Стандарты республики Казахстан в области защиты информационных технологий и их краткое описание

Введение

Общие закономерности развития цивилизации способствуют глобальному процессу информатизации современного общества, которая влечет за собой многие, весьма радикальные, научно-технические, экономические и социальные преобразования, существенным образом меняющие привычные условия жизни людей, их производственной деятельности, быта и отдыха. Тенденции и темпы развития этих изменений убедительно свидетельствуют о том, что ХХI век будет веком информации [1, c.69].
Актуальность моей работы состоит в том, что информационные технологии стали неотъемлемой частью жизни человека, что требует нового подхода к защите информации, а также защите от информации. Казахстан в этом смысле чрезвычайно уязвимая страна, поскольку является одним из тех развивающихся государств, которые перешли в информационную эру, не завершив стадии развития аграрного и индустриального общества.
Вместе с тем, информационная безопасность (ИБ) обычно рассматривается не только с социальной, но и с технологической стороны. На заседании Гайдаровского форума председатель правления «Сбербанка» Герман Греф заметил, что классическая колонизация в современном мире заменена на технологическое порабощение.
«Нужно честно признать, что мы проиграли конкуренцию. Страны, которые сумели вовремя инвестировать в IT, победили, а те, кто не успел, проигрывают, и разрыв между ними будет больше, чем в прошлую индустриальную революцию. Однозначно в мире сохранится спрос на высокие технологии, а также на тех, кто готов на низкооплачиваемую работу. Трагедия тех стран, кто посередине, тех, кто не хочет заниматься низкооплачиваемым трудом, но и не может быть высокотехнологическим», – отметил Греф. [2]
Для того чтобы понимать степень уязвимости информационной безопасности в Казахстане, нужно проанализировать ряд аспектов. Во-первых, нужно определить, что понимается под информационной безопасностью вообще, и в Казахстане в частности.
Во-вторых, следует изучить степень юридического осмысления явления. В-третьих, проанализировать технологическую сторону вопроса и, в-четвертых, определить социально-психологические проблемы, связанные с информационной безопасностью в стране.
Целью данной работы является – изучение стандартов республики Казахстан в области защиты информационных технологий.
Поставленная цель предполагает решение следующих задач:
1) провести общий обзор законодательства республики Казахстан в сфере защиты информационных технологий;
2) изучить юридическую интерпретацию информационной безопасности Казахстана;
3) проанализировать концепцию информационной безопасности республики Казахстан.
Объектом моего исследования выступают стандарты республики Казахстан в области защиты информационных технологий.
Предметом исследования являются особенности подходов к построению и применению стандартов в области защиты информационных технологий республикой Казахстан.
Методологической базой данной работы явились анализ и синтез, индукция и дедукция, методы системного подхода, средства факторного и статистического анализа.


1 Общий обзор законодательства республики Казахстан в сфере защиты информационных технологий
В 2015 году в Казахстане принята новая редакция Закона Республики Казахстан «Об информатизации». В соответствии с принятым законом, защитой объектов информатизации является реализация комплекса правовых, организационных и технических мероприятий, направленных на сохранность объектов информатизации, предотвращение неправомерного и (или) непреднамеренного доступа и (или) воздействия на них.
Под объектами информатизации понимаются электронные информационные ресурсы, программное обеспечение и информационно-коммуникационная инфраструктура. 
Информационно-коммуникационная инфраструктура –   совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним.
 Средство защиты информации – программное обеспечение, технические и иные средства, предназначенные и используемые для обеспечения защиты информации [3].
Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности [4].
Определены следующие цели защиты объектов информатизации:
- обеспечение целостности и сохранности электронных информационных ресурсов;
- обеспечение режима конфиденциальности электронных информационных ресурсов ограниченного доступа;
- реализация права субъектов информатизации на доступ к электронным информационным ресурсам;
- недопущение несанкционированного и (или) непреднамеренного доступа, утечки и иных действий в отношении электронных информационных ресурсов, а также несанкционированного и (или) непреднамеренного воздействия на объекты информационно-коммуникационной инфраструктуры;
- недопущение нарушений функционирования объектов информационно-коммуникационной инфраструктуры и критически важных объектов информационно-коммуникационной инфраструктуры.
Закон «Об информатизации» устанавливает перечень действий в отношении объектов информатизации, которые являются несанкционированными и (или) непреднамеренными:
- блокирование электронных информационных ресурсов и (или) объектов информационно-коммуникационной инфраструктуры, то есть совершение действий, приводящих к ограничению или закрытию доступа к электронным информационным ресурсам и (или) объектам информационно-коммуникационной инфраструктуры;
- несанкционированная и (или) непреднамеренная модификация объектов информатизации;
- несанкционированное и (или) непреднамеренное копирование электронного информационного ресурса;
- несанкционированное и (или) непреднамеренное уничтожение, утрата электронных информационных ресурсов;
- использование программного обеспечения без разрешения правообладателя;
- нарушение работы информационных систем и (или) программного обеспечения либо нарушение функционирования сети телекоммуникаций.
Закон «Об информатизации» устанавливает, что использование технических (программно-технических) мер защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры не должно причинять вред или создавать угрозу причинения вреда жизни, здоровью и имуществу физических лиц, а также имуществу юридических лиц и государственному имуществу.
Кроме этого, на собственников и владельцев информационных систем, получивших электронные информационные ресурсы, содержащие персональные данные, возлагается обязанность принимать меры по их защите

. Данная обязанность возникает с момента получения электронных информационных ресурсов, содержащих персональные данные, и до их уничтожения либо обезличивания.
Государственный уполномоченный орган за соблюдением требований законодательства по защите информации – Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
Для осуществления мер по защите объектов информатизации Правительством Республики Казахстан и государственным уполномоченным органом в этой сфере приняты следующие нормативные правовые акты.
Компетенция Правительства Республики Казахстан [3]:
- единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности;
- перечень критически важных объектов информационно-коммуникационной инфраструктуры, а также правила и критерии отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры;
- правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности;
- перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов
Компетенция государственного уполномоченного органа в сфере информатизации и защиты информации – Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан: правила проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства».
Также стоит подчеркнуть, что сегодня в республике Казахстан применяется и СТ РК ИСО / МЭК 27002-2009.
Настоящий стандарт устанавливает свод правил по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации [5].
Указанные в настоящем стандарте задачи задают направление для достижения общепринятых целей управления информационной безопасностью. Задачи и элементы управления настоящего стандарта предназначены для внедрения с целью соответствия определенным требованиям, выявленным при оценке риска. Настоящий стандарт предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями.


2 Юридическая интерпретация информационной безопасности Казахстана
«Информационная безопасность» – один из терминов, который обозначает два отличных друг от друга явления. Принято говорить, что ИБ состоит из двух частей – информационно-технической и информационно-психологической.
Этот подход нашел отражение в российской Доктрине и казахстанской Концепции информационной безопасности. В последнем документе даже вводится определение: «Информационная безопасность страны рассматривается с двух взаимосвязанных аспектов: технического и социально-политического.
Технический аспект подразумевает обеспечение защиты национальных информационных ресурсов, информационных систем, информационно- телекоммуникационной инфраструктуры от неавторизованного доступа, использования, раскрытия, нарушения, изменения, прочтения, проверки, записи или уничтожения для обеспечения целостности, конфиденциальности и доступности информации.
Социально-политический аспект заключается в защите национального информационного пространства и систем распространения массовой информации от целенаправленного негативного информационного и организационного воздействия, могущего причинить ущерб национальным интересам Республики Казахстан». [6]
В Казахстане пока не существует такой юридической отрасли, как информационное право, хотя о необходимости систематизации теории и практики говорится давно. В России информационное право уже выделилось в отдельную дисциплину, в том числе и академическую.
Отсутствие информационного права в Казахстане можно объяснить тем самым несоответствием, о котором мы говорили выше – страна оказалась вынуждена имплементировать современные технологии, встраиваясь в международную торговлю и политику. Эта вынужденность, а не естественность, объясняет и отсутствие информационного права, и низкое качество сайтов большинства государственных и даже коммерческих структур, и медленное внедрение технологий, которое часто встречает саботаж, и неразвитость электронной коммерции и т