Ақпараттық қауіпсіздік. Киберауіпсіздік Тжырымдамасы азастанны кибераланы
Скачать 80.21 Kb.
|
Қазақстан Республикасы Үкіметінің 2017 жылғы «___» __________ № ____ қаулысымен бекітілді Киберқауіпсіздік ТҰЖЫРЫМДАМАСЫ («Қазақстанның киберқалқаны») Мазмұны: 1. Кіріспе 2. Ағымдағы ахуалды талдау 3. Халықаралық тәжірибе 4. Мақсат, міндеттер және негізгі индикаторлар 5. Іске асыру механизмдері 6.Осылар арқылы Тұжырымдаманы іске асыру ұйғарылып отырған нормативтік құқықтық актілердің тізбесі 1. Кіріспе «Қазақстанның киберқалқаны» киберқауіпсіздік тұжырымдамасы (бұдан әрі – Тұжырымдама) Қазақстанның әлемнің ең дамыған 30 мемлекетінің қатарына енуі бойынша «Қазақстан-2050» Стратегиясының тәсілдерін есепке ала отырып Қазақстан Республикасы Президентінің «Қазақстанның үшінші жаңғыруы: жаһандық бәсекеге қабілеттілік» Жолдауына сәйкес жасалды. Тұжырымдама мемлекеттік органдарды ақпараттандыру, мемлекеттік қызметтерді автоматтандыру, «цифрлы» экономиканы дамыту және өнеркәсіптегі өндірістік процестерді технологиялық жаңғырту перспективалары, ақпараттық-коммуникациялық қызметтер көрсету саласын кеңейту саласындағы ағымдағы ахуалды бағалауға негізделген. Тұжырымдама электрондық ақпараттық ресурстарды, ақпараттық жүйелер мен телекоммуникация желілерін қорғау, ақпараттық-коммуникациялық технологияларды (бұдан әрі – АКТ) қауіпсіз пайдалануды қамтамасыз ету саласындағы мемлекеттік саясатты іске асырудың негізгі бағыттарын белгілейді. Тұжырымдама мемлекеттік органдардың, жеке және заңды тұлғалардың ақпараттық қауіпсіздікті қамтамасыз ету мониторингіне, сондай-ақ ақпараттық қауіпсіздіктің оқыс оқиғаларын, соның ішінде әлеуметтік, табиғи және техногендік сипаттағы төтенше ахуалдар, төтенше немесе әскери жағдайлар енгізу жағдайларында ескерту және жедел ден қою механизмдерін жасаудың тәсілдерінің бірлігін қамтамасыз етуге бағытталған. Тұжырымдаманы жасау кезінде ақпараттық-коммуникациялық технологияларды жасау және пайдалану саласындағы көшбастаушы мемлекеттердің, сол сияқты әлеуметтік-экономикалық даму мақсаттарына жету үшін оларды қолдану саласын кеңейтуге ұмтылған елдердің ұлттық ақпараттық-коммуникациялық инфрақұрылымын қорғау ұстанымдарын қалыптастыру саласындағы халықаралық тәжірибе зерделенді. Осы Тұжырымдаманың орындалуы қазақстандық қоғамды одан әрі жаңғыртуға қызмет етеді және Қазақстанның БҰҰ-ның Киберқауіпсіздіктің жаһандық бағдарламасын орындауға қосқан үлесі болады. Терминдер мен анықтамалар Осы Тұжырымдаманың мақсаттары үшін киберқауіпсіздік деп электрондық нұсқадағы ақпараттың және оның өңдеу, сақтау, беру (электрондық ақпараттық ресурстарды, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымды) ортасының сыртқы және ішкі қауіп-қатерлерден қорғалу жағдайы яғни ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздік түсіндіріледі. Ақпаратты немесе электрондық ақпараттық ресурстарды және ақпараттық жүйелерді қорғау – ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған физикалық, техникалық, бағдарламалық, криптографиялық және әкімшілік шаралар кешені. Ақпараттық қауіпсіздіктің классикалық үлгісі ақпараттың қауіпсіздігі үшін маңызды үш төлсипатты қамтамасыз етуге негізделеді: құпиялық, тұтастық және қолжетімділік. Ақпараттың құпиялығы онымен өзінің иесі белгілеген қатаң шектелген адамдар тобы ғана таныса алады дегенді білдіреді. Егер ақпаратқа қолжетімділікті уәкілеттілігі жоқ адам алатын болса, рұқсат етілмеген қолжетімділікке немесе құпиялықтың бұзылуына жол беріледі. Заң немесе иесі қорғайтын ақпараттың кейбір түрлері үшін құпиялық ең маңызды төлсипаттардың (қызметтік ақпарат, заңмен қорғалатын құпиялар түрлері, қолжетімділігі шектеулі жеке деректер, мысалы, банктің клиенттері, кредиторлары туралы мәліметтер, салықтық деректер; медицина мекемелерінің пациенттердің денсаулық жағдайы туралы мәліметтері және т.б.) бірі болып табылады. Ақпараттың тұтастығы – ақпараттың (деректердің) бұрмаланбаған түрде сақталу қабілеті. Хұқы жоқ және иесі көздемесе де ақпараттың өзгеруі (оператордың қатесінің немесе уәкілеттігі жоқ адамның қасақана іс-әрекетінің нәтижесінде) тұтастықтың бұзылуына алып келеді. Әсіресе сыни ақпараттық-коммуникациялық инфрақұрылым объектілерінің жұмыс істеуімен байланысты деректердің тұтастығы ерекше маңызды (мысалы, әуе қозғалысын, электрмен және энергиямен жабдықтауды басқарудың автоматтандырылған жүйелері және т.б.). Ақпараттың қолжетімділігі – ақпараттық жүйенің тиісті өкілеттіктері бар ақпарат субъектілеріне дер кезінде бөгетсіз рұқсат беру қабілетімен анықталады. Ақпаратты жою немесе бұғаттау (қателіктің немесе қасақана іс-әрекеттің нәтижесінде) қолжетімділіктің жойылуына алып келеді. Қолжетімділік – ақпараттық-коммуникациялық қызметтерді беру (теміржол және авиациялық билеттерді сатудың ақпараттық жүйелері, банктік қызметтер, Интернетте өнімдерді интернет-ресурстармен және электрондық БАҚ-пен тарату) жолымен клиенттерге қызмет көрсетуге бағытталған ақпараттық жүйелердің жұмыс істеуі үшін маңызды төлсипат. Уәкілетті пайдаланушы белгілі бір қызметтерге рұқсат ала алмайтын жағдайды қызмет көрсетуден бас тарту деп атайды. Коммуникацияның (желілік технологиялардың) дамуымен байланысты, сондай-ақ қосымша түрде ақпараттық жүйені басқарушы немесе электрондық ақпараттық ресурсты алыстан пайдаланушы адамның жеке басымен байланысты ақпараттық қауіпсіздіктің екі ерекшелігін бөліп көрсетеді: сәйкестік және шағымданушылық. Сәйкестік – ақпараттық-коммуникациялық қызметтер көрсету саласында ақпаратпен немесе хабармен заңды елеулі іс-әрекеттің авторын дұрыс анықтау мүмкіндігі, мысалы, электрондық коммерцияда электрондық-цифрлы қол немесе сәйкестіктің өзге тәсілі пайдаланылған кезде. Дәлелдегіштік (бастартпаушылық) – авторлықтан бас тартқан кезде жасалған іс-әрекеттерді тіркеу жолымен ақпараттық жүйедегі немесе ресурстағы ақпаратпен іс-әрекет жасаған автор атап айтқанда басқа ешкім емес осы пайдаланушы болып табылатындығын дәлелдеу мүкіндігі. Аутентификация (түпнұсқаға сәйкестігін анықтау) – ол көрсеткен сәйкестендіргіш пен түпнұсқаға сәйкестігін растау арқылы қолжетімділік субъектісіне жататындығын тексеру. Сәйкестендіру – қолжетімділік субъектілеріне ақпараттық жүйеге рұқсат беру кезінде субъектінің сәйкестігін анықтауды және өкілеттіктерін белгілеуді қамтамасыз ететін жеке сәйкестендіргіштің ақпараттық жүйесіне немесе электрондық ресурсына қолжетімділік беру, жұмыс сеансы процесіндегі өкілеттіктерді бақылау және іс-әрекеттерді тіркеу. Сәйкестендіру мен аутентификация қазіргі заманғы бағдарламалық-техникалық құралдардың қауіпсіздігінің негізі, өйткені кез келген АКТ-қызметтер мен сервистер негізінен субъекті-пайдаланушыларға қызмет көрсетуге есептелген. Ақпараттық қауіпсіздік қауіп-қатері әбден болуы мүмкін оқиға, процесс немесе құбылыс, ол ақпаратқа немесе ақпараттық жүйенің немесе ресурстың компоненттеріне әсер ету арқылы иемденушілер мен пайдаланушылардың мүдделеріне тікелей немесе жанама зиян келтіруге әкеліп соқтыруы мүмкін. Ақпараттық қауіпсіздіктің барынша көп таралған қауіп-қатерлері – бұл жабдықтың (кәбілдік жүйенің, дискілік жүйелердің, серверлердің, жұмыс станцияларының және тағы басқалардың) іркілісі, мұрағаттық деректердің теріс сақталуы, деректерге қолжетімділік құқықтарының бұзылуы), пайдаланушылар мен қызмет көрсетуші қызметкерлер құрамының дөрекі жұмысы, ақпараттың жоғалуы (рұқсат етілмеген қолжетімділіктен немесе зиян келтіретін бағдарламалармен – компьютерлік вирустармен бүлінуден). Компьютерлік (немесе желілік) шабуыл – ақпаратқа, электрондық ресурсқа, ақпараттық жүйеге рұқсат етілмеген әсер ету немесе оларға бағдарламалық немесе бағдарламалық-ақпараттық құралдарды (немесе желілік өзара іс-әрекеттердің хаттамаларын) қолдана отырып қолжетімділік алу арқылы қауіп-қатер төндірудің мақсатты әрекеті. Қазақстан Республикасының Конституциясында, Қылмыстық кодексте, Әкімшілік құқық бұзушылық кодексте және «Қазақстан Республикасының ұлттық қауіпсіздігі туралы», «Мемлекеттік құпиялар туралы», «Терроризмге қарсы күрес туралы», «Электрондық құжат және электрондық цифрлық қолтаңба туралы», «Ақпараттандыру туралы», «Техникалық реттеу туралы», «Рұқсаттар мен хабарламалар туралы», «Бұқаралық ақпарат құралдары туралы», «Байланыс туралы», «Жеке деректер және оларды қорғау туралы», «Ақпаратқа қолжетімділік туралы» Қазақстан Республикасының Заңдарында және ұлттық техникалық стандартарында пайдаланылатын барлық өзге терминдердің мағыналары келтірілген. 2. Ағымдағы ахуалды талдау Cоңғы онжылдықтарға тән ақпараттық-коммуникациялық технологиялар жетістіктерін енгізудің жалпы әлемдік үрдісі «ақпараттық қоғамның» қоғамдық және өндірістік қарым-қатынастарды пайдаланудың және нығайтудың мәдениетін қалыптастыру қарқынынан елеулі басымдыққа ие болып, киберқауіпсіздікті қамтамасыз ету бірінші кезектегі мәселеге айналуына байланысты бұл Қазақстанда да қолдауға ие болып отыр. Дегенмен де, Қазақстан Республикасы Үкіметінің 1998 жылғы 31 желтоқсандағы №1384 "Ұлттық ақпараттық инфрақұрылымды, ақпараттандыру процестерін қалыптастыру мен дамыту және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі жұмыстарды үйлестіру туралы" қаулысы қабылданған 1998 жылдан бастап Қазақстан Республикасының «Ақпараттандыру туралы» Заңдарының 3 жаңа редакциясы жарияланды (2003, 2007, 2015 жылдары) және Қазақстан Республикасының бірнеше мамандандырылған Заңына деректерді берудің электрондық форматтары мәселелері бойынша (соның ішінде ақпараттық-коммуникациялық желілер мәселелері бойынша, «электрондық үкімет» мәселелері бойынша) тиісті өзгерістер енгізу туралы Заңдар қабылданды. Өткен кезеңде электрондық ақпараттық ресурстар және ақпараттық жүйелер мүліктік активтердің басқа түрлерімен бірге шаруашылық айналымына енгізілді, оларды нарықтық пайдалану саласы кеңейді. Мемлекеттік қызметтерді автоматтандыру саласы, электрондық коммерция рыногы мен электрондық төлемдер ақпараттық-коммуникациялық технологияларды қолдану кезінде жеке адамның, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету, сондай-ақ ақпараттандыру және байланыс объектілерінің сенімділігі мен басқарылуын қамтамасыз ететін бірыңғай стандарттар негізінде қызметті жүзеге асыру пинциптерінде дамуда. Ақпараттық қауіпсіздік мәселелері қалыптасқан кезеңнен бастап бар ақпараттың сипатын ескере отырып жалпы қолжетімділіктегі және құпия электрондық ақпараттық реусрстар мен жүйелердің құқықтық режимдері дифференциалданды, меншік иелерінің, оларды қорғау жөніндегі иеленушілер мен пайдаланушылардың құқықтары мен міндеттері белгіленді. Мемлекеттік органдар мен ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті қамтамасыз ету бойынша басқа субъектілердің қызметі олардың салалық құзыретіне, сондай-ақ АКТ пайдаланумен байланысты пәндік салалардағы мақсаттары мен міндеттеріне сәйкес жүзеге асырылады (байланысты және ақпараттық технологияларды реттеу, жеке деректерді қорғау, мемлекеттік құпияларды қорғау, шетелдік техникалық барлаулардың қызметіне қарсы іс-қимыл, байланыс желілеріндегі жедел-іздестіру қызметі, АКТ пайдалану арқылы жасалатын қылмыстарды тергеу және басқалары). Тұтастай алғанда, Қазақстан Республикасында ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті (киберқорғанысты) қамтамасыз ету бойынша шаралар жүйесінің ұйымдастыру-құқықтық және техникалық негіздері қалыптасты және Қазақстан Республикасының «Ұлттық қауіпсіздік туралы» Заңына сәйкес ақпараттық қауіпсіздіктің және ақпараттық кеңістік пен байланыс инфрақұрылымының қауіпсіздігін қамтамасыз етудің құрамдас бөліктері ретінде заңнамалық бекітілді. Соңғы жылдары ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті қамтамасыз етудің түрлі бірімен бірі байланысты аспектілері Қылмыстық кодексте, Әкімшілік құқық бұзу туралы кодексте, Қазақстан Республикасының «Мемлекеттік құпиялар туралы», «Жеке деректер және оларды қорғау туралы», «Байланыс туралы» Заңдарында, және 2016 жылғы 1 қаңтардан бастап күшіне енген «Ақпараттандыру туралы» Қазақстан Республикасының Заңының жаңа редакциясында жасалған тұтас бір заңға қосымша актілерде көрініс тапқан. Бірқатар заңнамалық актілер соңғы кезде қабылданды және осыған байланысты құқық қолдану тәжірибесі әлі өріс алған жоқ. Атап айтқанда, «Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы Бірыңғай талаптарды бекіту туралы» (бұдан әрі – Бірыңғай талаптар) Үкімет қаулысы ұлттық және үйлестірілген стандарттардың құқықтық және техникалық нормаларын кодификациялауды білдіреді. Құжат заңмен қорғалатын ақпарат түрлерін өңдеу кезінде ақпараттық-коммуникациялық технологияларды пайдалану бойынша рәсімдер мен ережелерді толық сипаттайды, ақпараттық инфрақұрылымды, ақпараттық жүйелер мен ресурстарды, бағдарламалық жасақтаманы, өмірлік циклдың барлық кезеңдеріндегі техникалық құралдарды технологиялық қауіпсіздік бойынша қамтамасыз етудің маңызды нормалары жинақталған. «Электрондық үкіметтің» ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингі жүйесі өзіне қоса алғанда мемлекеттік, сонымен мемлекеттік интеграцияланатын мемлекеттік емес ақпараттық жүйелер іс-қимыл жасау заң деңгейінде белгіленген. Ақпараттық қауіпсіздікті, «электрондық үкіметті» ақпараттандыру объектілерін қорғау және оның қауіпсіз жұмыс істеуін қамтамасыз ету мониторингін жүргізу қағидаларында технологиялық іркілістер немесе компьютерлік шабуылдар белгілері, сондай-ақ туындаған оқиғалар мен ақпараттық қауіпсіздік инцидиенттеріне ден қою алгоритмдері кезінде мүдделі тараптар арсындағы негізгі принциптер енгізілген. «Электрондық үкіметтің» қауіпсіздік мониторингі орталығы күн сайын жойылмаған осалдықтарды анықтайды, бұл туралы оның компоненттері болып табылатын ақпараттық жүйелердің иелеріне хабарламалар жібереді. Анықталған осалдықтардың және олар бойынша қабылданған шаралардың оң серпіні бар. Мысалы 2014 жылы 1241 жойылмаған осалдық анықталды, 2015-те – 469, 2016-да – 355. Сондай-ақ Қазақстан Республикасы Үкімет қаулысымен ерекше маңызды мемлекеттік және стратегиялық объектілер, сондай-ақ стратегиялық маңызы бар экономика саласының Ақпараттық-коммуникациялық инфрақұрылым объектілерін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызу қағидалары мен өлшемшарттарын бекітілді. Тізбеге кірген осындай объектілерге Бірыңғай талаптардың күші жүреді, сондай-ақ ақпараттық қауіпсіздіктің инциденттері туралы хабарлау міндетін қоса қорғаудың және қауіпсіз жұмыс істеудің мониторингін қамтамасыз ету бойынша бірлескен шаралар да заңда қаралған. Өнеркәсіптік пайдалануға ақпараттық жүйелерді кіргізу рәсімі жетілдірілуде. Осыған байланысты, ақпараттық жүйелерге олардың белгілі бір класқа жататындығына қарай қауіпсіздік шаралары заңнамалық жағынан дифференцияланды. Ақпараттық қауіпсіздік талаптарына сәйкестікке мемлекеттік және мемлекеттік емес ақпараттық жүйелердің мемлекеттік жүйемен біріктірілетін 500-ден астам аттестациялық зерттеулері жүргізілді, олардың нәтижелері бойынша өндірістік пайдалануға енгізу үшін негі болып табылатын 199 аттестат берілді. «Ақпараттандыру туралы» Қазақстан Республикасы Заңына сәйкес ақпараттық жүйелерінің қалған мүшесі 2018 жылының сонына дейін аттестатау болу міндетті. Техникалық реттеу жүйесі бағдарламалық қамтамасыз ету мен телекоммуникациялық жабдықтың, соның ішінде олардың мемлекеттік секторда пайдаланылуы кезінде міндетті түрде сертификатталу жағдайларын айқындаумен сәйкес келуін растауды көздейді. Осы мақсаттарда жыл сайын ақпараттық қауіпсіздік, ақпаратты қорғау, ақпараттық технологиялардың қауіпсіздігі саласындағы ұлттық және үйлесімді техникалық стандарттар жиынтығы өзекті етіледі. Қазіргі уақытта 68 техникалық стандарттар болады. Мемлекеттік органдардың Интернетіне қолжетімділіктің бірыңғай шлюзі арқылы Интернетке қосылудың орталықтандырылғанының арқасында рұқсатсыз қолжетімділік қаупі төмендеп, мемлекеттік органдардың электрондық ақпараттық ресурстарына зиян келтіретін ықпалдар айтарлықтай төмендеді. Күнделікті негізде әр түрлі деңгейдегі 180 миллионнан астам шабуыл тіркеліп, көрінеді. Есептеу техникасының құралдарын пайдалана отырып, өңделетін мемлекеттік секторлардың құқықтық, ұйымдық, техникалық және криптографиялық шараларының жүйесі құрылып, жетілдірілуде. Мемлекеттің қауіпсіздігі үшін неғұрлым сезімтал электрондық нысандағы ақпарат Интернеттен бөлектенген және ақпаратты қорғаудың криптографиялық құралдарын пайдаланатын арнайы мақсаттағы телекоммуникациялар желілері арқылы ғана жіберіледі. Жалпы пайдаланатын байланыс және телекоммуникациялар желілері инфрақұрылымының қауіпсіздігін қамтамасыз етуге арналған тәсілдер Орталықтан басқару жүйесінің айналасына телекоммуникациялар желілерімен, шекаралық жабдықпен «электрондық шекара» тұжырымдамасын іске асыратын магистралдық байланыс операторларының мүмкіндіктері арқылы тізіледі. Интернеттің ұлттық сегменті заңнамаға сәйкес Қазақстан Республикасының аумағында орналастырылатын КZ және КАЗ домендеріндегі 120000-нан астам интернет-ресурсты есептеді. Ақпараттық ресурстар мен жүйелердің иелері мен пайдаланушыларына АТК-ны қауіпсіз пайдалану мәселелері бойынша көмек көрсету мақсатында 2010 жылдан бастап КZ-СЕRТ Компьютерлік оқиғаларға ықпал ету қызметі жұмыс істейді. Қызмет бірқатар халықаралық ұйымдардың қатысушысы болып табылады, соның ішінде, FIRST (Forum of Incident Responseand Security Teams), TI (Trusted Introducer for Security and Incident Response Teams), OIC-CERT (Компьютерлік инцидиенттерге ден қою қызметінің Исламдық өзара іс-қимыл ұйымы). Қызмет шет елдердің бейімдік құрылымдарымен өзара түсіністік және ынтымақтастық туралы 20 меморандум жасап, ақпараттық қауіпсіздік оқиғаларының 66000-нан астамы тіркеліп, өңдеді. Электрондық түрде азаматтардың дербес деректерін жинау, өңдеу мақсаттары, сондай-ақ оларды қорғау жөніндегі тәртібі мен шаралары заңнама тұрғысында айқындалды. Заңнама оларды тек азаматтардың келісімімен ғана жинау, сондай-ақ олардың талабы бойынша персоналды деректер оперторларының жоюы рәсімдерін, сондай-ақ персоналды деректердің ел аумағында қауіпсіз сақталу және олардың трансшекаралық берілу жағдайларын регламенттейді. Банктік ақпараттық жүйелер Ұлттық банктің нормативтік-құқықтық актілерімен қауіпсіздендіру жөніндегі талаптар ақпараттық жүйелердің қауіпсіздігін қамтамасыз ету жөніндегі салалық және халықаралық талаптарды ескере отырып, қамтамасыз етіледі. 2014 жылдан бастап қолданыстағы Қазақстан Республикасы Қылмыстық кодексінің жаңа редакциясында ақпарат және байланыс саласында жасалатын қылмыстарға арналған жеке Тарау көзделген. Кәсіптеуші жағдайларды ескере отырып, онда электрондық ақпараттық ресурстар мен жүйелерге немесе телекоммуникациялар желілеріне қарсы қылмыстардың 38 құрамы қамтылған. Қазақстан Республикасының Әкімшілік құқық бұзушылық кодексінде сондай-ақ, жасалғаны үшін әкімшілік жауапкершілік шаралары көзделген, соның ішінде электрондық ақпараттық ресурстарды қорғау құралдарын пайдалану жөніндегі талаптарды бұзу түріндегі ақпараттық қауіпсіздікті қамтамасыз ету бойынша міндеттерді орындамайтын лауазымды адамдар үшін бірқатар әкімшілік құқықбұзушылықтар құрамдары қамтылған. Бүгінде «Ақпараттық қауіпсіздік жүйелері» мамандығының оқу жоспарларына микропроцессорлық жүйелер мен құрылғыларды қолданбалы бағдарламалау және радиоэлектрондық құрылғыларды автоматтандырылған түрде жобалау мен әзірлеу бойынша білімдер мен қабілеттерді қалыптастыратын пәндер қосылған. Елдің жетекші техникалық жоғары оқу орындарында мынадай пәндер оқытылады: «Қолданбалы инженерлік бағдарламалар», «Микропроцессорлар мен микропроцессорлық жүйелер», «бағдарламалау және құрамдас жүйелерді іске асыру». |