Расширенный поиск

Обзор законодательства Республики Казахстан в сфере информационной безопасности. Часть 9: Техническая защита информации и информационной инфраструктуры

В 2015 году в Казахстане принята новая редакция Закона Республики Казахстан «Об информатизации». В соответствии с принятым законом,  защитой объектов информатизации является реализация комплекса правовых, организационных и технических мероприятий, направленных на сохранность объектов информатизации, предотвращение неправомерного и (или) непреднамеренного доступа и (или) воздействия на них. Под объектами информатизации понимаются электронные информационные ресурсы, программное обеспечение и информационно-коммуникационная инфраструктура. Информационно-коммуникационная инфраструктура —   совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним. Средство защиты информации – программное обеспечение, технические и иные средства, предназначенные и используемые для обеспечения защиты информации.

Оглавление (показать/скрыть)
Часть 1: Общий обзор
Часть 2: Персональные данные и их защита
Часть 3: Государственные секреты
Часть 4: Доступ к информации
Часть 5: Служебная информация. Регулирование оборота служебной инфоомации
Часть 6: Иные тайны, установленные законодательством Республики Казахстан
Часть 7: Коммерческая тайна
Часть 8: Криптографическая защита информации
Часть 9: Техническая защита информации и информационной инфраструктуры
Часть 10: Электронная разведка/слежка/прослушка
Часть 11: Борьба с киберпреступностью

Определены следующие цели защиты объектов информатизации:
1) обеспечение целостности и сохранности электронных информационных ресурсов;
2) обеспечение режима конфиденциальности электронных информационных ресурсов ограниченного доступа;
3) реализация права субъектов информатизации на доступ к электронным информационным ресурсам;
4) недопущение несанкционированного и (или) непреднамеренного доступа, утечки и иных действий в отношении электронных информационных ресурсов, а также несанкционированного и (или) непреднамеренного воздействия на объекты информационно-коммуникационной инфраструктуры;
5) недопущение нарушений функционирования объектов информационно-коммуникационной инфраструктуры и критически важных объектов информационно-коммуникационной инфраструктуры.

Закон  «Об информатизации» устанавливает перечень действий в отношении объектов информатизации, которые являются несанкционированными и (или) непреднамеренными:
1) блокирование электронных информационных ресурсов и (или) объектов информационно-коммуникационной инфраструктуры, то есть совершение действий, приводящих к ограничению или закрытию доступа к электронным информационным ресурсам и (или) объектам информационно-коммуникационной инфраструктуры;
2) несанкционированная и (или) непреднамеренная модификация объектов информатизации;
3) несанкционированное и (или) непреднамеренное копирование электронного информационного ресурса;
4) несанкционированное и (или) непреднамеренное уничтожение, утрата электронных информационных ресурсов;
5) использование программного обеспечения без разрешения правообладателя;
6) нарушение работы информационных систем и (или) программного обеспечения либо нарушение функционирования сети телекоммуникаций.

Как же осуществляется защита объектов информатизации – электронных информационных ресурсов, программного обеспечения и информационно-коммуникационной инфраструктуры в Казахстане?

Во-первых, закон обязывает  осуществлять защиту объектов информатизации:

Объекты, в отношении которых должна быть осуществлена защита Кто должен обеспечить защиту объектов информатизации?
В отношении электронных информационных ресурсов Cобственники, владельцы и пользователи
в отношении объектов информационно-коммуникационной инфраструктуры и критически важных объектов информационно-коммуникационной инфраструктуры Cобственники или владельцы

 

Во-вторых, Собственники или владельцы объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры обязаны принимать меры, обеспечивающие:
1) предотвращение несанкционированного доступа;
2) своевременное обнаружение фактов несанкционированного доступа, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий нарушения порядка доступа;
4) недопущение несанкционированного воздействия на средства обработки и передачи электронных информационных ресурсов;
5) оперативное восстановление электронных информационных ресурсов, модифицированных либо уничтоженных вследствие несанкционированного доступа к ним;
6) незамедлительное информирование государственной технической службы о произошедшем инциденте информационной безопасности, за исключением собственников и (или) владельцев электронных информационных ресурсов, содержащих сведения, составляющие государственные секреты;
7) информационное взаимодействие с государственной технической службой по вопросам мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства»;
8) предоставление доступа государственной технической службе к объектам информатизации «электронного правительства» и критически важным объектам информационно-коммуникационной инфраструктуры для проведения организационно-технических мероприятий, направленных на реализацию мониторинга обеспечения информационной безопасности.

Кто обязан выполнять требования по защите объектов информатизации? Положения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.     

Законодательством предусмотрены определенные меры защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры:

Меры защиты объектов информатизации Их характеристика, описание
Правовые меры защиты 1) требования законодательства Республики Казахстан и действующие на территории Республики Казахстан стандарты в сфере информатизации;
2) ответственность за нарушение законодательства Республики Казахстан об информатизации;
3) соглашения, заключаемые собственником или владельцем электронных информационных ресурсов, информационных систем, информационно-коммуникационной инфраструктуры, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение
Организационные меры защиты

1)установление и обеспечение режима допуска на территории (в здания, помещения), где может быть осуществлен доступ к информации, электронным информационным ресурсам, информационным системам (электронным носителям информации);

2)ограничение доступа к электронным информационным ресурсам, информационным системам и информационно-коммуникационной инфраструктуре

Технические меры защиты 1) использование средств защиты информации, а в отношении сведений, составляющих государственные секреты, – исключительно с применением средств защиты сведений, составляющих государственные секреты, разработанных, изготовленных и (или) принятых в эксплуатацию в соответствии с законодательством Республики Казахстан;
2) использование систем контроля доступа и регистрации фактов доступа к электронным информационным ресурсам, информационным системам и информационно-коммуникационной инфраструктуре

 

Закон «Об информатизации» устанавливает, что использование технических (программно-технических) мер защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры не должно причинять вред или создавать угрозу причинения вреда жизни, здоровью и имуществу физических лиц, а также имуществу юридических лиц и государственному имуществу.

Кроме этого, на собственников и владельцев информационных систем, получивших электронные информационные ресурсы, содержащие персональные данные,  возлагается обязанность  принимать меры по их защите. Данная обязанность возникает с момента получения электронных информационных ресурсов, содержащих персональные данные, и до их уничтожения либо обезличивания.

Государственный уполномоченный орган за соблюдением требований законодательства по защите информации – Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.

Для осуществления мер по защите объектов информатизации Правительством Республики Казахстан и государственным уполномоченным органом в этой сфере приняты следующие нормативные правовые акты:

Орган, наделенный определенными компетенциями в сфере защиты информации Правовые меры по защите информации
Компетенция Правительства Республики Казахстан 1) единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности;
2) перечень критически важных объектов информационно-коммуникационной инфраструктуры, а также правила и критерии отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры;
3) правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности;
4)  перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов
Компетенция государственного уполномоченного органа в сфере информатизации и защиты информации – Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан 1) правила проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства»;

 

Обзор подготовлен ОФ «Правовой медиа-центр Астана по заказу Digital.Report

Читать далее: Часть 10: Электронная разведка/слежка/прослушка

Об авторе

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели