9.36M

PPTX Presentation

1.

Система обеспечения информационной
безопасности Швейцарии
Принципы, документы и государственная структура
Презентацию подготовили
студенты группы ИСП-24
Иванов Максим и
Мусиенко Мария

2.

Швейцария придерживается модели «кооперативного
федерализма». Ключевые принципы:
Субсидиарность – задачи решаются на максимально низком (частном или кантональном) уровне. Государство
вмешивается только при угрозе национальной безопасности.
Дуализм ответственности – частный сектор (банки, телеком, энергетика) несет первичную защиту своих КИИ-объектов;
государство координирует и защищает госсектор.
Нейтралитет и технологический суверенитет – минимизация зависимости от зарубежного ПО/«железа» в критических
системах.
Privacy by Design – встроенная защита персональных данных, основанная на строгих законах Швейцарии (сильнее GDPR
в отдельных аспектах).
(MELANI/CERT), работающие 24/7.
Постоянная готовность – развернуты центры мониторинга
(

3.

Основные документы в области обеспечения ИБ
● Федеральный закон о кибербезопасности (CSA) – центральный рамочный закон (с 2024 года в новой редакции).
● Закон о защите данных (nFADP) – аналог GDPR, требует уведомления о утечках за 72 часа.
● Стратегия киберзащиты Швейцарии (NCS) – действует на 4-летние периоды (сейчас NCS 2.0/3.0).
● Политика защиты Федерального совета – внутренние стандарты для госорганов.
● Технические стандарты:
● Стандарт BMM (базовый уровень защиты).
● Рекомендации NCSC (бывший MELANI).
● Закон об армии и военной киберзащите
деятельность подразделения
– регулирует
Command Cyber.

4.

Структура госорганов
● Во главе – Федеральный совет (правительство). Координация – через Межведомственный комитет по
кибербезопасности.
● Высший уровень: Департамент обороны, гражданской защиты и спорта (DDPS)
● Оператор CERT для госсектора: Национальный центр кибербезопасности (NCSC) – ключевой орган!
● Правоохранительные органы: Федеральное управление полиции (fedpol)
● Кибервойска (наступательная защита): Command Cyber (в составе армии)
● Разведка: Служба анализа ситуации (NDB)
● Регуляторы: OFCOM (связь), FINMA (финансы)

5.

Ключевой орган – Национальный центр кибербезопасности (NCSC)
● Расположен в Берне, подчинен DDPS
● Функции:
● Приём сообщений об инцидентах от организаций/граждан (система GovCERT).
● Выпуск предупреждений об уязвимостях.
● Координация раскрытия уязвимостей (Coordinated Vulnerability Disclosure).
● Обеспечение выполнения закона CSA.
● Важно: NCSC анализирует, но не расследует преступления (это задача fedpol и прокуратуры).

6.

Кантоны и частный сектор – децентрализация
● 26 кантонов имеют свои центры компетенции по ИБ (обычно при кантональной полиции).
● Кантональные CERT – первые в очереди реагирования для бизнеса в
своем регионе.
● Информационный обмен: Работает платформа MFC
(Melde- und Analysestelle Informationssicherung)
– совместный проект NCSC и банковского/телеком-сообщества.
● Обязанности бизнеса:
● Операторы критической инфраструктуры (энергия, транспорт, здравоохранение, банки) обязаны
сообщать о грубых нарушениях ИБ в NCSC в течение 24 часов.

7.

Военная компонента – Command Cyber
● Выделено в отдельное командование в 2020 году.
● Основные подразделения:
● Компьютерная экстренная группа (CERT Armasuisse)
– защита ИТ-инфраструктуры армии.
● Cyber Defense Battalion – реагирование на
кибератаки против военных целей.
● Military Intelligence Service – наступательные операции
(по внешнему мандату).
● Отличие: Армия не защищает гражданские компании (это NCSC и гражданская полиция).

8.

Схема взаимодействия при инциденте (алгоритм)
● Обнаружение инцидента (частной компанией/гражданином)
● Сообщение в NCSC (через форму на сайте или по телефону)
● NCSC:
● Анализирует уровень угрозы
● Дает рекомендации по смягчению
● Если шифровальщик
– перенаправляет к поставщику
ПО/страховщику
Киберпреступление
(вымогательство, кража данных) → передача в fedpol и прокуратуру
● Атака на КИИ → NCSC + OFCOM + кантональные власти
● Военная угроза (спонсированная гос-вом) → Command Cyber + разведка

9.

Уникальные черты швейцарской системы ИБ
● Приватность - Отдельный Федеральный уполномоченный по защите данных (FDPIC) с правом штрафов до
250 000 CHF (и выше по уголовному кодексу).
● Нейтралитет
- Запрет на совместные учения с НАТО в
,киберпространстве (только двусторонние с ЕС/ООН).
Швейцарские банки - Их ИБ-стандарты де-факто выше государственных из-за репутационных рисков.
● Закон об экспорте киберсредств - Лицензирование экспорта ПО для проникновения (аналог Wassenaar
Arrangement).

10.

Черезмерная анонимность швейцарских банков
● До недавнего времени Швейцария оставалась одной из ключевых юрисдикций для
отмывания криминальных доходов. Расследования неоднократно вскрывали схемы, где
через счета швейцарских банков проходили деньги:
● Запрещенные группировки использовали швейцарские счета для легализации доходов
от запрещенных веществ — через подставные компании, трасты и номинальных
держателей акций.
● Коррупционные схемы — например, «дело 1MDB» (малайзийский государственный
фонд), где часть украденных средств оседала в швейцарских банках.
● Российский «прачечный» сценарий — вывод капитала через фиктивные кредиты и
офшорные цепочки с участием швейцарских посредников (юридических фирм в Цуге и
Люцерне).

11.

Почему это было возможно:
● Анонимные офшорные структуры (BVI, Caymans, Panama)
регистрировались на
номинальных директоров без раскрытия реальных владельцев.
● Банковская тайна защищала информацию о счетах даже при наличии запросов из-за
границы (кроме случаев официального уголовного расследования).
● Юристы и нотариусы не подпадали под AML-надзор — они могли регистрировать
компании, не проверяя происхождение средств.
● Отсутствовал центральный реестр бенефициаров — у каждого банка был свой
«лоскутный» учёт, не скоординированный между собой.
● Цена вопроса: FATF (международная группа по борьбе с отмыванием денег)
неоднократно критиковала Швейцарию за недостаточную прозрачность и ставила страну
в «серый список» наблюдения в отдельные периоды.

12.

Раскрытие информации
(Disclosure) — три уровня
прозрачности
● Уровень 1 — борьба с офшорами (LETA, с 2026 года)
● Все компании обязаны раскрыть конечных бенефициаров (владельцев от 25%).
● Доступ к реестру — у правоохранителей, налоговиков и финансовых посредников (не публичный).
● Штраф за сокрытие — до 500 000 CHF.
● Уровень 2 — налоги (AEOI/FATCA)
● Швейцария автоматически передаёт данные о счетах нерезидентов в налоговые органы более 100 стран.
● Банковская тайна для иностранцев больше не действует.
● Уровень 3 — киберинциденты (FINMA)
● Банки обязаны немедленно сообщать о кибератаках, утечках и ICT-сбоях регулятору FINMA.
● При высоком риске для клиентов — также уведомление омбудсмена по защите данных (FDPIC).

13.

Что изменилось с 2026 года
● Первое. Введён центральный реестр бенефициаров — компании обязаны раскрыть, кто реально
ими владеет (доля от 25%). Анонимные офшорные цепочки больше не работают.
● Второе. Банковская тайна для нерезидентов прекращена — Швейцария автоматически передаёт
данные о счетах иностранцев в налоговые органы их стран.
● Третье. Юристы и нотариусы впервые попали под надзор по отмыванию денег — за сокрытие
бенефициара штраф до 500 000 франков.
● Четвёртое. Криптоактивы больше не в тени — вводится обмен данными по криптокошелькам
между странами.

14.

●Вывод:
● Швейцария построила децентрализованную, но жёстко скоординированную систему кибербезопасности, где
ключевая роль принадлежит Национальному центру кибербезопасности (NCSC), а бизнес (особенно банки)
несёт прямую ответственность за защиту своей инфраструктуры.
● Главное изменение последних лет — переход от «банковской тайны» к тотальной прозрачности. С 2026 года в
стране действуют три уровня раскрытия: бенефициары компаний (реестр LETA), налоговые данные
нерезидентов (автоматический обмен AEOI) и киберинциденты (уведомление FINMA). Старые схемы с
наркокартелями и анонимными офшорами больше не работают.

15.

СПАСИБО
ЗА
ВНИМАНИЕ!
English     Русский Правила