Согласно отчёту Международного союза электросвязи ООН (International Telecommunication Union, ITU), Казахстан в глобальном индексе кибербезопасности (Global Cybersecurity Index, GCI) поднялся до 31 места. 3 года назад Казахстан занимал 83 место, а год назад - 40 место.
Я как человек живущий в сфере кибербезопасности могу предположить что дальше в этом рейтинге мы будем исключительно расти при условии что законодотельсотво в этой области не остановиться развиваться.
Попробую здесь разобрать пару нормативных актов которые на настоящий момент регламентируют кибербезопасность Казахстана. Я не буду вдаваться в стандарты Iso и какие то технические документы, мы будем говорить исключительно о постановлениях правительства РК в области информационной безопасности . (я думаю эта тема будет интересна всем интеграторам от сейлзов до руководителей).
Первым поговорим о :
Постановление Правительства Республики Казахстан от 30 июня 2017 года № 407 - Об утверждении Концепции кибербезопасности ("Киберщит Казахстана").
Концепция была разработана в соответствии с Посланием Президента Республики Казахстан "Третья модернизация Казахстана: Глобальная конкурентоспособность" с учетом подходов Стратегии "Казахстан-2050" по вхождению Казахстана в число 30-ти самых развитых государств мира.
Период реализации Концепции включает два этапа:
1) первый этап 2017-2018 годы;
2) второй этап 2019-2022 годы.
(а здесь уже можно оценить проделанную работу)
На первом этапе будут:
- сформирована развернутая правоприменительная практика соблюдения уже установленных требований в сфере обеспечения информационной безопасности, по результатам которого будут внесены необходимые изменения в законодательство;
- проведена ревизия образовательных программ и профессиональных стандартов, увеличено количество и качество подготавливаемых специалистов в области информационной безопасности, обеспечено повышение квалификации действующих работников, занятых в этой сфере;
- выстроена эффективная схема взаимодействия и кооперации между промышленностью и наукой в создании отечественных разработок, что создаст основу для развития национального и отраслевых оперативных центров информационной безопасности,
что позволит на втором этапе обеспечить:
- ключевое участие казахстанских IT-компаний в обеспечении национальной информационно-коммуникационной инфраструктуры системами информационной безопасности;
- загрузку отечественных предприятий электронной промышленности заказами на приобретение государственными органами и квазигосударственным сектором телекоммуникационного оборудования, произведенного и прошедшего процедуры сертификации на соответствие требованиям информационной безопасности на территории страны.
Я не буду делать какие то выводы о реализации , те кто в теме думаю сами смогут оценить проведенную работу.
Документ можно прочитать по ссылке - https://adilet.zan.kz/rus/docs/P1700000407#z15
Перейдем к следующему акту который я использую практически ежедневно при работе с Государственными Органами :
Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832. Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности
ссылка на документ :
https://adilet.zan.kz/rus/docs/P1600000832
а дальше я выпишу пункты с которыми каждый день сталкиваюсь в работе с "приблизительным" упоминанием решений которые могут быть применимы :
Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью
Параграф 1. Требования к информатизации государственного органа
25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.
Вендоры которые подходят под этот пункт: Kaspersky ESET Dr.Web Trend Micro (стоит напомнить что есть нормативный документ "Реестр доверенного программного обеспечения и продукции электронной промышленности РК" который часто меняется, и возможно на момент прочтения статьи в списке что то измениться )
54-1. Для защиты объектов информатизации допускается применение системы предотвращения утечки данных (DLP), в том числе отечественной разработки, соответствующих оценочным уровням доверия не ниже ОУД4, согласно СТ РК ISO/IEC 15408-2-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".
Вендоры которые подходят под этот пункт: InfoWatch SearchInform @symantec Forcepoint Staf Cop (Так же есть Казахстанские решения: Ibatyr , Tamerlan)
128. В целях обеспечения ИБ:
3) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей СИ между собой используются:
средства разделения и изоляции информационных потоков;
оборудование с компонентами, обеспечивающими ИБ и безопасное управление;
выделенные и интегрированные с оборудованием доступа межсетевые экраны, установленные в каждой точке подключения, с целью защиты периметра ЕТС ГО;
Вендоры которые подходят под этот пункт: Palo Alto Networks Fortinet WatchGuard Technologies Barracuda Networks Cisco
Но не стоит забывать про пункт:
29-1. Приобретение товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства осуществляется из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с законодательством Республики Казахстан о государственных закупках.
Список может меняться.
Если информация полезна, ставим лайк и делаем репост )