Немного правовых актов РК в области информ. Безопасности⁠⁠

Согласно отчёту Международного союза электросвязи ООН (International Telecommunication Union, ITU), Казахстан в глобальном индексе кибербезопасности (Global Cybersecurity Index, GCI) поднялся до 31 места. 3 года назад Казахстан занимал 83 место, а год назад - 40 место.

Я как человек живущий в сфере кибербезопасности могу предположить что дальше в этом рейтинге мы будем исключительно расти при условии что законодотельсотво в этой области не остановиться развиваться.

Попробую здесь разобрать пару нормативных актов которые на настоящий момент регламентируют кибербезопасность Казахстана. Я не буду вдаваться в стандарты Iso и какие то технические документы, мы будем говорить исключительно о постановлениях правительства РК в области информационной безопасности . (я думаю эта тема будет интересна всем интеграторам от сейлзов до руководителей).

Первым поговорим о :

Постановление Правительства Республики Казахстан от 30 июня 2017 года № 407 - Об утверждении Концепции кибербезопасности ("Киберщит Казахстана").

Концепция была разработана в соответствии с Посланием Президента Республики Казахстан "Третья модернизация Казахстана: Глобальная конкурентоспособность" с учетом подходов Стратегии "Казахстан-2050" по вхождению Казахстана в число 30-ти самых развитых государств мира.

Период реализации Концепции включает два этапа:

1) первый этап 2017-2018 годы;

2) второй этап 2019-2022 годы.

(а здесь уже можно оценить проделанную работу)

На первом этапе будут:

- сформирована развернутая правоприменительная практика соблюдения уже установленных требований в сфере обеспечения информационной безопасности, по результатам которого будут внесены необходимые изменения в законодательство;

- проведена ревизия образовательных программ и профессиональных стандартов, увеличено количество и качество подготавливаемых специалистов в области информационной безопасности, обеспечено повышение квалификации действующих работников, занятых в этой сфере;

- выстроена эффективная схема взаимодействия и кооперации между промышленностью и наукой в создании отечественных разработок, что создаст основу для развития национального и отраслевых оперативных центров информационной безопасности,

что позволит на втором этапе обеспечить:

- ключевое участие казахстанских IT-компаний в обеспечении национальной информационно-коммуникационной инфраструктуры системами информационной безопасности;

- загрузку отечественных предприятий электронной промышленности заказами на приобретение государственными органами и квазигосударственным сектором телекоммуникационного оборудования, произведенного и прошедшего процедуры сертификации на соответствие требованиям информационной безопасности на территории страны.

Я не буду делать какие то выводы о реализации , те кто в теме думаю сами смогут оценить проведенную работу.

Документ можно прочитать по ссылке - https://adilet.zan.kz/rus/docs/P1700000407#z15

Перейдем к следующему акту который я использую практически ежедневно при работе с Государственными Органами :

Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832. Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

ссылка на документ :

https://adilet.zan.kz/rus/docs/P1600000832

а дальше я выпишу пункты с которыми каждый день сталкиваюсь в работе с "приблизительным" упоминанием решений которые могут быть применимы :

Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью

Параграф 1. Требования к информатизации государственного органа

25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.

Вендоры которые подходят под этот пункт: Kaspersky ESET Dr.Web Trend Micro (стоит напомнить что есть нормативный документ "Реестр доверенного программного обеспечения и продукции электронной промышленности РК" который часто меняется, и возможно на момент прочтения статьи в списке что то измениться )

54-1. Для защиты объектов информатизации допускается применение системы предотвращения утечки данных (DLP), в том числе отечественной разработки, соответствующих оценочным уровням доверия не ниже ОУД4, согласно СТ РК ISO/IEC 15408-2-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".

Вендоры которые подходят под этот пункт: InfoWatch SearchInform @symantec Forcepoint Staf Cop (Так же есть Казахстанские решения: Ibatyr , Tamerlan)

128. В целях обеспечения ИБ:

3) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей СИ между собой используются:

средства разделения и изоляции информационных потоков;

оборудование с компонентами, обеспечивающими ИБ и безопасное управление;

выделенные и интегрированные с оборудованием доступа межсетевые экраны, установленные в каждой точке подключения, с целью защиты периметра ЕТС ГО;

Вендоры которые подходят под этот пункт: Palo Alto Networks Fortinet WatchGuard Technologies Barracuda Networks Cisco

Но не стоит забывать про пункт:

29-1. Приобретение товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства осуществляется из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с законодательством Республики Казахстан о государственных закупках.

Список может меняться.

Если информация полезна, ставим лайк и делаем репост )