Основные принципы и подходы




Основные принципы:

1) соблюдение прав, свобод и законных интересов физических лиц, а также прав и законных интересов юридических лиц;

2) обеспечение безопасности личности, общества и государства при применении информационно-коммуникационных технологий;

3) осуществление деятельности по информатизации на территории Республики Казахстан на основе единых стандартов, обеспечивающих надежность и управляемость объектов информатизации;

4) четкое разграничение полномочий государственных органов;

5) непрерывный мониторинг информационной безопасности объектов информационно-коммуникационной инфраструктуры;

6) интеграция системы обеспечения национальной безопасности с международными системами безопасности.

Для реализации задачи по формированию необходимых условий для повышения осведомленности об угрозах, развития человеческого капитала и потенциала отечественной отрасли ИКТ по созданию программных продуктов, систем информационной безопасности и телекоммуникационного оборудования, устойчивых к вредоносному программно-техническому воздействию предлагается:

Формирование в обществе устойчивых представлений о "кибергигиене" и привитии высокой производственной культуры создания и использования ИКТ на всех этапах жизненного цикла программных продуктов, информационных систем, программного обеспечения, технологических платформ, информационной и сетевой инфраструктуры, поддерживающего оборудования.

Применение тренингов и обучающих практик по защите персональных данных и неприкосновенности частной жизни среди несовершеннолетних пользователей Интернета и их родителей.

Для профессионализации работников, ответственных за состояние информационной безопасности в государственных органах, и универсализации принимаемых ими мер соответствующим образом, адаптация профессиональных стандартов, а также расширение требований по практическим навыкам и техническим знаниям, улучшающим профили защиты и параметры контроля защищенности информационных ресурсов и систем.

Отведение важнейшей роли в реализации образовательных и исследовательских задач в сфере информационной безопасности высшими учебными заведениями Казахстана, что расширит технические возможности специальных государственных органов по обеспечению безопасности государства и повысит уровень аналитического и научно-исследовательского сопровождения мероприятий по реализации Концепции.

Решение задач по закладыванию и поддержанию высокого уровня профессиональной компетенции и технической готовности к противодействию киберпреступности путем привлечения научно-исследовательских организаций к участию в расследовании правоохранительными органами наиболее сложных киберпреступлений.

Для наращивания казахстанского потенциала в сфере научной, научно-технической и образовательной деятельности необходимо сосредоточиться на научно-исследовательских и опытно-конструкторских работах, обеспечить тесную связь учебного процесса с производственной деятельностью предприятий электронной промышленности, привести учебные программы в соответствие с отраслевыми профессиональными стандартами и современным уровнем развития технологий.

Предоставление приоритета исследованиям и собственной школе прикладной математики, по разработке средств криптографической защиты информации, криптологии, разработок по программируемым логическим интегральным схемам, квантовой криптографии и разработке защиты систем передачи, обработки и хранения информации, а также систем информационной безопасности.

Преодоление проблемы не высокой востребованности отечественных разработок, т.к. кибербезопасность в конечном итоге зависит от уровня развития отечественной IT-отрасли и электронной промышленности. Одной из причин этого является отсутствие обязательности приоритетного использования их продукции в государственных органах.

Установление мер по их поддержке, в том числе через стимулирование государственно-частного партнерства повышения конкурентоспособности. Критериями должны стать соответствие требованиям локализации разработки и технической поддержки, наличие у поставщика исключительных прав интеллектуальной собственности на конструкторскую и техническую документацию программных продуктов и телекоммуникационного оборудования, а также наличие научно-производственной базы, необходимой для организации производства, гарантийного и послегарантийного обслуживания.

Проведение совместно с представителями отрасли постоянного анализа закупаемого в государственных органах и квазигосударственном секторе программном обеспечении и телекоммуникационного оборудования с целью определения перспектив их замещения на доверенные отечественные или иностранные образцы, прошедшие процедуры обязательной сертификации на соответствие требованиям информационной безопасности.

При уполномоченном органе по информационной безопасности образовать Совет по кибербезопасности, одной из главных задач которого должно стать рассмотрение актуальных вопросов по кибербезопасности, поддержание в актуальном состоянии руководящих документов, нормативно-правовой базы, содействие приоритетному использованию продукции отечественной электронной и софтверной промышленности, проведение публичной оценки общественно-значимых IT-проектов.

Установление постоянного прямого диалога с ведущими компаниями и предприятиями страны, образовательными и научными исследовательскими организациями, что позволит объединить усилия и придать системность и комплексность решению задач по обеспечению интегрированной кибербезопасности в наиболее значимых областях использования ИКТ.

Наряду с мониторингом, анализом защищенности государственных информационных систем и ресурсов, оказания содействия по безопасному использованию ИКТ в интересах граждан, дополнительным приоритетом государственной службы реагирования на компьютерные инциденты KZ-CERT определить популяризацию мер "кибергигиены".

Соизмеряясь со своими экономическими возможностями, собственникам и владельцам частных информационных систем стремиться к следованию стандартизованным процессам разработки, создания, испытаний и эксплуатации информационных систем, предусматривая необходимые меры по обеспечению их информационной безопасности. Способные выступить в качестве необходимого ориентира технические стандарты и другие нормативно-технические документы для этого имеются.

Для решения задачи по совершенствованию правоприменительной практики, методологической базы, нормативно-правового и организационно-технического обеспечения безопасного использования ИКТ в национальной системе защиты информации и безопасности автоматизированных систем управления технологическими процессами предлагается:

Неукоснительное исполнение уже установленных законодательством и техническими стандартами требований по обеспечению информационной безопасности в государственном секторе, а также оперативное внесение в них необходимых изменений с учетом динамики развития технологий без ущерба для кибербезопасности.

Соблюдение установленных требований обеспечить действенными мерами государственного контроля.

Для полноценной оценки состояния защищенности объектов информатизации с учетом характера деятельности киберпреступников и иностранных технических компьютерных разведок, рассчитывающих на самоуспокоенность и небрежность со стороны владельцев информационных ресурсов и систем, необходимо стремиться к непрерывному мониторингу состояния информационных систем и ресурсов техническими средствами контроля защищенности и проведению работы по выявлению каналов утечки информации (уязвимостей, вирусов, троянских программ, недекларируемых функций и закладок).

Такой подход позволит обеспечить сохранение возможности реализации государственных функций в случае чрезвычайных происшествий технологического, социального характера, вызванных инцидентами информационной безопасности, угрожающими национальной и общественной безопасности, а в случае чрезвычайного или военного положения возможности использования устойчивой информационно-коммуникационной инфраструктуры сил обеспечения национальной безопасности в интересах функционирования критически важных объектов информационно-коммуникационной инфраструктуры.

Наряду с выстраиванием работы с объектами критической информационно-коммуникационной инфраструктуры из числа стратегических и особо важных государственных объектов, объектов стратегических отраслей экономики, пересмотреть критерий отнесения к критически важным объектам информационно-коммуникационной инфраструктуры с возможностью отнесения к критически важным объектам, ориентированных на оказание информационно-коммуникационных услуг населению.

Распространять предупредительные и профилактические меры не только на государственные органы и собственников частных информационных систем, интегрируемых с государственными, но и на владельцев промышленных предприятий, финансовых организаций и других категорий объектов экономики, имеющих автоматизированные технологические процессы, нарушение которых может негативно сказаться на экономическом развитии страны.

На основе Единых требований и действующих Правил проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации "электронного правительства" предусмотреть разработку руководящих документов, служащих ориентиром не только для государственного сектора, но и для объектов, находящихся в частной собственности, в целях эффективной локализации и предотвращения реализации угроз в общенациональном масштабе.

В целях поддержания высокого доверия граждан и бизнеса к оказываемым государственными органами услугам на законодательном уровне для поставщиков программных продуктов, услуг связи и иной информационно-коммуникационной инфраструктуры выработать меры по информационной безопасности для указания в соглашениях, конкурсной документации и технических спецификациях к приобретаемым продуктам и решениям по обязательной технической поддержке закупаемых товаров и услуг в течение не менее трех лет.

Предусмотреть требования в сфере обеспечения безопасности автоматизированных систем управления технологическими процессами и телекоммуникационного оборудования сетей телекоммуникаций общего пользования. Особое внимание должно быть обращено на инфраструктуру в системах жизнеобеспечения населения, топливно-энергетическом секторе, инфраструктуре связи и других.

Существенно углубить понимание относительно устойчивости элементов критической инфраструктуры национального сегмента Интернета и центров обработки данных (дата-центров), аппаратно-программных комплексов, обеспечивающих функционирование общедоступных электронных информационных ресурсов (Интернет-ресурсов).

Обеспечение надежной идентификации, аутентификации и регистрации действий пользователей в соединении с мерами обеспечения конфиденциальности их персональных данных снижает риск наиболее распространенных угроз, связанных с аутентичностью пользователей информационных систем и общедоступных электронных ресурсов, включая аппаратно-программные комплексы электронных средств массовой информации. Это позволит исключить в национальном сегменте фальсификацию в сфере электронной коммерции, электронных платежей, банковской деятельности и других информационно-коммуникационных услуг, оказываемых посредством Интернет-ресурсов.

Для создания высоко адаптированной и интегрированной системы государственного управления информационной безопасностью в сфере информатизации и связи в отношении всей национальной информационно-коммуникационной инфраструктуры предлагается:

Государственным органам и поставщикам услуг принять риск-ориентированный подход к безопасности, уделяя первоочередное внимание усилиям, которые обеспечивают наиболее высокий уровень надежности создаваемых информационных систем в нормальном и внештатном режимах и устойчивости их к умышленным сбоям.

Расширить взаимодействие между ведомственными и отраслевыми структурами мониторинга и реагирования на инциденты информационной безопасности для оказания содействия владельцам информационных ресурсов и систем и взаимного оповещения о возникающих угрозах. Их участники должны рассматривать соображения безопасности в качестве важнейшего элемента планирования, проектирования, разработки и эксплуатации отраслевых информационных систем и сетей и стать опорными точками, определяющими устойчивость всей информационно-коммуникационной инфраструктуры страны.

Специализация служб реагирования на инциденты информационной безопасности позволит расширить круг вовлеченных организаций и экспертов, что будет способствовать росту профессионализации работников, занятых в сфере информационной безопасности с учетом отраслевой специфики, и содействовать расширению рынка услуг аудита информационной безопасности для малого бизнеса, который часто не имеет возможности содержать квалифицированных специалистов в области IT и информационной безопасности.

Компьютерные атаки, запущенные из зарубежного пространства, максимально предотвращать на "электронной границе" - виртуальном периметре страны.

Руководящие документы Единой сети телекоммуникаций Республики Казахстан с учетом ее растущей уязвимости в результате конвергенции сетей телекоммуникаций и информационно-коммуникационных сетей и необходимости снижения объемов вредоносного трафика и своевременного блокирования операторами связи аномальной сетевой активности необходимо актуализировать.

Создание условий для эффективной борьбы с киберпреступностью путем постоянного повышения квалификации личного состава специализированных подразделений, расширения арсенала технических средств фиксации и криминалистических исследований "цифровых" доказательств.

Обеспечение кибербезопасности является задачей всех субъектов, деятельность которых связана с использованием ИКТ, поэтому сотрудничество в целях обеспечения информационной безопасности будет способствовать защите интересов всех заинтересованных сторон.

Для объединения усилий при участии научного сообщества, частного сектора подготовить создание Национального координационного центра информационной безопасности, который в онлайн режиме будет обрабатывать информацию о состоянии защищенности "электронной границы", а также наиболее важных компонентов национальной информационной инфраструктуры и обеспечить обмен информацией, что позволит:

обеспечить гражданам и бизнесу доступ к квалифицированным оценкам угроз в сфере информационной безопасности и получению дополнительных знаний о том, как уменьшить негативное влияние от угроз использования уязвимостей в программном обеспечении и информационных и телекоммуникационных системах;

Министерству внутренних дел снизить количество и обеспечить высокую раскрываемость в значительной степени латентных преступлений, совершаемых с использованием информационных технологий;

государственным органам поддерживать высокий уровень отказоустойчивости и предупреждения возникновения технологических сбоев, а также своевременного устранения их последствий в инфраструктуре, входящей в состав "электронного правительства" и других государственных информационных систем и ресурсов;

собственникам критически важных объектов информационно-коммуникационной инфраструктуры получать своевременную информацию о возможном влиянии на безопасность принадлежащих им автоматизированных систем управления технологическими процессами;

Национальному Банку и банкам второго уровня получать дополнительную информацию об актуальных угрозах финансово-банковской системе.

Министерству обороны в рамках развития военной организации страны подготовить предложения по созданию системы по эффективной защите ведомственных информационных ресурсов, прогнозированию и своевременному выявлению компьютерных атак, проводить их оценку и классификацию на предмет угрозы военной безопасности государства.

На внешнеполитическом и внешнеэкономическом уровне последовательно продвигать национальные интересы Республики Казахстан, направленные на преодоление "цифрового" разрыва между участниками международного сообщества в информационной сфере, обозначив в качестве приоритетов реализацию инициатив по укреплению, на основе норм и принципов международного права, системы международной информационной безопасности.

В рамках двух и многосторонней дипломатии продолжить укреплять роль Казахстана в качестве сильного и последовательного партнера, выступающего против использования ИКТ в военных целях, следующего курсу открытости, укрепления мер доверия в области международной информационной безопасности, при безусловном соблюдении суверенного равенства государств в выборе путей технологического развития. Ключевыми диалоговыми площадками должны стать международные, региональные и субрегиональные организации (ООН, ШОС, ЕАЭС, ОДКБ, СНГ и др.) с дальнейшим продвижением их инициатив в различных международных форматах.

Скоординированная реализация Концепции "Киберщит Казахстана" позволит существенно повысить место Казахстана в Глобальном индексе кибербезопасности и достигнуть к 2022 году индекса 0,600.

Необходимые ресурсы

На реализацию Концепции в 2017-2022 годах будут направлены средства государственного бюджета в рамках бюджетных программ заинтересованных государственных органов и предусмотренных в Плане реализации Государственной программы "Цифровой Казахстан 2020".



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2020-04-06 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Медицинские крылатые латинские выражения

Как защитить исследовательскую работу (проект)

Что такое технологическая операция и каковы виды технологических операций?

Глава 3.Что такое успех?

Обратная связь