В Казахстане создаётся киберщит

Концепция кибербезопасности Казахстана вынесена на публичное обсуждение
31 января президент РК Нурсултан Назарбаев в своем традиционном послании народу Казахстана поручил правительству и Комитету национальной безопасности принять меры по созданию системы «Киберщит Казахстана».

На портале «Открытые НПА» доступна для обсуждения, внесения предложений и идей Концепция кибербезопасности («Киберщит Казахстана»), разработанная в целях обеспечения информационной безопасности общества и государства в сфере информатизации и связи, а также защиты неприкосновенности частной жизни граждан при использовании ими информационно-коммуникационных технологий.


Концепция призвана обеспечить единство подходов к формированию и реализации общенациональной политики обеспечения безопасности защищаемых законом видов информации, защиты электронных информационных ресурсов и систем, информационно-коммуникационной инфраструктуры, а также совершенствования методологической базы и нормативных правовых актов, регулирующих сферу безопасного использования информационно-коммуникационных технологий.


Идеи казахстанцев по улучшению содержания документа принимаются до 15 марта этого года. Принять участие в обсуждении можно пройдя по этой ссылке.


КОНЦЕПЦИЯ

кибербезопасности («Киберщит Казахстана»)

 

 

  1. Введение

 

Концепция кибербезопасности («Киберщит Казахстана») (далее — Концепция) разработана в целях обеспечения информационной безопасности общества и государства в сфере информатизации и связи, а также защиты неприкосновенности частной жизни граждан при использовании ими информационно-коммуникационных технологий (далее — ИКТ).

Концепция основана на оценке текущей ситуации в сфере автоматизации государственных услуг и промышленного сектора, оказания услуг связи, состояния «цифровой» экономики и определяет основные направления государственной политики, вызываемые потребностью в обеспечении информационной (кибер)безопасности всех участников процессов информатизации, использующих единую сеть телекоммуникаций Республики Казахстан.

Для целей данной Концепции под кибербезопасностью понимается состояние защищенности средств телекоммуникаций (средства связи), электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз.

Все иные термины приведены в значениях, используемых в  Конституции  и законах Республики Казахстан «О национальной безопасности Республики Казахстан», «О государственных секретах», «О противодействии терроризму», «Об электронном документе и электронной цифровой подписи», «Об информатизации», «О техническом регулировании», «О лицензировании», «О средствах массовой информации», «О связи», «О персональных данных и их защите» «О доступе к Информации», а также национальных и гармонизированных в Республике Казахстана технических стандартах.

При разработке Концепции изучен передовой международный опыт в области формирования подходов к обеспечению кибербезопасности, применяемый как государствами-лидерами так и странами, находящимися на различных ступенях технологического развития.

Предназначение Концепции в создании основы для конструктивного взаимодействия общества, органов государственной власти, частного и квазигосударственного сектора, научного сообщества, образовательных кругов для защиты национальных интересов Республики Казахстан в сфере кибербезопасности.

Концепция призвана обеспечить единство подходов к формированию и  реализации общенациональной политики обеспечения безопасности защищаемых законом видов информации, защиты электронных информационных ресурсов и систем, информационно-коммуникационной инфраструктуры, а также совершенствования методологической базы и нормативных правовых актов, регулирующих сферу безопасного использования ИКТ.

 

2.Анализ текущей ситуации

 

Несмотря на достигнутый высокий уровень информатизации сферы государственного управления, широкое использование ИКТ в различных сферах жизни общества и личности, включая оборону и безопасность, Казахстану еще предстоит стать  страной, в которой отечественный сектор ИКТ внес бы практический вклад в программу диверсификации национальной экономики.

Глобальное доминирование гигантов IT-индустрии отражает имеющееся цифровое неравенство между странами, что само по себе не вносит ощутимого вклада в укрепление кибербезопасности.

Растущая милитаризация этой сферы со стороны технологически развитых государств, препятствует формированию в мировом сообществе надежных международно-правовых инструментов, гарантирующих безопасность странам, отказавшимся от военного использования Интернета и ИКТ.

Казахстан, как страна, пока, в значительной мере заимствующая передовые IT-технологии, включая технологии обеспечения кибербезопасности, в любой момент может столкнуться с ситуацией, в которой мы выступим в качестве объекта экспериментов или действительной атаки на критически важные объекты информационно-коммуникационной инфраструктуры страны со стороны преступных организаций и отдельных лиц с непредсказуемым результатом.

Беспечность и неразборчивость в поставщиках технологий несет в себе высокие риски намеренного внедрения в программное обеспечение и телекоммуникационное оборудование не декларируемых функций (т.н. «бэкдоров»), которые в последствии могут быть использованы для нанесения ущерба интересам личности, общества и государства.

Ситуация усугубляется дефицитом доверия общественности к принимаемым государством мерам, направленным на укрепление кибербезопасности. При этом частный и финансовый сектор склонен полагаться исключительно на собственные силы, недооценивая важность совместных усилий и отраслевых инициатив по формированию действительно безопасного информационного пространства.

Экспоненциальное  увеличение числа пользователей Интернета повышает критичность и делает более ощутимыми последствия в случае отказов техники. Количество вредоносных программ для мобильных устройств растет вместе с числом их пользователей. При этом подавляющее большинство пользователей не используют специализированное программное обеспечение для защиты своих смартфонов, планшетов. Этот фактор  эксплуатируются хакерами, что каждый день приводит к увеличению количества  атак, нацеленных на абонентские устройства.

Пренебрежение соображениями безопасности при использовании интернет-ресурсов и социальных сетей ведет к повышенному риску для неприкосновенности частной жизни, модификации или уничтожению общедоступных персональных данных, а также разглашению персональных  данных ограниченного доступа или их экстерриториальной доступности для преступных сообществ или разведывательных структур других государств.

В то время как количество онлайн-устройств увеличивается, и  большинство пользователей продолжают игнорировать меры «цифровой гигиены» в отношении себя и принадлежащих устройств,  концепция «Интернета вещей» только  усиливает эту проблему кибербезопасности. Если традиционные электронные устройства, такие как персональные компьютеры и ноутбуки имеют возможности по установке и  обновлению антивирусного программного обеспечения,  то пользователи «Интернета вещей», часто даже не знают, как обезопасить их функционирование, поскольку такие устройства пока, в принципе, создаются без  учета технологических рисков, что делает их потенциальными элементами вредоносных сетей («ботнет»).

Таким образом, низкий уровень компьютерной грамотности конечных пользователей  при отсутствии базовых знаний по общим методам компьютерных атак (особенно фишинг, поддельные интернет-магазины и т. д.), приводит к тысячам случаев, когда граждане РК  становятся как жертвами, так и орудиями противоправного использования ИКТ.

Меры, связанные с автоматизацией оказания государственных услуг, продолжающаяся цифровизация доступа к информации о деятельности государственных органов, направленная на улучшение их работы и отношений с обществом также несут в себе определенные риски. Некачественные услуги и  приложения, предоставляемые гражданам и частным организациям в рамках «Электронного правительства», в том числе, машиночитаемые открытые данные, могут привести к нарушению прав и законных интересов граждан.

Недостаточная обеспеченность предприятий малого и среднего бизнеса в технологиях защиты информации, которые зачастую даже не  состоянии признать собственную ценность и потребности в защите информации и сетевой безопасности приводит к большому количеству  остающихся латентными инцидентов информационной безопасности, затрудняющих борьбу с преступниками, использующими ИКТ как средство для совершения преступлений.

Кроме того, такие хозяйствующие субъекты представляют угрозу для других, в первую очередь крупных предприятий или государственных органов и организаций, с которыми они работают в качестве партнеров или подрядчиков.

Транснациональный и трансграничный граничный характер многих продуктов ИКТ и открытая природа Интернета используются международной преступностью в целях анонимного совершения противоправных действий с использованием ИКТ, что приводит к росту киберпреступности, а также способно подорвать доверие к Интернет-ресурсам и сервисам, вере в способность органов правопорядка изобличить виновных.

Объем данных, обрабатываемых в государственном и частном секторах, растет, что приводит к необходимости выработки новых форм их хранения. В тоже время, такие формы хранения данных как облачное хранилище, с  использованием онлайн-сервисов часто приводят к непрозрачным или нестандартизованным решениям безопасности со стороны операторов и поставщиков услуг. Защита и безопасность данных, особенно тех, которые представляют общественный интерес, имеет для Казахстана решающее значение.

Существующая казахстанская модель высшего и послевузовского образования в области ИКТ, включая информационную безопасность, не в полной мере соответствует современным потребностям и тенденциям развития общества. Она не дает достаточных знаний для студентов как бакалавриата, так и магистратуры, ограничена по  числу дисциплин и специальностей, некоторые из которых просто отсутствуют в образовательных и профессиональных стандартах. Кроме того, не всегда прослеживается необходимая  взаимосвязь профессиональных стандартов с типовыми и рабочими учебными планами высших и средне-специальных учебных заведений.

Общая нехватка экспертов по информационной и сетевой безопасности в значительной степени также вызвана непропорциональным распределением образовательных грантов по информационной безопасности в системе подготовки специалистов в области ИКТ и низкой востребованностью со стороны работодателей работников из числа специалистов в области информационной безопасности.

 

  1. Цели и задачи

 

Целью Концепции является поддержание высоко адаптивной и интегрированной системы управления кибербезопасностью, обеспечивающей устойчивое развитие Республики Казахстан при использовании ИКТ.

Для достижения указанной цели государственные органы, организации и учреждения должны выполнить следующие задачи:

— поддерживать высокое доверие граждан и бизнеса к принимаемым государственными органами, поставщиками программных продуктов, операторами связи и информационно-коммуникационной инфраструктуры  мерам по обеспечению информационной безопасности.

— профессионально и систематически управлять информационной безопасностью, обеспечивая внутренний и внешний контроль в области использования ИКТ.

— установить четкие требования относительно информационной безопасности для поставщиков ИКТ-услуг и инфраструктуры, осуществлять регулярную оценку и анализ рисков по принимаемым ими мерам безопасности.

— обеспечить обществу и частному бизнесу доступ к квалифицированным оценкам угроз в сфере информационной безопасности и получению дополнительных знаний о том, как уменьшить негативное влияние от уязвимостей в программном обеспечении и информационно-коммуникационных системах.

— поддерживать высокий уровень профессиональной компетенции и технической готовности к противодействию киберпреступности, в том числе по расследованию кибер-преступлений правоохранительными органами, а также потенциала по обеспечению безопасности государства специальными государственными органами.

— обеспечить возможности реализации государственных функций в случае возможных чрезвычайных происшествий технологического, социального характера вызванных инцидентами информационной безопасности, угрожающими  национальной и общественной безопасности.

— в кризисных ситуациях обеспечить доступ к устойчивой военной информационно-коммуникационной инфраструктуре по запросу заинтересованных субъектов информатизации.

— последовательно отстаивать на международной арене национальные  интересы Республики Казахстан, выступая сильным партнером по укреплению международной информационной безопасности в соответствии с нормами и принципами международного права.

 

  1. Механизмы реализации

 

В целом, основы обеспечения кибербезопасности как системы правовых, организационных и технических мер безопасного использования информационно-коммуникационных технологий в области связи и информатизации  сформированы и законодательно закреплены.

В последние годы различные взаимоувязанные аспекты обеспечения кибербезопасности  нашли свое отражение в Законах Республики Казахстан «О национальной безопасности», «О государственных секретах», «О персональных данных и их защите»,  «Об электронном документе и электронной цифровой подписи», «О связи», Уголовном кодексе и Кодексе об административных правонарушениях и целом ряде подзаконных актов, разработанных в реализацию новой редакции Закона Республики Казахстан «Об информатизации».

Ряд подзаконных актов принят в последнее время и в этой связи еще не получил развернутой правоприменительной практики. В частности,  постановление Правительства «Об утверждении Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности», представляющих собой кодификацию правовых и технических норм из национальных и гармонизированных стандартов. Документ подробно описывает процедуры и правила по использованию информационно-коммуникационных технологий при обработке защищаемых законом видов информации, содержит важные нормы по обеспечению технологической безопасности информационной инфраструктуры, информационных систем и ресурсов, программного обеспечения, технических средств на всех этапах их жизненного цикла.

Важно добиться повсеместного исполнения Единых требований, а также оперативности внесения в них необходимых изменений с учетом динамики развития технологий без ущерба для кибербезопасности.

В Единых требованиях, а также Правилах проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «Электронного правительства»  заложены основные принципы взаимодействия между заинтересованными сторонами при технологических сбоях или признаках компьютерных атак, а также  алгоритмы реагирования на возникающие инциденты информационной безопасности. На их основе должны быть созданы руководящие документы, распространяющие свое действие и служащие ориентиром не только в государственном секторе, но и для объектов, находящихся в частной собственности для эффективной локализации и предотвращению реализации угроз в общенациональном масштабе.

Соблюдение установленных требований должно быть обеспечено действенными мерами государственного контроля. Необходимо определить уполномоченный орган по обеспечению информационной безопасности и его компетенцию,  обособить  сферу государственного контроля в сфере информационной безопасности в самостоятельную область с выведением из-под регулирования Предпринимательского кодекса в отношении государственных объектов и критически важных объектов информационно-коммуникационной инфраструктуры.

Действие предупредительных и профилактических мер должно достигать не только государственных органов, собственников частных информационных систем, интегрируемых с государственными, но и владельцев промышленных предприятий и других категорий объектов экономики, имеющих автоматизированные технологические процессы, нарушение которых может сказаться на других участниках процессов информатизации.

Наряду с выстраиванием работы с объектами критической информационно-коммуникационной инфраструктуры из числа стратегических и особо важных государственных объектов необходимо также скорректировать подходы к возможности отнесения объектов различных секторов экономики, ориентированных на оказание онлайн-услуг населению к критически важным объектам информационно-коммуникационной инфраструктуры, включая информационные системы электронных средств массовой информации.

Нуждается в существенном углублении понимание относительно элементов критической инфраструктуры национального сегмента интернета и аппаратно-программных комплексов, обеспечивающих функционирование общедоступных электронных информационных ресурсов (интернет-ресурсов). Надежная идентификация пользователей в соединении с мерами обеспечения их конфиденциальности снижает риск серьезных угроз, связанных с доверием и  фальсификацией  киберпространстве.

Угрозы кибербезопасности постоянно меняются, поэтому меры по обеспечению высокого уровня безопасности должны постоянно совершенствоваться и обновляться. Государственным органам и поставщикам услуг необходимо принять риск-ориентированный подход к безопасности,  уделяя первоочередное внимание усилиям, которые обеспечивают наиболее высокий уровень безопасности, уравновешиваемый требованиями по обеспечению удобства для пользователей государственных услуг с использованием ИКТ. Целесообразно использовать тенденцию реализации принципа «одного окна» для централизации обеспечения безопасности электронных государственных услуг.

Особое внимание должно быть обращено на создание надежной инфраструктуры в системах жизнеобеспечения населения, топливно-энергетическом секторе, инфраструктуре связи и других. В настоящее время отсутствуют какие-либо специальные требования в сфере обеспечения безопасности автоматизированных систем управления технологическими процессами и информационной безопасности сетей телекоммуникаций общего пользования.

Компьютерные атаки, запущенные из зарубежного пространства могут и должны быть остановлены на «электронной границе» — виртуальном периметре страны. Необходимо актуализировать руководящие документы Единой сети телекоммуникаций РК с учетом ее растущей уязвимости в результате конвергенции сетей телекоммуникаций и информационно-коммуникационных сетей и необходимости снижения объемов вредоносного трафика и своевременного блокирования операторами связи аномальной сетевой активности.

Как свидетельствует мировой опыт, полную защиту от ошибок в программном обеспечении или от инцидентов информационной безопасности достигнуть невозможно, но путем осознанного ответственного поведения снизить их частоту и вероятность, обеспечить высокую скорость восстановления работоспособности информационных систем и ресурсов, чтобы не допустить разрушительных последствий, жизненно необходимо.

Поэтому реализация Концепции будет способствовать формированию в обществе устойчивых представлений о «кибергигиене» и привитию высокой производственной культуры создания и использования ИКТ на  всех этапах жизненного цикла программных продуктов, информационных систем, программного обеспечения, технологических платформ, информационной и сетевой инфраструктуры, поддерживающего оборудования.

Обязательным элементом образовательных программ, включая школьные образовательные программы должны стать тренинги и обучающие практики по защите персональных данных среди несовершеннолетних пользователей интернета и их родителей.

На законодательном уровне для поставщиков должны быть установлены  принципы и требования по безопасности в конкурсной документации и технических спецификациях к приобретаемым продуктам и решениям, а также обеспечен непрерывный надзор за поставщиками на протяжении всего жизненного цикла информационных систем, программных продуктов, с обязательной технической поддержкой в течение не менее трех лет.

Соизмеряясь со своими экономическим возможностями, собственники и владельцы частных информационных систем также должны стремиться к следованию  стандартизованным процессам разработки, создания испытаний и эксплуатации информационных систем, предусматривая необходимые меры обеспечению их информационной безопасности. Способные выступить в качестве необходимого ориентира нормативно-технические документы для этого имеются.

Для повышения профессионализации работников, ответственных за состояние информационной безопасности в государственных органах и универсализации принимаемых ими мер, должны быть соответствующим образом адаптированы профессиональные стандарты, а также расширены требования по практическим навыкам  и техническим знаниям, улучшающим профили защиты и параметры контроля защищенности информационных ресурсов и систем.

Важнейшая роль отводится высшим учебным заведениям Казахстана, специализирующимся на реализации образовательных и исследовательских задач в сфере информационной безопасности. Для наращивания казахстанского потенциала в  сфере научной, научно-технической и образовательной деятельности необходимо сосредоточиться на создании научно-исследовательских и опытно-конструкторских лабораторий, обеспечить  тесную связь учебного процесса с производственной деятельностью предприятий электронной промышленности, привести учебные программы в соответствие с  отраслевыми профессиональными стандартами и современным уровнем развития технологий.

Приоритет должен отдаваться исследованиям и развитию собственной школы прикладной математики, криптологии, разработок по программируемым логическим интегральным схемам (ПЛИС) и созданию защищенных систем передачи, обработки и хранения  информации.

Обеспечение кибербезопасности в конечном итоге зависит от уровня развития отечественной IT-отрасли и электронной промышленности.

Должны быть приняты действенные меры по их поддержке, в том числе, через стимулирование государственно-частного партнерства,  создание Реестров, дающих преимущества при государственных закупках для телекоммуникационного оборудования, программного обеспечения, имеющих казахстанское происхождение через следующие механизмы:

— требование по локализации производства;

— наличие у поставщика исключительных прав на конструкторскую документацию и программное обеспечение;

— необходимость выступать налоговым резидентом  Республики Казахстан;

— аккредитация в качестве субъекта научно-технической деятельности и наличие научно-производственной базы, необходимой для организации производства, гарантийного и послегарантийного обслуживания;

— обязательная сертификация на соответствие высоким уровням доверия по требованиям информационной безопасности.

Совместно с представителями отрасли должен проводиться постоянный анализ закупаемого в государственных органах и квазигосударственном секторе программного обеспечения и телекоммуникационного оборудования с целью определения перспектив их замещения на отечественные или доверенные иностранные образцы, соответствующие требованиям высоких уровней безопасности.

Необходимо преодолеть проблему не высокой востребованности отечественных разработок в сфере программного обеспечения, одной из причин которой является отсутствие обязательности их приоритетного использования в государственных органах.

При уполномоченном органе по информационной безопасности должен быть образован Совет по кибербезопасности, главной задачей которого должно стать поддержание в актуальном состоянии руководящих документов, нормативно-правовой базы, содействие приоритетному использованию продукции отечественной электронной и софтверной промышленности, проведение публичной оценки общественно-значимых IT-проектов.

Установление постоянного прямого диалога с ведущими компаниями и предприятиями страны, образовательными и научными исследовательскими организациями, объединит усилия и  придаст системность и комплексность решению задач по обеспечению интегрированной кибербезопасности в наиболее значимых областях использования ИКТ.

Наряду с мониторингом, анализом защищённости государственных информационных систем и ресурсов оказание содействия по безопасному использованию ИКТ в интересах граждан, популяризация мер «кибергигиены» должны стать дополнительным приоритетом  государственной службы реагирования на компьютерные инциденты KZ-CERT.

Одновременно с этим должны создаваться и взаимодействовать между собой отраслевые структуры реагирования на инциденты информационной безопасности для взаимного оповещения о возникающих угрозах. Их участники должны рассматривать соображения безопасности в качестве важнейшего элемента планирования, проектирования, разработки и эксплуатации отраслевых информационных систем и сетей и стать опорными точками, определяющими устойчивость всей информационно-коммуникационной инфраструктуры страны.

Специализация и создание новых служб реагирования на инциденты информационной безопасности позволит расширить круг вовлеченных организаций и экспертов, что  будет способствовать росту профессионализации в сфере кибербезопасности с учетом отраслевой специфики и содействовать расширению рынка услуг аудита информационной безопасности для малого бизнеса, который часто не имеет возможности содержать квалифицированных специалистов в области IT и информационной безопасности.

В не меньшей степени имеет значение обеспечение условий для эффективной борьбы с киберпреступностью путем усиления  личного состава специализированных подразделений, расширения арсенала технических средств фиксации и криминалистических исследований «цифровых» доказательств.

Обеспечение безопасности информационного пространства  является задачей всех субъектов, деятельность которых связана с использованием ИКТ, поэтому осуществляемое в сотрудничестве обеспечение информационной безопасности  способствует защите интересов всех заинтересованных сторон.

Для объединения усилий необходимо при участии научного сообщества, частного сектора создать координационный Национальный оперативный центр информационной безопасности, который в онлайн режиме будет обрабатывать информацию о  состоянии защищенности наиболее важных компонентов национальной информационной инфраструктуры и обеспечить обмен информацией, что позволит:

— Совету безопасности Республики Казахстан оценивать ситуацию и  вырабатывать решения в условиях чрезвычайных ситуаций техногенного и социального характера;

— Министерству обороны при обеспечении готовности к отражению агрессии в отношении Республики Казахстан своевременно  классифицировать и квалифицировать компьютерные атаки как акт вооруженного нападения;

— Комитету национальной безопасности и другим специальным государственным органам организовать комплексное противодействие иностранным техническим разведкам при осуществлении деятельности по контрразведывательной защите государственных информационных ресурсов и обеспечению правительственной связи Республики Казахстан;

— Министерству внутренних дел обеспечить высокую раскрываемость в настоящее время, в значительной степени, латентных преступлений, совершаемых с использованием информационных технологий;

— Государственным органам поддерживать высокий  уровень отказоустойчивости  и предупреждения возникновения технологических сбоев, а также своевременного устранения их последствий в   инфраструктуре, входящей в состав  «электронного правительства» и других государственных информационных систем и ресурсов;

— Собственникам критически важных объектов информационно-коммуникационной инфраструктуры (КВОИКИ) получать своевременную информацию о возможном влиянии на безопасность принадлежащих им автоматизированных систем управления технологическими процессами.

— Национальному банку получать дополнительную информацию об  актуальных угрозах финансово-банковской системе.

В международном сообществе необходимо укрепить позицию Казахстана как сильного партнера, нацеленного на открытость и поддержание мер доверия в сфере международной информационной безопасности на основе принципов суверенного равенства, неприменения средств ИКТ в военных целях в качестве кибероружия. Важными диалоговыми площадками должны стать международные и  региональные организации (ШОС, ЕАЭС, ОДКБ, СНГ и др.) с дальнейшим продвижением таких инициатив в сторону их всеобщей универсализации.

Выполнение данной Концепции послужит дальнейшей модернизации казахстанского общества и станет вкладом Казахстана в реализацию Глобальной программы кибербезопасности ООН.

 

Написать ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *