից, որոնք ուղղված են խախտումների մասին տեղեկատվություն բացահայտող ընկերությունների դեմ ^[13]։ Օբամայի վարչակազմը հայտարարել է, որ կարող է վետո դնել այս օրինագծի վրա ^[13]։

2015 թ.-ին Հնդկաստանի տիեզերական գործակալության առևտրային ստորաբաժանման, Antrix կորպորացիայի և թվային Հնդկաստանի կառավարության ծրագրի հաքերային հարձակման լույսի ներքո, թվային օրենսդրության փորձագետ և Հնդկաստանի Գերագույն դատարանի փաստաբան Պավան Դուգգալը ասաց, որ «Թվային անվտանգության հատուկ օրենսդրությունը Հնդկաստանի համար հիմնական պահանջն է»: Տեղեկատվական տեխնոլոգիաների մասին օրենքում պարզապես թվային անվտանգությունը ներառելը բավարար չէ: Մենք պետք է թվային րանվտանգությունը դիտարկենք ոչ միայն արդյունաբերության տեսանկյունից, այլև ազգային հեռանկարի տեսանկյունից ^[15]։

Թվային անվտանգության ստանդարտները կարևոր տեղ են զբաղեցնում ժամանակակից տեխնոլոգիաների վրա հիմնված բիզնեսում: Իրենց շահույթն առավելագույնի հասցնելու համար կորպորացիաներն օգտագործում են տեխնոլոգիան, իրենց գործառնությունների մեծ մասն իրականացնելով ինտերների միջոցով: Քանի որ ցանցի գործառնությունները մեծ թվով ռիսկեր են պարունակում, նման գործառնությունները պետք է պաշտպանված լինեն համապարփակ կանոնակարգերով: Թվային անվտանգության ոլորտում գործող կանոնակարգերը ներառում են բիզնեսի վարման տարբեր ասպեկտներ և հաճախ տարբերվում են, կախված այն տարածաշրջանից կամ երկրից, որտեղ գործում է ձեռնարկությունը: Երկրների հասարակության, ենթակառուցվածքների և արժեքների տարբերությունների պատճառով թվային անվտանգության մեկ ընդհանուր ստանդարտը օպտիմալ չէ ռիսկերը նվազեցնելու համար: Թեև ԱՄՆ ստանդարտները հիմք են հանդիսանում գործունեության համար, Եվրամիությունը մշակել է ավելի անհատական կանոններ այն ձեռնարկությունների համար, որոնք գործում են հենց ԵՄ-ում: Բացի այդ, Brexit-ի լույսի ներքո կարևոր է հաշվի առնել, թե ինչպես է Մեծ Բրիտանիան որոշել պահպանել անվտանգության նման կանոնները:

ԵՄ - ում գործում են երեք հիմնական կանոնակարգեր, ENISA, Nis հրահանգ և ԵՄ ընդհանուր կանոնակարգ (GDPR): Դրանք միասնական թվային շուկայի ռազմավարության մաս են կազմում ։

Ինչ վերաբերում է ստանդարտներին, ապա թվային անվտանգության մասին օրենքը / ENISA-ի որոշումը ուղղակի հղում չունի ստանդարտներին: Այնուամենայնիվ, ENISA-ն իր կայքում խոստովանում է, որ «ԵՄ թվային անվտանգության ռազմավարությունն ընդգծում է ավելի մեծ ստանդարտացման աջակցությունը եվրոպական ստանդարտացման կազմակերպությունների (CEN, CENELEC և ETSI), ինչպես նաև ISO-ի միջոցով» ^[16]։

ISO/IEC ստանդարտները, ինչպես նաև եվրոպական CENELEC և ETSI ստանդարտները կարող են օգտագործվել կամավոր հիմունքներով, ԵՄ օրենսդրության պահանջներին աջակցելու համար: Թվային անվտանգության վերաբերյալ ISO / IEC և CEN / CENELEC ստանդարտների թարմացված ցանկին կարելի է ծանոթանալ անվճար և հանրային տեղեկատվական կայքում Genorma.com. ^[17]

Եվրոպական միության թվային անվտանգության գործակալությունը (ENISA) կառավարման հաստատություն է, որն ի սկզբանե ստեղծվել է Եվրոպական պառլամենտի և խորհրդի 2004 թվականի մարտի 10-ի թիվ 460/2004 որոշման (EC) համաձայն, նպատակ ունենալով բարձրացնել ցանցի և տեղեկատվության անվտանգությունը (NIS) ԵՄ-ում ինտերնետային բոլոր գործողությունների համար: ENISA-ն ստեղծվել է 2004 թվականի մարտի 10-ին Եվրոպական խորհրդարանի և խորհրդի թիվ 460/2004 որոշման համաձայն: Ներկայումս ENISA-ն գործում է թիվ 526/2013^[18] կանոնակարգով, որը փոխարինել է սկզբնական կանոնակարգին 2013 թվականին: ENISA-ն ակտիվորեն համագործակցում է ԵՄ բոլոր անդամ պետությունների հետ, տրամադրելով ծառայությունների լայն շրջանակ: Նրանց գործունեությունը կենտրոնացած է երեք գործոնների վրա:

• Առաջարկություններ անդամ պետություններին անվտանգության խախտումների դեպքում գործողությունների կարգի վերաբերյալ

• Աջակցություն ԵՄ անդամ բոլոր պետությունների համար քաղաքականության մշակմանը և դրա իրականացմանը

• Ուղղակի աջակցություն, քանի որ ENISA-ն գործնական մոտեցում է ցուցաբերում ԵՄ-ում գործող խմբերի հետ աշխատելու հարցում^[19]

ENISA - ն բաղկացած է խորհրդի կազմից, որը հենվում է գործադիր տնօրենի և շահագրգիռ կողմերի մշտական խմբի աջակցության վրա: Այնուամենայնիվ, գործողությունների մեծ մասը ղեկավարվում է տարբեր գերատեսչությունների ղեկավարների կողմից:^[20]

ENISA-ն հրապարակել է մի շարք հրապարակումներ, որոնք ընդգծում են թվային անվտանգության բոլոր հիմնական խնդիրները: ENISA-ի անցյալ և ընթացիկ նախաձեռնությունները ներառում են եմ ամպային ռազմավարություն, տեղեկատվական և հաղորդակցական տեխնոլոգիաների բաց ստանդարտներ, եմ թվային անվտանգության ռազմավարություն և թվային անվտանգության համակարգող խումբ: ENISA-ն նաև համագործակցում է գոյություն ունեցող միջազգային ստանդարտացման կազմակերպությունների հետ, ինչպիսիք են ISO-ն և ITU-ն ^[21]։

2016 թվականի հուլիսի 6-ին Եվրոպական խորհրդարանը գործողության մեջ դրեց ցանցերի և տեղեկատվական համակարգերի անվտանգության մասին հրահանգը (the NIS Directive).^[22]

Հրահանգը ուժի մեջ է մտել 2016 թվականի օգոստոսին, և Եվրամիության բոլոր անդամ պետություններին տրվել է 21 ամիս ժամանակ, հրահանգի դրույթները իրենց ազգային օրենքներում ներառելու համար ^[23]։ NIS Հրահանգի նպատակն է ստեղծել ԵՄ-ում թվային անվտանգության ավելի բարձր մակարդակ: Հրահանգը այսպես ազդում է թվային ծառայություններ մատուցողների (DSP) և հիմնական ծառայությունների օպերատորների (OESs) վրա: Հիմնական ծառայությունների օպերատորները ներառում են ցանկացած կազմակերպություն, որի գործունեությունը կարող է լրջորեն ազդել անվտանգության խախտման դեպքում, եթե նրանք զբաղվում են կարևոր հասարակական կամ տնտեսական գործունեությամբ: Եվ DSP-ն, և OES-ն այժմ պատասխանատու են համակարգչային անվտանգության միջադեպերի արձագանքման թիմերին (CSIRT) անվտանգության խոշոր միջադեպերի մասին զեկուցելու համար ^[24]։ Չնայած DSP-ները չեն կիրառվում այնքան խիստ կանոններ, որքան հիմնական ծառայությունների օպերատորները, DSP-ները, որոնք չեն ստեղծվել ԵՄ-ում, բայց դեռ գործում են ԵՄ-ում, դեռևս կիրառվում են կանոններ: Նույնիսկ եթե տվյալների ծառայություններ մատուցողները և սարքավորումների արտադրողները իրենց տեղեկատվական համակարգերի սպասարկումը փոխանցում են երրորդ կողմերին, NIS հրահանգը նրանց դեռևս պատասխանատվություն է կրում անվտանգության ցանկացած միջադեպի համար ^[25]։

ԵՄ անդամ պետությունները պարտավոր են մշակել NNG-ի ուղղորդման ռազմավարություն, որը ներառում է CSIRTs-ը, ինչպես նաև ազգային իրավասու մարմինները (NCA) և կապի միասնական կետերը (SPOC): Նման ռեսուրսները պատասխանատու են թվային անվտանգության խախտումները վերացնելու համար այնպես, որ դրանց հետևանքները նվազագույնի հասցվեն: Բացի այդ, ԵՄ անդամ բոլոր պետություններին խորհուրդ է տրվում կիսվել թվային անվտանգության մասին տեղեկատվությամ ^[26]։

Անվտանգության պահանջները ներառում են տեխնիկական միջոցներ, որոնք թույլ են տալիս կանխել թվային անվտանգության խախտումների հետ կապված ռիսկերը: Եվ տվյալների համակարգերի մատակարարները, և OEM-ները պետք է տրամադրեն տեղեկատվություն, որը թույլ է տալիս խորը գնահատել իրենց տեղեկատվական համակարգերը և անվտանգության քաղաքականությունը ^[27]։ Բոլոր նշանակալի միջադեպերը պետք է տեղեկացվեն CSIRTs-ին: Թվային անվտանգության ոլորտում էական միջադեպերը որոշվում են անվտանգության խախտման հետևանքով տուժած օգտվողների քանակով, ինչպես նաև միջադեպի տևողությամբ և միջադեպի աշխարհագրական ընդգրկմամբ ^[27]։ NIS 2 նախագիծը մշակման փուլում է ^[28]։

ԵՄ անդամ միայն 23 պետություններ են ամբողջությամբ իրականացրել NIS Հրահանգով նախատեսված միջոցները: Հրահանգի կիրարկումն ապահովելու համար նրանց նկատմամբ խախտումների վերաբերյալ դատական վարույթներ չեն իրականացվել և, ինչպես սպասվում է, մոտ ապագայում չեն իրականացվի.^[29] Այս անհաջող իրականացումը հանգեցրեց թվային անվտանգության հնարավորությունների մասնատմանը ամբողջ ԵՄ-ում, քանի որ տարբեր անդամ պետություններ կիրառում են տարբեր ստանդարտներ, միջադեպերի հաշվետվությունների պահանջներ և իրավապահ մարմինների պահանջներ:

Եմ թվային անվտանգության մասին օրենքը սահմանում է թվային անվտանգության ոլորտում ապրանքների, ծառայությունների և գործընթացների հավաստագրման համաեվրոպական համակարգ: Այն լրացնում է NIS հրահանգը: ENISA-ն առանցքային դեր կխաղա թվային անվտանգության ոլորտում եվրոպական սերտիֆիկացման համակարգի ստեղծման և պահպանման գործում ^[30]։

ԵՄ տվյալների պաշտպանության ընդհանուր կանոնները (GDPR) ուժի մեջ են մտել 2016 թվականի ապրիլի 14-ին, սակայն ուժի մեջ մտնելու ներկայիս ամսաթիվը նշանակված է 2018 թվականի մայիսի 25-ին ^[31]։ GDPR-ի նպատակն է ԵՄ բոլոր անդամ պետություններում տվյալների պաշտպանության միասնական ստանդարտի ներդրումը: Փոփոխությունները ներառում են աշխարհագրական սահմանների վերանայում: Սա վերաբերում է այն կազմակերպություններին, որոնք գործում են ԵՄ-ում կամ զբաղվում են ԵՄ ցանկացած բնակչի տվյալներով: Անկախ նրանից, թե որտեղ են մշակվում տվյալները, եթե մշակվում են ԵՄ քաղաքացու տվյալները, իրավաբանական անձն այժմ ենթակա է GDPR-ի ^[32]։

Տուգանքները նույնպես շատ ավելի խիստ են GDPR-ի համաձայն և կարող են կազմել 20 միլիոն եվրո կամ ընկերության տարեկան շրջանառության 4% - ը, որն ավելի մեծ է ^[32]։ Բացի այդ, ինչպես նախորդ կանոնակարգերում, տվյալների բոլոր խախտումները, որոնք ազդում են ԵՄ-ում բնակվող ֆիզիկական անձանց իրավունքների և ազատությունների վրա, պետք է բացահայտվեն 72 ժամվա ընթացքում:

ԵՄ տվյալների պաշտպանության ընդհանուր խորհուրդը, EDP-ն, պատասխանատու է GDPR-ի կողմից սահմանված ամբողջ վերահսկողության համար:

Համաձայնությունը կարևոր դեր է խաղում EDP-ում: Ընկերությունները, որոնք պահում են ԵՄ քաղաքացիների տվյալները, այժմ նույնպես պետք է նրանց իրավունք տան հրաժարվել տվյալների փոխանակումից նույնքան հեշտությամբ, որքան այն ժամանակ, երբ նրանք համաձայնություն էին տալիս տվյալների փոխանակմանը ^[33]։

Բացի այդ, քաղաքացիները կարող են նաև սահմանափակել իրենց կողմից պահվող տվյալների մշակումը և կարող են թույլ տալ ընկերություններին պահել իրենց տվյալները, բայց ոչ մշակել դրանք, ստեղծելով հստակ տարբերություն: Ի տարբերություն նախորդ կանոնակարգերի, GDPR-ը նաև սահմանափակում է քաղաքացու տվյալների փոխանցումը ԵՄ-ից դուրս կամ երրորդ կողմի, առանց քաղաքացու նախնական համաձայնության ^[33]։

2023 թվականի հունվարի 16-ին ԵՄ խորհրդարանը և խորհուրդը ընդունել են Եվրոպական խորհրդարանի և խորհրդի 2022 թվականի դեկտեմբերի 14-ի 2022/2555 որոշումը, Միության ամբողջ տարածքում թվային անվտանգության բարձր ընդհանուր մակարդակ ապահովելու միջոցառումների մասին, որը փոփոխում է (ԵՄ) թիվ 910/2014 կանոնակարգը և (եմ) 2018/1972 հրահանգը և չեղյալ է հայտարարում (եմ) 2016/1148 հրահանգը (NIS հրահանգ): Այս նոր հրահանգը նպատակ ունի ընդլայնել կազմակերպությունների պարտականությունների շրջանակը, որոնք պետք է միջոցներ ձեռնարկեն թվային անվտանգության ոլորտում իրենց կարողությունները բարձրացնելու համար: Հրահանգը նաեւ նպատակ ունի ներդաշնակեցնել եմ մոտեցումը միջադեպերի մասին ծանուցումների, անվտանգության պահանջների, վերահսկողության միջոցառումների եւ տեղեկատվության փոխանակման նկատմամբ ^[34]։

DORA - ն ստեղծում է կարգավորող շրջանակ, թվային գործունեության կայունությունն ապահովելու համար, որի համաձայն բոլոր ընկերությունները պետք է վստահ լինեն, որ կարող են դիմակայել, արձագանքել և վերականգնվել ICT-ի հետ կապված խափանումներին և սպառնալիքներին: Այս պահանջները միասնական են ԵՄ անդամ բոլոր պետությունների համար։ Որոշումն ուժի մեջ կմտնի 2025 թվականի հունվարի 17-ից համապատասխան ֆինանսական կազմակերպությունների և երրորդ կողմի ՏՀՏ ծառայություններ մատուցողների համար ^[35]։

Թվային անվտանգության մասին օրենքը (CRA) կարգավորող ակտ է, որն առաջարկվել է Եվրոպական հանձնաժողովի կողմից 2022 թվականի սեպտեմբերի 15 - ին, որը սահմանում է ԵՄ-ում ապարատային և ծրագրային ապահովման արտադրանքի թվային անվտանգության ընդհանուր ստանդարտները ^[36][37][38]։

Քրեական արդարադատություն (տեղեկատվական համակարգերի հետ կապված հանցագործություններ) օրենքն ընդունվել է 2017 թվականի մայիսին, համակարգչային հանցագործությունների մասին օրենքները համախմբելու նպատակով ^[39][40]։

Չնայած փորձագետները համաձայն են, որ թվային անվտանգության մակարդակի բարձրացումը անհրաժեշտ է, տարաձայնություններ կան այն հարցի շուրջ, թե արդյոք որոշումն ավելի խիստ պետական կարգավորում է, թե մասնավոր հատվածի նորարարություն:

Կառավարության շատ պաշտոնյաներ և թվային անվտանգության փորձագետներ կարծում են, որ մասնավոր հատվածը չի կարողացել լուծել թվային անվտանգության խնդիրը, և որ անհրաժեշտ է կարգավորում: Ռիչարդ Քլարկը պնդում է, որ «արդյունաբերությունն արձագանքում է միայն այն ժամանակ, երբ դուք սպառնում եք կարգավորմանը: Եթե արդյունաբերությունը չի արձագանքում, դուք պետք է գործեք մինչև վերջ» ^[31]։ Նա հավատում էր, որ software ընկերությունները հարկադրված են ավելի անվտանգ ծրագրերից օգտվեն ^[32]։ Բրյուս Շնեյերը աջակցում է այն կանոնակարգին, ըստ որի տնտեսական խթանի միջոցով ծրագրային ապահովման ընկերությունները գրեն ավելի անվտանգ կոդ ^[33][34]։ Քլարկը կարծում է, որ բացի ծրագրային ապահովման անվտանգության բարելավումից, որոշ արդյունաբերություններ, օրինակ կոմունալ ծառայությունները և ինտերնետ ծառայություններ մատուցողները, նւոյնպես ունեն կարգավորման կարիք ^[35]։

Մյուս կողմից, մասնավոր հատվածի շատ ղեկավարներ և լոբբիստներ կարծում են, որ կարգավորման խստացումը կսահմանափակի թվային անվտանգության բարելավման իրենց հնարավորությունները: Հարիս Միլլերը, լոբբիստ և տեղեկատվական տեխնոլոգիաների ամերիկյան ասոցիացիայի նախագահ, կարծում է, որ կարգավորումը խոչընդոտում է նորարարությանը ^[36]։ Ռիկ Ուայթը, նախկին կորպորատիվ իրավաբան, TechNet լոբբիստական խմբի նախագահ և գործադիր տնօրեն, նույնպես դեմ է կարգավորման ուժեղացմանը: Նա ասում է, որ «մասնավոր հատվածը պետք է շարունակի նորարարություն մտցնել և հարմարվել, ի պատասխան թվային տարածքում հարձակումների նոր մեթոդների, և այս կապակցությամբ մենք երախտագիտություն ենք հայտնում նախագահ Բուշին և Կոնգրեսին, կարգավորող մարմինների կողմից զսպվածություն ցուցաբերելու համար» ^[37]։

Մեկ այլ պատճառ, որ մասնավոր հատվածի շատ ղեկավարներ դեմ են կանոնակարգմանը, այն է, որ այն թանկ է և ներառում է պետական վերահսկողություն մասնավոր ձեռնարկությունների գործունեության նկատմամբ: Մասնավոր հատվածի ղեկավարները, ովքեր դեմ են կանոնակարգմանը, պետք է հաշվի առնեն, թե ինչպես են դրանք գործում: Ընկերությունները հավասարապես մտահոգված են, որ կարգավորումը նվազեցնում է շահույթը, ինչպես նաև, որ կարգավորումը սահմանափակում է նրանց ճկունությունը թվային անվտանգության խնդրի արդյունավետ լուծման հարցում:

Մասնավորապես, CRA-ի հետ կապված մտահոգություն է հայտնվել ազատ ծրագրավորմամբ և բաց կոդով ծրագրային ապահովման մշակմամբ զբաղվող հայտնի կազմակերպությունների, Eclipse Foundation, Internet Society և Python Software Foundation ազդեցության լայնության վերաբերյալ:  Այս կազմակերպությունները նշում են Կանոնակարգով չնախատեսված մի քանի հետևանքներ, որոնք, իրենց կարծիքով, զգալի վնաս են հասցնում բաց կոդով շարժմանը: Նրանք առաջարկում են փոփոխություններ, որոնք թույլ կտան ԵՄ-ում բաց կոդով օգտագործել առանց այնպիսի կարգավորման, ինչպիսին կլիներ առևտրային ծրագրային ապահովման մշակողների համար ^{[41] [42] [43] [44]}։

1. ^ "A chronology of data breaches reported since the ChoicePoint incident." (2005). Retrieved October 13, 2005.
2. ^ "Electronic privacy information center bill track: Tracking privacy, speech and civil liberties in the 109th congress." (2005). Retrieved October 23, 2005.
3. ^ "How computer viruses work." (2005). Retrieved October 10, 2005.
4. ^ "The National Strategy to Secure Cyberspace Արխիվացված 2012-02-27 Wayback Machine." (2003). Retrieved December 14, 2005.
5. ^ "Notice of security breach – civil code sections 1798.29 and 1798.82 – 1798.84." 2003). Retrieved October 23, 2005.
6. ^ "Richard Clarke interview." (2003). Retrieved December 4, 2005.
7. ^ Gordon, L. A., Loeb, M. P., Lucyshyn, W. & Richardson, R. (2005). "2005 CSI/FBI computer crime and security survey." Retrieved October 10, 2005.
8. ^ Heiman, B. J. (2003). Cybersecurity regulation is here. RSA security conference, Washington, D.C. Retrieved October 17, 2005.
9. ^ Kirby, C. (2003, December 4, 2003). "Forum focuses on cybersecurity". San Francisco Chronicle.
10. ^ Lemos, R. (2003). "Bush unveils final cybersecurity plan." Retrieved December 4, 2005.
11. ^ Menn, J. (2002, January 14, 2002). "Security flaws may be pitfall for Microsoft". Los Angeles Times, pp. C1.
12. ^ Rasmussen, M., & Brown, A. (2004). "California Law Establishes Duty of Care for Information Security." Retrieved October 31, 2005.
13. ^ Schmitt, E., Charron, C., Anderson, E., & Joseph, J. (2004). "What Proposed Data Laws Will Mean for Marketers." Retrieved October 31, 2005.
14. ^ Jennifer Rizzo. (August 2, 2012) "Cybersecurity bill fails in Senate." Accessed August 29, 2012.
15. ^ Paul Rosenzweig. (July 23, 2012) "Cybersecurity Act of 2012: Revised Cyber Bill Still Has Problems." The Heritage Foundation. Accessed August 20, 2012.
16. ^ Ed O'Keefe & Ellen Nakashima. (August 2, 2012 ) "Cybersecurity bill fails in Senate." The Washington Post. Accessed August 20, 2012.
17. ^ Alex Fitzpatrick. (July 20, 2012) "Obama Gives Thumbs-Up to New Cybersecurity Bill." Mashable. Accessed August 29, 2012.
18. ^ Brendan Sasso. (August 4, 2012) "After defeat of Senate cybersecurity bill, Obama weighs executive-order option". The Hill. Accessed August 20, 2012.
19. ^ Jaikumar Vijayan. (August 16, 2012) "No partisan fight over cybersecurity bill, GOP senator says". Computerworld. Accessed August 29, 2012.
20. ^ Carl Franzen. (August 2, 2012) "As Cybersecurity Bill Fails In Senate, Privacy Advocates Rejoice". TPM. August 29, 2012.
21. ^ Alex Fitzpatrick. (August 2, 2012) "Cybersecurity Bill Stalls in the Senate". Mashable. Accessed August 29, 2012.
22. ^ Jody Westby (August 13, 2012) "Congress Needs to Go Back To School on Cyber Legislation". Forbes. Accessed August 20, 2012.

1. ↑ Kianpour, Mazaher; Raza, Shahid (2024). «More than malware: unmasking the hidden risk of cybersecurity regulations». International Cybersecurity Law Review. 5: 169–212. doi:10.1365/s43439-024-00111-7. hdl:11250/3116767.
2. ↑ ^{2,0 2,1} «Cyber: Think risk, not IT» (PDF). pwc.com. PwC Financial Services Regulatory Practice, April, 2015.
3. ↑ ^{3,0 3,1} «DOD-Strategy-for-Operating-in-Cyberspace» (PDF).
4. ↑ Hopcraft, Rory (2018). «Effective maritime cybersecurity regulation - the case for a cyber code». Journal of Indian Ocean Region. 14 (3): 354–366. doi:10.1080/19480881.2018.1519056. S2CID 158311827.
5. ↑ Schooner, Steven L.; Berteau, David J. (2012-03-01). Emerging Policy and Practice Issues (2011). Rochester, NY: Social Science Research Network. SSRN 2014385.
6. ↑ ^{6,0 6,1} Schooner, Steven; Berteau, David (2014-01-01). «Emerging Policy and Practice Issues». GW Law Faculty Publications & Other Works.
7. ↑ «Do Agencies Already Have the Authority to Issue Critical Infrastructure Protection Regulations?». Վերցված է 27 December 2016-ին.
8. ↑ ^{8,0 8,1} «Securely Protect Yourself Against Cyber Trespass Act (2005; 109th Congress H.R. 29) – GovTrack.us». GovTrack.us.
9. ↑ «Cyber-security regulation». Wikipedia (անգլերեն). 2024-07-08.
10. ↑ «Executive Order – Improving Critical Infrastructure Cybersecurity». whitehouse.gov. 12 February 2013 – via National Archives.
11. ↑ «SECURING CYBERSPACE – President Obama Announces New Cybersecurity Legislative Proposal and Other Cybersecurity Efforts». whitehouse.gov (անգլերեն). 2015-01-13. Վերցված է 2017-08-06-ին – via National Archives.
12. ↑ «FACT SHEET: Cybersecurity National Action Plan». whitehouse.gov (անգլերեն). 2016-02-09. Վերցված է 2017-08-06-ին – via National Archives.
13. ↑ ^{13,0 13,1 13,2 13,3} «Secrecy hampers battle for web». Financial Times. 7 June 2013. Վերցված է 12 June 2013-ին.
14. ↑ «Executive Order – Improving Critical Infrastructure Cybersecurity». The White House. Office of the Press Secretary. 12 February 2013. Վերցված է 12 June 2013-ին.
15. ↑ «Dedicated legislation for Cyber Security is needed: Pavan Duggal – Express Computer». Express Computer. 31 August 2015.
16. ↑ «Standards». ENISA website.
17. ↑ «List of Cybersecurity Standards». GENORMA.COM.
18. ↑ «L_2013165EN.01004101.xml». eur-lex.europa.eu. Վերցված է 2024-07-28-ին.
19. ↑ «About ENISA - The European Union Agency for Cybersecurity». ENISA (անգլերեն). Վերցված է 2024-07-28-ին.
20. ↑ «Structure and Organisation». ENISA (անգլերեն). Վերցված է 2024-07-28-ին.
21. ↑ Purser, Steve (2014). «Standards for Cyber Security». In Hathaway, Melissa E. (ed.). Best Practices in Computer Network Defense: Incident Detection and Response. Nato Science for Peace and Security Series - D: Information and Communication Security. Vol. 35. IOS Press. doi:10.3233/978-1-61499-372-8-97. ISBN 978-1-61499-372-8.
22. ↑ «Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union». EUR Lex (անգլերեն). 19 July 2016. Վերցված է 2018-04-26-ին.
23. ↑ «The Directive on security of network and information systems (NIS Directive)». Digital Single Market. Վերցված է 2017-03-12-ին.
24. ↑ «The Network and Information Security Directive – who is in and who is out?». The Register. 7 January 2016. Վերցված է 2017-03-12-ին.
25. ↑ «NIS Directive Published: EU Member States Have Just Under Two Years to Implement – Data Protection Report». Data Protection Report (ամերիկյան անգլերեն). 2016-07-21. Վերցված է 2017-03-12-ին.
26. ↑ «Agreement reached on EU Network and Information Security (NIS) Directive | Deloitte Luxembourg | Technology | Insight». Deloitte Luxembourg (անգլերեն). Արխիվացված է օրիգինալից 2018-03-02-ին. Վերցված է 2017-03-12-ին.
27. ↑ ^{27,0 27,1} «Network and Information Security Directive will be implemented in the UK despite Brexit vote, government confirms». www.out-law.com (անգլերեն). Վերցված է 2017-03-12-ին.
28. ↑ «the NIS 2 directive». digitaleurope.org (անգլերեն). Վերցված է 2021-09-29-ին.
29. ↑ «NIS Implementation Tracker».
30. ↑ «The EU Cybersecurity Act» (անգլերեն). Վերցված է 2019-12-06-ին.
31. ↑ «Home Page of EU GDPR». EU GDPR Portal (բրիտանական անգլերեն). Վերցված է 2017-03-12-ին.
32. ↑ ^{32,0 32,1} «Key Changes with the General Data Protection Regulation». EU GDPR Portal (բրիտանական անգլերեն). Վերցված է 2017-03-12-ին.
33. ↑ ^{33,0 33,1} «Overview of the General Data Protection Regulation (GDPR)». ico.org.uk (անգլերեն). 2017-03-03. Վերցված է 2017-03-12-ին.
34. ↑ «NIS2 Directive». eur-lex.europa.eu. Վերցված է 27 March 2023-ին.
35. ↑ «Digital Operational Resilience Act (DORA)». eiopa.europa.eu/. Վերցված է 27 March 2024-ին.
36. ↑ Bertuzzi, Luca (2021-09-16). «EU chief announces cybersecurity law for connected devices». www.euractiv.com (բրիտանական անգլերեն). Վերցված է 2023-01-30-ին.
37. ↑ «Why a clear cyber policy is critical for companies». Financial Times. 2022-11-09. Վերցված է 2023-01-30-ին.
38. ↑ «EU pitches cyber law to fix patchy Internet of Things». POLITICO (ամերիկյան անգլերեն). 2022-09-15. Վերցված է 2023-01-30-ին.
39. ↑ Reidy, Diane (2019-04-15). «Away in a hack». Law Society of Ireland. Վերցված է 2024-02-19-ին.
40. ↑ Finlay, Adam; Hughes, Ruth. «iclg.com > Practice Areas > Cybersecurity > Ireland». iclg.com. Վերցված է 2024-02-20-ին.
41. ↑ Milinkovich, Mike. «Cyber Resilience Act: Good Intentions and Unintended Consequences». Eclipse Foundation Blog. Eclipse Foundation Executive Director. Վերցված է 11 April 2023-ին.
42. ↑ Kolkman, Olaf (24 October 2022). «The EU's Proposed Cyber Resilience Act Will Damage the Open Source Ecosystem». The Internet Society. The Internet Society Principal - Internet Technology, Policy, and Advocacy. Վերցված է 11 April 2023-ին.
43. ↑ Nicholson, Deb (11 April 2023). «The EU's Proposed CRA Law May Have Unintended Consequences for the Python Ecosystem». Python Software Foundation Blog. Python Software Foundation. Վերցված է 11 April 2023-ին.
44. ↑ Milinkovic, Mike (16 January 2023). «European Cyber Resiliency Act: Potential Impact on the Eclipse Foundation». Eclipse Foundation Blog. Վերցված է 11 April 2023-ին.