3. Цели и задачи

Целью Концепции является поддержание высоко адаптивной и интегрированной системы управления кибербезопасностью, обеспечивающей устойчивое развитие Республики Казахстан при использовании ИКТ.

Для достижения указанной цели государственные органы, организации и учреждения должны выполнить следующие задачи:

-поддерживать высокое доверие граждан и бизнеса к принимаемым государственными органами, поставщиками программных продуктов, операторами связи и информационно-коммуникационной инфраструктуры мерам по обеспечению информационной безопасности.

-профессионально и систематически управлять информационной безопасностью, обеспечивая внутренний и внешний контроль в области использования ИКТ.

-установить четкие требования относительно информационной безопасности для поставщиков ИКТ-услуг и инфраструктуры, осуществлять регулярную оценку и анализ рисков по принимаемым ими мерам безопасности.

-обеспечить обществу и частному бизнесу доступ к квалифицированным оценкам угроз в сфере информационной безопасности и получению дополнительных знаний о том, как уменьшить негативное влияние от уязвимостей в

программном обеспечении и информационно-коммуникационных системах.

-поддерживать высокий уровень профессиональной компетенции и технической готовности к противодействию киберпреступности, в том числе по расследованию кибер-преступлений правоохранительными органами, а также потенциала по обеспечению безопасности государства специальными государственными органами.

-обеспечить возможности реализации государственных функций в случае возможных чрезвычайных происшествий технологического, социального характера вызванных инцидентами информационной безопасности, угрожающими национальной и общественной безопасности.

-в кризисных ситуациях обеспечить доступ к устойчивой военной информационно-коммуникационной инфраструктуре по запросу заинтересованных субъектов информатизации.

-последовательно отстаивать на международной арене национальные интересы Республики Казахстан, выступая сильным партнером по укреплению международной информационной безопасности в соответствии с нормами и принципами международного права.

4.Механизмы реализации

Вцелом, основы обеспечения кибербезопасности как системы правовых, организационных и технических мер безопасного использования информационно-коммуникационных технологий в области связи и информатизации сформированы и законодательно закреплены. В последние годы различные взаимоувязанные аспекты обеспечения кибербезопасности нашли свое отражение в Законах Республики Казахстан «О национальной безопасности», «О государственных секретах», «О персональных данных и их защите», «Об электронном документе и электронной цифровой подписи», «О связи», Уголовном кодексе и Кодексе об административных правонарушениях и целом ряде подзаконных актов, разработанных в реализацию новой редакции Закона Республики Казахстан «Об

информатизации».

Ряд подзаконных актов принят в последнее время и в этой связи еще не получил развернутой правоприменительной практики. В частности, постановление Правительства «Об утверждении Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности», представляющих собой кодификацию правовых и технических норм из национальных и гармонизированных стандартов. Документ подробно описывает процедуры и правила по использованию информационно- коммуникационных технологий при обработке защищаемых законом видов информации, содержит важные нормы по обеспечению технологической безопасности информационной инфраструктуры, информационных систем и ресурсов, программного обеспечения, технических средств на всех этапах их жизненного цикла.

Важно добиться повсеместного исполнения Единых требований, а также оперативности внесения в них необходимых изменений с учетом динамики развития технологий без ущерба для кибербезопасности.

В Единых требованиях, а также Правилах проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «Электронного правительства» заложены основные принципы взаимодействия между заинтересованными сторонами при технологических сбоях или признаках компьютерных атак, а также алгоритмы реагирования на возникающие инциденты информационной безопасности. На их основе должны быть созданы руководящие документы, распространяющие свое действие и служащие ориентиром не только в государственном секторе, но и для объектов, находящихся в частной собственности для эффективной локализации и предотвращению реализации угроз в общенациональном масштабе.

Соблюдение установленных требований должно быть обеспечено действенными мерами государственного контроля. Необходимо определить уполномоченный орган по обеспечению информационной безопасности и его компетенцию, обособить сферу государственного контроля в сфере информационной безопасности в самостоятельную область с выведением из-под регулирования Предпринимательского кодекса в отношении государственных объектов и критически важных объектов информационно-коммуникационной инфраструктуры.

Действие предупредительных и профилактических мер должно достигать не только государственных органов, собственников частных информационных систем, интегрируемых с государственными, но и владельцев промышленных предприятий и других категорий объектов экономики, имеющих автоматизированные технологические процессы, нарушение которых может сказаться на других участниках процессов информатизации.

Наряду с выстраиванием работы с объектами критической информационно-коммуникационной инфраструктуры из числа стратегических и особо важных

государственных объектов необходимо также скорректировать подходы к возможности отнесения объектов различных секторов экономики, ориентированных на оказание онлайн-услуг населению к критически важным объектам информационно-коммуникационной инфраструктуры, включая информационные системы электронных средств массовой информации.

Нуждается в существенном углублении понимание относительно элементов критической инфраструктуры национального сегмента интернета и аппаратно-программных комплексов, обеспечивающих функционирование общедоступных электронных информационных ресурсов (интернет-ресурсов). Надежная идентификация пользователей в соединении с мерами обеспечения их конфиденциальности снижает риск серьезных угроз, связанных с доверием и фальсификацией киберпространстве.

Угрозы кибербезопасности постоянно меняются, поэтому меры по обеспечению высокого уровня безопасности должны постоянно совершенствоваться и обновляться. Государственным органам и поставщикам услуг необходимо принять риск-ориентированный подход к безопасности, уделяя первоочередное внимание усилиям, которые обеспечивают наиболее высокий уровень безопасности, уравновешиваемый требованиями по обеспечению удобства для пользователей государственных услуг с использованием ИКТ. Целесообразно использовать тенденцию реализации принципа «одного окна» для централизации обеспечения безопасности электронных государственных услуг.

Особое внимание должно быть обращено на создание надежной инфраструктуры в системах жизнеобеспечения населения, топливно-энергетическом секторе, инфраструктуре связи и других. В настоящее время отсутствуют какие- либо специальные требования в сфере обеспечения безопасности автоматизированных систем управления технологическими процессами и информационной безопасности сетей телекоммуникаций общего пользования.

Компьютерные атаки, запущенные из зарубежного пространства могут и должны быть остановлены на «электронной границе» - виртуальном периметре страны. Необходимо актуализировать руководящие документы Единой сети телекоммуникаций РК с учетом ее растущей уязвимости в результате конвергенции сетей телекоммуникаций и информационно-коммуникационных сетей и необходимости снижения объемов вредоносного трафика и своевременного блокирования операторами связи аномальной сетевой активности.

Как свидетельствует мировой опыт, полную защиту от ошибок в программном обеспечении или от инцидентов информационной безопасности достигнуть невозможно, но путем осознанного ответственного поведения снизить их частоту и вероятность, обеспечить высокую скорость восстановления работоспособности информационных систем и ресурсов, чтобы не допустить разрушительных последствий, жизненно необходимо.

Поэтому реализация Концепции будет способствовать формированию в обществе устойчивых представлений о «кибергигиене» и привитию высокой производственной культуры создания и использования ИКТ на всех этапах жизненного цикла программных продуктов, информационных систем, программного обеспечения, технологических платформ, информационной и сетевой инфраструктуры, поддерживающего оборудования.

Обязательным элементом образовательных программ, включая школьные образовательные программы должны стать тренинги и обучающие практики по защите персональных данных среди несовершеннолетних пользователей интернета и их родителей.

На законодательном уровне для поставщиков должны быть установлены принципы и требования по безопасности в конкурсной документации и технических спецификациях к приобретаемым продуктам и решениям, а также обеспечен непрерывный

надзор за поставщиками на протяжении всего жизненного цикла информационных систем, программных продуктов, с обязательной технической поддержкой в течение не менее трех лет.

Соизмеряясь со своими экономическим возможностями, собственники и владельцы частных информационных систем также должны стремиться к следованию стандартизованным процессам разработки, создания испытаний и эксплуатации информационных систем, предусматривая необходимые меры обеспечению их информационной безопасности. Способные выступить в качестве необходимого ориентира нормативно-технические документы для этого имеются.

Для повышения профессионализации работников, ответственных за состояние информационной безопасности в государственных органах и универсализации принимаемых ими мер, должны быть соответствующим образом адаптированы профессиональные стандарты, а также расширены требования по практическим навыкам и техническим знаниям, улучшающим профили защиты и параметры контроля защищенности информационных ресурсов и систем.

Важнейшая роль отводится высшим учебным заведениям Казахстана, специализирующимся на реализации образовательных и исследовательских задач в сфере информационной безопасности. Для наращивания казахстанского потенциала в сфере научной, научно-технической и образовательной деятельности необходимо сосредоточиться на создании научно-исследовательских и опытно-конструкторских лабораторий, обеспечить тесную связь учебного процесса с производственной деятельностью предприятий электронной промышленности, привести учебные программы в соответствие с отраслевыми профессиональными стандартами и современным уровнем развития технологий.

Приоритет должен отдаваться исследованиям и развитию собственной школы прикладной математики, криптологии, разработок по программируемым логическим интегральным схемам (ПЛИС) и созданию защищенных систем передачи, обработки и хранения информации.

Обеспечение кибербезопасности в конечном итоге зависит от уровня развития отечественной IT-отрасли и электронной промышленности.

Должны быть приняты действенные меры по их поддержке, в том числе, через стимулирование государственно-частного партнерства, создание Реестров, дающих преимущества при государственных закупках для телекоммуникационного оборудования, программного обеспечения, имеющих казахстанское происхождение через следующие механизмы:

-требование по локализации производства;

-наличие у поставщика исключительных прав на конструкторскую документацию и программное обеспечение;

-необходимость выступать налоговым резидентом Республики Казахстан;

-аккредитация в качестве субъекта научно-технической деятельности и наличие научно-производственной базы, необходимой для организации производства, гарантийного и послегарантийного обслуживания;

-обязательная сертификация на соответствие высоким уровням доверия по требованиям информационной безопасности.

Совместно с представителями отрасли должен проводиться постоянный анализ закупаемого в государственных органах и квазигосударственном секторе программного обеспечения и телекоммуникационного оборудования с целью определения перспектив их замещения на отечественные или доверенные иностранные образцы, соответствующие требованиям высоких уровней безопасности.

Необходимо преодолеть проблему не высокой востребованности отечественных разработок в сфере программного обеспечения, одной из причин которой является отсутствие обязательности их приоритетного использования в государственных органах.

При уполномоченном органе по информационной безопасности должен быть образован Совет по кибербезопасности, главной задачей которого должно стать поддержание в актуальном состоянии руководящих документов, нормативно-правовой базы, содействие приоритетному использованию продукции отечественной электронной и софтверной промышленности, проведение публичной оценки общественно-значимых IT-проектов.

Установление постоянного прямого диалога с ведущими компаниями и предприятиями страны, образовательными и научными исследовательскими организациями, объединит усилия и придаст системность и комплексность решению задач по обеспечению интегрированной кибербезопасности в наиболее значимых областях использования ИКТ.

Наряду с мониторингом, анализом защищённости государственных информационных систем и ресурсов оказание содействия по безопасному использованию ИКТ в интересах граждан, популяризация мер «кибергигиены» должны стать дополнительным приоритетом государственной службы реагирования на компьютерные инциденты KZ-CERT.

Одновременно с этим должны создаваться и взаимодействовать между собой отраслевые структуры реагирования на инциденты информационной безопасности для взаимного оповещения о возникающих угрозах. Их участники должны рассматривать соображения безопасности в качестве важнейшего элемента планирования, проектирования, разработки и эксплуатации отраслевых информационных систем и сетей и стать опорными точками, определяющими устойчивость всей информационно-коммуникационной инфраструктуры страны.

Специализация и создание новых служб реагирования на инциденты информационной безопасности позволит расширить круг вовлеченных организаций и экспертов, что будет способствовать росту профессионализации в сфере кибербезопасности с учетом отраслевой специфики и содействовать расширению рынка услуг аудита информационной безопасности для малого бизнеса, который часто не имеет возможности содержать квалифицированных специалистов в области IT и информационной безопасности.

В не меньшей степени имеет значение обеспечение условий для эффективной борьбы с киберпреступностью путем усиления личного состава специализированных подразделений, расширения арсенала технических средств фиксации и криминалистических исследований «цифровых» доказательств.

Обеспечение безопасности информационного пространства является задачей всех субъектов, деятельность которых связана с использованием ИКТ, поэтому осуществляемое в сотрудничестве обеспечение информационной безопасности способствует защите интересов всех заинтересованных сторон.

Для объединения усилий необходимо при участии научного сообщества, частного сектора создать координационный Национальный оперативный центр информационной безопасности, который в онлайн режиме будет обрабатывать информацию о состоянии защищенности наиболее важных компонентов национальной информационной инфраструктуры и обеспечить обмен информацией, что позволит:

-Совету безопасности Республики Казахстан оценивать ситуацию и вырабатывать решения в условиях чрезвычайных ситуаций техногенного и социального характера;

-Министерству обороны при обеспечении готовности к отражению агрессии в отношении Республики Казахстан своевременно классифицировать и квалифицировать компьютерные атаки как акт вооруженного нападения;

-Комитету национальной безопасности и другим специальным государственным органам организовать комплексное противодействие иностранным техническим разведкам при осуществлении деятельности по контрразведывательной защите

государственных информационных ресурсов и обеспечению правительственной связи Республики Казахстан;

-Министерству внутренних дел обеспечить высокую раскрываемость в настоящее время, в значительной степени, латентных преступлений, совершаемых с использованием информационных технологий;

-Государственным органам поддерживать высокий уровень отказоустойчивости и предупреждения возникновения технологических сбоев, а также своевременного устранения их последствий в инфраструктуре,

входящей в состав «электронного правительства» и других государственных информационных систем и ресурсов;

- Собственникам критически важных объектов информационно-коммуникационной инфраструктуры (КВОИКИ) получать своевременную информацию о возможном влиянии на безопасность принадлежащих им автоматизированных систем управления технологическими процессами.

- Национальному банку получать дополнительную информацию об актуальных угрозах финансово-банковской системе.

В международном сообществе необходимо укрепить позицию Казахстана как сильного партнера, нацеленного на открытость и поддержание мер доверия в сфере международной информационной безопасности на основе принципов суверенного равенства, неприменения средств ИКТ в военных целях в качестве кибероружия. Важными диалоговыми площадками должны стать международные и региональные организации (ШОС, ЕАЭС, ОДКБ, СНГ и др.) с дальнейшим продвижением таких инициатив в сторону их всеобщей универсализации.

Выполнение данной Концепции послужит дальнейшей модернизации казахстанского общества и станет вкладом Казахстана в реализацию Глобальной программы кибербезопасности ООН.

обеспечения

информационной безопасности» от 20 декабря 2016 года № 832 в части установления требовании к автоматизированны м системам управления технологическими процессами