Az USA 2001 októberi felhívására válaszul – amely az informatikai rendszerek és hálózatok biztonságát rögzítő alapelvelvek korszerűsítését szorgalmazta – a 30 tagállamot átfogó kormányközi szervezet szerdán közzétette legújabb irányelveit. Az irányelveket már július végén ajánlásként elfogadta az OECD Tanácsa, s ezzel 10 év után először megszületett a kiberbiztonsági irányelvek frissítése.
Az első látványos változás már a címben érzékelhető – “Információs rendszerek és hálózatok biztonságának irányelvei”, ami először tesz említést hálózati biztonságról. Az irányelvek elismerik, hogy egyre nő a függés az információs hálózatoktól, miközben fokozódik ezeknek a hálózatoknak a veszélyeztetettsége. Az irányelvek a biztonságot mint újfajta kultúrát kezelik, aminek jelen kell lennie a hálózatok tervezési szakaszától egészen a mindennapos használatig. A dokumentum kilenc ilyen irányelvet fogalmaz meg:
- a tudatosítás azt jelenti, hogy a tagállamoknak tisztában kell lenniük, szükség van biztonságra, amit folyamatosan javítani kell;
- a felelősség azt, hogy minden résztvevő felelős saját információs rendszereinek és hálózatainak biztonságáért;
- a reagálás azt, hogy a tagok időben és egymással együttműködve lépjenek fel a biztonsági incidensek megelőzésének, észlelésének és az arra adott válasz területén;
- az etika megfogalmazza azt a követelményt, hogy a tagok tiszteletben tartják a többiek érdekeit;
- a demokrácia azt rögzíti, hogy biztonságnak összhangban kell lennie a demokratikus társadalom alapvető értékeire;
- a kockázat felbecslése azt jelenti, hogy ezt rendszeresen el kell végezni;
- a biztonság beépítése és érvényesítése azt jelenti, hogy a biztonságnak lényeges elemnek kell lennie minden rendszerben és hálózatban;
- a biztonságfelügyelet megköveteli a résztvevőktől az átfogó megközelítés érvényesítését;
- az átértékelés javasolja a biztonság folyamatos revideálását, s a biztonsági politika, gyakorlat, illetve az ezekkel összefüggő intézkedések és eljárások folyamatos módosítását.
