ОДКБ. Республика Казахстан. Анализ законодательства в области ИБ
ОБЩИЕ СВЕДЕНИЯ
Республика Казахстан (РК) – государство в центре Евразии, граничащее на севере и западе с Россией, на востоке с Китаем, на юге с государствами Центральной Азии (Киргизия, Узбекистан и Туркменистан). Столица – Астана́. Государственный язык – казахский, но наравне с ним официально употребляется и русский.
После распада СССР между нашими странами сложились тесные дружеские отношения. Казахстан и Россия – участники ОДКБ, ЕАЭС, СНГ и ряда других союзов.
Органы, утверждающие законы и подзаконные акты в области ИБ в Казахстане: Президент Республики Казахстан, Правительство Республики Казахстан, Комитет национальной безопасности Республики Казахстан (далее – КНБ РК), Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана (далее – МЦРИАП РК), Агентство Республики Казахстан по регулированию и развитию финансового рынка (далее – АРРФР РК), Национальный Банк Республики Казахстан (далее – НБ РК) и другие отраслевые ведомства.
Все документы, которые будут рассмотрены ниже, имеют общереспубликанское значение и применяются для организации и обеспечения информационной и кибербезопасности. НБ РК, АРРФР РК, МЦРИАП РК, КНБ РК и другие отраслевые ведомства дополняют и детализируют ИБ в части специфичных отраслевых процессов.
ТАЙНЫ
Тайны, определённые законодательством Республики Казахстан:
Коммерческая тайна
В РК в отличие от большинства стран нет специального закона, регулирующего охрану коммерческой тайны. Более того, законодательство РК не даёт исчерпывающего определения термину «коммерческая тайна». Нормы, посвящённые коммерческой тайне, дифференцированы по различным нормативно-правовым актам, что доставляет некоторые неудобства при определении границ коммерческой тайны.
Согласно п. 1 ст. 126 и п. 1 ст. 1017 Гражданского кодекса (далее – ГК РК) к коммерческой тайне относится ценная информация, включающая в себя секреты производства (ноу-хау), технологию производства, управленческую модель, а также способы и методы для увеличения прибыли.
При этом предприятие не может включать любую информацию в перечень объектов коммерческой тайны. Необходимо соблюдать три главных критерия в выборе:
- сведения должны иметь для предприятия действительную или потенциальную коммерческую ценность;
- сведения должны быть неизвестными третьим лицам;
- в отношении сведений должен быть установлен режим коммерческой тайны.
К объектам коммерческой тайны можно отнести сведения о субъектах предпринимательства и сферах их деятельности, а также производственную, управленческую, научно-техническую и финансово-хозяйственную информацию о деятельности компании. Однако стоит отметить, что в казахстанском законодательстве нет определённого перечня объектов, которые нельзя относить к коммерческой тайне.
Банковская тайна
Понятие «Банковская тайна» определено в Законе Республики Казахстан от 31.08.1995 № 2444 «О банках и банковской деятельности в Республике Казахстан»:
«Банковская тайна включает в себя сведения о клиентах и корреспондентах банков, их операциях и взаимоотношениях с банками, связанных с получением банковских услуг, в том числе без ограничения: информации о наличии, владельцах и номерах банковских счетов и корреспондентов банков, остатках и движении денег на этих счетах и счетах самого банка, ограничениях на перечисленных счетах (решениях и (или) распоряжениях государственных органов о приостановлении расходных операций, арестах, залогах), операциях клиентов и корреспондентов и самого банка (за исключением общих условий проведения банковских операций), а также наличии, владельцах, характере и стоимости имущества клиентов, находящегося на хранении в сейфовых ящиках, шкафах и помещениях банка, информацию о получении клиентами кредитов, проведении операций по платежам и (или) переводам денег, в том числе выполненным без открытия банковского счёта».
Персональные данные
Понятие «Персональные данные» определено в Законе Республики Казахстан от 21.05.2013 № 94-V «О персональных данных и их защите»:
«персональные данные – сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе».
ВЫСОКОУРОВНЕВЫЕ ДОКУМЕНТЫ
Концептуальными документами, охватывающими вопросы информационной безопасности, являются:
Концепция кибербезопасности («Киберщит Казахстана») (утверждена постановлением Правительства Республики Казахстан от 30.06.2017 № 407).
Концепция определяет основные направления реализации государственной политики в сфере защиты электронных информационных ресурсов, информационных систем и сетей телекоммуникаций, обеспечения безопасного использования информационно-коммуникационных технологий. Она призвана обеспечить единство подходов к мониторингу обеспечения информационной безопасности государственных органов, физических и юридических лиц, а также выработку механизмов предупреждения и оперативного реагирования на инциденты информационной безопасности, в том числе в условиях чрезвычайных ситуаций социального, природного и техногенного характера, введения чрезвычайного или военного положения.
ЗАКОНЫ
Законы – нормативные правовые акты, которые регулируют важнейшие общественные отношения, устанавливают основополагающие принципы и нормы, предусмотренные Конституцией Республики Казахстан. Основными законами в области ИБ являются:
Закон РК от 6.01.2012 № 527-IV«О национальной безопасности»
Данный Закон регулирует правовые отношения в области национальной безопасности Республики Казахстан и определяет содержание и принципы обеспечения безопасности человека и гражданина, общества и государства, систему, цели и направления обеспечения национальной безопасности Республики Казахстан.
Закон РК от 24.11.2015 № 418-V«Об информатизации»
Данный Закон позволяет регулировать общественные отношения в сфере информатизации, возникающие на территории Республики Казахстан между государственными органами, физическими и юридическими лицами при создании, развитии и эксплуатации объектов информатизации, а также при государственной поддержке развития отрасли информационно-коммуникационных технологий.
Закон РК от 15.03.1999 № 349-1 «О государственных секретах»
Закон определяет правовые основы и единую систему защиты государственных секретов в интересах обеспечения национальной безопасности Республики Казахстан, регулирует общественные отношения, возникающие в связи с отнесением сведений к государственным секретам, их засекречиванием, распоряжением, защитой и рассекречиванием.
Закон РК от 21.05.2013 № 94-V «О персональных данных и их защите»
Закон позволяет регулировать общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.
Закон РК от 7.01.2003 № 370 «Об электронном документе и электронной цифровой подписи»
Закон направлен на регулирование отношений, возникающих при создании и использовании электронных документов, удостоверенных посредством электронных цифровых подписей, предусматривающих установление, изменение или прекращение правоотношений, а также прав и обязанностей участников правоотношений, возникающих в сфере обращения электронных документов, включая совершение гражданско-правовых сделок.
Закон РК от 5.07.2004 № 567 «О связи»
Закон устанавливает правовые основы деятельности в области связи на территории Республики Казахстан, определяет полномочия государственных органов по регулированию данной деятельности, права и обязанности физических и юридических лиц, оказывающих услуги связи или пользующихся ими.
Закон РК от 31.08.1995 № 2444 «О банках и банковской деятельности в Республике Казахстан»
Закон регламентирует банковскую деятельность.
ПРИКАЗЫ И ПОСТАНОВЛЕНИЯ
Постановления Правительства РК:
Постановление Правительства РК от 20.12.2016 № 832 «Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности»
Указанные требования разработаны в соответствии с подпунктом 3 статьи 6 Закона РК «Об информатизации» и определяют требования в области информационно-коммуникационных технологий и обеспечения ИБ.
Постановление Правительства РК от 9.08.2018 № 488 «Об утверждении Национального антикризисного плана реагирования на инциденты информационной безопасности»
Национальный антикризисный план реагирования на инциденты ИБ определяет порядок действий субъектов системы (государственные органы, уполномоченные на решение вопросов ИБ или реагирования на инциденты ИБ, НКЦИБ, Оперативный штаб, владельцы объектов информатизации «электронного правительства», владельцы объектов КИИ, оперативные центры информационной безопасности (далее – ОЦИБ), службы реагирования на инциденты информационной безопасности)по снижению влияния инцидентов ИБ на состояние информационной безопасности с одновременным сведением к минимуму нарушений их работы.
Приказы и постановления государственных органов РК:
Приказ Министра оборонной и аэрокосмической промышленности РК от 28.03.2018 № 52/НҚ «Об утверждении Правил проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры»
Данные правила разработаны в соответствии с подпунктом 7 статьи 7-1 Закона РК «Об информатизации» и определяют порядок проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры.
Приказ и. о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 16.08.2019 № 199/НҚ «Об утверждении Правил проведения мониторинга событий информационной безопасности объектов информатизации государственных органов»
Правила разработаны в соответствии с подпунктом 5-1 статьи 7-1 Закона РК «Об информатизации» и определяют порядок проведения мониторинга событий информационной безопасности объектов информатизации государственных органов.
Приказ Министра оборонной и аэрокосмической промышленности РК от 19.03.2018 № 48/НҚ «Об утверждении Правил обмена информацией, необходимой для обеспечения информационной безопасности, между оперативными центрами обеспечения информационной безопасности и Национальным координационным центром информационной безопасности»
Правила разработаны в соответствии с подпунктом 19 статьи 7-1 Закона РК от 24.11.2015 «Об информатизации» и определяют порядок взаимодействия Национального координационного центра информационной безопасности с оперативными центрами обеспечения информационной безопасности при обмене информацией, необходимой для обеспечения информационной безопасности и реагирования на инциденты информационной безопасности.
Приказ Комитета национальной безопасности РК от 27.03.2018 № 25/нс «Об утверждении Правил функционирования системы централизованного управления сетями телекоммуникаций Республики Казахстан»
Правила разработаны в соответствии с пунктом 2 статьи 21 Закона РК «О связи» и определяют порядок функционирования системы централизованного управления сетями телекоммуникаций РК.
Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 13.10.2020 № 386/НҚ «Об утверждении Правил функционирования единого шлюза доступа к Интернету и единого шлюза «электронной почты электронного правительства»
Правила разработаны в соответствии со статьёй 7-1 Закона РК «Об информатизации» и определяют порядок функционирования единого шлюза доступа к интернету.
Приказ Комитета национальной безопасности РК от 27.03.2018. № 24/нс «Об утверждении Правил присоединения сетей операторов междугородной и международной связи к точкам обмена интернет-трафиком и пропуска интернет-трафиком»
Правила разработаны в соответствии с подпунктом 21-6 статьи 13 Закона РК от 21.12.1995 «Об органах национальной безопасности Республики Казахстан» и определяют порядок присоединения сетей операторов связи к точкам обмена интернет-трафиком и пропуска интернет-трафика.
Приказ Министра оборонной и аэрокосмической промышленности РК от 16.03.2018 № 44/НҚ «Об утверждении Правил создания и обеспечения функционирования единой национальной резервной платформы хранения электронных информационных ресурсов»
Правила разработаны в соответствии с подпунктом 17 статьи 7-1 Закона РК от 24.11.2015 «Об информатизации» и определяют порядок функционирования единой национальной резервной платформы хранения электронных информационных ресурсов, периодичность резервного копирования электронных информационных ресурсов критически важных объектов информационно-коммуникационной инфраструктуры.
Приказ Министра оборонной и аэрокосмической промышленности РК от 16.03.2018 № 45/НҚ «Об утверждении Правил передачи резервных копий электронных информационных ресурсов на единую платформу резервного хранения электронных информационных ресурсов»
Правила разработаны на основании подпункта 4 пункта 2-1 статьи 17 Закона РК «Об информатизации» и определяют порядок и сроки передачи резервных копий электронных информационных ресурсов на единую национальную резервную платформу хранения электронных информационных ресурсов.
Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности РК от 03.06.2019№ 111/НҚ «Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесённых к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности»
Методика разработана в соответствии с подпунктом 5 статьи 7-1 Закона РК «Об информатизации».
Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 29.06.2019 № 144/НҚ «Об утверждении Правил проведения экспертизы в сфере информатизации инвестиционных предложений, финансово-экономических обоснований бюджетных инвестиций»
Правила разработаны в соответствии с подпунктом 19 статьи 7 Закона РК «Об информатизации» и устанавливают порядок проведения экспертизы в сфере информатизации (далее – экспертиза) инвестиционных предложений, финансово-экономических обоснований бюджетных инвестиций.
Постановление Правления Национального Банка Республики Казахстан от 27.03.2018 № 48 «Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций»
Требования разработаны в соответствии с пунктом 7 статьи 61-5 Закона РК «О банках и банковской деятельности в Республике Казахстан» и устанавливают требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов РК и организаций, осуществляющих отдельные виды банковских операций.
Постановление Правления Национального Банка РК от 28.01.2016 № 34 «Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов РК и организаций, осуществляющих отдельные виды банковских операций»
Требования разработаны в соответствии с подпунктом 85 части второй статьи 15 Закона РК «О Национальном Банке Республики Казахстан» и определяют требования к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов РК и организаций, осуществляющих отдельные виды банковских операций, посредством которых обеспечивается оказание электронных банковских услуг.
Постановление Правления Агентства РК по регулированию и развитию финансового рынка от 12.09.2022 № 67 «Об утверждении Правил подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций»
Правила разработаны в соответствии с пунктом 4 статьи 7-5 Закона РК «Об информатизации» и определяют порядок подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций.
Постановление Правления Национального Банка РК от 30.07.2018 № 164 «Об утверждении Требований к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации»
Требования разработаны в соответствии с Законом РК от 18.12.2000 «О страховой деятельности» и устанавливают требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации.
Постановление Правления Национального Банка РК от 27.09.2018 № 228 «Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчётов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчётов в соответствии с подпунктом 11) пункта 2 и подпунктом 9) пункта 3 статьи 27 Закона РК от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в РК"»
Требования разработаны в соответствии с Законом РК от 6.07.2004 «О кредитных бюро и формировании кредитных историй в РК» и устанавливают требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчётов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами.
Постановление Правления Национального Банка РК от 28.04.2012 № 165 «Об утверждении Требований к программно-техническим средствам и иному оборудованию, необходимым для осуществления деятельности на рынке ценных бумаг»
Требования определяют минимально необходимый функционал программно-технических средств и иного оборудования, а также набор требований к обеспечению информационной безопасности при обработке информации, содержащей коммерческую тайну, на программно-технических средствах и ином оборудовании организаций, осуществляющих деятельность на рынке ценных бумаг.
Постановление Правления Агентства РК по регулированию и развитию финансового рынка от 21.09.2020 № 89 «Об утверждении требований к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности»
Требования разработаны в соответствии с Законом РК от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» и устанавливают требования к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности финансовых организаций РК и филиалов банков – нерезидентов РК, филиалов страховых (перестраховочных) организаций – нерезидентов РК, филиалов страховых брокеров – нерезидентов РК независимо от форм собственности.
Постановление Правления Агентства РК по регулированию и развитию финансового рынка от 21.09.2020 № 90 «Об утверждении Требований к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности»
Требования разработаны в соответствии с Законом РК от 04.07.2003 «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» и устанавливают требования к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности банков второго уровня и филиалов банков-нерезидентов РК, организаций, осуществляющих отдельные виды банковских операций.
Постановление Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2020 № 110 «Об утверждении Правил оценки уровня защищённости от угроз информационной безопасности»
Правила разработаны в соответствии с Законом РК от 04.07.2003 «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» и определяют порядок оценки уровня защищённости от угроз информационной безопасности финансовых организаций и филиалов банков – нерезидентов РК, филиалов страховых (перестраховочных) организаций – нерезидентов РК, филиалов страховых брокеров – нерезидентов РК.
Постановление Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2020 № 111 «Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности»
Методика разработана в соответствии с Законом РК от 04.07.2003 «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» и применяется в целях организации процесса оценки рисков информационной безопасности в финансовых организациях и филиалах банков – нерезидентов РК, филиалах страховых (перестраховочных) организаций – нерезидентов РК, филиалах страховых брокеров – нерезидентов РК, к которым предъявляются требования по проведению оценки рисков информационной безопасности, для определения приоритетов и оптимизации ресурсов, задействованных при обработке рисков информационной безопасности в финансовых организациях.
Постановление Правления Агентства РК по регулированию и развитию финансового рынка от 12.09.2022 № 67 «Об утверждении Правил подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций»
Правила разработаны в соответствии с пунктом 4 статьи 7-5 Закона РК «Об информатизации» и определяют порядок подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций.
СТАНДАРТЫ
Национальные стандарты РК:
- СТ РК ISO/IEC 27001-2023 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасностью. Требования».
- СТ РК ISO/IEC 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасности».
- СТ РК ИСО/МЭК 13335-5-2008 «Информационная технология. Методы и средства обеспечения безопасности. Управление защитой информационных и коммуникационных технологий. Часть 5. Руководство по управлению защитой сети».
- СТ РК ISO/IEC 15408-1-2017 «Информационные технологии. Методы и средства обеспечения безопасности Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
- СТ РК ISO/IEC15408-2-2017 «Информационные технологии.Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
- СТ РК ISO/IEC 15408-3-2017 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты».
- СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».
- СТ РК ИСО/МЭК 18028-4-2007 «Технологии информационные. Методы обеспечения защиты. Защита сети информационных технологий. Часть 4. Защита удалённого доступа».
- СТ РК ИСО/МЭК 27005-2022 «Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности».
- СТ РК IEC 31010-2020 «Менеджмент риска. Методы оценки риска».
Надеемся, что данный материал поможет «не заблудиться» в Законодательстве Республики Казахстан. Мы постарались облегчить путь изучения и применения на практике нормативных законов и подзаконных актов в области ИБ.
Авторы:
Александр Виноградов, ФГУП «ЦНИИХМ»
Сергей Меньшиков, Belarusian InfoSecurity Community
Андрей Ситнов, Независимый эксперт
Валерий Соколенко, Замначальника ИБ-службы ICBC в Алматы
https://ib-bank.ru/bisjournal/post/2199