Как в Казахстане будут бороться с кибератаками
9 января вступает в силу постановление правительства «Об утверждении Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности».
9 января вступает в силу постановление правительства «Об утверждении Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности». О том, что собой представляет документ и как это скажется на участниках процессов информатизации, рассказал исполняющий обязанности председателя Комитета по информационной безопасности Министерства оборонной и аэрокосмической промышленности РК Абдикаликов Руслан Кенжебекович, передает Zakon.kz.
— Документ принимается впервые. Ранее нормативного акта подобного уровня в сфере безопасного использования информационно-коммуникационных технологий в стране не имелось. С момента вступления в силу, постановление, по сути, станет настольной книгой, как руководителей, так и работников, связанных с сектором информационных технологий?
— Да, в первую очередь в государственных органах. Но содержащиеся в нем требования в части информационной безопасности также обязательны для собственников частных информационных систем, интегрируемых с государственными, а также владельцев критически важных объектов информационно-коммуникационной инфраструктуры. Сюда попадают промышленные предприятия и другие категории объектов экономики, имеющие автоматизированные технологические процессы, нарушение которых может сказаться на безопасности страны.
— Какие подходы были заложены при разработке Единых требований?
— Сам документ представляет собой своего рода кодификацию из ранее разрозненных норм и многих гармонизированных в Казахстане технических стандартов в области информационных технологий, защиты информации, управления процедурами информационной безопасности рекомендательного характера. Постановление же в директивной форме описывает процедуры и правила по использованию информационных технологий при обработке защищаемых законом видов информации, не содержащих государственных секретов.
— В чем принципиальная разница от Единых требований от мер, предусмотренных для защиты государственных секретов?
— В отличие от государственных секретов, обработка таких видов защищаемой законом информации как служебная информация, межведомственная переписка, персональные данные граждан с использованием информационных технологий была менее регламентирована. В тоже время в силу масштабной информатизации ее использование сопряжено с возможностью доступа более широкого круга лиц. Также она уязвима для значительно большего количества угроз, исходящих из Интернета, т.к. часто предполагает использование его возможностей.
Кроме того, важно понимать, что несоблюдение или отклонение от технических стандартов на любом из этапов — от разработки до утилизации информационных систем, часто влекут за собой нарушение целостности, доступности или риск безвозвратной утраты данных. В этой части Единые требования также содержат нормы по обеспечению технологической безопасности, которые включают требования к информационной инфраструктуре, информационным системам и ресурсам, программному обеспечению, технологическим платформам, техническим средствам на всех этапах их жизненного цикла.
— Какие меры предусмотрены на случай кибератак?
— На случай технологических сбоев или признаков компьютерных атак в Единых требованиях расписаны алгоритмы реагирования на возникающие инциденты информационной безопасности и порядок взаимодействия собственников или владельцев в рамках нормативно закрепляемых процедур по их локализации и предотвращению в более широком общенациональном масштабе.
— Каким образом государство намерено добиваться соблюдения Единых требований?
— Мерами государственного контроля. За несоблюдение Единых требований предусмотрена административная ответственность. При чем, распространяется она не только на государственные органы, но и на собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры.
— Все это позволяет надеяться на существенное повышение общего уровня культуры «кибербезопасности» в РК?
— По крайней мере, наиболее вопиющие случаи невежества, беспечности и расточительности перестанут быть обыденным явлением. Ведь по своей сути кибербезопасность — это в первую очередь правильная информатизация.