• Басты
  • Ақпараттық қауіпсіздік қалай сақталады
27 Тамыз, 2019 09:16

Ақпараттық қауіпсіздік қалай сақталады

2017 жылғы 31 қаңтардағы «Қазақстанның үшінші жаңғыруы: жаһандық бәсекеге қабілеттілік» атты Қазақстан халқына жолдауында Тұңғыш Президенті Нұрсұлтан Назарбаев «Киберқылмыспен күрестің өзектілігі барған сайын арта түсуде. Үкімет пен Ұлттық қауіпсіздік комитетіне «Қазақстан киберқалқаны» жүйесін қалыптастыру шараларын қабылдауды тапсырамын» деген еді.Елбасының сөздерінің маңыздылығы осы жылы болған оқиғалар да растап отыр.

Ақпараттық қауіпсіздік қалай сақталады | Strategy2050.kz

Орталық сайлау комиссиясының ақпараттық жүйелерінен 11 млн. қазақстандықтардың жеке деректері Интернетте таралған. Сол кезде Денсаулық сақтау министрлігі мен «Даму мед» компаниясының кінәсінен азаматтардың денсаулық жағдайы туралы мәліметтері барлығына қол жетімді болған. 

2017 жылдың қаңтарында gov.kz аймағында мемлекеттік сайттарды жаппай бұзу тіркелген. Шабуылданған ресурстардың иелері орын алған шабуылдар туралы тек постфактум хабардар етіліп, оларға тиісті осалдықтарды көрсете алған.

Адам қызметінің барлық салалары үшін даусыз артықшылықтар мен жаңа мүмкіндіктермен қатар цифрлық технологияларды белсенді дамыту, мемлекеттік институттардың тұрақты жұмыс істеуі, азаматтардың құқықтары мен бостандықтары үшін және нақты қауіп-қатерлердің туындауына соқтыру мен азаматтардың өміріне, денсаулығына және әл-ауқатына, ақпараттық жүйелер мен ресурстардың қорғалуына, мемлекеттік мүдделерге, жалпы мемлекет пен қоғамға зиян келтіруге мүмкін.

Осыған байланысты, «Қазақстанның киберқалқаны» жүйесін құру киберқылмыстың күрт өсуіне, онлайн шабуылдардың артуына, киберкеңістіктің болжанбаған даму динамикасына байланысты киберсаладағы қатерлердің және киберқауіпсіздік саласындағы тәуекелдердің өршуіне шартталған, бұл жиынтығында Қазақстаннан қорғаудың икемді нормативтік құралдарын құру және киберортаны қорғау бойынша тиімді талаптарды әзірлеуді талап етеді. 

Қазіргі уақытта Қазақстанда киберқауіпсіздікті қамтамасыз ету үшін бірыңғай құқықтық негіз ретінде әрекет ете алатын ортақ құқықтық акт жоқ.

Кейбір мәселелер фрагментті түрде ақпараттық қауіпсіздікті қамтамасыз ету «Ақпараттандыру туралы» ҚР Заңында шоғырланған.

Сонымен қатар, Үкімет киберқауіпсіздікке жататын құқықтық нормаларды Қазақстанның құқықтық алаңына жақында ғана енгізе бастады. Олар әзірше киберқауіпсіздікті қамтамасыз ету бойынша өзекті және қолданылатын әлемдік үрдістерге толық сәйкес келмейді және ең бастысы, Қазақстанда киберқауіпсіздікті тиісті деңгейде қамтамасыз ете алмайды.

Сондықтан, Қазақстан Республикасының цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрілігі «Ақпараттық қауіпсіздік туралы» Заң жобасын әзірледі. Оның мақсаты неде?

Бірінші. Кибершабуылдардан қорғау және киберқауіптердің алдын алудың ұлттық жүйесінің жұмыс істеуінің заңнамалық негізін құру («Қазақстанның киберқалқаны»).

Екінші. Қолданыстағы нормативтік құқықтық актілердегі олқылықтар мен коллизияларды жою.

Үшінші. Уәкілетті мемлекеттік органдар арасында жаңа құзыреттілікті белгілеу және ағымдағы құзыреттілікті қайта бөлу.

Төртінші. Уәкілетті мемлекеттік органдар, байланыс операторлары және желі иелері арасындағы өзара іс-қимылдың құқықтық негіздерін әзірлеу.

Бесінші. Объектілердің маңыздылығы мен салалық белгісі бойынша мамандандырылған үйлестіруші инстанцияларды (киберорталықтарды) құру.

Алтыншы. Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерін санаттарға бөлу.

Жетінші.   Объектілердің киберқауіпсіздігін қамтамасыз ету, компьютерлік оқыс оқиғаларға ден қою (қауіпқатерлерді анықтау, шабуылдар мен олардың салдарын анықтау, алдын алу және жою) бойынша талаптарды енгізу, CERT (Компьютерлік оқыс оқиғаларға дереу ден қою орталықтары) тиімді жұмыс істеуін қамтамасыз ету.

Бұдан басқа, киберқауіпсіздік саласында ұлттық стандарттарды енгізу және қауіпсіздік жүйелерін сертификаттау институтының құқықтық негіздерді белгілеу.

Оған қоса, ақпаратты сақтаудың бірыңғай ұлттық резервтік жүйесін құруды және деректерді өңдеудің бірыңғай салалық резервтік орталықтарын (ДӨО) қалыптастыруды нормативтік қамтамасыз ету.

Қазақстанның ақпараттық-коммуникациялық құрылымы әлемдік цифрлық ортаға терең тартылған. Әлемдегі озық елдердің қатарында. Осы жылы елімізде 5G байланысы енгізілуде. 

Ал, киберқауіпсіздік саласындағы халықаралық тәжірибесі қандай ерекшеліктері бар? Біздің орнымыз қайда?

Израиль. Киберқауіпсіздікті қамтамасыз ету мәселелерін көтерген әлемдегі алғашқы елдердің бірі. Құқықтық реттеу негіздері 1995 жылы «Компьютерлер туралы» Заң қабылданған кезде қаланды. Уәкілетті мемлекеттік органдар - Израиль Ұлттық Кибер бюросы мен Кибер қорғау ұлттық басқармасы.

Анықтама: оқыс оқиғаларға ден қоюды кибер-қорғауды Ұлттық басқару жанындағы Компьютерлік оқыс оқиғаларына (IL-CERT) дереу ден қою израильдік командасы жүзеге асырады. Энергия жүйесі, «электрондық үкімет», коммуникациялар, мемлекеттік БАҚ, мемлекеттік желілер, Мемлекеттік сатып алу, банк секторы, төлем жүйелері, қорғаныс, Қарулы Күштер (АҚҚ-мен бірлесіп), қорғаныс өнеркәсібі, өнеркәсіптік шпионаж, барлау және қарсы барлау, мемлекеттік құпиялар құқықтық реттеу объектілері болып табылады.

Корея Республикасы. Жаңа цифрлық технологияларды енгізу мен тарату саласындағы әлемдік көшбасшылардың бірі. Осы елдің халқын интернетпен қамту 70%-дан астамын құрайды. Осыған қарамастан, Кореяда киберқауіпсіздік мәселелерін шоғырландыратын заң жоқ. 

Анықтама: тиісті реттеу «кибер-терроризмді болдырмау туралы», «ақпараттық және коммуникациялық инфрақұрылымды қорғау туралы», «жеке өмірге қол сұғылмаушылық туралы актіде» және «Ұлттық киберқауіпсіздікті басқару ережелерінде» бөлінген. Инфрақұрылымды қорғау негіздерін, принциптерін және өлшемдерін Премьер-Министр, Ұлттық киберқауіпсіздік орталығы (NCSC), ғылым, акт және болашақ жоспарлау министрлігі анықтайды. Уәкілетті органдар Ұлттық Қорғаныс министрлігі, Ғылым, акт және болашақ жоспарлау министрлігі, Ұлттық барлау қызметі, қауіпсіздік және мемлекеттік басқару министрлігі NCSC-мен, Корей Интернет және қауіпсіздік істері агенттігімен (KISA) бірлесіп болып табылады. Оқыс оқиғаларға ден қоюды KISA (KnCERT) – жеке сектор құрамындағы компьютерлік оқыс оқиғаларға дереу ден қоюды командасы жүзеге асырады. NCSC (KrCERT) құрамындағы - мемлекеттік сектор. Мемлекеттік сектордағы құқықтық реттеу объектілері коммуникация, мемлекеттік БАҚ, мемлекеттік желілер, Мемлекеттік сатып алу, банк секторы, кибер-қылмыстар, Қорғаныс, Қорғаныс өнеркәсібі, өнеркәсіптік тыңшылық сияқты салалар болып табылады. Жеке секторда kisa ботнетпен зақымданған компьютерлерді пайдаланушыларға көмек көрсетеді және сәйкестендіреді («кибер-вакцинация бағдарламасы»).

Ресей Федерациясы. Киберқауіпсіздік мәселелерін заңнамалық реттеу «Ресей Федерациясының сыни ақпараттық инфрақұрылымының қауіпсіздігі туралы» заң жобасын әзірлеу сатысында (2016). 

Анықтама: РФ-да тиісті заң жобасы «өте маңызды объектілер»  және «өте маңызды ақпараттық инфрақұрылым»  ұғымын енгізеді. , тиісінше, заң жобасын реттеу меншік нысанына қарамастан «өте маңызды объектілер» иелеріне де, «өте маңызды ақпараттық инфрақұрылым субъектілеріне» де қолданылады.  Олар ФСБ-да айқындалады. Оқыс оқиғаларға ден қоюды ФСБ жанындағы компьютерлік оқыс оқиғалар жөніндегі ұлттық үйлестіру орталығы жүзеге асырады.

АҚШ. IT индустриясының әлемдік көшбасшысы. Шоғырландырушы заң жоқ. Тиісті реттеу түрлі құқықтық актілер бойынша таратылды және экономикалық және әлеуметтік секторлар бойынша бөлінді. Мысалы, энергетикалық саладағы киберқауіпсіздік мәселелері «энергетикалық саясат туралы» заңда реттелген, «банктік құпия туралы» заң ақша аударымдарының қорғалуына қойылатын талаптарды белгілейді.

Эстония. Бұрынғы советтiк кеңістікте бұл ел «электрондық үкіметтің» неғұрлым дамыған құрылымына ие. Киберқауіпсіздік мәселелерін реттейтін заңнамалық акт өмірлік маңызды Ақпараттық жүйелер мен ақпараттық объектілерде (2013ж.) қауіпсіздік шараларын қолдану ережелері. Уәкілетті органдар үкіметтің қауіпсіздік комитеті құрамындағы киберқауіпсіздік жөніндегі кеңес ақпараттық жүйелердің Эстон басқармасы (Riigi Infosüsteemi Amet, RIA) құрамындағы сыни ақпараттық инфрақұрылымды қорғау Департаментімен бірлесіп болып табылады.

Осы көрсетілген киберқауіпсіздіктің үздік әлемдік практикалардан бірнеше жалпы қорытынды жасауға болады.

Біріншісі. Киберқауіпсіздік саласындағы стратегияны алдын ала әзірлеу керек. АҚШ мысалында көрсетілгендей, әр түрлі федералдық агенттіктердің киберқауіпсіздікті қамтамасыз ету жөніндегі бастапқы бытыраңқы күш-жігері табысты болған жоқ, нәтижесінде тиісті саладағы саясат түбегейлі қайта қаралды және ұлттық инфрақұрылымды қорғау жоспары қабылданды. 

Екіншісі. Министрліктер мен ведомстволар арасындағы Киберқауіпсіздіктің түрлі аспектілері бойынша міндеттерді бөлетін нақты Ұйымдық құрылым құру. Құқық қорғау органдарының әлеуетін күшейту (кибер-ортадағы құқық бұзушылықтар үшін жауапкершілікті қатаңдатуды қоса алғанда) немесе компьютерлік оқыс оқиғаларына дереу ден қою командаларын құру (жоғарыда CERT ретінде белгіленген) сияқты бірінші дәрежелі және маңызды ұйымдастырушылық қадамдар болады. 

Үшіншісі - бұл барабар заң жобалау жұмыстарын жүргізу. Кибер-қылмыстар, сыни объектілер/сыни ақпараттық инфрақұрылым және деректерді қорғау туралы Заңның (заңдардың) киберқауіпсіздікті қамтамасыз ету мақсатында өмірлік маңызы бар. 

Экономиканың түрлі секторларында, түрлі талаптар мен функцияларымен киберқауіпсіздік құралдарын қолданудың қосылмайтын жолдарын ескере отырып, заң жобасы түгел қамтылмауға тиіс. Олардың ерекшеліктері заңға тәуелді нормативтік актілер деңгейінде реттелуі тиіс. 

Осылайша, қазіргі уақытта Қазақстанда киберқауіпсіздікті қамтамасыз ететін бірінші кезектегі заңнамалық шараларды іске асыру ғана емес, сондай-ақ отандық киберортаны қорғаудың өзекті ішкі құралдарын үдемелі дамыту негіздерін қалау қажет. 

Осыған байланысты, киберсаланың серпінді дамуы мен өзгергіштігін ескере отырып, заң жобасы үнемі өзгеріп отыратын жағдайларда сындарға барынша жедел әрекет ету мүмкіндік береді. 

Заң жобасы қабылданған жағдайда киберқауіпсіздікті қамтамасыз ету және кибер-саланы құқықтық реттеуді одан әрі дамыту үшін іргелі заңнамалық база құрылады. 

Нәтижесінде мемлекеттің киберқауіпсіздігін қамтамасыз ету жөніндегі келесі бірінші кезекті міндеттер шешілетін болады.

Біріншіден, ҚР-да киберқауіпсіздікті қамтамасыз етуге байланысты бірікпеген нормалар мен талаптарды шоғырландыру.

Екіншіден, ҚР Ұлттық қауіпсіздік комитетінің киберқауіпсіздік саласындағы құзыретін, ҚР Қорғаныс және аэроғарыш өнеркәсібі министрлігінің және олардың ведомстволық бағынысты кәсіпорындарының («Мемлекеттік техникалық қызмет» ШЖҚ РМК және «Қазимпэкс» РО АҚ) өкілеттіктерін тиісінше қайта бөле отырып, қалыптастыру.

Үшіншіден, киберқауіпсіздікті қамтамасыз ету саласында квазимемлекеттік және жеке секторлар субъектілерінің құқықтары мен міндеттерін белгілеу.

Төртіншіден, ұлттық киберқауіпсіздік орталығын ҚР ҰҚК бағынатын және есеп беретін үйлестіруші инстанция ретінде құру; ұлттық киберқауіпсіздік орталығын мемлекеттік ақпараттық жүйелер мен ресурстардың киберқауіпсіздігін қамтамасыз ету саласындағы салалық киберқауіпсіздік орталығы ретінде анықтау. 

Бесіншіден, мына саладағы салалық кибер-орталықтарды анықтау: 

- бірыңғай телекоммуникация желісі, 

- қаржы секторы, 

- энергетика секторы, 

- денсаулық сақтау,

- көлік.

Оларды құрудың, жұмыс істеуінің, бағыныстылығы мен Киберқауіпсіздіктің ұлттық орталығымен өзара іс-қимылының құқықтық негіздерін белгілеу.

Жоғарыдағы көрсетілген заң жобасының тезистері сын-қатерлерге икемді және уақтылы ден қоюға, бытыраңқы нормалар мен талаптарды шоғырландыруды қамтамасыз етуге, заңға тәуелді нормативтік құқықтық актілерді әзірлеу үшін база құруға және нәтижесінде Қазақстанда киберқауіпсіздік саласын тұрақты дамытуды жүзеге асыруға мүмкіндік беретін стратегиялық негіз болады.

Сонымен қатар, қорғалған ұлттық ақпараттық кеңістікті дамыту Қазақстан Республикасының негізгі ұлттық мүдделеріне жатады және киберкеңістіктегі инциденттерді  алдын алу бойынша, «Қазақстанның киберқалқаны» жүйесін құруда басты бағдар ретінде болу тиіс, пәрменді шараларды қамтамасыз етуді және олардың профилактикасын көздейді.

Қайсар НОҒАЕВ 

ҰСЫНЫЛАДЫ
дерекнама 2050

ШОБ ЖІӨ көлемінің 50 пайызынан артығын өндіреді

Еңбек өнімділігі 126 мың долларға дейін көтеріледі 3-тен 6 жасқа дейінгі балаларды 100 пайыз мектепке дейінгі біліммен қамту

Қазақстан өз нарығын жаңа экологиялық стандарттарға сай келетін жанар-жағармаймен толықтай қамтамасыз етеді

Жалпы экспорт ішінде шикізат емес экспорттың көлемі екі есеге, 2040 жылы үш есеге артады

Әліпбиімізді латын қарпіне көшіру ісі басталады

Қазақстандықтардың 95 пайызы қазақ тілін меңгеруі тиіс

15 пайыз егістік алқаптарына суды үнемдеу технологиялары енгізіледі

Халықты ағын сумен қамту мәселесі шешіледі

Адам басына шаққандағы ЖІӨ көлемі 60 мың долларға көтеріледі

ҚР тұрғындарының үлесі халықтың 70 пайызын құрайды