Обзор законодательства Республики Казахстан в сфере информационной безопасности. Часть 9: Техническая защита информации и информационной инфраструктуры
В 2015 году в Казахстане принята новая редакция Закона Республики Казахстан «Об информатизации». В соответствии с принятым законом, защитой объектов информатизации является реализация комплекса правовых, организационных и технических мероприятий, направленных на сохранность объектов информатизации, предотвращение неправомерного и (или) непреднамеренного доступа и (или) воздействия на них. Под объектами информатизации понимаются электронные информационные ресурсы, программное обеспечение и информационно-коммуникационная инфраструктура. Информационно-коммуникационная инфраструктура — совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним. Средство защиты информации – программное обеспечение, технические и иные средства, предназначенные и используемые для обеспечения защиты информации.
- Оглавление (показать/скрыть)
- Часть 1: Общий обзор
Часть 2: Персональные данные и их защита
Часть 3: Государственные секреты
Часть 4: Доступ к информации
Часть 5: Служебная информация. Регулирование оборота служебной инфоомации
Часть 6: Иные тайны, установленные законодательством Республики Казахстан
Часть 7: Коммерческая тайна
Часть 8: Криптографическая защита информации
Часть 9: Техническая защита информации и информационной инфраструктуры
Часть 10: Электронная разведка/слежка/прослушка
Часть 11: Борьба с киберпреступностью
Определены следующие цели защиты объектов информатизации:
1) обеспечение целостности и сохранности электронных информационных ресурсов;
2) обеспечение режима конфиденциальности электронных информационных ресурсов ограниченного доступа;
3) реализация права субъектов информатизации на доступ к электронным информационным ресурсам;
4) недопущение несанкционированного и (или) непреднамеренного доступа, утечки и иных действий в отношении электронных информационных ресурсов, а также несанкционированного и (или) непреднамеренного воздействия на объекты информационно-коммуникационной инфраструктуры;
5) недопущение нарушений функционирования объектов информационно-коммуникационной инфраструктуры и критически важных объектов информационно-коммуникационной инфраструктуры.
Закон «Об информатизации» устанавливает перечень действий в отношении объектов информатизации, которые являются несанкционированными и (или) непреднамеренными:
1) блокирование электронных информационных ресурсов и (или) объектов информационно-коммуникационной инфраструктуры, то есть совершение действий, приводящих к ограничению или закрытию доступа к электронным информационным ресурсам и (или) объектам информационно-коммуникационной инфраструктуры;
2) несанкционированная и (или) непреднамеренная модификация объектов информатизации;
3) несанкционированное и (или) непреднамеренное копирование электронного информационного ресурса;
4) несанкционированное и (или) непреднамеренное уничтожение, утрата электронных информационных ресурсов;
5) использование программного обеспечения без разрешения правообладателя;
6) нарушение работы информационных систем и (или) программного обеспечения либо нарушение функционирования сети телекоммуникаций.
Как же осуществляется защита объектов информатизации – электронных информационных ресурсов, программного обеспечения и информационно-коммуникационной инфраструктуры в Казахстане?
Во-первых, закон обязывает осуществлять защиту объектов информатизации:
Объекты, в отношении которых должна быть осуществлена защита | Кто должен обеспечить защиту объектов информатизации? |
В отношении электронных информационных ресурсов | Cобственники, владельцы и пользователи |
в отношении объектов информационно-коммуникационной инфраструктуры и критически важных объектов информационно-коммуникационной инфраструктуры | Cобственники или владельцы |
Во-вторых, Собственники или владельцы объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры обязаны принимать меры, обеспечивающие:
1) предотвращение несанкционированного доступа;
2) своевременное обнаружение фактов несанкционированного доступа, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий нарушения порядка доступа;
4) недопущение несанкционированного воздействия на средства обработки и передачи электронных информационных ресурсов;
5) оперативное восстановление электронных информационных ресурсов, модифицированных либо уничтоженных вследствие несанкционированного доступа к ним;
6) незамедлительное информирование государственной технической службы о произошедшем инциденте информационной безопасности, за исключением собственников и (или) владельцев электронных информационных ресурсов, содержащих сведения, составляющие государственные секреты;
7) информационное взаимодействие с государственной технической службой по вопросам мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства»;
8) предоставление доступа государственной технической службе к объектам информатизации «электронного правительства» и критически важным объектам информационно-коммуникационной инфраструктуры для проведения организационно-технических мероприятий, направленных на реализацию мониторинга обеспечения информационной безопасности.
Кто обязан выполнять требования по защите объектов информатизации? Положения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
Законодательством предусмотрены определенные меры защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры:
Меры защиты объектов информатизации | Их характеристика, описание |
Правовые меры защиты | 1) требования законодательства Республики Казахстан и действующие на территории Республики Казахстан стандарты в сфере информатизации; 2) ответственность за нарушение законодательства Республики Казахстан об информатизации; 3) соглашения, заключаемые собственником или владельцем электронных информационных ресурсов, информационных систем, информационно-коммуникационной инфраструктуры, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение |
Организационные меры защиты |
1)установление и обеспечение режима допуска на территории (в здания, помещения), где может быть осуществлен доступ к информации, электронным информационным ресурсам, информационным системам (электронным носителям информации); 2)ограничение доступа к электронным информационным ресурсам, информационным системам и информационно-коммуникационной инфраструктуре |
Технические меры защиты | 1) использование средств защиты информации, а в отношении сведений, составляющих государственные секреты, – исключительно с применением средств защиты сведений, составляющих государственные секреты, разработанных, изготовленных и (или) принятых в эксплуатацию в соответствии с законодательством Республики Казахстан; 2) использование систем контроля доступа и регистрации фактов доступа к электронным информационным ресурсам, информационным системам и информационно-коммуникационной инфраструктуре |
Закон «Об информатизации» устанавливает, что использование технических (программно-технических) мер защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры не должно причинять вред или создавать угрозу причинения вреда жизни, здоровью и имуществу физических лиц, а также имуществу юридических лиц и государственному имуществу.
Кроме этого, на собственников и владельцев информационных систем, получивших электронные информационные ресурсы, содержащие персональные данные, возлагается обязанность принимать меры по их защите. Данная обязанность возникает с момента получения электронных информационных ресурсов, содержащих персональные данные, и до их уничтожения либо обезличивания.
Государственный уполномоченный орган за соблюдением требований законодательства по защите информации – Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
Для осуществления мер по защите объектов информатизации Правительством Республики Казахстан и государственным уполномоченным органом в этой сфере приняты следующие нормативные правовые акты:
Орган, наделенный определенными компетенциями в сфере защиты информации | Правовые меры по защите информации |
Компетенция Правительства Республики Казахстан | 1) единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности; 2) перечень критически важных объектов информационно-коммуникационной инфраструктуры, а также правила и критерии отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры; 3) правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности; 4) перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов |
Компетенция государственного уполномоченного органа в сфере информатизации и защиты информации – Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан | 1) правила проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства»; |
Обзор подготовлен ОФ «Правовой медиа-центр Астана по заказу Digital.Report
Читать далее: Часть 10: Электронная разведка/слежка/прослушка
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link