Киберқауіпсіздік тұжырымдамасын ("Қазақстанның киберқалқаны") бекіту туралы

Қазақстан Республикасы Үкіметінің 2017 жылғы 30 маусымдағы № 407 қаулысы.

      "Мемлекет басшысының 2017 жылғы 31 қаңтардағы "Қазақстанның үшінші жаңғыруы: жаһандық бәсекеге қабілеттілік" атты Қазақстан халқына Жолдауын іске асыру жөніндегі шаралар туралы" Қазақстан Республикасы Президентінің 2017 жылғы 15 ақпандағы № 422 Жарлығын іске асыру мақсатында Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Киберқауіпсіздік тұжырымдамасы ("Қазақстанның киберқалқаны") (бұдан әрі – Тұжырымдама) бекітілсін.

      2. Қазақстан Республикасының орталық мемлекеттік органдары:

      1) Тұжырымдаманы іске асыру жөніндегі қажетті шараларды қабылдасын;

      2) жарты жылда бір рет, есепті жартыжылдықтан кейінгі айдың 10-ы күнінен кешіктірмей, Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігіне Тұжырымдаманың іске асырылу барысы туралы ақпарат беріп тұрсын.

      Ескерту. 2-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 17.03.2023 № 236 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      3. Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі:

      1) үш ай мерзімде Тұжырымдаманы іске асыру жөніндегі іс-шаралар жоспарын әзірлесін және заңнамада белгіленген тәртіппен Қазақстан Республикасы Үкіметінің қарауына енгізсін;

      2) жылына екі рет, 25 шілдеге және 25 қаңтарға қарай Қазақстан Республикасы Үкіметінің Аппаратына Тұжырымдаманың іске асырылу барысы туралы жиынтық ақпарат беріп тұрсын.

      Ескерту. 3-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 17.03.2023 № 236 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігіне жүктелсін.

      Ескерту. 4-тармақ жаңа редакцияда - ҚР Үкіметінің 17.03.2023 № 236 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      5. Осы қаулы қол қойылған күнінен бастап қолданысқа енгізіледі.

      Қазақстан Республикасының
Премьер-Министрі
Б. Сағынтаев

  Қазақстан Республикасы
Үкіметінің
2017 жылғы 30 маусымдағы
№ 407 қаулысымен
бекітілген

Киберқауіпсіздік ТҰЖЫРЫМДАМАСЫ

("Қазақстанның киберқалқаны")

      Мазмұны

      1. Кіріспе

      2. Ағымдағы ахуалды талдау

      3. Халықаралық тәжірибе

      4. Мақсаты, міндеттері, күтілетін нәтижелер және іске асыру кезеңі

      5. Негізгі қағидаттар мен тәсілдер

      6. Тұжырымдаманы іске асыру көзделетін нормативтік құқықтық актілердің тізбесі

1. Кіріспе

      Киберқауіпсіздік тұжырымдамасы ("Қазақстанның киберқалқаны") (бұдан әрі – Тұжырымдама) Қазақстанның әлемнің ең дамыған 30 мемлекетінің қатарына енуі бойынша "Қазақстан-2050" Стратегиясының тәсілдерін ескере отырып, Қазақстан Республикасы Президентінің "Қазақстанның үшінші жаңғыруы: жаһандық бәсекеге қабілеттілік" атты Жолдауына сәйкес әзірленді.

      Тұжырымдама мемлекеттік органдарды ақпараттандыру, мемлекеттік көрсетілетін қызметтерді автоматтандыру, "цифрлы" экономиканы дамыту және өнеркәсіптегі өндірістік процестерді технологиялық жаңғырту перспективалары, ақпараттық-коммуникациялық қызметтер көрсету аясын кеңейту саласындағы ағымдағы ахуалды бағалауға негізделген.

      Тұжырымдама электрондық ақпараттық ресурстарды, ақпараттық жүйелер мен телекоммуникация желілерін қорғау, ақпараттық-коммуникациялық технологияларды (бұдан әрі – АКТ) қауіпсіз пайдалануды қамтамасыз ету саласындағы мемлекеттік саясатты іске асырудың негізгі бағыттарын белгілейді.

      Тұжырымдама мемлекеттік органдардың, жеке және заңды тұлғалардың ақпараттық қауіпсіздікті қамтамасыз ету мониторингіне, сондай-ақ ақпараттық қауіпсіздік инциденттерін, оның ішінде әлеуметтік, табиғи және техногендік сипаттағы төтенше жағдайлар, төтенше немесе соғыс жағдайларын енгізу жағдайларында алдын алу және жедел ден қою тетіктерін жасау тәсілдерінің бірлігін қамтамасыз етуге арналған.

      Тұжырымдаманы әзірлеу кезінде ақпараттық-коммуникациялық технологияларды әзірлеу және пайдалану саласындағы көшбастаушы мемлекеттердің, сол сияқты әлеуметтік-экономикалық даму мақсаттарына жету үшін оларды қолдану саласын кеңейтуге ұмтылған елдердің ұлттық ақпараттық-коммуникациялық инфрақұрылымын қорғау тәсілдерін қалыптастыру саласындағы халықаралық тәжірибе зерделенді.

      Осы Тұжырымдаманың орындалуы қазақстандық қоғамды одан әрі жаңғыртуға қызмет етеді және Қазақстанның БҰҰ-ның Киберқауіпсіздіктің жаһандық бағдарламасын іске асыруға қосқан үлесі болады.

      Терминдер мен анықтамалар

      Осы Тұжырымдаманың мақсаттары үшін киберқауіпсіздік бұл электрондық нысандағы ақпараттың және оның өңдеу, сақтау, беру (электрондық ақпараттық ресурстарды, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымды) ортасының сыртқы және ішкі қауіп-қатерлерден қорғалу жағдайы, яғни ақпараттандыру саласындағы ақпараттық қауіпсіздік деп түсіндіріледі.

      Ақпаратты немесе электрондық ақпараттық ресурстарды және ақпараттық жүйелерді қорғау – ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған физикалық, техникалық, бағдарламалық, криптографиялық және әкімшілік шаралар кешені.

      Ақпараттық қауіпсіздіктің классикалық үлгісі ақпараттың қауіпсіздігі үшін маңызды үш белгіні қамтамасыз етуге негізделеді: құпиялық, тұтастық және қолжетімділік.

      Ақпараттың құпиялығы онымен өзінің иесі белгілеген қатаң шектелген адамдар тобы ғана таныса алады дегенді білдіреді.

      Егер ақпаратқа қолжетімділікті уәкілеттілігі жоқ адам алатын болса, рұқсат етілмеген қолжетімділікке немесе құпиялықтың бұзылуына жол беріледі.

      Заң немесе иесі қорғайтын ақпараттың кейбір түрлері үшін құпиялық ең маңызды белгілерінің (қызметтік ақпарат, заңмен қорғалатын құпиялар түрлері, қолжетімділігі шектеулі жеке деректер, мысалы, банктің клиенттері, кредиторлары туралы мәліметтер, салықтық деректер, медицина мекемелерінің пациенттердің денсаулық жағдайы туралы мәліметтері және т.б.) бірі болып табылады.

      Ақпараттың тұтастығы – ақпараттың (деректердің) бұрмаланбаған түрде сақталу қабілеті. Ақпараттың заңсыз және иесі көздемеген өзгеруі (оператор қатесінің немесе уәкілеттігі жоқ адамның қасақана іс-әрекетінің нәтижесінде) тұтастықтың бұзылуына алып келеді.

      Әсіресе аса маңызды ақпараттық-коммуникациялық инфрақұрылым объектілерінің жұмыс істеуімен байланысты деректердің тұтастығы ерекше маңызды (мысалы, әуе қозғалысын, электрмен және энергиямен жабдықтауды басқарудың автоматтандырылған жүйелері және т.б.).

      Ақпараттың қолжетімділігі ақпараттық жүйенің тиісті өкілеттіктері бар субъектілерге ақпаратқа дер кезінде бөгетсіз рұқсат беру қабілетімен анықталады. Ақпаратты жою немесе бұғаттау (қателіктің немесе қасақана іс-әрекеттің нәтижесінде) қолжетімділіктің жойылуына алып келеді.

      Қолжетімділік – ақпараттық-коммуникациялық қызметтерді беру (теміржол және авиациялық билеттерді сатудың, банктік қызметтердің ақпараттық жүйелері, интернетте өнімдерді интернет-ресурстармен және электрондық БАҚ-пен тарату) жолымен клиенттерге қызмет көрсетуге бағытталған ақпараттық жүйелердің жұмыс істеуі үшін маңызды белгі. Уәкілетті пайдаланушы белгілі бір қызметтерге (көбінесе желілік) рұқсат ала алмайтын жағдайды қызмет көрсетуден бас тарту деп атайды.

      Коммуникациялық (желілік) технологиялардың дамуына байланысты ақпараттық жүйені немесе басқарушы электрондық ақпараттық ресурсты алыстан пайдаланушы адамның жеке басына байланысты ақпараттық қауіпсіздіктің қосымша тағы екі ерекшелігін бөліп көрсетеді: аутенттілік және дәлелдегіштік.

      Аутенттілігі – ақпараттық-коммуникациялық қызметтер көрсету саласында ақпаратқа немесе хабарға қатысты заңдық тұрғыдан маңызды іс-әрекеттің авторын дұрыс анықтау мүмкіндігі, мысалы, электрондық коммерцияда электрондық-цифрлық қолтаңба немесе түпнұсқаландырудың өзге тәсілі пайдаланылған кезде.

      Дәлелдегіштік (бастартпаушылық) – авторлықтан бас тартқан кезде жасалған іс-әрекеттерді тіркеу жолымен ақпараттық жүйедегі немесе ресурстағы ақпаратқа қатысты іс-әрекет жасаған автор басқа ешкім емес, осы пайдаланушы болып табылатындығын дәлелдеу мүмкіндігі.

      Түпнұсқаландыру (түпнұсқаға сәйкестігін анықтау) – қолжетімділік субъектісі көрсеткен сәйкестендіргіштің оған тиесілігін тексеру және оның түпнұсқаға сәйкестігін растау.

      Сәйкестендіру – қолжетімділік субъектілеріне ақпараттық жүйеге рұқсат беру кезінде субъектінің сәйкестігін анықтауды және өкілеттіктерін белгілеуді қамтамасыз ететін жеке сәйкестендіргіштің ақпараттық жүйесіне немесе электрондық ресурсына қолжетімділік беру, жұмыс сеансы процесіндегі өкілеттіктерді бақылау және іс-әрекеттерді тіркеу.

      Сәйкестендіру мен түпнұсқаландыру қазіргі заманғы бағдарламалық-техникалық құралдар қауіпсіздігінің негізі, өйткені кез келген АКТ-қызметтер мен сервистер, негізінен, пайдаланушы субъектілерге қызмет көрсетуге есептелген.

      Ақпараттық қауіпсіздік қауіп-қатері – әбден болуы мүмкін оқиға, процесс немесе құбылыс, ол ақпаратқа немесе ақпараттық жүйенің немесе ресурстың компоненттеріне әсер ету арқылы иеленушілер мен пайдаланушылардың мүдделеріне тікелей немесе жанама зиян келтіруге әкеліп соқтыруы мүмкін.

      Ақпараттық қауіпсіздіктің барынша көп таралған қауіп-қатерлері – бұл жабдықтың (кабельдік жүйенің, дискілік жүйелердің, серверлердің, жұмыс станцияларының және тағы басқалардың) іркілісі, архивтік деректердің дұрыс сақталмауы, деректерге қолжетімділік құқықтарының бұзылуы), пайдаланушылар мен қызмет көрсетуші жұмыскерлер құрамының жөнсіз жұмысы, ақпараттың жоғалуы (рұқсат етілмеген қолжетімділіктен немесе зиян келтіретін бағдарламалармен – компьютерлік вирустармен бүлінуден).

      Компьютерлік атака – ақпаратқа, электрондық ресурсқа, ақпараттық жүйеге рұқсатсыз әсер ету немесе оларға бағдарламалық немесе бағдарламалық-ақпараттық құралдарды (немесе желілік өзара іс-әрекеттердің хаттамаларын) қолдана отырып қолжетімділік алу арқылы қауіп-қатер төндіруді іске асырудың мақсатты әрекеті.

      Барлық өзге терминдер Қазақстан Республикасының Конституциясында, Қазақстан Республикасының Қылмыстық кодексінде, "Әкімшілік құқық бұзушылық туралы" Қазақстан Республикасының кодексінде, "Қазақстан Республикасының ұлттық қауіпсіздігі туралы", "Мемлекеттік құпиялар туралы", "Терроризмге қарсы іс-қимыл туралы", "Электрондық құжат және электрондық цифрлық қолтаңба туралы", "Ақпараттандыру туралы", "Техникалық реттеу туралы", "Рұқсаттар мен хабарламалар туралы", "Бұқаралық ақпарат құралдары туралы", "Байланыс туралы", "Жеке деректер және оларды қорғау туралы", "Ақпаратқа қолжетімділік туралы" Қазақстан Республикасының заңдарында және ұлттық техникалық стандарттарда пайдаланылатын мағыналарда келтірілген.

2. Ағымдағы ахуалды талдау

      Cоңғы онжылдықтарға тән ақпараттық-коммуникациялық технологиялар жетістіктерін енгізудің жалпы әлемдік үрдісі "ақпараттық қоғам" үшін қоғамдық және өндірістік қарым-қатынастарды пайдаланудың және нығайтудың мәдениетін қалыптастыру қарқынынан елеулі басымдыққа ие болып, киберқауіпсіздікті қамтамасыз ету бірінші кезектегі мәселеге айналуына байланысты бұл Қазақстанда да қолдауға ие болып отыр.

      Дегенмен "Ұлттық ақпараттық инфрақұрылымды, ақпараттандыру процестерін қалыптастыру мен дамыту және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі жұмыстарды үйлестіру туралы" Қазақстан Республикасы Үкіметінің 1998 жылғы 31 желтоқсандағы № 1384 қаулысы қабылданған 1998 жылдан бері "Ақпараттандыру туралы" Қазақстан Республикасы заңдарының 3 жаңа редакциясы (2003, 2007, 2015 жылдары) және оларға ақпараттарды (деректерді) берудің электрондық форматтары мәселелері бойынша, оның ішінде ақпараттық-коммуникациялық желілер, "электрондық үкімет" мәселелері бойынша тиісті өзгерістер енгізу туралы Қазақстан Республикасының бірнеше мамандандырылған заңдары қабылданды.

      Өткен кезеңде электрондық ақпараттық ресурстар және ақпараттық жүйелер мүліктік активтердің басқа түрлерімен бірге шаруашылық айналымға енгізілді, оларды нарықтық пайдалану саласы кеңейді.

      Мемлекеттік көрсетілетін қызметтерді автоматтандыру саласы, электрондық коммерция мен электрондық төлемдер нарығы ақпараттық-коммуникациялық технологияларды қолдану кезінде жеке адамның, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету, сондай-ақ ақпараттандыру және байланыс объектілерінің сенімділігі мен басқарылуын қамтамасыз ететін бірыңғай стандарттар негізінде қызметті жүзеге асыру қағидаттарында дамуда.

      Ақпараттық қауіпсіздік мәселелері қалыптасқан кезеңнен бастап бар ақпараттың сипатын ескере отырып, көпшілікке қолжетімді және құпия электрондық ақпараттық ресурстар мен жүйелердің құқықтық режимдері сараланды, меншік иелерінің, оларды қорғау жөніндегі иеленушілер мен пайдаланушылардың құқықтары мен міндеттері белгіленді.

      Мемлекеттік органдар және ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті қамтамасыз ету бойынша басқа да субъектілердің қызметі олардың салалық құзыретіне, сондай-ақ АКТ пайдаланумен байланысты нысаналы салалардағы (байланысты және ақпараттық технологияларды реттеу, жеке деректерді қорғау, мемлекеттік құпияларды қорғау, шетелдік техникалық барлау қызметіне қарсы іс-қимыл, байланыс желілеріндегі жедел-іздестіру қызметі, АКТ пайдалану арқылы жасалатын қылмыстарды тергеу және басқалары) мақсаттары мен міндеттеріне сәйкес жүзеге асырылады.

      Тұтастай алғанда, Қазақстан Республикасында ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті (киберқауіпсіздікті) қамтамасыз ету бойынша шаралар жүйесінің ұйымдастыру-құқықтық және техникалық негіздері "Ұлттық қауіпсіздік туралы" Қазақстан Республикасының Заңына сәйкес ақпараттық қауіпсіздіктің және ақпараттық кеңістік пен байланыс инфрақұрылымының қауіпсіздігін қамтамасыз етудің құрамдас бөліктері ретінде заңнамалық түрде бекітілді.

      Соңғы жылдары ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті қамтамасыз етудің түрлі өзара байланысты аспектілері Қазақстан Республикасының Қылмыстық кодексінде, "Әкімшілік құқық бұзушылық туралы" Қазақстан Республикасының Кодексінде, "Мемлекеттік құпиялар туралы", "Жеке деректер және оларды қорғау туралы", "Электрондық құжат және электрондық цифрлық қолтаңба туралы", "Байланыс туралы" Қазақстан Республикасының заңдарында және 2016 жылғы 1 қаңтардан бастап күшіне енген "Ақпараттандыру туралы" Қазақстан Республикасы Заңының жаңа редакциясын іске асыру үшін әзірленген заңға тәуелді бірқатар актілерде көрініс тапқан.

      Соңғы кезде қабылданған заңға тәуелді бірқатар заңнамалық актілердің құқық қолдану тәжірибесі әлі өріс алған жоқ. Атап айтқанда, ұлттық және үйлестірілген стандарттардың құқықтық және техникалық нормаларын кодификациялауды білдіретін "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" (бұдан әрі – Бірыңғай талаптар) Қазақстан Республикасы Үкіметтің 2016 жылғы 20 желтоқсандағы қаулысы. Құжат заңмен қорғалатын ақпарат түрлерін өңдеу кезінде ақпараттық-коммуникациялық технологияларды пайдалану бойынша рәсімдер мен қағидаларды егжей-тегжейлі сипаттайды, ақпараттық инфрақұрылымның, ақпараттық жүйелер мен ресурстардың, бағдарламалық жасақтаманың, техникалық құралдардың әрекет ету циклінің барлық кезеңдеріндегі технологиялық қауіпсіздігін қамтамасыз ету бойынша маңызды нормалардан тұрады.

      Мемлекеттік, сонымен қатар мемлекеттік жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді қамтитын "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингі жүйесінің жұмыс істеуі заңнамалық деңгейде реттелген.

      Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 26 қаңтардағы № 66 бұйрығымен бекітілген Ақпараттық қауіпсіздікті, "электрондық үкіметтің" ақпараттандыру объектілерін қорғау және оның қауіпсіз жұмыс істеуін қамтамасыз ету мониторингін жүргізу қағидаларында технологиялық іркілістер немесе компьютерлік атакалар белгілері, сондай-ақ туындаған оқиғалар мен ақпараттық қауіпсіздік инциденттеріне ден қою алгоритмдері кезінде мүдделі тараптар арасындағы өзара іс-қимылдың негізгі қағидаттары көрсетілген.

      "Электрондық үкіметтің" қауіпсіздік мониторингі орталығы күн сайын жойылмаған осалдықтарды анықтайды, шараларды қабылдау үшін бұл туралы оның компоненттері болып табылатын ақпараттық жүйелердің иелеріне хабарламалар жібереді. Анықталған осалдықтардың және оларға қатысты қабылданған шаралардың оң серпіні бар. Мысалы, 2014 жылы 1241 жойылмаған осалдық анықталды, 2015-те – 469, 2016-да – 355.

      Сондай-ақ Қазақстан Республикасы Үкіметінің 2016 жылғы 8 қыркүйектегі № 529 қаулысымен ерекше маңызды мемлекеттік және стратегиялық объектілер, сондай-ақ стратегиялық маңызы бар экономика саласының объектілері қатарынан Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызу қағидалары мен өлшемшарттары бекітілді.

      Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері тізбесіне кірген осындай объектілерге Бірыңғай талаптар қолданылады, сондай-ақ олар заңнамада көзделген ақпараттық қауіпсіздік инциденттері туралы хабарлау міндетін қоса алғанда, олардың ақпараттық қауіпсіздігі, қорғалуы және қауіпсіз жұмыс істеуі мониторингін қамтамасыз ету бойынша бірлескен шараларға қатысуы қажет.

      Ақпараттық жүйелерді өнеркәсіптік пайдалануға кіргізу рәсімі жетілдірілуде. Осыған байланысты ақпараттық жүйелерге олардың белгілі бір сынаққа жататындығына қарай қауіпсіздік шаралары заңнамалық түрде сараланды, ақпараттық жүйенің тәжірибелік пайдалану режимінде болу мерзімі шектелді.

      Ақпараттық қауіпсіздік талаптарына сәйкестік тұрғысынан мемлекеттік және мемлекеттік жүйемен интеграцияланатын мемлекеттік емес ақпараттық жүйелерде 500-ден астам аттестациялық зерттеулер жүргізілді, олардың нәтижелері бойынша өндірістік пайдалануға енгізу үшін негіз болып табылатын 199 аттестат берілді. Ақпараттық жүйелердің қалған бөлігі "Ақпараттандыру туралы" Қазақстан Республикасының Заңына сәйкес 2018 жылдың соңына дейін аттестаттаудан өтуге міндетті.

      2016 жылғы 1 қаңтардан бастап мемлекеттік органдардың ақпараттық жүйелері, мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелер тәжірибелік пайдалану кезеңінде ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтан өтеді. Сынақ кезінде шығыс кодтар, қауіпсіздік функцияларының теңшеуі тексеріледі, желілік және серверлік жабдықтар зерттеледі және жүктеме тестілеу жүзеге асырылады.

      Сынақты өткізу нәтижелері ақпараттық жүйелердің қорғалуының және істен шығудан беріктігінің артуы, ақпараттық жүйелердің бағдарламалық жасақтаманың қауіпсіздігі, ақпараттық жүйелердің ақпараттық қауіпсіздігінің бұзылу факторлары ықпалының төмендеуі, ақпараттық жүйелердің қауіпсіздігін бақылау және мониторинг тетіктерін енгізу арқылы көрінеді.

      Техникалық реттеу жүйесі бағдарламалық жасақтама мен телекоммуникациялық жабдықтың, соның ішінде олардың мемлекеттік секторда пайдаланылуы кезінде міндетті түрде сертификатталу жағдайларын айқындаумен сәйкес келуін растауды көздейді. Осы мақсаттарда жыл сайын ақпараттық қауіпсіздік, ақпаратты қорғау, ақпараттық технологиялардың қауіпсіздігі саласындағы ұлттық және үйлесімді техникалық стандарттар жиынтығы өзектілендіріледі. Қазіргі уақытта 68 техникалық стандарт бар.

      Мемлекеттік органдардың интернетке қолжетімділіктің бірыңғай шлюзі арқылы интернетке қосылуын орталықтандырудың арқасында рұқсатсыз қолжетімділік қаупі және мемлекеттік органдардың электрондық ақпараттық ресурстарына зиян келтіретін ықпалдар айтарлықтай төмендеді. Күн сайын әртүрлі деңгейдегі 180 миллионнан астам атака тіркеліп, оларға тойтарыс беріледі.

      Есептеу техникасының құралдарын пайдалана отырып өңделетін мемлекеттік құпиялардың құқықтық, ұйымдық, техникалық және криптографиялық шараларының жүйесі құрылып, жетілдірілуде.

      Мемлекеттің қауіпсіздігі үшін неғұрлым сезімтал электрондық нысандағы ақпарат интернеттен бөлектенген және ақпаратты қорғаудың криптографиялық құралдарын пайдаланатын арнайы мақсаттағы телекоммуникация желілері арқылы ғана жіберіледі.

      Жалпы пайдаланатын байланыс және телекоммуникациялар желілері инфрақұрылымының қауіпсіздігін қамтамасыз ету тәсілдері шекаралық жабдықта "электрондық шекара" тұжырымдамасын іске асыратын магистральдық байланыс операторларының мүмкіндіктері арқылы телекоммуникациялар желілерін орталықтан басқару жүйесінің айналасына тізіледі.

      Интернеттің ұлттық сегменті заңнамаға сәйкес Қазақстан Республикасының аумағында орналастырылатын .КZ және .ҚАЗ домендеріндегі 120 мыңнан астам интернет-ресурсты құрайды. Ақпараттық ресурстар мен жүйелердің иелері мен пайдаланушыларына АТК-ны қауіпсіз пайдалану мәселелері бойынша жәрдемдеу мақсатында 2010 жылдан бастап КZ-СЕRТ Компьютерлік инциденттерге ықпал ету ұлттық қызметі жұмыс істейді. Қызмет бірқатар халықаралық ұйымдардың қатысушысы болып табылады, соның ішінде FIRST (Forum of Incident Responseand Security Teams), TI (Trusted Introducer for Security and Incident Response Teams), OIC-CERT (Компьютерлік инцидиенттерге ден қою қызметінің исламдық өзара іс-қимыл ұйымы).

      Қызмет шет елдердің бейіндік құрылымдарымен өзара түсіністік және ынтымақтастық туралы 20 меморандум жасап, ақпараттық қауіпсіздік инциденттерінің 66000-нан астамын тіркеді және өңдеді.

      Қазақстандық нарықта ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан қорғалуын бағалау бойынша (енуді тестілеу арқылы) аспаптық аудитпен айналысатын және ақпараттық қауіпсіздік инциденттерінің мән-жайын, себептері мен жағдайларын зерттеуге, сондай-ақ зиянды бағдарламалық жасақтаманы техникалық зерделеуге мамандандырылған алғашқы отандық компаниялар пайда болды. Вирусқа қарсы алғашқы отандық құралдар әзірленді.

      Бірнеше ұлттық компанияда және жеке құрылымдарда техникалық оқиғалар мен технологиялық процестердің мониторингісін жүргізетін бөлімшелер бар, олар штаттан тыс жағдайларға шұғыл ден қою үшін тәулік бойы кезекшілік жүргізеді.

      Азаматтардың дербес деректерін электрондық түрде жинау, өңдеу мақсаттары, сондай-ақ оларды қорғау тәртібі мен шаралары заңнамалық тұрғыдан айқындалды. Заңнамада оларды тек азаматтардың келісімімен ғана жинау, сондай-ақ операторлардың олардың талабы бойынша дербес деректерді жою рәсімдері, сондай-ақ дербес деректерді ел аумағында қауіпсіз сақтау және трансшекаралық беру жағдайлары регламенттеледі.

      Банктік ақпараттық жүйелердің қауіпсіздігі бойынша талаптар ақпараттық жүйелердің қауіпсіздігін қамтамасыз ету жөніндегі салалық және халықаралық талаптарды ескере отырып, Қазақстан Республикасы Ұлттық Банкінің нормативтік-құқықтық актілерімен қамтамасыз етіледі.

      2014 жылдан бері қолданыстағы Қазақстан Республикасы Қылмыстық кодексінің жаңа редакциясында ақпарат және байланыс саласында жасалатын қылмыстарға арналған жеке тарау көзделген. Саралау мән-жайларын ескере отырып, онда электрондық ақпараттық ресурстар мен жүйелерге немесе телекоммуникациялар желілеріне қарсы қылмыстардың 38 құрамы қамтылған.

      "Әкімшілік құқық бұзушылық туралы" Қазақстан Республикасының Кодексінде жасалғаны үшін әкімшілік жауапкершілік шаралары көзделген, соның ішінде электрондық ақпараттық ресурстарды қорғау құралдарын пайдалану жөніндегі талаптарды бұзу, Бірыңғай талаптарды орындамау, дербес деректерден тұратын ақпараттық жүйелердің меншік иесінің немесе иесінің оларды қорғау бойынша шараларды жүзеге асырмауы не тиісті жүзеге асырмауы түріндегі ақпараттық қауіпсіздікті қамтамасыз ету бойынша міндеттерді орындамайтын лауазымды адамдар үшін бірқатар әкімшілік құқық бұзушылықтар құрамдары қамтылған.

      Бүгінде "Ақпараттық қауіпсіздік жүйелері" мамандығының оқу жоспарларына қолданбалы пәндерді оқудан басқа, қауіпсіздіктің интеграцияланған жүйелерінде пайдаланылатын микропроцессорлық жүйелер мен құрылғыларды қолданбалы бағдарламалау, радиоэлектрондық құрылғыларды автоматтандырылған түрде жобалау мен әзірлеу бойынша білімдер мен қабілеттерді қалыптастыратын пәндер қосылған.

      Елдің жетекші техникалық жоғары оқу орындарында мынадай пәндер оқытылады: "Қолданбалы инженерлік бағдарламалар", "Микропроцессорлар мен микропроцессорлық жүйелер", "Бағдарламалау және құрамдас жүйелерді іске асыру".

      Талдамалық зерттеулер, ғылыми-зерттеу және тәжірибелік-конструкторлық жұмыстар жүргізу, бейіндік конференциялар мен семинарларды ұйымдастыру тәжірибесі қалыптасуда, бұл қоғамның, ғылыми ортаның және ақпараттандыру субъектілерінің ақпараттық қауіпсіздік саласындағы түрлі аспектілерге деген қызығушылығының артқанын көрсетеді.

      Халықаралық электр байланыс одағы өткізген 195 елдің құқықтық, техникалық, ұйымдастырушылық даярлығы мен әлеуетін бағалайтын "Киберқауіпсіздіктің жаһандық индексі" зерттеуі (бұдан әрі – Киберқауіпсіздіктің жаһандық индексі) Қазақстанның 29 ел ішінде 0,176 индексімен 23 топтық орнын белгіледі.

      Негізгі проблемалар

      1. Қазақстан Республикасында 2010 жылдан бастап 2016 жылға дейінгі кезеңде интернетті пайдаланушылар тығыздығы 36,1%-дан 75%-ға дейін өсті, ал мобильді интернетті пайдаланушылардың саны 3 миллион 694 мыңнан үш еселеніп 10 миллион 567 мыңға жетті. Интернет пайдаланушылар санының мұндай экспоненциалдық ұлғаюы маңыздылықты арттырып, істен шыққан немесе техникалық құралдарға зиян келтірілген жағдайларда олардың салдарын неғұрлым елеулі етеді.

      Дербес компьютерлер мен ұялы құрылғылар үшін зиян келтіретін бағдарламалардың таратылуы оларды пайдаланушылардың санымен қатар өсуде. Бұл ретте пайдаланушылардың басым көпшілігі өздерінің дербес компьютерлерін, смартфондарын, планшеттерін қорғау үшін мамандандырылған бағдарламалық жасақтамаларды пайдаланбайды.

      Аталған факторды "хакерлер" пайдалануда, бұл абоненттік құрылғыларды зиян келтіретін бағдарламалық жасақтамамен зақымдауға бағытталған атакалар санының күн сайын ұлғаюына әкеп соқтырады.

      Интернетке қосылған абоненттік құрылғылар саны ұлғайған сайын және пайдаланушылардың көбі өзіне және өздеріне тиесілі құрылғыларға қатысты "цифрлық гигиена" шараларын елемеуді жалғастырған сайын, "Интернет заттары" тұжырымдамасы олардың қауіпсіз пайдалану проблемасын күшейте түседі.

      Егер дербес компьютерлер мен ноутбуктер сияқты электрондық құрылғылардың вирусқа қарсы бағдарламалық жасақтаманы орнату және жаңарту бойынша мүмкіндігі болса, ал "Интернет заттарын" пайдаланушылар олардың жұмыс істеуін қалай қауіпсіз ету қажеттігін жиі біле бермейді.

      Мұндай құрылғылар, әлі де болса, технологиялық тәуекелдер ескерілмей жасалады, бұл оларды ақпараттық желілерге қолжетімділіктен айырылуға бағытталған және адал пайдаланушыларға ақпараттық-коммуникациялық қызметтерді көрсету кезінде қызмет көрсетуден бас тартылуына әкеп соқтыратын әртүрлі желілік атакалар жүзеге асыру үшін пайдаланылатын зиян келтіргіш желілердің ("ботнеттердің") ықтимал элементтері етеді.

      Интернет-ресурстар мен әлеуметтік желілерді пайдалану кезінде қауіпсіздік жағын елемеу жеке өмірдің қол сұғылмаушылығы үшін жоғары тәуекелге, көпшілікке қолжетімді дербес деректерді рұқсатсыз пайдалануға немесе модификациялауға, сондай-ақ қолжетімділігі шектеулі дербес деректердің жария болуына немесе олардың қылмыстық қоғамдастықтар немесе олар басқа мемлекеттердің аумағында сақталған кезде барлау құрылымдары үшін эксаумақтық қолжетімділігіне әкеледі.

      Ақпараттық қауіпсіздік мәселелері бойынша құқықтық сауаттылықтың төмен болуы және тұрғындардың, АКТ саласы қызметкерлерінің және ұйымдар басшыларының арасында оны арттыруға қалыптасқан қажеттілігінің болмауы ақпараттық салада құқық бұзушылықтар мен қылмыстардың дамуы үшін жарамды негіз туғызады.

      Құқықтық шектеулер туралы білімнің болмауы басқа азаматтардың құқықтары мен бостандықтарын, авторлық және сабақтас құқықтарды иеленушілердің ақпараттық жасақтамаға құқықтарын бұзатын және ақпараттық ресурстардың жұмыс істеуіне әсер ететін әрекеттерді жасауға болады деген иллюзия туғызады.

      Осылайша, соңғы пайдаланушылардың зиян келтіретін компьютерлік бағдарламаларды және бағдарламалық өнімдерді (әсіресе жасанды интернет-дүкендер мен банктердің "фишинг" парақтарын, "бұзылған" сайттар арқылы вирустық және "трояндық" бағдарламаларды тарату, лицензиялық емес ("пираттық" бағдарламалық жасақтамамен) көшірудің жалпы әдістері бойынша негізгі білімдері болмаған кезде дербес деректерді қорғау мәселелерінде цифрлық сауаттылығының төменгі деңгейі Қазақстан Республикасы азаматтарының құрбан болған, ал оларға тиесілі техникалық құралдардың АКТ-ны заңсыз пайдалану құралына айналған мыңдаған жағдайларға әкеледі.

      2. Ақпаратты қорғау әдістерінен жеткілікті хабардар болмау, шағын және орта бизнес кәсіпорындарының, оның ішінде көп жағдайда өздеріне тиесілі ақпараттық-коммуникациялық инфрақұрылымның жай-күйін бағалай алмайтын ақпараттық-коммуникациялық қызметтер көрсету саласында жұмыс істейтін кәсіпорындардың ақпараттық қауіпсіздігі жүйелерінің төмен қамтамасыз етілуі, ақпараттық қауіпсіздіктің талдауға келмейтін оқиғалары мен инциденттерінің көп болуына әкеледі, олар технологиялық осалдықтардың алдын алуды, сонымен қатар АКТ-ны қылмыстар жасау үшін құрал ретінде пайдаланатын қылмыскерлермен күресті қиындатады.

      Бұдан басқа, мұндай шаруашылық субъектілері басқалары үшін, бірінші кезекте, әріптестер немесе мердігерлер ретінде жұмыс істейтін ірі кәсіпорындар немесе мемлекеттік органдар мен ұйымдар үшін қауіп төндіреді.

      Бұл ретте ірі жеке меншік және қаржы секторы бірлескен күштер мен операциялық қызметтің шынайы қауіпсіз ортасын қалыптастыру жөніндегі салалық бастамалардың маңыздылығын бағаламай, тек өз күшіне сенуге бейім.

      Сонымен қатар жұмыс берушілер мүдделілігінің төмендігі мен кәсіптік бәсекелестіктің болмауы ақпараттық қауіпсіздік саласында жұмыс істейтін мамандардың өздерінің бастамашылығын дамытуға ынталандырмайтын фактор болып табылады, сондай-ақ аталған адамдардың қызметтің заңсыз түрлерімен айналысуы үшін алғышарттар жасайды.

      3. Ақпараттық қауіпсіздік саласындағы мамандануды қоса алғанда, АКТ саласындағы мектеп, орта арнайы, жоғары және жоғары оқу орнынан кейінгі білімнің қолданыстағы қазақстандық моделі, осы саланың серпінді дамуына байланысты қоғамның қазіргі заманғы талаптарына және ақпараттық технологиялардың қауіпсіз дамуын қамтамасыз ету үрдісіне сәйкестігі тұрғысынан барлық мүдделі тұлғалар (Қазақстан Республикасының Білім және ғылым министрлігі, жоғары оқу орындары және өнеркәсіп) тарапынан үнемі және мұқият талдауды талап етеді.

      Атап айтқанда, білім беру және кәсіптік стандарттар, мамандықтар сыныптауыштары, пәндер, олардың контенттік мазмұны мен оқыту нәтижелері мерзімді қайта қарауды талап етеді. АКТ саласындағы қазіргі заманғы сын-қатерлерге неғұрлым икемді ден қоюға мүмкіндік беретін тетікті әзірлеу қажеттілігі туындайды. Бұл саладағы білімнің тез ескіретініне байланысты мамандардың біліктілігін мерзімді растап отыру талап етіледі.

      АКТ саласында мамандар дайындайтын 93 жоғары оқу орнының ішінен тек қана 7-еуі "Ақпараттық қауіпсіздік жүйелері" мамандығы бойынша мамандар даярлайды. 2015 – 2016 жылдары оқыған 32439 студенттің ішінде көрсетілген жоғары оқу орындарында тек 362-сі (1,1 %-ы) ғана "Ақпараттық қауіпсіздік жүйелері" мамандығы бойынша, олардың ішінде мемлекеттік тапсырыс бойынша 226 адам оқыды. 2016 жылы жоспарлы шығару 85 түлекті құрады.

      2016 – 2017 оқу жылында "Ақпараттық қауіпсіздік жүйелері" мамандығы бойынша мамандар даярлауға мемлекеттік тапсырыс бойынша 40 орын, 2014 – 2015 оқу жылында – 60 орын, 2015 – 2016 оқу жылында – 60 орын бөлінді.

      Осыған байланысты, "Ақпараттық қауіпсіздік жүйелері" мамандығы бойынша кәсіптік бағдарлау жұмысына аса көңіл бөлінеді, оның ішінде талапкерлердің назары осы мамандықтың өзектілігіне, осы бейіндегі мамандардың индустрияға қажеттілігіне аударылады.

      Талапкерлерді "Ақпараттық қауіпсіздік жүйелері" мамандығына коммерциялық негізде оқуға қабылдау жеткілікті ілгерілемейді және жарнамаланбайды. Арнайы пәндер түлектердің оқуды аяқтағаннан кейін арнайы мемлекеттік органдарда қолдану үшін қажетті толықтырылмайды.

      Оқу бағдарламаларында "Атамекен" ұлттық кәсіпкерлер палатасы бекіткен және біліктіліктің салалық шеңберіне негізделген "Ақпараттық қауіпсіздік жөніндегі маман" кәсіптік стандартының білімдеріне, қабілеттері мен дағдыларына қойылатын талаптар ескерілмеген.

      Соның салдарынан мемлекеттік, сондай-ақ жеке меншік секторда АКТ саласында ақпараттық қауіпсіздік жөніндегі мамандардың жетіспеушілігі бар. Айталық, орталық мемлекеттік органдарда қамтамасыз етілу 25 %-ды, жергілікті органдарда – 6 %-ды құрайды.

      4. IT-саланың отандық секторы ұлттық экономиканы әртараптандыру бағдарламасына айтарлықтай үлес қоспайды (мемлекеттік секторда пайдаланылатын өнімдердің 5 пайызынан кемі қазақстандық өнім), ал киберқауіпсіздік мәдениеті, соның ішінде өнімдерді әзірлеу мен пайдалану саласындағы өндірістік мәдениет үнемі анықтағыш бола бермейді.

      Қорғаныс пен қауіпсіздікті қоса алғанда, мемлекеттік басқару саласындағы ақпараттандырудың қол жеткізілген жоғары деңгейіне қарамастан, жеке адам мен қоғам өмірінің әртүрлі салаларында АКТ-ны кеңінен пайдалануда Қазақстан, ел ретінде, әлі де болса тек ІТ-технологияларды ғана емес, ақпараттандыру және байланыс саласында ақпараттық қауіпсіздікті қамтамасыз ету өнімдерін қоса алғанда, дайын бағдарламалық өнімдерді де айтарлықтай шамада импорттайды (шеттен алады), бұл бір жағынан, ІТ-индустриясы алыптарының қысымын көрсетсе, ал екінші жағынан олардың әсерінен мемлекет қауіпсіздігін қамтамасыз ету байланысты болатын әзірленімдердің аса маңызды салаларында өз күштеріне сүйене отырып, олардың тиімді орналасуы бойынша қабылданатын күштер мен шаралардың жеткіліксіз екенін көрсетеді.

      5. Мемлекеттік функцияларды автоматтандыруға және мемлекеттік қызметтерді электрондық нысанда көрсетуге байланысты шаралар, сондай-ақ мемлекеттік органдардың қызметі туралы ақпаратқа қолжетімділікті цифрландырудың одан әрі жалғасуы белгілі бір тәуекелді тудырады.

      Азаматтар мен жеке ұйымдарға "электрондық үкімет" шеңберінде көрсетілетін сапасыз қызметтер мен қосымшалар, соның ішінде машинамен оқылатын ашық деректер азаматтардың құқықтары мен заңды мүдделерінің бұзылуына әкеп соқтыруы мүмкін.

      Өндірістік және пайдалану мәдениеті деңгейінің төмендігінен туындаған техникалық стандарттардың белгіленген талаптарынан ауытқу, тапсырыс берушілер мен шешімдерді әзірлеушілердің тарапынан жасау деңгейінде жол берілген ұқыпсыздық пен немқұрайлылық, ақпараттық жүйелерді ақпаратты қорғау және қорғалуын бақылау жүйелерімен қамтамасыз етуді қалдықпен қаржыландыру қағидаты технологиялық іркілістердің жоғары тәуекелдеріне әкеледі.

      Ақпараттық жүйелер иелерінің бағдарламалық жасақтамадағы осалдықтарды дер кезінде жоймағаны заңсыз қолжетімділік қаупін айтарлықтай ұлғайтады.

      Мемлекеттік және жеке меншік секторларда өңделетін деректердің көлемі өсуде, бұл оларды сақтаудың жаңа нысандарын әзірлеу қажеттілігіне әкеп соғады. Сонымен бірге, деректерді сақтаудың бұлттық қойма немесе онлайн-сервистерді пайдалану сияқты нысандарын операторлар мен қызметтерді жеткізушілер айқын емес немесе стандартталмаған шешімдерге, оның ішінде деректер қауіпсіздігі тұрғысынан жиі негіздейді. Бұл ретте үйлесімді стандарттар аудару және бейімдеу сапасының төмендігінен түпдеректен айтарлықтай ерекшеленеді.

      Жағдай бағдарламалық жасақтама мен телекоммуникациялық жабдыққа cертификаттау, пайдалану процесінде олқылықтарды жою кезеңінде үнемі айқындала бермейтін немесе вирусқа қарсы бағдарламалармен анықталмайтын функцияларды (атап айтқанда "бэкдорларды") мақсатты енгізу мүмкіндігіне байланысты қиындайды, сондықтан ақпараттық жүйелер мен телекоммуникациялар желілерінің жұмысын бұзу үшін пайдаланылуы мүмкін.

      6. АКТ-ның көптеген өнімдерінің трансұлттық және трансшекаралық сипатын және көпшілік пайдаланатын телекоммуникациялар желілерінің халықаралық байланыстылығын қылмыскерлер пайдаланушылар мен АКТ-қызметтерінің операторларына және ұлттық сегментте орналасқан интернет-ресурстарының иелеріне, сондай-ақ интернетпен өзара әрекет ететін ақпараттық жүйелерге қатысты заңға қайшы әрекеттерді жасау мақсатында пайдаланады.

      Осындай қылмыстардың жоғары жасырындылығы және халықаралық сипаты олардың қоғамдық қауіпсіздігін арттырады. Жағдайды ақпараттық қауіпсіздіктің қылмыстық-құқықтық институттарының дамығанына қарамастан, "киберқылмыстың" жазаға тартылмауы, АКТ-ны қауіпсіз пайдалану саласын нығайту бойынша мемлекет қабылдайтын шаралардың керексіздігі туралы қоғамда тамырын тереңге жайған стереотип, жоғары технологиялық қылмыстар жасаған кінәлілерді жауапкершілікке тарту бойынша құқық қорғау органдары мүмкіндіктерінің шектеулігі әсерінен күшейте түседі.

      7. Жекелеген елдердің АКТ саласын милитарландыруға айдап салуы, негізінен интернетті басқарудың қолданыстағы халықаралық жүйесінің стихиялық қалыптасқан сипаты тудырған мемлекеттердің АКТ-ны халықаралық құқық қағидаттарын бұза отырып пайдалануға қатыстылығын дәлелдеудің қиындығы, елдер арасында сақталып отырған цифрлық айырмашылық әлемдік қоғамдастықта ақпараттандыру және телекоммуникациялар саласында жетістіктерді соғыс мақсатында пайдалануды болғызбайтын сенімді халықаралық-құқықтық құралдарды қалыптастыруға кедергі келтіреді.

      Бұл ретте әскери мақсаттарда пайдаланылатын арсенал сайып келгенде киберқылмыс пайдаланатын бағдарламалық-техникалық құралдар арсеналынан ерекшеленбейді, бұған АКТ-ны барлау, бұзу және халықаралық бейбітшілік пен қауіпсіздікті сақтауға қауіп төндіретін өзге де мақсаттарда пайдаланудың көптеген жағдайлары куә.

      Осылайша, Қазақстанда киберқауіпсіздік саласында мынадай айтарлықтай қауіптер бар:

      тұрғындардың, АКТ саласы қызметкерлерінің және ұйымдар басшыларының ақпараттық қауіпсіздік мәселелері жөніндегі құқықтық сауаттылығының төменділігі;

      ақпараттандырудың мемлекеттік және мемлекеттік емес субъектілерінің және АКТ саласында көрсетілетін қызметтерді пайдаланушылардың белгіленген талаптарды, техникалық стандарттар мен ақпаратты электрондық түрде жинау, өңдеу, сақтау және беру регламенттерін бұзуы;

      ақпараттық жүйелерге, бағдарламалық жасақтама және ақпараттық-коммуникациялық инфрақұрылымның басқа да элементтеріне теріс ықпал ететін персоналдың әдейі жасамаған қателері және технологиялық іркілістер;

      халықаралық қылмыстық топтардың, қоғамдастықтардың және жеке тұлғалардың қаржы-банк саласындағы ұрлауды, өнеркәсіптің, энергетиканың, байланыс және ақпараттық-коммуникациялық қызметтер саласының технологиялық процестерін басқарудың автоматтандырылған жүйесінің жұмысын бұзу мақсатында зиянды ықпалды жүзеге асыру бойынша іс-қимылы;

      ақпараттық-коммуникациялық инфрақұрылымға барлау және зиянкестік әрекет жасау арқылы Қазақстан Республикасы мүдделеріне қарсы бағытталған саяси, экономикалық, террористік құрылымдардың, шет мемлекеттердің барлау және арнайы қызметтерінің қызметі.

3. Халықаралық тәжірибе

      "Киберқауіпсіздік" терминінің және одан туындайтын ұғымдардың (киберкеңістік, киберқорғау, кибератака, кибершабуыл және т.б.) халықаралық деңгейде көпшілік мойындаған бірыңғай заңды анықтамасы жоқ.

      Дегенмен БҰҰ деңгейінде Халықаралық электр байланыс одағының (ХЭО) Ғаламдық киберқауіпсіздік бағдарламасы немесе "Киберқауіпсіздіктің ғаламдық мәдениетін қалыптастыру және аса маңызды ақпараттық инфрақұрылымдарды қорғау жөніндегі ұлттық күштерді бағалау" БҰҰ Бас ассамблеясының қарары секілді бірқатар құжаттар бар, оларда (1) жеке өмірге қол сұғылмаушылықты, (2) электрондық нысандағы ақпараттың құпиялылығын, тұтастығы мен қолжетімділігін, (3) интернетпен өзара іс-қимыл жасайтын аса маңызды ақпараттық-коммуникациялық инфрақұрылымды (оның ішінде ақпараттық жүйелерді, аппараттық-бағдарламалық кешендерді, телекоммуникациялық жүйелерді, телекоммуникация желілерін, ақпаратты қорғау, бағдарламалық жасақтама жүйелерін) зиян келтіретін ықпалдан бағдарламалық-техникалық әдістермен қорғауды қамтамасыз ету мәселелерінде ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану саласын қамтитын киберқауіпсіздікті түсіну тәсілдері қамтылған.

      Бұл ретте көптеген елдер ақпаратты еркін тарату және оған қол жеткізу құқығын тым шектеуден қауіптенгендіктен, басшылыққа алатын құжаттарда АКТ пайдалана отырып таратылатын зиянды немесе заңсыз ақпараттан қорғау мәселелерін киберқауіпсіздік ұғымы контексінде қарастырмайды.

      Жекелеген елдер киберқауіпсіздік призмасы арқылы тек телекоммуникациялар мен есептеуіш ресурстардың бүкіләлемдік жүйесі ретінде интернетте терроризмді, балалар порнографиясын насихаттайтын электрондық материалдарды және заңсыз ақпараттың кейбір түрлерінің бақылаусыз таралуын ғана қарастырады, бұл ең алдымен, мұндай ақпаратты тарату көзін анықтаудың техникалық күрделілігіне байланысты.

      Бұл ретте кейбір елдер қауіп-қатерлерді және оларға қатысты қабылданатын қарсы іс-қимыл шараларын бағалауда құқықтық реттеу мен мемлекеттік басқару жүйесінің тиісті моделін қалыптастыра отырып, АКТ пайдаланудың барлық аспектілеріне қолданылатын ақпараттық қауіпсіздік ұғымын ұстанады.

      Айталық, Норвегияның стратегиясында жаңа қызметтер мен құрылғылар қарапайым қолданушылардың құзыретіне өте жоғары талаптар қоятындығы аталған. Ақпараттың, жүйелер мен желілердің қауіпсіздігін қамтамасыз етуге басты жауапкершілік меншік иесіне немесе операторға жүктеледі. Мұндай жұмыстар күнделікті жұмыстың бір бөлігі болуы тиіс және ағымдағы операциялармен бірдей қаржыландырылуы керек. Ақпараттық қауіпсіздікке жәрдемдесу жөніндегі шаралардың құны басқарудың жекелеген салаларындағы тәуекелді бағалаумен мөлшерлес болуы тиіс (киберқауіпсіздіктің жаһандық индексі 0,735 құрайды).

      Эстонияда ақпараттық жүйелердің қауіпсіздігіне басты назар аударылады. Ұсынылатын шаралар азаматтық сипатқа ие және құқықтық реттеуге, оқытуға және ынтымақтастыққа негізделеді (киберқауіпсіздіктің жаһандық индексі 0,706 құрайды).

      Финляндия стратегиясы киберқауіпсіздікті финдік ақпараттық қоғамның дамуымен тығыз байланысты экономикалық сипаттағы проблема ретінде түсінуге негізделген (киберқауіпсіздіктің жаһандық индексі 0,618 құрайды).

      Словакия ақпараттық қауіпсіздікті қамтамасыз етуді қоғамның қалыпты жұмыс істеуі мен дамуының қажетті шарты ретінде қарастырады. Сондықтан стратегияның мақсаты – ақпаратты қорғау үшін берік іргетас ретінде қызмет ету. Стратегия қауіп-қатерлердің алдын алуға да, сонымен қатар олардың алдын алу құралдарының беріктігі мен дайындығын қамтамасыз етуге де бағытталған (киберқауіпсіздіктің жаһандық индексі 0,618 құрайды).

      Чех Республикасының киберқауіпсіздік стратегиясының негізгі мақсаттары ақпараттық-коммуникациялық жүйелерді ұшырауы мүмкін осалдықтардан қорғауды және жүйелерге жасалатын атакалардан келетін ықтимал зиянды азайтуды қамтиды. Стратегияның негізгі нысанасы Чех Республикасында ақпараттық сервистерге еркін қол жеткізу, деректердің тұстастығы мен құпиялылығы проблемаларына бағдарланған (киберқауіпсіздіктің жаһандық индексі 0,500 құрайды).

      Франция ақпараттық жүйелердің ақпараттың қолжетімділігіне, тұтастығына және құпиялылығына әсер етуі мүмкін оқиғаларға қарсы тұруға қабілетті болуына бағдарланады, ақпаратты қорғаудың техникалық құралдарына, киберқылмыстылыққа қарсы күреске және киберқалқан орнатуға көңіл бөледі (киберқауіпсіздіктің жаһандық индексі 0,588 құрайды).

      Германияның стратегиясы аса маңызды ақпараттық жүйелердің қауіпсіздігінің негізін қалайды. Германия кибератакалардың алдын алуға және оларды қылмыстық қудалауға, сондай-ақ кездейсоқ факторлардан туындайтын IT-жабдықтың істен шығуына жол бермеуге бағдарланған. Германияның киберқауіпсіздік стратегиясы киберкеңістіктегі деректердің тұтастығын, сенімділігі мен құпиялылығын, ақпараттар мен коммуникацияларды қорғау және оларға қол жеткізу үшін қабылданған барлық ұлттық және халықаралық шаралардың қол жеткізілген жиынтығымен, сондай-ақ негізгі стратегиялық IT-құзыреттіліктердің барлық диапазонында герман технологиялық егемендігі мен экономикалық әлеуетті нығайту арқылы киберқауіпсіздік деңгейін айқындайды (киберқауіпсіздіктің жаһандық индексі 0,706 құрайды).

      Литваның электрондық ақпараттық қауіпсіздікті дамыту бағдарламасы электрондық ақпараттық қауіпсіздікті қамтамасыз етуге, электрондық ақпарат айналымын дамытуға, сондай-ақ киберкеңістіктегі оның құпиялылығын, қолжетімділігі мен тұтастығын қамтамасыз етуге бағытталған мақсаттар мен іс-шараларды айқындауға бағдарланады. Бұдан басқа Литва стратегиясы дербес деректерді, телекоммуникациялық желілерді, ақпараттық жүйелер мен аса маңызды инфрақұрылымдарды "электрондық периметр" шектерінің әсерінен қауіпсіздіктің бұзылушылығы мен кибератакалардан қорғауға бағытталған.

      Нидерланды, бір жағынан, осы жүйелердегі ауыр бұзушылықтардан қауіптенгендіктен, қауіпсіз және сенімді ақпараттық-коммуникациялық жүйелерге ұмтылады, екінші жағынан, интернет-кеңістіктің еркін және ашық болу қажеттілігін мойындайды. Стратегияда киберқауіпсіздікке анықтама беріледі. "Киберқауіпсіздік – бұл ақпараттық-телекоммуникациялық жүйелерді дұрыс пайдаланбаудан және олардың істен шығуынан қорғалу. Істен шығу және дұрыс пайдаланбау ақпараттық-телекоммуникациялық жүйелердің қолжетімділігі мен сенімділігіне кері әсер етуі, жүйелерде сақталатын ақпараттың құпиялылығы мен тұтастығына қауіп төндіруі мүмкін" (киберқауіпсіздіктің жаһандық индексі 0,676 құрайды).

      Аустрияның АКТ қауіпсіздігі стратегиясы Аустрия экономикасының ұзақ мерзімді өміршеңдігін қамтамасыз ету мақсатында "электрондық үкімет" жүйесінде іске асырылған қауіпсіздіктің интегралдық тәсілдерін трансұлттық деңгейде құрылуы тиіс салаларды қоса алғанда, басқа салаларға да таратуға негізделген (киберқауіпсіздіктің жаһандық индексі 0,676 құрайды).

      Ұлыбританияның тәсілі киберқауіпсіздікті дамытуға бағытталған. Мақсаты: Біріккен Корольдікті ақпараттық-телекоммуникациялық технологиялар саласындағы инновациялар, инвестициялар және сервистердің сапасы бойынша бірінші орынға шығару және сол арқылы киберкеңістіктің барлық артықшылықтары мен игіліктерін толық көлемде пайдалану. Киберкеңістікті азаматтар мен экономика үшін қауіпсіз ету мақсатында қылмыскерлердің, террористердің және басқа мемлекеттердің кибератакалары түріндегі тәуекелдерді жою қажет (киберқауіпсіздіктің жаһандық индексі 0,706 құрайды).

      Швейцарияның ұлттық стратегиясында интернет-индустрияға қатысушы бірнеше елдің басым мүдделерінің ықпалын азайту қажеттілігі аталады, онда сипатталатын шаралардың "бейбіт уақытта қолданылуын қарастыратындығы және осылайша соғыс ықтималдылығын жоятыны" көрсетілген.

      Бұл ретте, істен шығуға төтеп бере алатын әскери инфрақұрылым кең ауқымды дағдарыс болған жағдайда басқа субъектілер үшін стратегиялық резервтің маңызды элементі ретінде қарастырылады. Түрлі салалардағы қолданыстағы заңнама мемлекеттік және жеке сектордың қолданыстағы міндеттерінің және міндеттерінің кибер-аспектілерін көрсететіндіктен, Швейцарияның бірыңғай арнайы киберзаңы шеңберінде киберқауіпсіздік мәселелерін шешу жарамсыз деп саналады, себебі "қолданыстағы заңнама өзгерістерге үздіксіз бейімделіп отыруы тиіс" (киберқауіпсіздіктің жаһандық индексі 0,353 құрайды).

      Осылайша, әрбір елде киберқауіпсіздік пен негізгі басымдықтардың ұлттық түсінігінде айтарлықтай айырмашылықтар бар.

      Нәтижесінде киберқауіпсіздік стратегияларын жасау тәсілдері де түрлі болып келеді. Дегенмен киберқауіпсіздік мәселелерін қамтитын басшылыққа алынатын құжаттар, әдетте, мыналарды көздейді:

      - киберқауіпсіздікті қамтамасыз ету саласындағы мемлекеттік басқару жүйесін құру;

      - жеке және мемлекеттік мүдделі тараптарға ұлттық ақпараттық инфрақұрылымдардың қауіпсіздігін қамтамасыз ету проблемаларын талқылауға мүмкіндік беретін тиісті тетікті айқындау (негізінен, қоғамдық-мемлекеттік әріптестік);

      - қажетті қауіпсіздік саясатын және реттеуші тетіктерді айқындау, жеке және мемлекеттік сектор үшін рөлдерді, құқықтар мен жауапкершілікті айқын белгілеу (мысалы, қауіпсіздік инциденттері туралы міндетті хабардар ету, қауіпсіздікті қамтамасыз етудің базалық шаралары және іс-қимыл нұсқаулығы, материалдық-техникалық қамтамасыз етудің жаңа нормалары).

      Әлемдік тәжірибе көрсетіп отырғандай, бағдарламалық жасақтамадағы қателерден немесе ақпараттық қауіпсіздік инциденттерінен толық қорғалуға қол жеткізу мүмкін емес, бірақ өзін саналы, жауапты ұстау арқылы бүлдіруші салдарларға жол бермеу үшін олардың жиілігі мен ықтималдылығын төмендету, ақпараттық жүйелер мен ресурстардың жұмысқа қабілеттілігін қалпына келтірудің жоғары жылдамдығын қамтамасыз ету өте маңызды қажеттілік.

      Бұл саланы үйлестіру көптеген елдерде айтарлықтай дәрежеде ақпараттық технологиялар және байланыс саласындағы азаматтық реттеуші (KISA ақпараттық қауіпсіздік агенттігі – Корея, Ақпараттық технологиялар министрлігінің Ақпараттық қауіпсіздік орталығы – Өзбекстан және т.б.) не ақпаратты қорғауға және ақпараттық қауіпсіздікке жауапты орган (Ақпараттық техника қауіпсіздігі бюросы – Германия, Қорғаныс министрлігі жанындағы Ақпараттық жүйелер қауіпсіздігі агенттігі – Франция, Чехия ұлттық қауіпсіздік агенттігі, Ресей Федерациясының Федералдық қауіпсіздік қызметі және Техникалық және экспорттық бақылау саласындағы федералдық қызмет, Беларусь Республикасының Президенті жанындағы Жедел-талдау орталығы, Украина Арнайы байланыс және ақпарат қорғау қызметі. Еуропалық одақта бұл саладағы реттеуші – Ақпараттық және желілік қауіпсіздік агенттігі болып табылады) айналасында құрылады.

4. Мақсаты, міндеттері, күтілетін нәтижелер және іске асыру мерзімі

      Тұжырымдаманың мақсаты ғаламдық бәсекелестік жағдайларында Қазақстан Республикасының орнықты дамуын қамтамасыз ететін, электрондық ақпараттық ресурстардың, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қауіп-қатерлерден қорғалу деңгейіне қол жеткізу және сол деңгейде ұстау болып табылады.

      Тұжырымдаманың міндеттері:

      1. Қауіп-қатерлер туралы хабардарлықты арттыру, адами капиталды және зиянды бағдарламалық-техникалық ықпалды және қорғалған телекоммуникациялық жабдықты бұғаттауға және жоюға бағытталған бағдарламалық өнімдер мен қорғалған киберқауіпсіздік жүйелерін жасау бойынша отандық АКТ саласының әлеуетін дамыту үшін қажетті жағдай жасау.

      2. Технологиялық процестерді басқарудың автоматтандырылған жүйелерінің қауіпсіздігін және ақпаратты қорғаудың ұлттық жүйесінде АКТ-ны қауіпсіз пайдалануды нормативтік-құқықтық және ұйымдастырушылық-техникалық қамтамасыз етуді, құқық қолдану практикасын, әдіснамалық базасын жетілдіру.

      3. Барлық ұлттық ақпараттық-коммуникациялық инфрақұрылымға қатысты ақпараттандыру және байланыс саласындағы ақпараттық қауіпсіздікті мемлекеттік басқарудың жоғары бейімделген және интеграцияланған жүйесін құру.

      Күтілетін нәтижелер:

      1) Қазақстанның киберқауіпсіздігінің жаһандық индексі 2017 жылға қарай 0,200, 2018 жылға қарай – 0,300, 2019 жылға қарай – 0,400, 2020 жылға қарай – 0,500, 2021 жылға қарай – 0,550, 2022 жылға қарай – 0,600 құрайды;

      2) ақпараттық қауіпсіздікке төнетін қауіп-қатерлер туралы хабардарлықты 2018 жылдың базалық кезеңіне қарағанда 2019 жылы 5%-ға, 2020 жылы – 10%-ға, 2021 жылы – 15%-ға, 2022 жылы – 20%-ға арттыру;

      3) ақпараттық қауіпсіздік саласындағы қайта даярланған мамандардың саны 2018 жылы– 300, 2019 жылы – 500, 2020 жылы – 600, 2021 жылы – 700, 2022 жылы – 800 болады;

      4) мемлекеттік және квазимемлекеттік секторларда пайдаланылатын ақпараттандыру және байланыс саласындағы отандық бағдарламалық өнімдердің үлесін 2017 жылдың базалық кезеңіне қарағанда 2018 жылы – 10%-ға, 2019 жылы – 20%-ға, 2020 жылы – 30%-ға, 2021 жылы – 40%-ға, 2022 жылы – 50%-ға арттыру;

      5) KZ және .ҚАЗ домені бар интернет-ресурстарының шифрланған деректерді беру кезінде отандық қауіпсіздік сертификаттарын пайдалану 2018 жылы – 20%, 2019 жылы – 40%, 2020 жылы – 60%, 2021 жылы – 80%, 2022 жылы – 100% құрайды;

      6) ақпараттық қауіпсіздік мониторингі орталықтарына қосылған мемлекеттік органдардың ақпараттық жүйелерінің, мемлекеттік жүйелермен интеграцияланған мемлекеттік емес ақпараттық жүйелердің, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық жүйелерінің үлесі 2018 жылы – 20%, 2019 жылы – 40%, 2020 жылы – 60%, 2021 жылы – 80%, 2022 жылға қарай – 100% болады.

      Тұжырымдаманы іске асыру мерзімі екі кезеңнен тұрады:

      1) бірінші кезең – 2017 – 2018 жылдар;

      2) екінші кезең – 2019 – 2022 жылдар.

      Бірінші кезеңде:

      - ақпараттық қауіпсіздікті қамтамасыз ету саласындағы белгіленген талаптарды сақтаудың көлемді құқық қолдану практикасы жасалатын болады, оның нәтижелері бойынша қажет болған жағдайда заңнамаға тиісті өзгерістер енгізіледі;

      - білім беру бағдарламалары мен кәсіптік стандарттарға ревизия жүргізіледі, ақпараттық қауіпсіздік саласында даярланатын мамандардың саны мен сапасы артады, осы салада жұмыс істейтін қызметкерлердің біліктілігін арттыру қамтамасыз етіледі;

      - отандық зерттемелер жасауда өнеркәсіп пен ғылым арасындағы өзара іс-қимыл мен кооперацияның тиімді схемасы жасалады, бұл ұлттық және салалық ақпараттық қауіпсіздік шұғыл орталықтарын дамыту үшін негіз жасайды, бұл екінші кезеңде:

      - қазақстандық IT-компаниялардың ұлттық ақпараттық-коммуникациялық инфрақұрылымды ақпараттық қауіпсіздік жүйелерімен қамтамасыз етуге негізді түрде қатысуын;

      - отандық электрондық өнеркәсіп кәсіпорындарын мемлекеттік органдар мен квазимемлекеттік сектордың ел аумағындағы ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сертификаттау рәсімінен өткен және өндірілген телекоммуникациялық жабдықты сатып алуына тапсырыстармен қамтамасыз етуге мүмкіндік береді.

5. Негізгі қағидаттар мен тәсілдер

      Негізгі қағидаттар:

      1) жеке тұлғалардың құқықтарын, бостандықтары мен заңды мүдделерін, сондай-ақ заңды тұлғалардың құқықтары мен заңды мүдделерін сақтау;

      2) ақпараттық-коммуникациялық технологияларды қолданған кезде тұлғаның, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету;

      3) Қазақстан Республикасы аумағында ақпараттандыру объектілерінің сенімділігі мен басқарылуын қамтамасыз ететін бірыңғай стандарттар негізінде ақпараттандыру қызметін жүзеге асыру;

      4) мемлекеттік органдардың өкілеттігін айқын ажырату;

      5) ақпараттық-коммуникациялық инфрақұрылым объектілерінің ақпараттық қауіпсіздігінің үздіксіз мониторингі;

      6) ұлттық қауіпсіздікті қамтамасыз ету жүйесінің халықаралық қауіпсіздік жүйелермен интеграциялануы.

      Қауіп-қатерлер туралы хабардарлықты арттыру, адами капиталды және бағдарламалық өнімдерді, ақпараттық қауіпсіздік жүйелерін, зиянды бағдарламалық-техникалық ықпалға төзімді телекоммуникациялық жабдықты жасау бойынша отандық АКТ саласының әлеуетін дамыту үшін қажетті жағдай жасау міндетін іске асыру үшін мыналар ұсынылады:

      Қоғамда "кибергигиена" туралы орнықты түсініктер қалыптастыруға және бағдарламалық өнімдердің, ақпараттық жүйелердің, бағдарламалық жасақтаманың, технологиялық тұғырнамалардың, ақпараттық және желілік инфрақұрылымның, жұмысты қамтамасыз ететін жабдықтың әрекет ету циклінің барлық кезеңдерінде АКТ жасау мен пайдаланудың жоғары өндірістік мәдениетін қалыптастыру.

      Кәмелетке толмаған интернет пайдаланушылар мен олардың ата-аналары арасында дербес деректерді қорғау және жеке өмірге қолсұғылмаушылық бойынша тренингтер мен оқыту практикаларын пайдалану.

      Мемлекеттік органдардағы ақпараттық қауіпсіздіктің жай-күйіне жауапты қызметкерлердің кәсібилігін арттыру және олар қабылдайтын шараларды тиісті түрде әмбебап ету, кәсіптік стандарттарды бейімдеу, сондай-ақ ақпараттық ресурстар мен жүйелердің қорғалуын бақылау параметрлері мен қорғау профильдерін жақсартатын тәжірибелік дағдылар мен техникалық білімдер бойынша талаптарды кеңейту.

      Қазақстанның жоғары оқу орындарына ақпараттық қауіпсіздік саласында білім беру және зерттеу міндеттерін іске асыруда маңызды рөл беру, бұл мемлекет қауіпсіздігін қамтамасыз ету бойынша арнайы мемлекеттік органдардың техникалық мүмкіндігін кеңейтеді және Тұжырымдаманы іске асыру бойынша іс-шараларды талдамалық және ғылыми-зерттеумен сүйемелдеу деңгейін көтереді.

      Құқық қорғау органдарының ғылыми-зерттеу ұйымдарын неғұрлым күрделі киберқылмыстарды тергеуге тарту арқылы киберқылмыстылыққа қарсы іс-қимылға техникалық дайындық және кәсіби құзыреттіліктің жоғары деңгейін қалыптастыру және қолдау бойынша міндеттерді шешу.

      Ғылыми, ғылыми-техникалық және білім беру қызметі саласында қазақстандық әлеуетті ұлғайту үшін ғылыми-зерттеу және тәжірибелік-конструкторлық жұмыстарға назар аудару, оқу процесінің электрондық өнеркәсіп кәсіпорындарының өндірістік қызметімен тығыз байланысын қамтамасыз ету, оқу бағдарламаларын салалық кәсіптік стандарттарға және технологияларды дамытудың заманауи деңгейіне сәйкес келтіру қажет.

      Зерттеулерге және қолданбалы математика, ақпаратты криптографиялық қорғау құралдарын әзірлеу, криптология, бағдарламаланатын логикалық интегралдық схемалар бойынша әзірлемелер, кванттық криптография мен ақпарат берудің, өңдеудің және сақтаудың қорғалған жүйелерін, сондай-ақ ақпараттық қауіпсіздік жүйелерін құру бойынша өз мектептерімізге басымдық беру.

      Отандық әзірлемелердің сұранысқа аса ие болмауы проблемасын жою, өйткені киберқауіпсіздік түптен келгенде отандық IT-саласының және электронды өнеркәсібінің даму деңгейіне байланысты. Мұның себептерінің бірі мемлекеттік органдарда олардың өнімдерін басым түрде пайдалану міндеттілігінің болмауы.

      Оларды қолдау шараларын белгілеу, оның ішінде мемлекеттік-жекешелік әріптестікті ынталандыру, бәсеке қабілеттілікті арттыру. Зерттемені оқшаулау және техникалық қолдау талаптарына сәйкестік, жеткізушіде бағдарламалық өнімдер мен телекоммуникациялық жабдықтардың конструкторлық және техникалық құжаттамасына айрықша зияткерлік меншік құқықтарының болуы, сондай-ақ өндірісті, кепілдік және кепілдіктен кейінгі қызмет көрсетуді ұйымдастыру үшін қажетті ғылыми өндірістік базаның болуы өлшемшарттар болуы тиіс.

      Сала өкілдерімен бірлесіп ақпараттық қауіпсіздік талаптарына сәйкестікке міндетті сертификаттау рәсімінен өткен сенімді отандық немесе шетелдік үлгілермен оларды ауыстыру мақсатында мемлекеттік органдар мен квазимемлекеттік секторда сатып алынатын бағдарламалық жасақтама мен телекоммуникациялық жабдыққа ұдайы талдау жасауды өткізу.

      Ақпараттық қауіпсіздік жөніндегі уәкілетті орган жанынан Киберқауіпсіздік жөніндегі кеңес құрылуы тиіс, оның негізгі міндеттерінің бірі киберқауіпсіздік бойынша өзекті мәселелерді қарау, басшылыққа алынатын құжаттарды, нормативтік құқықтық базаны өзекті күйінде ұстау, отандық электрондық және софтверлік өнеркәсіп өнімін басым түрде пайдалануға ықпал ету, қоғамдық маңызы бар IT-жобаларға жария бағалау жүргізу болуы тиіс.

      Еліміздің жетекші компанияларымен және кәсіпорындарымен, білім беру және ғылыми зерттеу ұйымдарымен тұрақты тікелей диалог орнату, АКТ пайдаланудың аса маңызды салаларында интеграцияланған киберқауіпсіздікті қамтамасыз ету бойынша міндеттерді шешуде жүйелі және кешенді сипат беруге және күштерді біріктіруге мүмкіндік береді.

      Мемлекеттік ақпараттық жүйелер мен ресурстардың қорғалуына мониторинг пен талдау жүргізумен, азаматтар мүддесі үшін АКТ-ны қауіпсіз пайдалану бойынша жәрдемдесумен қатар, "кибергигиена" шараларын дәріптеу KZ-CERT компьютерлік инциденттерге мемлекеттік ден қою қызметінің қосымша басымдығына айналуы тиіс.

      Жеке ақпараттық жүйелердің иелері мен меншік иелері өздерінің экономикалық мүмкіндіктеріне қарай, ақпараттық жүйелерді әзірлеудің, жасаудың, сынаудың және пайдаланудың стандартталған процестеріне сүйенуге ұмтылып, олардың ақпараттық қауіпсіздігін қамтамасыз етуге қажетті шаралар қарастыруы тиіс. Бұл үшін қажетті бағдар ретінде қызмет ете алатын техникалық стандарттар мен басқа да нормативтік-техникалық құжаттар бар.

      Технологиялық процестерді басқарудың автоматтандырылған жүйелерінің қауіпсіздігін және ақпаратты қорғаудың ұлттық жүйесінде АКТ-ны қауіпсіз пайдалануды нормативтік-құқықтық және ұйымдастырушылық-техникалық қамтамасыз етуді, құқық қолдану практикасын, әдіснамалық базасын жетілдіру бойынша міндеттерін іске асыру үшін ұсынылады:

      Мемлекеттік секторда заңнамамен және техникалық стандарттармен белгіленген ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі талаптарды мүлтіксіз орындау, сондай-ақ киберқауіпсіздік үшін зиян келтірмей технологиялардың даму серпінін ескере отырып, оларға қажетті өзгерістерді жедел енгізу.

      Белгіленген талаптарды сақтау пәрменді мемлекеттік бақылау шараларымен қамтамасыз етілуі тиіс.

      Ақпараттық ресурстар мен жүйелердің иелерінің бейғамдық және салғырттық танытуына сенетін киберқылмыскерлер мен шетелдік техникалық компьютерлік барлаушылар қызметінің сипатын есепке ала отырып, ақпараттандыру объектілерінің қорғалу жай-күйін толық бағалау үшін қорғалуды бақылаудың техникалық құралдарымен ақпараттық жүйелер мен ресурстардың жай-күйін тұрақты мониторингтеуге және ақпараттың таралу арналарын (осалдықтарды, вирустарды, троян бағдарламаларын, декларацияланбайтын функциялар мен белгілерді) анықтау бойынша жұмысты жүзеге асыруға ұмтылу қажет.

      Осындай тәсіл ұлттық және қоғамдық қауіпсіздікке қауіп төндіретін ақпараттық қауіпсіздік инциденттерінен туындаған технологиялық, әлеуметтік сипаттағы төтенше жағдайлар орын алған жағдайда мемлекеттік функцияларды іске асыру мүмкіндігін, ал төтенше немесе соғыс жағдайы орын алған жағдайда ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің қызмет ету мүдделері үшін ұлттық қауіпсіздікті қамтамасыз ету күштерінің тұрақты ақпараттық-коммуникациялық инфрақұрылымын пайдалану мүмкіндігін сақтауға мүмкіндік береді.

      Стратегиялық және аса маңызды мемлекеттік объектілер, экономиканың стратегиялық салаларының объектілері қатарынан аса маңызды ақпараттық-коммуникациялық инфрақұрылым объектілерімен жұмысты жолға қоюмен қатар, халыққа ақпараттық-коммуникациялық қызметтер көрсетуге бағдарланған аса маңызды объектілерге жатқызу мүмкіндігімен ақпараттық-коммуникациялық инфрақұрылымының аса маңызды объектілеріне жатқызу тәсілдерін қайта қарау қажет.

      Алдын алу және профилактикалық шараларды мемлекеттік органдарға және мемлекеттік жүйелермен интеграцияланатын жеке ақпараттық жүйелердің иелеріне ғана емес, сонымен қатар өнеркәсіптік кәсіпорындар, қаржылық ұйымдар иелеріне және бұзылуы еліміздің экономикалық дамуына кері әсер етуі мүмкін автоматтандырылған технологиялық процестері бар экономика объектілерінің өзге санаттарына да қолдану қажет.

      Жалпы ұлттық ауқымдағы қауіп-қатерлерді тиімді оқшаулау және оларды іске асырудың алдын алу үшін Бірыңғай талаптар мен қолданыстағы "Электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін, қорғалуын және қауіпсіз жұмыс істеуін қамтамасыз етудің мониторингін жүргізу қағидалары негізінде мемлекеттік сектор үшін ғана емес, сонымен қатар жеке меншіктегі объектілер үшін де бағдар ретінде қызмет ететін басшылыққа алынатын құжаттар әзірлеуді көздеу қажет.

      Азаматтар мен бизнестің мемлекеттік органдар көрсететін қызметтерге жоғары сенімін қамтамасыз ету мақсатында заңнамалық деңгейде бағдарламалық өнімдер, байланыс қызметтерін және өзге де ақпараттық-коммуникациялық инфрақұрылым жеткізушілері үшін кемінде үш жыл ішінде сатып алынатын өнімдерге, сатып алынатын өнімдер мен көрсетілетін қызметтерді міндетті техникалық қолдау жөніндегі шешімдерге келісімдерде, конкурстық құжаттамада және техникалық ерекшеліктерде көрсету үшін ақпараттық қауіпсіздік жөніндегі шаралар әзірлеу қажет.

      Технологиялық процестерді басқарудың автоматтандырылған жүйелерінің және жалпы пайдаланудағы телекоммуникациялар желілерінің телекоммуникациялық жабдығының қауіпсіздігін қамтамасыз ету саласында қажетті талаптарды көздеу қажет. Тұрғындардың тіршілігін қамтамасыз ету жүйелерінде, отын-энергетикалық секторда, байланыс инфрақұрылымында және басқа да жүйелерде инфрақұрылымға ерекше көңіл бөлінуі қажет.

      Интернеттің ұлттық сегментінің және деректерді өңдеу орталықтарының (дата-орталықтардың), көпшілікке қолжетімді электрондық ақпараттық ресурстардың (интернет-ресурстардың) жұмыс істеуін қамтамасыз ететін ақпараттық бағдарламалық кешендердің аса маңызды инфрақұрылымы элементтерінің орнықтылығына қатысты ұғымды елеулі тереңдету қажет.

      Қолданушылардың әрекеттерін сенімді сәйкестендіруді, түпнұсқаландыруды және тіркеуді олардың дербес деректерінің құпиялылығын қамтамасыз ету шараларымен бірге қамтамасыз ету, ақпараттық жүйелердің пайдаланушылары мен электрондық бұқаралық ақпарат құралдарының аппараттық бағдарламалық кешендерін қоса алғанда, көпшілікке қолжетімді электрондық ресурстардың сәйкестігіне байланысты неғұрлым кең таралған қауіптер тәуекелін төмендетеді. Бұл ұлттық сегментте электрондық коммерция, электрондық төлемдер, банк қызметі және интернет-ресурстар арқылы көрсетілетін басқа да ақпараттық-коммуникациялық қызметтер саласындағы жалған әрекеттерді болғызбауға мүмкіндік береді.

      Барлық ұлттық ақпараттық-коммуникациялық инфрақұрылымға қатысты ақпараттандыру және байланыс саласындағы ақпараттық қауіпсіздікті мемлекеттік басқарудың жоғары бейімделген және интеграцияланған жүйесін құру үшін мынаны ұсынамыз:

      Мемлекеттік органдар мен көрсетілетін қызметтерді жеткізушілер қалыпты және күтпеген режимдерде жасалатын ақпараттық жүйелер сенімділігінің және олардың қасақана істен шығаруға төтеп беруінің аса жоғары деңгейін қамтамасыз ететін күштерге бірінші кезекте көңіл бөле отырып, қауіпсіздік тәуекеліне бағдарланған тәсілді қолдануы қажет.

      Ақпараттық ресурстар мен жүйелердің иелеріне жәрдемдесу және туындайтын қауіп-қатерлер туралы өзара хабардар ету үшін ақпараттық қауіпсіздік инциденттеріне ден қоюдың және оларды мониторингілеудің ведомстволық және салалық құрылымдары арасындағы өзара іс-қимылды кеңейту қажет. Олардың қатысушылары қауіпсіздік мәселесін салалық ақпараттық жүйелер мен желілерді жоспарлаудың, жобалаудың, әзірлеудің және пайдаланудың аса маңызды элементі ретінде қарастыруы тиіс және еліміздің барлық ақпараттық-коммуникациялық инфрақұрылымының орнықтылығын айқындайтын негізгі өзегіне айналуы тиіс.

      Ақпараттық қауіпсіздік инциденттеріне ден қою қызметтерінің мамандануы тартылған ұйымдар мен сарапшылар тобын кеңейтуге мүмкіндік береді, бұл салалық ерекшеліктерді ескере отырып ақпараттық қауіпсіздік саласында жұмыс істейтін қызметкерлердің кәсібилігін жоғарылатуға және көп жағдайда IT және ақпараттық қауіпсіздік саласындағы білікті мамандарды ұстауға мүмкіндігі бола бермейтін шағын бизнес үшін ақпараттық қауіпсіздік аудиті қызметі нарығын кеңейтуге жәрдемдесуге ықпал ететін болады.

      Шетелдік кеңістіктен іске қосылған компьютерлік атакалар еліміздің виртуалдық периметрі – "электрондық шекарасында" барынша тоқтатылуы тиіс.

      Телекоммуникация желілері мен ақпараттық-коммуникациялық желілерді конвергенциялау салдарынан оның артып келе жатқан осалдығын және зиянды трафик көлемдерін төмендету және байланыс операторларының нормадан ауытқыған желілік белсенділікті уақтылы бұғаттауы қажеттілігін ескере отырып, Қазақстан Республикасы Бірыңғай телекоммуникациялар желісінің басшылыққа алынатын құжаттарын өзектілендіру қажет.

      Арнайы бөлімшелер жеке құрамының біліктілігін тұрақты арттыру, техникалық тіркеу құралдары арсеналын кеңейту мен "цифрлық" дәлелдемелерді криминалистік зерттеу арқылы киберқауіпсіздікке қарсы тиімді күрес үшін жағдай жасау.

      Қызметі АКТ пайдаланумен байланысты барлық субъектілердің міндеті киберқауіпсіздікті қамтамасыз ету болып табылады, сондықтан ақпараттық қауіпсіздікті қамтамасыз ету мақсатындағы ынтымақтастық барлық мүдделі тараптардың мүдделерін қорғауға ықпал етеді.

      Күштерді біріктіру үшін ғылыми қоғамдастықтың, жеке сектордың қатысуымен Ұлттық үйлестіруші жедел ақпараттық қауіпсіздік орталығын құру қажет, ол онлайн режимде "электрондық шекара", сондай-ақ ұлттық ақпараттық инфрақұрылымның аса маңызды компоненттерінің қорғалу жай-күйі туралы ақпаратты өңдейтін болады және ақпарат алмасуды қамтамасыз етеді, бұл:

      азаматтар мен бизнеске ақпараттық қауіпсіздік саласындағы қауіп-қатерлерді білікті бағалауға және бағдарламалық жасақтама мен ақпараттық және телекоммуникациялық жүйелердегі осалдықтарды пайдалану қаупінің кері әсерін қалай азайту қажеттігі туралы қосымша білімдер алуға қолжетімділікті қамтамасыз етуге мүмкіндік береді;

      Ішкі істер министрлігіне ақпараттық технологияларды пайдаланып жасалатын жасырын қылмыстардың санын азайтуға және оларды ашудың жоғары деңгейін қамтамасыз етуге;

      мемлекеттік органдарға технологиялық істен шығудың туындауының алдын алуға және бұзылуға төзімділіктің жоғары деңгейін сақтауға, сондай-ақ "электрондық үкімет" және басқа мемлекеттік ақпараттық жүйелер мен ресурстардың құрамына кіретін инфрақұрылымдағы олардың салдарын уақтылы жоюға;

      ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері иелеріне өздеріне тиесілі технологиялық процестерді автоматтандырылған басқару жүйелерінің қауіпсіздігіне ықтимал әсер ету туралы уақтылы ақпарат алуға;

      Ұлттық Банк пен екінші деңгейдегі банктерге қаржы-банк жүйесіндегі өзекті қауіптер туралы қосымша ақпарат алуға мүмкіндік береді.

      Қорғаныс министрлігі елдің әскери ұйымын дамыту шеңберінде ведомстволық ақпараттық ресурстарды тиімді қорғау, компьютерлік атакаларды болжау және уақтылы анықтау бойынша жүйені құру, оларды бағалау және мемлекеттің әскери қауіпсіздігіне қауіп төндіруі тұрғысынан жіктеу бойынша ұсыныстар әзірлеуі қажет.

      Халықаралық құқықтар нормалары мен қағидаттары, халықаралық ақпараттық қауіпсіздік жүйесі негізінде нығайту бойынша бастамаларды жүзеге асыруды басымдық ретінде белгілеу арқылы ақпараттық саладағы халықаралық қоғамдастық қатысушылары арасында "цифрлық" айырмашылықты жоюға бағытталған Қазақстан Республикасының ұлттық мүдделерін сыртқы саяси және сыртқы экономикалық деңгейде дәйекті түрде ілгерілету.

      Екіжақты және көпжақты дипломатия шеңберінде технологиялық даму жолын таңдауда мемлекеттердің егемендік теңдігі сөзсіз сақталған жағдайда АКТ-ны соғыс мақсаттарына пайдалануға қарсы ниеттегі, халықаралық ақпараттық қауіпсіздік саласындағы сенім шараларын нығайту, ашықтық бағдарын ұстанатын, қуатты әрі дәйекті серіктес ретінде Қазақстанның рөлін нығайтуды жалғастыру маңызды. Халықаралық, өңірлік және субөңірлік ұйымдар (БҰҰ, ШЫҰ, ЕАЭО, ҰҚШҰ, ТМД және т.б.) түйінді диалог алаңдарына айналуы тиіс, олардың бастамаларын түрлі халықаралық форматтарда бұдан әрі ілгерілету қажет.

      "Қазақстанның киберқалқаны" тұжырымдамасын үйлестірілген түрде іске асыру Қазақстанның Киберқауіпсіздіктің жаһандық индексінде орнын едәуір ілгерілетуге және 2022 жылға қарай 0,600 индексіне жетуге көмектеседі.

      Қажетті ресурстар

      2017 – 2022 жылдары Тұжырымдаманы іске асыруға мүдделі мемлекеттік органдардың ағымдағы бюджеттік бағдарламалары аясындағы және "Цифрлы Қазақстан" мемлекеттік бағдарламасын іске асыру жоспарында көзделген мемлекеттік бюджет қаражаты бағытталатын болады.

6. Тұжырымдаманы іске асыру көзделетін нормативтік құқықтық актілердің тізбесі

      Осы Тұжырымдаманы іске асыру кезеңінде қойылған міндеттерге және мақсаттарға жету мынадай нормативтік құқықтық актілер арқылы жүзеге асыру болжамдалады:

      1. 2014 жылғы 3 шiлдедегі Қазақстан Республикасының Қылмыстық кодексi.

      2. 2014 жылғы 5 шілдедегі "Әкімшілік құқық бұзушылық туралы" Қазақстан Республикасының Кодексі.

      3. 2015 жылғы 29 қазандағы Қазақстан Республикасының Кәсіпкерлік Кодексі.

      4. "Жедел-iздестiру қызметi туралы" 1994 жылғы 15 қыркүйектегі Қазақстан Республикасының Заңы.

      5. "Қазақстан Республикасындағы банктер және банк қызметі туралы" 1995 жылғы 31 тамыздағы Қазақстан Республикасының Заңы.

      6. "Электрондық құжат және электрондық цифрлық қолтаңба туралы" 2003 жылғы 7 қаңтардағы Қазақстан Республикасының Заңы.

      7. "Байланыс туралы" 2004 жылғы 5 шілдедегі Қазақстан Республикасының Заңы.

      8. "Білім туралы" 2007 жылғы 27 шілдедегі Қазақстан Республикасының Заңы.

      9. "Ғылым туралы" 2011 жылғы 18 ақпандағы Қазақстан Республикасының Заңы.

      10. "Қазақстан Республикасының ұлттық қауіпсіздігі туралы" 2012 жылғы 6 қаңтардағы Қазақстан Республикасының Заңы.

      11. "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасының Заңы.

      12. "Азаматтық қорғау туралы" 2014 жылғы 11 сәуірдегі Қазақстан Республикасының Заңы.

      13. "Рұқсаттар және хабарламалар туралы" 2014 жылғы 16 мамырдағы Қазақстан Республикасының Заңы.

      14. "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы.

      15. "Мемлекеттiк сатып алу туралы" 2015 жылғы 4 желтоқсандағы Қазақстан Республикасының Заңы.

      16. "Ақпаратты Қазақстан – 2020" мемлекеттік бағдарламасы және "Мемлекеттік бағдарламалар тізбесін бекіту туралы" Қазақстан Республикасы Президентінің 2010 жылғы 19 наурыздағы № 957 Жарлығына толықтыру енгізу туралы" Қазақстан Республикасы Президентінің 2013 жылғы 8 қаңтардағы № 464 Жарлығы.

      17. "Білім берудің тиісті деңгейлерінің мемлекеттік жалпыға міндетті білім беру стандарттарын бекіту туралы" Қазақстан Республикасы Үкіметінің 2012 жылғы 23 тамыздағы № 1080 қаулысы.

      18. "Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларын бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысы.

      19. "Ақпараттық-коммуникациялық инфрақұрылым объектілерін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызу қағидалары мен өлшемшарттарын бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 8 қыркүйектегі № 529 қаулысы.

      20. "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы.

      21. "Телекоммуникациялар желілерінің өзара іс-қимыл жасауы мен орталықтан басқарудың бірыңғай қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 29 қаңтардағы № 66 бұйрығы.

      22. "Қауіпсіздік сертификатын беру қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 25 желтоқсандағы № 1240 бұйрығы.

      23. "Қауіпсіздік сертификатын қолдану қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 25 желтоқсандағы № 1241 бұйрығы.

      24. "Телекоммуникациялар желілерінде Қазақстан Республикасы заңнамасының талаптарын сақтау мәселелері бойынша мемлекеттік органдардың өзара іс-қимыл жасасу қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 25 қаңтардағы № 60 бұйрығы.

      25. "Электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін, қорғалуын және қауіпсіз жұмыс істеуін қамтамасыз етудің мониторингін жүргізу қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 26 қаңтардағы № 66 бұйрығы.

      26. "Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 26 қаңтардағы № 63 бұйрығы.

      27. "Интернетке қоғамдық қол жеткізу пункттерінде Интернетке қол жеткізудің қызметтерін көрсету қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 26 қаңтардағы № 67 бұйрығы.

      28. "Қалааралық және халықаралық байланыс операторларының желілерін интернет-трафик алмасу нүктесіне жалғау қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 26 қаңтардағы № 65 бұйрығы.

      29. "Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесін бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 108 бұйрығы.

      30. "Интернеттің қазақстандық сегментiнiң кеңістігінде домендiк аттарды тiркеу, пайдалану және бөлу қағидаларын бекiту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 118 бұйрығы.

Об утверждении Концепции кибербезопасности ("Киберщит Казахстана")

Постановление Правительства Республики Казахстан от 30 июня 2017 года № 407.

      В целях реализации Указа Президента Республики Казахстан от 15 февраля 2017 года № 422 "О мерах по реализации Послания Главы государства народу Казахстана от 31 января 2017 года "Третья модернизация Казахстана: глобальная конкурентоспособность" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемую Концепцию кибербезопасности ("Киберщит Казахстана") (далее – Концепция).

      2. Центральным государственным органам Республики Казахстан:

      1) принять необходимые меры по реализации Концепции;

      2) представлять раз в полугодие не позднее 10 числа месяца, следующего за отчетным полугодием, информацию в Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан о ходе реализации Концепции.

      Сноска. Пункт 2 с изменением, внесенным постановлением Правительства РК от 17.03.2023 № 236 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      3. Министерству цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан:

      1) в трехмесячный срок разработать План мероприятий по реализации Концепции и в установленном законодательством порядке внести на рассмотрение в Правительство Республики Казахстан;

      2) представлять два раза в год, к 25 июля и 25 января, сводную информацию о ходе реализации Концепции в Аппарат Правительства Республики Казахстан.

      Сноска. Пункт 3 с изменениями, внесенными постановлением Правительства РК от 17.03.2023 № 236 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. Контроль за исполнением настоящего постановления возложить на Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      Сноска. Пункт 4 - в редакции постановления Правительства РК от 17.03.2023 № 236 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      5. Настоящее постановление вводится в действие со дня его подписания.

      Премьер-Министр
Республики Казахстан
Б. Сагинтаев

  Утверждена
постановлением Правительства
Республики Казахстан
от 30 июня 2017 года № 407

КОНЦЕПЦИЯ
кибербезопасности ("Киберщит Казахстана")

      Содержание

      1. Введение

      2. Анализ текущей ситуации

      3. Международный опыт

      4. Цель, задачи, ожидаемые результаты и период реализации

      5. Основные принципы и подходы

      6. Перечень нормативных правовых актов, посредством которых предполагается реализация Концепции

1. Введение

      Концепция кибербезопасности ("Киберщит Казахстана") (далее – Концепция) разработана в соответствии с Посланием Президента Республики Казахстан "Третья модернизация Казахстана: Глобальная конкурентоспособность" с учетом подходов Стратегии "Казахстан-2050" по вхождению Казахстана в число 30-ти самых развитых государств мира.

      Концепция основана на оценке текущей ситуации в сфере информатизации государственных органов, автоматизации государственных услуг, перспектив развития "цифровой" экономики и технологической модернизации производственных процессов в промышленности, расширения сферы оказания информационно-коммуникационных услуг.

      Концепция определяет основные направления реализации государственной политики в сфере защиты электронных информационных ресурсов, информационных систем и сетей телекоммуникаций, обеспечения безопасного использования информационно-коммуникационных технологий (далее – ИКТ).

      Концепция призвана обеспечить единство подходов к мониторингу обеспечения информационной безопасности государственных органов, физических и юридических лиц, а также выработку механизмов предупреждения и оперативного реагирования на инциденты информационной безопасности, в том числе в условиях чрезвычайных ситуаций социального, природного и техногенного характера, введения чрезвычайного или военного положения.

      При разработке Концепции изучен международный опыт в области формирования подходов к защите национальной информационно-коммуникационной инфраструктуры государств-лидеров в сфере разработки и использования информационно-коммуникационных технологий, так и стран, стремящихся расширить сферу их применения для достижения целей социально-экономического развития.

      Выполнение данной Концепции послужит дальнейшей модернизации казахстанского общества и станет вкладом Казахстана в реализацию Глобальной программы кибербезопасности ООН.

Термины и определения

      Для целей настоящей Концепции под кибербезопасностью понимаются состояние защищенности информации в электронной форме и среды ее обработки, хранения, передачи (электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры) от внешних и внутренних угроз, то есть информационная безопасность в сфере информатизации.

      Защита информации или электронных информационных ресурсов и информационных систем – комплекс физических, технических, программных, криптографических и административных мер, направленных на обеспечение информационной безопасности.

      Классическая модель информационной безопасности базируется на обеспечении трех значимых для безопасности информации атрибутов: конфиденциальность, целостность и доступность.

      Конфиденциальность информации означает, что с ней может ознакомиться только строго ограниченный круг лиц, определенный ее владельцем.

      Если доступ к информации получает неуполномоченное лицо, происходят несанкционированный доступ или нарушение конфиденциальности.

      Для некоторых видов защищаемых законом или владельцем типов информации конфиденциальность является одним из наиболее важных атрибутов (служебная информация, охраняемые законом виды тайн, персональные данные ограниченного доступа, например, сведения о клиентах банка, кредиторах, налоговые данные, сведения медицинских учреждений о состоянии здоровья пациентов и т. д.).

      Целостность информации – способность информации (данных) сохраняться в неискаженном виде. Неправомочные и не предусмотренные владельцем изменения информации (в результате ошибки оператора или преднамеренного действия неуполномоченного лица) приводят к нарушению целостности.

      Особенно важна целостность данных, связанных с функционированием объектов критической информационно-коммуникационной инфраструктуры (например, автоматизированные системы управления воздушным движением, электро и энергоснабжения и так далее).

      Доступность информации определяется способностью информационной системы предоставлять своевременный беспрепятственный доступ к информации субъектам, обладающим соответствующими полномочиями. Уничтожение или блокирование информации (в результате ошибки или преднамеренного действия) приводят к потере доступности.

      Доступность – важный атрибут для функционирования информационных систем, ориентированных на обслуживание клиентов путем предоставления информационно-коммуникационных услуг (информационные системы продажи железнодорожных и авиационных билетов, банковских услуг, распространение продукции Интернет-ресурсами и электронными СМИ в Интернете). Ситуацию, когда уполномоченный пользователь не может получить доступ к определенным услугам (чаще всего сетевым), называют отказом в обслуживании.

      В связи с развитием коммуникационных (сетевых технологий) также дополнительно выделяют еще два свойства информационной безопасности, связанные с личностью лица, управляющего или использующего информационную систему или электронный информационный ресурс с использованием сети удаленно: аутентичность и апеллируемость.

      Аутентичность – возможность достоверно установить автора юридически значимого действия с информацией или сообщения в сфере оказания информационно-коммуникационных услуг, например, в электронной коммерции, когда используются электронно-цифровая подпись или иной способ аутентификации.

      Апеллируемость (неотрекаемость) – возможность при отказе от авторства доказать, что автором действий с информацией в информационной системе или ресурсе является именно данный пользователь и никто другой путем регистрации совершаемых действий.

      Аутентификация (установление подлинности) – проверка принадлежности к субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.

      Идентификация – присвоение субъектам доступа к информационной системе или электронному ресурсу личного идентификатора, обеспечивающего установление подлинности и определение полномочий субъекта при его допуске в информационную систему, контроль полномочий в процессе сеанса работы и регистрацию действий.

      Идентификация и аутентификация – основа современных программно-технических средств безопасности, так как любые ИКТ-услуги и сервисы в основном рассчитаны на обслуживание субъектов-пользователей.

      Угроза информационной безопасности – потенциально возможное событие, процесс или явление, которые посредством воздействия на информацию или компоненты информационной системы или ресурса могут прямо или косвенно привести к нанесению ущерба интересам владельцев и пользователей.

      Наиболее распространенные угрозы информационной безопасности – это сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и так далее), неправильное хранение архивных данных, нарушения прав доступа к данным, некорректная работа пользователей и обслуживающего персонала, потери информации (из-за несанкционированного доступа или инфицирования вредоносными программами – компьютерными вирусами).

      Компьютерная атака – целенаправленная попытка реализации угрозы несанкционированного воздействия на информацию, электронный ресурс, информационную систему или получения доступа к ним с применением программных или программно–аппаратных средств (или протоколов межсетевого взаимодействия).

      Все иные термины приведены в значениях, используемых в Конституции Республики Казахстан, Уголовном кодексе Республики Казахстан, Кодексе Республики Казахстан "Об административных правонарушениях", законах Республики Казахстан "О национальной безопасности Республики Казахстан", "О государственных секретах", "О противодействии терроризму", "Об электронном документе и электронной цифровой подписи", "Об информатизации", "О техническом регулировании", "О разрешениях и уведомлениях", "О средствах массовой информации", "О связи", "О персональных данных и их защите", "О доступе к информации" и национальных технических стандартах.

2. Анализ текущей ситуации

      Характерная для последних десятилетий общемировая тенденция внедрения достижений информационно-коммуникационных технологий с темпами, существенно опережающими формирование культуры их использования, и укоренения общественных и производственных отношений, характерных для "информационного общества", в первую очередь, в вопросах обеспечения кибербезопасности, в Казахстане также находит свое подтверждение.

      Тем не менее, начиная с 1998 года, когда было принято постановление Правительства Республики Казахстан от 31 декабря 1998 года № 1384 "О координации работ по формированию и развитию национальной информационной инфраструктуры, процессов информатизации и обеспечению информационной безопасности", было принято 3 новых редакции законов Республики Казахстан "Об информатизации" (2003, 2007, 2015 годы) и несколько специализированных законов Республики Казахстан о внесении в них соответствующих изменений по вопросам электронных форматов представления информации (данных) в том числе по вопросам информационно-коммуникационных сетей, "электронного правительства".

      За прошедший период электронные информационные ресурсы и информационные системы введены в хозяйственный оборот наряду с другими видами имущественных активов, расширена сфера их рыночного использования.

      Сфера автоматизации государственных услуг, рынок электронной коммерции и электронных платежей развиваются на принципах обеспечения безопасности личности, общества и государства при применении информационно-коммуникационных технологий, а также осуществления деятельности на основе единых стандартов, обеспечивающих надежность и управляемость объектов информатизации и связи.

      С этапа становления вопросов информационной безопасности с учетом характера содержащейся информации дифференцированы правовые режимы общедоступных и конфиденциальных электронных информационных ресурсов и систем, установлены права и обязанности собственников, владельцев и пользователей по их защите.

      Деятельность государственных органов и других субъектов по обеспечению информационной безопасности в области информатизации и связи осуществляется в соответствии с их отраслевой компетенцией, а также целями и задачами в предметных областях, связанных с использованием ИКТ (регулирование связи и информационных технологий, защита персональных данных, защита государственных секретов, противодействие деятельности иностранных технических разведок, оперативно-розыскная деятельность на сетях связи, расследование преступлений, совершаемых с использованием ИКТ и другие).

      В целом, в Республике Казахстан организационно-правовые и технические основы системы мер по обеспечению информационной безопасности в области информатизации и связи (кибербезопасности) формировались и законодательно закреплялись как составляющие информационной безопасности и обеспечения безопасности информационного пространства и инфраструктуры связи в соответствии с Законом Республики Казахстан "О национальной безопасности".

      В последние годы различные взаимоувязанные аспекты обеспечения информационной безопасности в области информатизации и связи нашли свое отражение и развитие в Уголовном кодексе Республики Казахстан, Кодексе Республики Казахстан "Об административных правонарушениях", законах Республики Казахстан "О государственных секретах", "О персональных данных и их защите", "Об электронном документе и электронной цифровой подписи", "О связи", и целом ряде подзаконных актов, разработанных в реализацию новой редакции Закона Республики Казахстан "Об информатизации", вступившего в силу с 1 января 2016 года.

      Ряд подзаконных актов, принятых в последнее время, еще не получил развернутой правоприменительной практики. В частности, постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности" (далее – Единые требования), представляющих собой кодификацию правовых и технических норм из национальных и гармонизированных стандартов. Документ подробно описывает процедуры и правила по использованию информационно-коммуникационных технологий при обработке защищаемых законом видов информации, содержит важные нормы по обеспечению технологической безопасности информационной инфраструктуры, информационных систем и ресурсов, программного обеспечения, технических средств на всех этапах их жизненного цикла.

      На законодательном уровне регламентировано функционирование системы мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства", включающих в себя как государственные, так и негосударственные информационные системы, интегрируемые с государственными.

      В Правилах проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации "электронного правительства", утвержденных приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 66, заложены основные принципы взаимодействия между заинтересованными сторонами при технологических сбоях или признаках компьютерных атак, а также алгоритмы реагирования на возникающие события и инциденты информационной безопасности.

      Центр мониторинга безопасности "электронного правительства" ежедневно выявляет не устраненные уязвимости, о чем для принятия мер направляет уведомления владельцам информационных систем, являющиеся его компонентами. Имеется положительная динамика выявляемых уязвимостей и принимаемых в отношении них мер. Так в 2014 году было выявлена 1241 не устраненная уязвимость, в 2015 – 469, в 2016 – 355.

      Также постановлением Правительства Республики Казахстан от 8 сентября 2016 года № 529 утверждены Правила и критерии отнесения объектов к критически важным объектам информационно-коммуникационной инфраструктуры из числа особо важных государственных и стратегических объектов, а также объектов отраслей экономики, имеющих стратегическое значение.

      На подобные объекты, вошедшие в перечень критически важных объектов информационно-коммуникационной инфраструктуры, распространяются Единые требования, а также необходимость участия в предусмотренных законодательством совместных мероприятиях по обеспечению мониторинга их информационной безопасности, защиты и безопасного функционирования, включая обязанность информирования об инцидентах информационной безопасности.

      Совершенствуются процедуры введения информационных систем в промышленную эксплуатацию. В этой связи, законодательно дифференцированы меры безопасности к информационным системам в зависимости от их отнесения к определенному классу, ограничен срок нахождения информационной системы в режиме опытной эксплуатации.

      На соответствие требованиям информационной безопасности проведено более 500 аттестационных обследований государственных и негосударственных информационных систем, интегрируемых с государственными, по результатам которых выдано 199 аттестатов, являющихся основанием для введения в промышленную эксплуатацию. Оставшаяся часть информационных систем в соответствии с Законом Республики Казахстан "Об информатизации" должны быть аттестована до конца 2018 года.

      С 1 января 2016 года информационные системы государственных органов, негосударственные информационные системы, интегрируемые с государственными информационными системами на этапе опытной эксплуатации, проходят испытания на соответствие требованиям информационной безопасности. Во время испытаний проверке подвергаются исходные коды, настройки функций безопасности, обследуется сетевое и серверное оборудование и осуществляется нагрузочное тестирование.

      Результаты проведения испытаний отражаются в повышении защищенности и отказоустойчивости информационных систем, безопасности программного обеспечения информационных систем, снижении влияния факторов нарушений информационной безопасности информационных систем, внедрении механизмов контроля и мониторинга безопасности информационных систем.

      Система технического регулирования предусматривает подтверждение соответствия программного обеспечения и телекоммуникационного оборудования, в том числе с определением случаев их обязательной сертификации при использовании в государственном секторе. В этих целях ежегодно актуализируется свод национальных и гармонизированных технических стандартов в сфере информационной безопасности, защиты информации, безопасности информационных технологий. В настоящее время это 68 технических стандартов.

      Благодаря централизации подключения к Интернету через Единый шлюз доступа к Интернету государственных органов существенно снижены угрозы несанкционированного доступа и вредоносного воздействия на электронные информационные ресурсы государственных органов. На ежедневной основе фиксируется и отражается более 180 миллионов атак различного уровня.

      Создана и совершенствуется система правовых, организационных, технических и криптографических мер защиты государственных секретов, обрабатываемых с использованием средств вычислительной техники.

      Наиболее чувствительная для безопасности государства информация в электронной форме передается только через сети телекоммуникаций специального назначения, физически отделенные от Интернета и использующие криптографические средства защиты информации.

      Подходы к обеспечению безопасности инфраструктуры связи и сетей телекоммуникаций общего пользования выстраиваются вокруг системы централизованного управления сетями телекоммуникаций, через возможности магистральных операторов связи, реализующих на пограничном оборудовании концепцию "электронной границы".

      Национальный сегмент Интернета насчитывает более 120 тысяч Интернет-ресурсов в доменах .KZ и .ҚАЗ, в соответствии с законодательством физически размещаемых на территории Республики Казахстан. В целях оказания содействия владельцам и пользователям информационных ресурсов и систем по вопросам безопасного использования ИКТ с 2010 года функционирует национальная Служба реагирования на компьютерные инциденты KZ-CERT. Служба является участником ряда международных организаций, в т.ч. FIRST (Forum of Incident Response and Security Teams), TI (Trusted Introducer for Security and Incident Response Teams), OIC-CERT (Организация исламского взаимодействия Служб реагирования на компьютерные инциденты).

      Службой заключено 20 меморандумов о взаимопонимании и сотрудничестве с профильными структурами зарубежных стран, зафиксировано и обработано более 66 тысяч инцидентов информационной безопасности.

      На казахстанском рынке появились первые отечественные компании, занимающиеся инструментальным аудитом по оценке защищенности (тестированием на проникновение) на соответствие требованиям информационной безопасности и специализирующиеся на исследовании обстоятельств, причин и условий инцидентов информационной безопасности, а также техническом исследовании вредоносного программного обеспечения. Разработаны первые отечественные средства антивирусной защиты.

      В ряде национальных компаний и частных структурах существуют подразделения мониторинга технических событий и технологических процессов, которые в круглосуточном режиме ведут дежурство для оперативного реагирования на внештатные ситуации.

      Законодательно определены цели сбора, обработки персональных данных граждан в электронном виде, а также порядок и меры по их защите. Законодательство регламентирует как процедуры их сбора исключительно с согласия граждан, так и уничтожения по их требованию операторами персональных данных, а также условия безопасного хранения персональных данных на территории страны и их трансграничной передачи.

      Требования по безопасности банковских информационных систем обеспечиваются нормативно-правовыми актами Национального Банка Республики Казахстан с учетом отраслевых и международных требований по обеспечению безопасности информационных систем.

      Новая редакция Уголовного кодекса Республики Казахстан, действующая с 2014 года, предусматривает отдельную главу, посвященную преступлениям, совершаемым в сфере информатизации и связи. С учетом квалифицирующих обстоятельств в ней содержится 38 составов преступлений против электронных информационных ресурсов и систем или сетей телекоммуникаций.

      Кодекс Республики Казахстан "Об административных правонарушениях" также содержит ряд составов административных правонарушений, за совершение которых предусмотрены меры административной ответственности, в том числе на должностных лиц, не выполняющих обязанности по обеспечению информационной безопасности в виде нарушения требований по эксплуатации средств защиты электронных информационных ресурсов, невыполнения Единых требований, неосуществления или ненадлежащего осуществления собственником или владельцем информационных систем, содержащих персональные данные, мер по их защите.

      На сегодняшний день в учебные планы специальности "Системы информационной безопасности" кроме изучения прикладных дисциплин включены дисциплины, формирующие знания и навыки по прикладному программированию микропроцессорных систем и устройств, автоматизированному проектированию и разработке радиоэлектронных устройств, используемые в интегрированных системах безопасности.

      Ведущими техническими высшими учебными заведениями страны преподаются дисциплины: "Прикладные инженерные программы", "Микропроцессоры и микропроцессорные системы", "Программирование и реализация встроенных систем".

      Складывается практика проведения аналитических исследований, научно-исследовательских и опытно-конструкторских работ, организации профильных конференций и семинаров, что отражает растущий интерес общества, научных кругов и субъектов информатизации к различным аспектам деятельности в сфере информационной безопасности.

      Проведенное Международным союзом электросвязи исследование "Глобальный индекс кибербезопасности" (далее – Глобальный индекс кибербезопасности), оценивающее правовую, техническую, организационную готовность и потенциал 195 стран, зафиксировало 23 групповое место Казахстана с индексом 0,176 из 29 групп стран.

Ключевые проблемы

      1. В Республике Казахстан за период с 2010 по 2016 год плотность пользователей Интернета увеличилась с 36,1% до 75%, а количество пользователей мобильного Интернета с 3 миллионов 694 тысяч практически утроилось и достигло 10 миллионов 567 тысяч. Такое экспоненциальное увеличение числа пользователей Интернета повышает критичность и делает более ощутимыми последствия в случае отказов или вредоносного воздействия на технические средства.

      Распространенность вредоносных программ для персональных компьютеров и мобильных устройств растет вместе с числом их пользователей. При этом подавляющее большинство пользователей не используют специализированное программное обеспечение для защиты своих персональных компьютеров, смартфонов, планшетов.

      Этот фактор эксплуатируется "хакерами", что каждый день приводит к увеличению количества атак, нацеленных на заражение абонентских устройств вредоносным программным обеспечением.

      В то время, как количество абонентских устройств, подключенных к Интернету, увеличивается и большинство пользователей продолжает игнорировать меры "цифровой гигиены" в отношении себя и принадлежащих им устройств, концепция "Интернета вещей" только усиливает проблему их безопасного использования.

      Если традиционные электронные устройства, такие как персональные компьютеры и ноутбуки имеют возможности по установке и обновлению антивирусного программного обеспечения, то пользователи "Интернета вещей", часто даже не знают, как обезопасить их функционирование.

      Такие устройства пока, в принципе, создаются без учета технологических рисков, что делает их потенциальными элементами вредоносных сетей, ("ботнет"), используемых для осуществления различных сетевых атак, направленных на потерю доступности информационных систем и влекущих для добросовестных пользователей отказ в обслуживании при оказании информационно-коммуникационных услуг.

      Пренебрежение соображениями безопасности при использовании Интернет-ресурсов и социальных сетей ведет к повышенному риску для неприкосновенности частной жизни, несанкционированному использованию или модификации общедоступных персональных данных, а также разглашению персональных данных ограниченного доступа или их экстерриториальной доступности для преступных сообществ или разведывательных структур при их хранении на территории других государств.

      Низкая правовая грамотность по вопросам информационной безопасности и отсутствие сформировавшихся потребностей в ее повышении у населения, работников сферы ИКТ и руководителей организаций создают питательную почву для развития правонарушений и преступлений в информационной сфере.

      Отсутствие знаний о правовых ограничениях создает иллюзию дозволенности действий, нарушающих права и свободы других граждан, права обладателей авторских и смежных прав на программное обеспечение и влияющих на функционирование информационных ресурсов.

      Таким образом, низкий уровень цифровой грамотности конечных пользователей в вопросах защиты персональных данных при отсутствии базовых знаний по общим методам распространения вредоносных компьютерных программ и программных продуктов (особенно "фишинговые" страницы поддельных интернет-магазинов и банков, распространение вирусных и "троянских" программ через "взломанные" сайты, скачивание нелицензионного ("пиратского") программного обеспечения) приводят к тысячам случаев, когда граждане Республики Казахстан становятся жертвами, а принадлежащие им технические средства орудиями противоправного использования ИКТ.

      2. Недостаточная осведомленность в методах защиты информации и низкая обеспеченность в системах информационной безопасности предприятий малого и среднего бизнеса, в том числе занятых в сфере оказания информационно-коммуникационных услуг, которые зачастую даже не могут оценить состояние принадлежащей информационно-коммуникационной инфраструктуры, приводят к большому количеству не анализируемых событий и инцидентов информационной безопасности, затрудняющих как профилактику технологических уязвимостей, так и борьбу с преступниками, использующими ИКТ как средство для совершения преступлений.

      Кроме того, такие хозяйствующие субъекты представляют угрозу для других, в первую очередь, крупных предприятий или государственных органов и организаций, с которыми они работают в качестве партнеров или подрядчиков.

      При этом, крупный частный и финансовый сектор склонен полагаться исключительно на собственные силы, недооценивая важность совместных усилий и отраслевых инициатив по формированию действительно безопасной среды операционной деятельности.

      В тоже время низкая заинтересованность работодателей и отсутствие профессиональной конкуренции являются демотивирующим фактором для инициативного саморазвития практикующих специалистов в сфере информационной безопасности, а также создают предпосылки для занятия последних незаконными видами деятельности.

      3. Существующая казахстанская модель школьного, средне-специального, высшего и послевузовского образования в области ИКТ, включая специализацию в сфере информационной безопасности, требует постоянного и тщательного анализа со стороны всех заинтересованных лиц (включая Министерство образования и науки Республики Казахстан, высшие учебные заведения и потенциальных работодателей) на предмет соответствия современным потребностям общества и тенденциям обеспечения безопасного развития информационных технологий в виду динамического развития данной области.

      В частности, периодического пересмотра требуют образовательные и профессиональные стандарты, классификаторы специальностей, дисциплины, их контентное содержание и результаты обучения. Возникает необходимость разработки механизма, позволяющего более гибко реагировать на современные вызовы в области ИКТ. В виду того, что знания в данной области быстро устаревают, требуется периодическое подтверждение квалификации специалистов.

      Из 93 высших учебных заведений, в которых готовят специалистов в сфере ИКТ, только 7 готовят специалистов по специальности "Системы информационной безопасности". Из 32439 студентов, обучавшихся в 2015-2016 годах, в указанных высших учебных заведениях только 362 (1,1%) обучались по специальности "Системы информационной безопасности", из них по государственному заказу 226 человек. Плановый выпуск в 2016 году составил 85 выпускников.

      В 2016-2017 учебном году по государственному заказу на подготовку специалистов по специальности "Системы информационной безопасности" выделено 40 мест, 2014-2015 году – 60 мест, 2015-2016 году – 60 мест.

      В этой связи будет уделено повышенное внимание на профориентационную работу по специальности "Системы информационной безопасности", в том числе обращено внимание абитуриентов на актуальность данной специальности, потребность специалистов данного профиля в индустрии.

      Прием абитуриентов на обучение по специальности "Системы информационной безопасности" на коммерческой основе в недостаточной мере продвигается и рекламируется. Специальные дисциплины лишены наполнения, необходимого для применения выпускниками в специальных государственных органах после завершения обучения.

      В учебных программах не учитываются требования к знаниям, умениям и навыкам профессионального стандарта "Специалист по информационной безопасности", утвержденного Национальной палатой предпринимателей "Атамекен" и основанного на отраслевой рамке квалификации.

      Как следствие, в сфере ИКТ существует нехватка специалистов по информационной безопасности, как в государственном, так и частном секторе. Так в центральных государственных органах обеспеченность составляет всего 25%, в местных – 6%.

      4. Отечественный сектор IT-отрасли не вносит существенного практического вклада в программу диверсификации национальной экономики (менее 5 процентов продуктов из используемых в государственном секторе имеют казахстанское происхождение), а культура кибербезопасности, в том числе производственная культура в сфере разработки и использования продуктов, не всегда является определяющей.

      Несмотря на достигнутый высокий уровень информатизации сферы государственного управления, включая оборону и безопасность, широкое использование ИКТ в различных сферах жизни личности и общества, Казахстан как страна, пока, в значительной мере импортирует (заимствует) не только IT-технологии, но и готовые программные продукты, включая продукты обеспечения информационной безопасности в сфере информатизации и связи, что указывает с одной стороны на давление со стороны гигантов IT-индустрии, а с другой на недостаточность принимаемых усилий и мер по их рациональному замещению с опорой на собственные силы в критически важных сферах разработок, от которых зависит обеспечение безопасности государства.

      5. Меры, связанные с автоматизацией государственных функций и оказанием государственных услуг в электронной форме, а также продолжающаяся цифровизация доступа к информации о деятельности государственных органов несут в себе определенные риски.

      Некачественные услуги и приложения, предоставляемые гражданам и частным организациям в рамках "электронного правительства", в том числе машиночитаемые открытые данные, могут привести к нарушению прав и законных интересов граждан.

      Отклонения от установленных требований технических стандартов, вызванные низким уровнем производственной и эксплуатационной культуры, небрежность и халатность со стороны заказчиков и разработчиков решений на этапе создания, принцип остаточного финансирования обеспечения информационных систем системами защиты информации и контроля защищенности несут в себе высокие риски технологических сбоев.

      Несвоевременное устранение владельцами информационных систем уязвимостей в программном обеспечении существенно увеличивает угрозы несанкционированного доступа.

      Объем данных, обрабатываемых в государственном и частном секторах, растет, что приводит к необходимости выработки новых форм их хранения. В тоже время, такие формы хранения данных как облачное хранилище или использование онлайн-сервисов часто основываются операторами и поставщиками услуг на непрозрачных или не стандартизованных решениях, в том числе с точки зрения безопасности данных. При этом гармонизированные стандарты значительно отличаются от первоисточника из-за низкого качества их перевода и адаптации.

      Ситуация усугубляется возможностью намеренного внедрения в программное обеспечение и телекоммуникационное оборудование не декларируемых функций (так называемых "бэкдоров"), которые не всегда могут быть выявлены на этапе сертификации, устранения уязвимостей в процессе эксплуатации или распознаны антивирусными программами и потому могут быть использованы для нарушения работы информационных систем и сетей телекоммуникаций.

      6. Транснациональный и трансграничный характер многих продуктов ИКТ и международная связанность сетей телекоммуникаций общего пользования используются преступностью в целях совершения противоправных действий в отношении пользователей и операторов ИКТ-услуг и владельцев Интернет-ресурсов, размещенных в национальном сегменте, а также информационных систем, взаимодействующих с Интернетом.

      Высокая латентность и зачастую международный характер таких преступлений повышают их общественную опасность. Ситуация усугубляется укоренившимися в обществе стереотипами о безнаказанности так называемой "киберпреступности", ненужности принимаемых государством мер по укреплению сферы безопасного использования ИКТ, ограниченными возможностями органов правопорядка по привлечению к ответственности виновных в совершении высокотехнологичных преступлений, несмотря на развитые уголовно-правовые институты информационной безопасности.

      7. Нагнетаемая отдельными странами милитаризация сферы ИКТ, трудности в доказывании причастности государств к использованию ИКТ в нарушение принципов международного права, вызванные в значительной степени стихийно сложившимся характером существующей международной системы управления Интернетом, сохраняющийся цифровой разрыв между странами препятствует формированию в мировом сообществе надежных международно-правовых инструментов предотвращения военного использования достижений в сфере информатизации и телекоммуникаций.

      При этом по своей сути арсенал, используемый в военных целях, не отличается от арсенала программно-технических средств, используемых киберпреступностью, о чем свидетельствуют массовые случаи использования ИКТ в разведывательных, подрывных и иных целях, угрожающих поддержанию международного мира и безопасности.

      Таким образом, Казахстан в сфере кибербезопасности испытывает такие серьезные угрозы как:

      низкая правовая грамотность населения, работников сферы ИКТ и руководителей организаций по вопросам информационной безопасности;

      нарушение государственными и негосударственными субъектами информатизации и пользователями услуг в сфере ИКТ установленных требований, технических стандартов и регламентов сбора, обработки, хранения и передачи информации в электронной форме;

      непреднамеренные ошибки персонала и технологические сбои, оказывающие негативное воздействие на информационные системы, программное обеспечение и другие элементы информационно-коммуникационной инфраструктуры;

      действия международных преступных групп, сообществ и отдельных лиц по осуществлению хищений в финансово-банковской сфере, вредоносного воздействия в целях нарушения работы автоматизированных систем управления технологическими процессами промышленности, энергетики, связи и в сфере информационно-коммуникационных услуг;

      деятельность политических, экономических, террористических структур, разведывательных и специальных служб иностранных государств, направленная против интересов Республики Казахстан, путем оказания разведывательного и подрывного воздействия на информационно-коммуникационную инфраструктуру.

3. Международный опыт

      Термин "кибербезопасность" и его производные (киберпространство, киберзащита, кибератаки, кибернападение и другие) не имеют единого общепризнанного юридического определения на международном уровне.

      В тоже время на уровне ООН имеется ряд документов, таких как Глобальная программа кибербезопасности Международного союза электросвязи или Резолюция Генеральной Ассамблеи ООН "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур", в которых содержатся подходы к пониманию кибербезопасности, охватывающие сферу безопасного использования информационно-коммуникационных технологий в вопросах обеспечения (1) неприкосновенности частной жизни, (2) конфиденциальности, целостности и доступности информации в электронной форме, (3) защиты критической информационно-коммуникационной инфраструктуры, взаимодействующей с Интернетом (в том числе информационных систем, аппаратно-программных комплексов, телекоммуникационных систем, сетей телекоммуникаций, систем защиты информации, программного обеспечения) от вредоносного воздействия программно-техническими методами.

      При этом многие страны не рассматривают в руководящих документах вопросы защиты от вредной или незаконной информации, распространяемой с использованием ИКТ в контексте понимания кибербезопасности из-за опасений в чрезмерном ограничении права на доступ и свободное распространение информации.

      Отдельные страны рассматривают через призму кибербезопасности только неконтролируемое распространение в Интернете, как всемирной системе объединенных сетей телекоммуникаций и вычислительных ресурсов, электронных материалов, пропагандирующих терроризм, детскую порнографию и некоторые виды незаконной информации, в первую очередь, по причине технической сложности установления источника распространения такой информации.

      При этом некоторые страны в оценке угроз и принимаемых в отношении них мер противодействия придерживаются понятия информационной безопасности применительно ко всем аспектам использования ИКТ, выстраивая соответствующую модель правового регулирования и системы государственного управления.

      Так, например, стратегия Норвегии отмечает, что новые услуги и устройства предъявляют весьма высокие требования к компетенции простых пользователей. Но главная ответственность за обеспечение безопасности информации, систем и сетей возлагается на владельца или оператора. Такие работы должны быть частью ежедневной работы и финансироваться наряду с текущими операциями. Стоимость мер по содействию информационной безопасности должна быть соразмерна оценке риска в отдельных сферах управления (глобальный индекс кибербезопасности составляет 0,735).

      Эстония придает особое значение безопасности информационных систем. Рекомендуемые меры носят гражданский характер и основываются на правовом регулировании, обучении и сотрудничестве (глобальный индекс кибербезопасности составляет 0,706).

      В основе стратегии Финляндии лежит понимание кибербезопасности как проблемы экономического характера, тесно связанной с развитием финского информационного общества (глобальный индекс кибербезопасности составляет 0,618).

      Словакией обеспечение информационной безопасности рассматривается в качестве необходимого условия нормального функционирования и развития общества. Поэтому цель стратегии – служить прочным фундаментом для защиты информации. Стратегия направлена как на предотвращение угроз, так и на обеспечение готовности и устойчивости средств их предотвращения (глобальный индекс кибербезопасности составляет 0,618).

      Ключевые цели стратегии кибербезопасности Чешской Республики включают в себя защиту информационно-коммуникационных систем от уязвимостей, которым эти системы подвергнуты, и уменьшение потенциального ущерба от атак на системы. Основной фокус стратегии приходится на проблемы свободного доступа к информационным сервисам, целостности и конфиденциальности данных в Чешской Республике (глобальный индекс кибербезопасности составляет 0,500).

      Франция ориентируется на то, чтобы информационные системы были способны противостоять событиям, которые могут отрицательно повлиять на доступность, целостность и конфиденциальность информации, делает упор на технические средства защиты информации, борьбу с киберпреступностью и установлением киберзащиты (глобальный индекс кибербезопасности составляет 0,588).

      Стратегия Германии закладывает основу для безопасности критически важных информационных систем. Германия сосредоточена на предотвращении и уголовном преследовании кибератак, а также выхода из строя IT-оборудования, вызванного случайными факторами. Стратегия кибербезопасности Германии определяет уровень кибербезопасности, достигнутый суммой всех национальных и международных мер, принятых для защиты и доступа к информации и коммуникациям, целостности, достоверности и конфиденциальности данных в киберпространстве, а также укреплением германского технологического суверенитета и экономического потенциала во всем диапазоне основных стратегических IT-компетенций (глобальный индекс кибербезопасности составляет 0,706).

      Программа развития электронной информационной безопасности Литвы ориентируется на определении целей и мероприятий, направленных на обеспечение электронной информационной безопасности, развитие оборота электронной информации, а также обеспечение ее конфиденциальности, доступности и целостности в киберпространстве. Кроме того, стратегия Литвы направлена на защиту персональных данных, телекоммуникационных сетей, информационных систем и критически важных инфраструктур от нарушения безопасности и кибератак из-за пределов "электронного периметра" (глобальный индекс кибербезопасности составляет 0,441).

      Нидерланды, с одной стороны, стремятся к безопасным и надежным информационно-коммуникационным системам, опасаясь серьезных нарушений в этих системах, а с другой стороны, признают необходимость свободы и открытости Интернет-пространства. В стратегии дается определение кибербезопасности. "Кибербезопасность – это защищенность от сбоев и неправильной эксплуатации информационно-телекоммуникационных систем. Сбои и неправильная эксплуатация могут отрицательно повлиять на доступность и надежность информационно-телекоммуникационных систем, поставить под угрозу конфиденциальность и целостность информации, хранящейся в системах" (глобальный индекс кибербезопасности составляет 0,676).

      Стратегия безопасности ИКТ Австрии заключается в распространении интегральных подходов к безопасности, реализованных в системе "электронного правительства", к другим областям, включая те, которые должны быть созданы на транснациональном уровне в целях обеспечения долгосрочной жизнеспособности экономики Австрии (глобальный индекс кибербезопасности составляет 0,676).

      Подход Великобритании направлен на развитие кибербезопасности. Цель: вывести Соединенное Королевство на первое место по инновациям, инвестициям и качеству сервисов в сфере информационно-телекоммуникационных технологий, и тем самым, в полной мере воспользоваться всеми преимуществами и достоинствами киберпространства. Необходимо исключить риски типа кибератак преступников, террористов и других государств с целью сделать киберпространство безопасным для граждан и экономики (глобальный индекс кибербезопасности составляет 0,706).

      Национальная стратегия Швейцарии отмечает необходимость уменьшения влияния преобладающих интересов нескольких стран, участвующих в Интернет-индустрии, рассматривает применение описываемых в ней мер "в мирное время, и тем самым, явным образом исключает войны".

      При этом отказоустойчивая военная инфраструктура рассматривается как важный элемент стратегического резерва для других субъектов в случае полномасштабного кризиса. Поскольку действующее законодательство в различных отраслях отражает кибер-аспекты существующих задач и обязанностей государственного и частного сектора, решение вопросов кибербезопасности в рамках единого специального кибер закона Швейцарии считается непригодным, так как "непрерывно адаптироваться к изменениям должно действующее законодательство" (глобальный индекс кибербезопасности составляет 0,353).

      Таким образом, в каждой стране национальное понимание кибербезопасности и ключевых приоритетов значительно различается.

      Как следствие, различаются и подходы к составлению стратегий кибербезопасности. Тем не менее, руководящие документы, охватывающие вопросы кибербезопасности, как правило, предусматривают:

      - построение государственной системы управления в сфере обеспечения кибербезопасности;

      - определение соответствующего механизма (в основном общественно-государственного партнерства), позволяющего частным и государственным заинтересованным сторонам обсуждать проблемы обеспечения безопасности национальных информационных инфраструктур;

      - определение необходимой политики безопасности и регулирующих механизмов, четкое обозначение ролей, прав и ответственности для частного и государственного сектора (например, обязательное информирование об инцидентах безопасности, базовые меры обеспечения безопасности и руководства к действию, новые нормы материально-технического обеспечения).

      Как свидетельствует мировой опыт, полную защиту от ошибок в программном обеспечении или инцидентов информационной безопасности достигнуть невозможно, но путем осознанного ответственного поведения снизить их частоту и вероятность, обеспечить высокую скорость восстановления работоспособности информационных систем и ресурсов, чтобы не допустить разрушительных последствий, жизненно необходимо.

      Координация этой сферы во многих странах в значительной степени выстраивается вокруг гражданского регулятора в области информационных технологий и связи (Агентство информационной безопасности KISA - Корея, Центр информационной безопасности Министерства информационных технологий – Республика Узбекистан, и др.), либо органа, ответственного за защиту и безопасность информации (Бюро безопасности информационной техники – Германия, Агентство безопасности информационных систем при Министерстве обороны – Франция, Агентство национальной безопасности Чехии, Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю Российской Федерации, Оперативно-аналитический центр при Президенте Республики Беларусь, Служба специальной связи и защиты информации Украины. В Европейском союзе регулятором в этой сфере является Агентство информационной и сетевой безопасности).

4. Цели, задачи, ожидаемые результаты и период реализации

      Целями Концепции являются достижение и поддержание уровня защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз, обеспечивающего устойчивое развитие Республики Казахстан в условиях глобальной конкуренции.

Задачи Концепции:

      1. Формирование необходимых условий для повышения осведомленности об угрозах, развития человеческого капитала и потенциала отечественной отрасли ИКТ по созданию программных продуктов и систем кибербезопасности, направленных на блокирование и подавление вредоносного программно-технического воздействия и защищенного телекоммуникационного оборудования.

      2. Совершенствование правоприменительной практики, методологической базы, нормативно-правового и организационно-технического обеспечения безопасного использования ИКТ в национальной системе защиты информации и безопасности автоматизированных систем управления технологическими процессами.

      3. Создание высоко адаптивной и интегрированной системы государственного управления информационной безопасностью в сфере информатизации и связи в отношении всей национальной информационно-коммуникационной инфраструктуры.

Ожидаемые результаты:

      1) глобальный индекс кибербезопасности Казахстана к 2017 году составит 0,200, к 2018 году – 0,300, к 2019 году – 0,400, к 2020 году – 0,500, к 2021 году – 0,550, к 2022 году – 0,600;

      2) повышение осведомленности об угрозах информационной безопасности к базовому периоду 2018 года в 2019 году – на 5%, в 2020 году – на 10%, в 2021 году – на 15%, в 2022 году – на 20%;

      3) количество переподготовленных специалистов в сфере информационной безопасности в 2018 году – 300, в 2019 году – 500, в 2020 году – 600, в 2021 году – 700, в 2022 году – 800;

      4) увеличение доли отечественных программных продуктов в сфере информатизации и связи, используемых в государственном и квазигосударственном секторах к базовому периоду 2017 года в 2018 году – на 10%, в 2019 году – на 20%, в 2020 году – 30%, в 2021 году – 40%, в 2022 году – 50%;

      5) доля использования отечественных сертификатов безопасности при шифрованной передачи данных Интернет-ресурсами с доменом .KZ и .ҚАЗ в 2018 году составит 20%, в 2019 году – 40%, в 2020 году – 60%, в 2021 году – 80%, в 2022 году – 100%;

      6) доля информационных систем государственных органов, негосударственных информационных систем, интегрируемых с государственными, информационных систем критически важных объектов информационно-коммуникационной инфраструктуры, подключенных к центрам мониторинга информационной безопасности, в 2018 году – 20%, в 2019 году – 40%, в 2020 году – 60%, в 2021 году – 80%, к 2022 году – 100%.

Период реализации Концепции включает два этапа:

      1) первый этап 2017-2018 годы;

      2) второй этап 2019-2022 годы.

      На первом этапе будут:

      - сформирована развернутая правоприменительная практика соблюдения уже установленных требований в сфере обеспечения информационной безопасности, по результатам которого будут внесены необходимые изменения в законодательство;

      - проведена ревизия образовательных программ и профессиональных стандартов, увеличено количество и качество подготавливаемых специалистов в области информационной безопасности, обеспечено повышение квалификации действующих работников, занятых в этой сфере;

      - выстроена эффективная схема взаимодействия и кооперации между промышленностью и наукой в создании отечественных разработок, что создаст основу для развития национального и отраслевых оперативных центров информационной безопасности, что позволит на втором этапе обеспечить:

      - ключевое участие казахстанских IT-компаний в обеспечении национальной информационно-коммуникационной инфраструктуры системами информационной безопасности;

      - загрузку отечественных предприятий электронной промышленности заказами на приобретение государственными органами и квазигосударственным сектором телекоммуникационного оборудования, произведенного и прошедшего процедуры сертификации на соответствие требованиям информационной безопасности на территории страны.

5. Основные принципы и подходы

Основные принципы:

      1) соблюдение прав, свобод и законных интересов физических лиц, а также прав и законных интересов юридических лиц;

      2) обеспечение безопасности личности, общества и государства при применении информационно-коммуникационных технологий;

      3) осуществление деятельности по информатизации на территории Республики Казахстан на основе единых стандартов, обеспечивающих надежность и управляемость объектов информатизации;

      4) четкое разграничение полномочий государственных органов;

      5) непрерывный мониторинг информационной безопасности объектов информационно-коммуникационной инфраструктуры;

      6) интеграция системы обеспечения национальной безопасности с международными системами безопасности.

      Для реализации задачи по формированию необходимых условий для повышения осведомленности об угрозах, развития человеческого капитала и потенциала отечественной отрасли ИКТ по созданию программных продуктов, систем информационной безопасности и телекоммуникационного оборудования, устойчивых к вредоносному программно-техническому воздействию предлагается:

      Формирование в обществе устойчивых представлений о "кибергигиене" и привитии высокой производственной культуры создания и использования ИКТ на всех этапах жизненного цикла программных продуктов, информационных систем, программного обеспечения, технологических платформ, информационной и сетевой инфраструктуры, поддерживающего оборудования.

      Применение тренингов и обучающих практик по защите персональных данных и неприкосновенности частной жизни среди несовершеннолетних пользователей Интернета и их родителей.

      Для профессионализации работников, ответственных за состояние информационной безопасности в государственных органах, и универсализации принимаемых ими мер соответствующим образом, адаптация профессиональных стандартов, а также расширение требований по практическим навыкам и техническим знаниям, улучшающим профили защиты и параметры контроля защищенности информационных ресурсов и систем.

      Отведение важнейшей роли в реализации образовательных и исследовательских задач в сфере информационной безопасности высшими учебными заведениями Казахстана, что расширит технические возможности специальных государственных органов по обеспечению безопасности государства и повысит уровень аналитического и научно-исследовательского сопровождения мероприятий по реализации Концепции.

      Решение задач по закладыванию и поддержанию высокого уровня профессиональной компетенции и технической готовности к противодействию киберпреступности путем привлечения научно-исследовательских организаций к участию в расследовании правоохранительными органами наиболее сложных киберпреступлений.

      Для наращивания казахстанского потенциала в сфере научной, научно-технической и образовательной деятельности необходимо сосредоточиться на научно-исследовательских и опытно-конструкторских работах, обеспечить тесную связь учебного процесса с производственной деятельностью предприятий электронной промышленности, привести учебные программы в соответствие с отраслевыми профессиональными стандартами и современным уровнем развития технологий.

      Предоставление приоритета исследованиям и собственной школе прикладной математики, по разработке средств криптографической защиты информации, криптологии, разработок по программируемым логическим интегральным схемам, квантовой криптографии и разработке защиты систем передачи, обработки и хранения информации, а также систем информационной безопасности.

      Преодоление проблемы не высокой востребованности отечественных разработок, т.к. кибербезопасность в конечном итоге зависит от уровня развития отечественной IT-отрасли и электронной промышленности. Одной из причин этого является отсутствие обязательности приоритетного использования их продукции в государственных органах.

      Установление мер по их поддержке, в том числе через стимулирование государственно-частного партнерства повышения конкурентоспособности. Критериями должны стать соответствие требованиям локализации разработки и технической поддержки, наличие у поставщика исключительных прав интеллектуальной собственности на конструкторскую и техническую документацию программных продуктов и телекоммуникационного оборудования, а также наличие научно-производственной базы, необходимой для организации производства, гарантийного и послегарантийного обслуживания.

      Проведение совместно с представителями отрасли постоянного анализа закупаемого в государственных органах и квазигосударственном секторе программном обеспечении и телекоммуникационного оборудования с целью определения перспектив их замещения на доверенные отечественные или иностранные образцы, прошедшие процедуры обязательной сертификации на соответствие требованиям информационной безопасности.

      При уполномоченном органе по информационной безопасности образовать Совет по кибербезопасности, одной из главных задач которого должно стать рассмотрение актуальных вопросов по кибербезопасности, поддержание в актуальном состоянии руководящих документов, нормативно-правовой базы, содействие приоритетному использованию продукции отечественной электронной и софтверной промышленности, проведение публичной оценки общественно-значимых IT-проектов.

      Установление постоянного прямого диалога с ведущими компаниями и предприятиями страны, образовательными и научными исследовательскими организациями, что позволит объединить усилия и придать системность и комплексность решению задач по обеспечению интегрированной кибербезопасности в наиболее значимых областях использования ИКТ.

      Наряду с мониторингом, анализом защищенности государственных информационных систем и ресурсов, оказания содействия по безопасному использованию ИКТ в интересах граждан, дополнительным приоритетом государственной службы реагирования на компьютерные инциденты KZ-CERT определить популяризацию мер "кибергигиены".

      Соизмеряясь со своими экономическими возможностями, собственникам и владельцам частных информационных систем стремиться к следованию стандартизованным процессам разработки, создания, испытаний и эксплуатации информационных систем, предусматривая необходимые меры по обеспечению их информационной безопасности. Способные выступить в качестве необходимого ориентира технические стандарты и другие нормативно-технические документы для этого имеются.

      Для решения задачи по совершенствованию правоприменительной практики, методологической базы, нормативно-правового и организационно-технического обеспечения безопасного использования ИКТ в национальной системе защиты информации и безопасности автоматизированных систем управления технологическими процессами предлагается:

      Неукоснительное исполнение уже установленных законодательством и техническими стандартами требований по обеспечению информационной безопасности в государственном секторе, а также оперативное внесение в них необходимых изменений с учетом динамики развития технологий без ущерба для кибербезопасности.

      Соблюдение установленных требований обеспечить действенными мерами государственного контроля.

      Для полноценной оценки состояния защищенности объектов информатизации с учетом характера деятельности киберпреступников и иностранных технических компьютерных разведок, рассчитывающих на самоуспокоенность и небрежность со стороны владельцев информационных ресурсов и систем, необходимо стремиться к непрерывному мониторингу состояния информационных систем и ресурсов техническими средствами контроля защищенности и проведению работы по выявлению каналов утечки информации (уязвимостей, вирусов, троянских программ, недекларируемых функций и закладок).

      Такой подход позволит обеспечить сохранение возможности реализации государственных функций в случае чрезвычайных происшествий технологического, социального характера, вызванных инцидентами информационной безопасности, угрожающими национальной и общественной безопасности, а в случае чрезвычайного или военного положения возможности использования устойчивой информационно-коммуникационной инфраструктуры сил обеспечения национальной безопасности в интересах функционирования критически важных объектов информационно-коммуникационной инфраструктуры.

      Наряду с выстраиванием работы с объектами критической информационно-коммуникационной инфраструктуры из числа стратегических и особо важных государственных объектов, объектов стратегических отраслей экономики, пересмотреть критерий отнесения к критически важным объектам информационно-коммуникационной инфраструктуры с возможностью отнесения к критически важным объектам, ориентированных на оказание информационно-коммуникационных услуг населению.

      Распространять предупредительные и профилактические меры не только на государственные органы и собственников частных информационных систем, интегрируемых с государственными, но и на владельцев промышленных предприятий, финансовых организаций и других категорий объектов экономики, имеющих автоматизированные технологические процессы, нарушение которых может негативно сказаться на экономическом развитии страны.

      На основе Единых требований и действующих Правил проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации "электронного правительства" предусмотреть разработку руководящих документов, служащих ориентиром не только для государственного сектора, но и для объектов, находящихся в частной собственности, в целях эффективной локализации и предотвращения реализации угроз в общенациональном масштабе.

      В целях поддержания высокого доверия граждан и бизнеса к оказываемым государственными органами услугам на законодательном уровне для поставщиков программных продуктов, услуг связи и иной информационно-коммуникационной инфраструктуры выработать меры по информационной безопасности для указания в соглашениях, конкурсной документации и технических спецификациях к приобретаемым продуктам и решениям по обязательной технической поддержке закупаемых товаров и услуг в течение не менее трех лет.

      Предусмотреть требования в сфере обеспечения безопасности автоматизированных систем управления технологическими процессами и телекоммуникационного оборудования сетей телекоммуникаций общего пользования. Особое внимание должно быть обращено на инфраструктуру в системах жизнеобеспечения населения, топливно-энергетическом секторе, инфраструктуре связи и других.

      Существенно углубить понимание относительно устойчивости элементов критической инфраструктуры национального сегмента Интернета и центров обработки данных (дата-центров), аппаратно-программных комплексов, обеспечивающих функционирование общедоступных электронных информационных ресурсов (Интернет-ресурсов).

      Обеспечение надежной идентификации, аутентификации и регистрации действий пользователей в соединении с мерами обеспечения конфиденциальности их персональных данных снижает риск наиболее распространенных угроз, связанных с аутентичностью пользователей информационных систем и общедоступных электронных ресурсов, включая аппаратно-программные комплексы электронных средств массовой информации. Это позволит исключить в национальном сегменте фальсификацию в сфере электронной коммерции, электронных платежей, банковской деятельности и других информационно-коммуникационных услуг, оказываемых посредством Интернет-ресурсов.

      Для создания высоко адаптированной и интегрированной системы государственного управления информационной безопасностью в сфере информатизации и связи в отношении всей национальной информационно-коммуникационной инфраструктуры предлагается:

      Государственным органам и поставщикам услуг принять риск-ориентированный подход к безопасности, уделяя первоочередное внимание усилиям, которые обеспечивают наиболее высокий уровень надежности создаваемых информационных систем в нормальном и внештатном режимах и устойчивости их к умышленным сбоям.

      Расширить взаимодействие между ведомственными и отраслевыми структурами мониторинга и реагирования на инциденты информационной безопасности для оказания содействия владельцам информационных ресурсов и систем и взаимного оповещения о возникающих угрозах. Их участники должны рассматривать соображения безопасности в качестве важнейшего элемента планирования, проектирования, разработки и эксплуатации отраслевых информационных систем и сетей и стать опорными точками, определяющими устойчивость всей информационно-коммуникационной инфраструктуры страны.

      Специализация служб реагирования на инциденты информационной безопасности позволит расширить круг вовлеченных организаций и экспертов, что будет способствовать росту профессионализации работников, занятых в сфере информационной безопасности с учетом отраслевой специфики, и содействовать расширению рынка услуг аудита информационной безопасности для малого бизнеса, который часто не имеет возможности содержать квалифицированных специалистов в области IT и информационной безопасности.

      Компьютерные атаки, запущенные из зарубежного пространства, максимально предотвращать на "электронной границе" - виртуальном периметре страны.

      Руководящие документы Единой сети телекоммуникаций Республики Казахстан с учетом ее растущей уязвимости в результате конвергенции сетей телекоммуникаций и информационно-коммуникационных сетей и необходимости снижения объемов вредоносного трафика и своевременного блокирования операторами связи аномальной сетевой активности необходимо актуализировать.

      Создание условий для эффективной борьбы с киберпреступностью путем постоянного повышения квалификации личного состава специализированных подразделений, расширения арсенала технических средств фиксации и криминалистических исследований "цифровых" доказательств.

      Обеспечение кибербезопасности является задачей всех субъектов, деятельность которых связана с использованием ИКТ, поэтому сотрудничество в целях обеспечения информационной безопасности будет способствовать защите интересов всех заинтересованных сторон.

      Для объединения усилий при участии научного сообщества, частного сектора подготовить создание Национального координационного центра информационной безопасности, который в онлайн режиме будет обрабатывать информацию о состоянии защищенности "электронной границы", а также наиболее важных компонентов национальной информационной инфраструктуры и обеспечить обмен информацией, что позволит:

      обеспечить гражданам и бизнесу доступ к квалифицированным оценкам угроз в сфере информационной безопасности и получению дополнительных знаний о том, как уменьшить негативное влияние от угроз использования уязвимостей в программном обеспечении и информационных и телекоммуникационных системах;

      Министерству внутренних дел снизить количество и обеспечить высокую раскрываемость в значительной степени латентных преступлений, совершаемых с использованием информационных технологий;

      государственным органам поддерживать высокий уровень отказоустойчивости и предупреждения возникновения технологических сбоев, а также своевременного устранения их последствий в инфраструктуре, входящей в состав "электронного правительства" и других государственных информационных систем и ресурсов;

      собственникам критически важных объектов информационно-коммуникационной инфраструктуры получать своевременную информацию о возможном влиянии на безопасность принадлежащих им автоматизированных систем управления технологическими процессами;

      Национальному Банку и банкам второго уровня получать дополнительную информацию об актуальных угрозах финансово-банковской системе.

      Министерству обороны в рамках развития военной организации страны подготовить предложения по созданию системы по эффективной защите ведомственных информационных ресурсов, прогнозированию и своевременному выявлению компьютерных атак, проводить их оценку и классификацию на предмет угрозы военной безопасности государства.

      На внешнеполитическом и внешнеэкономическом уровне последовательно продвигать национальные интересы Республики Казахстан, направленные на преодоление "цифрового" разрыва между участниками международного сообщества в информационной сфере, обозначив в качестве приоритетов реализацию инициатив по укреплению, на основе норм и принципов международного права, системы международной информационной безопасности.

      В рамках двух и многосторонней дипломатии продолжить укреплять роль Казахстана в качестве сильного и последовательного партнера, выступающего против использования ИКТ в военных целях, следующего курсу открытости, укрепления мер доверия в области международной информационной безопасности, при безусловном соблюдении суверенного равенства государств в выборе путей технологического развития. Ключевыми диалоговыми площадками должны стать международные, региональные и субрегиональные организации (ООН, ШОС, ЕАЭС, ОДКБ, СНГ и др.) с дальнейшим продвижением их инициатив в различных международных форматах.

      Скоординированная реализация Концепции "Киберщит Казахстана" позволит существенно повысить место Казахстана в Глобальном индексе кибербезопасности и достигнуть к 2022 году индекса 0,600.

Необходимые ресурсы

      На реализацию Концепции в 2017-2022 годах будут направлены средства государственного бюджета в рамках бюджетных программ заинтересованных государственных органов и предусмотренных в Плане реализации Государственной программы "Цифровой Казахстан 2020".

6. Перечень нормативных правовых актов, посредством которых предполагается реализация Концепции

      В период реализации данной Концепции достижение поставленных целей и задач предполагается посредством следующих нормативных правовых актов:

      1. Уголовный кодекс Республики Казахстан от 3 июля 2014 года.

      2. Кодекс Республики Казахстан "Об административных правонарушениях" от 5 июля 2014 года.

      3. Предпринимательский кодекс Республики Казахстан от 29 октября 2015 года.

      4. Закон Республики Казахстан от 15 сентября 1994 года "Об оперативно-розыскной деятельности".

      5. Закон Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан".

      6. Закон Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи".

      7. Закон Республики Казахстан от 5 июля 2004 года "О связи".

      8. Закон Республики Казахстан от 27 июля 2007 года "Об образовании".

      9. Закон Республики Казахстан от 18 февраля 2011 года "О науке".

      10. Закон Республики Казахстан от 6 января 2012 года "О национальной безопасности Республики Казахстан".

      11. Закон Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите".

      12. Закон Республики Казахстан от 11 апреля 2014 года "О гражданской защите".

      13. Закон Республики Казахстан от 16 мая 2014 года "О разрешениях и уведомлениях".

      14. Закон Республики Казахстан от 24 ноября 2015 года "Об информатизации".

      15. Закон Республики Казахстан от 4 декабря 2015 года "О государственных закупках".

      16. Указ Президента Республики Казахстан от 8 января 2013 года № 464 "О Государственной программе "Информационный Казахстан – 2020" и внесении дополнения в Указ Президента Республики Казахстан от 19 марта 2010 года № 957 "Об утверждении Перечня государственных программ".

      17. Постановление Правительства Республики Казахстан от 23 августа 2012 года № 1080 "Об утверждении государственных общеобязательных стандартов образования соответствующих уровней образования".

      18. Постановление Правительства Республики Казахстан от 23 мая 2016 года № 298 "Об утверждении Правил проведения аттестации информационной системы, информационно-коммуникационной платформы "электронного правительства", Интернет-ресурса государственного органа на соответствие требованиям информационной безопасности".

      19. Постановление Правительства Республики Казахстан от 8 сентября 2016 года № 529 "Об утверждении Правил и критериев отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры".

      20. Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности".

      21. Приказ Министра по инвестициям и развитию Республики Казахстан от 29 января 2015 года № 66 "Об утверждении Единых правил взаимодействия и централизованного управления сетями телекоммуникаций.

      22. Приказ Министра по инвестициям и развитию Республики Казахстан от 25 декабря 2015 года № 1240 "Об утверждении Правил выдачи сертификата безопасности".

      23. Приказ Министра по инвестициям и развитию Республики Казахстан от 25 декабря 2015 года № 1241 "Об утверждении Правил применения сертификата безопасности".

      24. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 25 января 2016 года № 60 "Об утверждении Правил взаимодействия государственных органов по вопросам соблюдения требований законодательства Республики Казахстан в сетях телекоммуникаций".

      25. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 66 "Об утверждении Правил проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации "электронного правительства".

      26. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 63 "Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", Интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности".

      27. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 67 "Об утверждении Правил оказания услуг доступа к Интернету в пунктах общественного доступа к Интернету".

      28. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 65 "Об утверждении Правил присоединения сетей операторов междугородной и международной связи к точке обмена Интернет-трафиком".

      29. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 108 "Об утверждении Методики проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", Интернет-ресурса государственного органа на соответствие требованиям информационной безопасности".

      30. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 118 "Об утверждении Правил регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета".