Результатом услуги является выдача заключения по проведению технического исследования на предмет отнесения товаров к средствам криптографической защиты информации и специальным техническим средствам, предназначенным для проведения оперативно-розыскных мероприятий.
8.4. Регистрация нотификаций о характеристиках товаров (продукции), содержащих шифровальные (криптографические) средства
Ввоз и вывоз шифровальных средств, указанных ниже, осуществляется на основании информации о зарегистрированной в Комитет национальной безопасности Республики Казахстан нотификации (уведомления) без оформления иных разрешительных документов.
Заполнение нотификации осуществляется изготовителем продукции или лицом, уполномоченным изготовителем продукции, на основании собственных доказательств.
Перечень категорий товаров (продукции), являющихся шифровальными (криптографическими) средствами или содержащих в своем составе шифровальные (криптографические) средства, технические и криптографические характеристики которых подлежат нотификации.
№ |
Описание категорий товаров |
|
п/п |
||
|
Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих оставляющих:
- симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; или
1 - асимметричный криптографический алгоритм, основанный на любом из следующих методов: 1. на разложении на множители целых чисел, размер которых не превышает 512 бит;
2. на вычислении дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит; или 3. на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте ‘б”
размера, не превышающего 112 бит.
Товары, содержащие шифровальные (криптографические) средства, обладающие ограниченными функциями:
1.аутентификацией, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или 2 текстов, за исключением шифрования, которое непосредственно связано с защитой паролей,
персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;
2.электронной цифровой подписи.
Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые
3разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.
Персональные смарт-карты (интеллектуальные карты):
1. криптографические возможности которых ограничены использованием в оборудовании или системах; 4 или
2. для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации
Приемная аппаратура для радиовещания, коммерческого телевидения или аналогичной коммерческой 5 аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме
случаев использования шифрования исключительно для управления видео- или аудиоканалами и отправки счетов или возврата информации, связанной с программой, провайдерам вещания
Оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для применения любым из следующего:
1. программное обеспечение исполнено в защищенном от копирования виде;
2. доступом к любому из следующего:
6 o защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации;
o информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
3. контролем копирования аудио- и видеоинформации, защищенной авторскими правами.
7 |
Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное |
|
применением для банковских или финансовых операций |
||
|
Портативные или мобильные радиоэлектронные средства гражданского назначения (например, для 8 использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному
шифрованию (т.е. от абонента до абонента)
Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в 9 радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м
в соответствии с техническими условиями производителя.
10 |
Шифровальные (криптографические) средства, используемые для защиты технологических каналов |
|
информационно-телекоммуникационных систем и сетей связи. |
||
|
||
11 |
Товары, у которых криптографическая функция заблокирована производителем. |
В нотификации может быть заявлена информация либо об одном наименовании продукции, либо о группе однотипной продукции, имеющие идентичные шифровальные средства. Нотификация заполняется на русском языке. Порядок нотификации определен в Методических рекомендациях по оформлению нотификации о
характеристиках товара (продукции), содержащего шифровальные (криптографические) средства, опубликованных на сайте Комитета национальной безопасности Республики Казахстан.
ЛЕКЦИЯ 9. ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ И ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
В 2015 году в Казахстане принята новая редакция Закона Республики Казахстан «Об информатизации». В соответствии с принятым законом, защитой объектов информатизации является реализация комплекса правовых, организационных и технических мероприятий, направленных на сохранность объектов информатизации, предотвращение неправомерного и (или) непреднамеренного доступа и (или) воздействия на них.
Под объектами информатизации понимаются электронные информационные ресурсы, программное обеспечение и информационно-коммуникационная инфраструктура. Информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним.
Средство защиты информации – программное обеспечение, технические и иные средства, предназначенные и используемые для обеспечения защиты информации.
Определены следующие цели защиты объектов информатизации:
1)обеспечение целостности и сохранности электронных информационных ресурсов;
2)обеспечение режима конфиденциальности электронных информационных ресурсов ограниченного доступа;
3)реализация права субъектов информатизации на доступ к электронным информационным ресурсам;
4)недопущение несанкционированного и (или) непреднамеренного доступа, утечки и иных действий в отношении электронных информационных ресурсов, а также несанкционированного и (или) непреднамеренного воздействия на объекты информационно-коммуникационной инфраструктуры;
5)недопущение нарушений функционирования объектов информационно-коммуникационной инфраструктуры и критически важных объектов информационно-коммуникационной инфраструктуры.
Закон «Об информатизации» устанавливает перечень действий в отношении объектов информатизации, которые являются
несанкционированными и (или) непреднамеренными:
1)блокирование электронных информационных ресурсов и (или) объектов информационно-коммуникационной инфраструктуры, то есть совершение действий, приводящих к ограничению или закрытию доступа к электронным информационным ресурсам и (или) объектам информационно-коммуникационной инфраструктуры;
2)несанкционированная и (или) непреднамеренная модификация объектов информатизации;
3)несанкционированное и (или) непреднамеренное копирование электронного информационного ресурса;
4)несанкционированное и (или) непреднамеренное уничтожение, утрата электронных информационных ресурсов;
5)использование программного обеспечения без разрешения правообладателя;
6)нарушение работы информационных систем и (или) программного обеспечения либо нарушение функционирования сети телекоммуникаций.
Как же осуществляется защита объектов информатизации – электронных информационных ресурсов, программного обеспечения и информационно-коммуникационной инфраструктуры в Казахстане?
Во-первых, закон обязывает осуществлять защиту объектов информатизации:
Объекты, в отношении которых должна быть |
Кто должен обеспечить защиту объектов |
осуществлена защита |
информатизации? |
В отношении электронных информационных ресурсов |
Cобственники, владельцы и пользователи |
В отношении объектов информационно- |
|
коммуникационной инфраструктуры и критически |
Cобственники или владельцы |
важных объектов информационно-коммуникационной |
|
инфраструктуры |
|
Во-вторых, Собственники или владельцы объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры обязаны принимать меры, обеспечивающие:
1)предотвращение несанкционированного доступа;
2)своевременное обнаружение фактов несанкционированного доступа, если такой несанкционированный доступ не
удалось предотвратить;
3)минимизацию неблагоприятных последствий нарушения порядка доступа;
4)недопущение несанкционированного воздействия на средства обработки и передачи электронных информационных ресурсов;
5)оперативное восстановление электронных информационных ресурсов, модифицированных либо уничтоженных вследствие несанкционированного доступа к ним;
6)незамедлительное информирование государственной технической службы о произошедшем инциденте
информационной безопасности, за исключением собственников и (или) владельцев электронных информационных ресурсов, содержащих сведения, составляющие государственные секреты;
7)информационное взаимодействие с государственной технической службой по вопросам мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства»;
8)предоставление доступа государственной технической службе к объектам информатизации «электронного правительства» и критически важным объектам информационно-коммуникационной инфраструктуры для проведения
организационно-технических мероприятий, направленных на реализацию мониторинга обеспечения информационной безопасности.
Кто обязан выполнять требования по защите объектов информатизации? Положения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
Законодательством предусмотрены определенные меры защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры:
Меры защиты объектов информатизации
Правовые меры защиты
Организационные меры защиты
Технические меры защиты
Их характеристика, описание
1)требования законодательства Республики Казахстан и действующие на территории Республики Казахстан стандарты в сфере информатизации;
2)ответственность за нарушение законодательства Республики Казахстан об информатизации;
3)соглашения, заключаемые собственником или владельцем электронных информационных ресурсов, информационных систем, информационно- коммуникационной инфраструктуры, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение
1)установление и обеспечение режима допуска на территории (в здания, помещения), где может быть осуществлен доступ к информации, электронным информационным ресурсам, информационным системам (электронным носителям информации); 2)ограничение доступа к электронным информационным ресурсам, информационным системам и информационно-коммуникационной инфраструктуре
1)использование средств защиты информации, а в отношении сведений, составляющих государственные секреты, – исключительно с применением средств защиты сведений, составляющих государственные секреты, разработанных, изготовленных и (или) принятых в эксплуатацию в соответствии с законодательством Республики Казахстан;
2)использование систем контроля доступа и регистрации фактов доступа к электронным информационным ресурсам, информационным системам и информационно-коммуникационной инфраструктуре
Закон «Об информатизации» устанавливает, что использование технических (программно-технических) мер защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры не должно причинять вред или создавать угрозу причинения вреда жизни, здоровью и имуществу физических лиц, а также имуществу юридических лиц и государственному имуществу.
Кроме этого, на собственников и владельцев информационных систем, получивших электронные информационные ресурсы, содержащие персональные данные, возлагается обязанность принимать меры по их защите. Данная обязанность возникает с момента получения электронных информационных ресурсов, содержащих персональные данные, и до их уничтожения либо обезличивания.
Государственный уполномоченный орган за соблюдением требований законодательства по защите информации – Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
Для осуществления мер по защите объектов информатизации Правительством Республики Казахстан и государственным уполномоченным органом в этой сфере приняты следующие нормативные правовые акты:
Орган, наделенный определенными компетенциями в сфере защиты информации
Компетенция Правительства Республики Казахстан
Компетенция государственного уполномоченного органа в сфере информатизации и защиты информации – Комитет по связи, информатизации и информации Министерства по инвестициям и
развитию Республики Казахстан
Правовые меры по защите информации
1) единые требования в области информационно- коммуникационных технологий и обеспечения информационной безопасности;
2) перечень критически важных объектов информационно-коммуникационной инфраструктуры, а также правила и критерии отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно- коммуникационной инфраструктуры;
3) правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности;
4) перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов
1) правила проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства»;
ЛЕКЦИЯ 10. ЭЛЕКТРОННАЯ РАЗВЕДКА / ПРОСЛУШКА
Законом Республики Казахстан «Об оперативно-розыскной деятельности» предусмотрены общие и специальные оперативно-розыскные мероприятия с целью гласного или негласного получения информации.
Виды оперативно-розыскных мероприятий |
Перечень оперативно-розыскных мероприятий |
1) опрос лиц;
2) установление гласных и негласных отношений с гражданами, использование их в оперативно-розыскной деятельности; 3) внедрение;
4) применение модели поведения, имитирующей преступную деятельность; 5) создание конспиративных предприятий и организаций;
6) контролируемая поставка;
7) применение технических средств для получения сведений, не затрагивающих охраняемые законом неприкосновенность частной жизни, жилища, личной и семейной тайны, а также тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; 8) наведение справок; 9) получение образцов;
Общие 10) оперативный закуп; 11) применение служебно-розыскных собак;
12) поиск и отождествление личности по приметам;
13) поиск устройств незаконного снятия информации;
14) обнаружение, негласная фиксация и изъятие следов противоправных деяний, их предварительное исследование; 15) преследование лица, готовящего, совершающего или совершившего преступление, и его задержание; 16) осуществление с участием понятых личного досмотра
задержанных лиц, изъятия находящихся при них вещей и документов, могущих относиться к преступной деятельности, а также досмотра жилых помещений, рабочих и иных мест, досмотра транспортных средств.
17) проведение операций по захвату вооруженных преступников;
18) наблюдение.
1) контроль почтово-телеграфных отправлений;
2) оперативный поиск на сетях связи;
3) негласное прослушивание и запись разговоров с использованием видео-, аудиотехники или иных специальных технических средств, прослушивание и
Специальные запись переговоров, производящихся по телефонам и другим переговорным устройствам, а также получение сведений о произведенных телефонных переговорах; 4) снятие информации с технических каналов связи компьютерных систем и иных технических средств; 5) оперативное проникновение.
Для осуществления оперативно-розыскных действий могут применяться специальные технические средства – устройства, аппаратура, приспособления, оборудование, имеющие специальные функции, программное обеспечение и конструктивные особенности для добывания и документирования информации в ходе проведения оперативно-розыскных мероприятий и негласных следственных действий.
Оперативно-розыскные мероприятия
Наблюдение
Оперативный поиск на сетях связи
Снятие информации с технических каналов связи, компьютерных систем и иных технических средств
Контроль почтово-телеграфных отправлений
Описание
Визуальное и иное восприятие и фиксация значимых для решения задач оперативно-розыскной деятельности явлений, деяний, событий, процессов
Негласные действия по обнаружению признаков противоправной деятельности в информации, передаваемой по сети связи
Негласное снятие специальными техническими средствами информации, передаваемой по сетям электрической связи, компьютерным сетям, базам данных, телекоммуникационным и информационным системам, предназначенным для сбора, обработки, накопления, хранения, поиска и распространения информации
Получение сведений, имеющих значение для дела, путем просмотра и ознакомления с содержанием писем, телеграмм, радиограмм, бандеролей, посылок и других
почтово-телеграфных отправлений
Негласные прослушивание и запись разговоров
Получение сведений о произведенных телефонных переговорах
Прослушивание и запись переговоров, производящихся по телефону и другим переговорным устройствам
Негласный контроль речевой информации проверяемого лица, подозреваемого с использованием видео-, аудиотехники или иных специальных технических средств и фиксация ее содержания на материальном носителе
Негласное изъятие информации о входящих и исходящих звонках абонента телефонной связи
Негласный контроль речевой информации проверяемого лица, подозреваемого либо третьего лица, если есть сведения, что проверяемое лицо, подозреваемый используют телефон или иное переговорное устройство третьего лица, или есть сведения, что третье лицо получает информацию для проверяемого лица, подозреваемого либо от проверяемого лица, подозреваемого для передачи другим лицам с использованием телефона и других переговорных устройств, и фиксация ее содержания на материальном носителе
На территории Республики Казахстан оперативно-розыскную деятельность осуществляют:
1)органы внутренних дел;
2)органы национальной безопасности;
3)уполномоченный орган в сфере внешней разведки;
4)органы военной разведки Министерства обороны;
5)антикоррупционная служба;
6)Служба государственной охраны Республики Казахстан;
7)служба экономических расследований.
Проведение специальных оперативно-розыскных мероприятий в случаях, предусмотренных законодательно, возможно только с санкции прокурора.
Специальные оперативно-розыскные мероприятия, связанные с использованием сети связи в интересах решения задач всеми органами, указанными выше, технически осуществляются органами национальной безопасности Республики Казахстан, для чего им выделяются необходимые силы и средства. Организация и тактика проведения специальных оперативно- розыскных мероприятий, связанных с использованием сети связи, определяются совместным нормативным правовым актом первых руководителей органов, осуществляющих оперативно-розыскную деятельность, по согласованию с Генеральным Прокурором Республики Казахстан.
В целях получения разведывательной информации, обеспечения военной безопасности Республики Казахстан и безопасности охраняемых лиц уполномоченный орган в сфере внешней разведки, органы военной разведки Министерства обороны Республики Казахстан и Служба государственной охраны Республики Казахстан вправе осуществлять специальные оперативно-розыскные мероприятия с использованием сетей телекоммуникаций, исключающие подключение к стационарной аппаратуре и линиям связи физических и юридических лиц, предоставляющих услуги и средства связи на территории 
Республики Казахстан.