Киберқауіпсіздік ТҰжырымдамасы («Қазақстанның киберқалқаны»)
жүктеу/скачать 80,21 Kb.
|
& & 07
Куанышқали М. Цос сро, Қазақстан Республикасының мемлекеттік стандарттары
| 5. Іске асыру тетіктері
Тұжырымдама 2017 жылдан бастап 2022 жылға дейін 2 кезеңмен іске асырылатын болады. 1-кезеңде 2017 жылдан бастап 2018 жылға дейінгі аралықта: мыналар болады - ақпараттық қауіпсіздікті қамтамасыз ету саласындағы белгіленген талаптарды сақтаудың көлемді құқық қолдану практикасы жасалатын болады, оның нәтижелері бойынша қажет болған жағдайда заңнамаға тиісті өзгерістер енгізіледі; - білім беру бағдарламалары мен кәсіби стандарттарға тексеріс жүргізіледі, ақпараттық қауіпсіздік саласында даярланатын мамандардың саны мен сапасы артады, осы салада жұмыс істейтін қолданыстағы қызметкерлердің біліктілігін арттыру қамтамасыз етіледі; - отандық зерттемелер жасауда өнеркәсіп пен ғылым арасындағы өзара іс-қимыл мен кооперацияның тиімді схемасы жасалады. Бұл 2-кезеңде 2019-2022 жылдар аралығында мыналарды қамтамасыз етуге мүмкіндік береді: - қазақстандық IT-компаниялардың ұлттық ақпараттық-коммуникациялық инфрақұрылымды ақпараттық қауіпсіздік жүйелерімен қамтамасыз етуге негізді түрде қатысуы. - отандық электрондық өнеркәсіп кәсіпорындарын мемлекеттік органдар мен квазимемлекеттік сектордың ел аумағындағы ақпараттық қауіпсіздік талаптарына сәйкестікке сертификаттау рәсімінен өткен және өндірілген телекоммуникациялық жабдықты сатып алуына электрондық өнеркәсіптік тапсырыстармен қамту. Қауіп-қатерлер туралы хабардарлықты арттыру үшін қажетті жағдайлар жасау бойынша міндеттерді іске асыру, зарарлы бағдарламалық-техникалық ықпалға төзімді бағдарламалық өнімдер, ақпараттық қауіпсіздік жүйелері мен телекоммуникациялық жабдықтар жасау бойынша отандық АКИ саласының әлеуетін және адами капииталды дамыту үшін келесі шамалар қолдану қажет: Қоғамда «кибергигиена» туралы орнықты түсініктер қалыптастыруға және бағдарламалық өнімдердің, ақпараттық жүйелердің, бағдарламалық жасақтаманың, жабдықтың жұмысын қамтамасыз ететін технологиялық тұғырнамалардың, ақпараттық және желілік инфрақұрылымның өңірлік циклының барлық кезеңдерінде АКТ жасау мен пайдаланудың жоғары өндірістік мәдениетін дарытуға ықпал ету. Мектептегі білім беру бағдарламаларын қосқанда, білім беру бағдарламаларының міндетті элементі ретінде, кәмелетке толмаған интернет қолданушылар мен олардың ата-аналары арасында дербес деректерді қорғау бойынша тренингтер мен оқыту практикаларын пайдалану. Мемлекеттік органдардағы ақпараттық қауіпсіздіктің жай-күйіне жауапты қызметкерлердің кәсібиленуін арттыру және олар қабылдайтын шараларды әмбебаптандыру үшін лайықты түрде кәсіби стандарттарды бейімдеу, сондай-ақ ақпараттық ресурстар мен жүйелердің қорғалуын бақылау параметрлері мен қорғау бейіндерін жақсартатын тәжірибелік дағдылар мен техникалық білімдер бойынша талаптарды кеңейту. Қазақстанның ақпараттық қауіпсіздік саласындағы білім беру және зерттеу міндеттерін іске асыруға маманданған жоғары оқу орындарының аса маңызды рөлін мойындау. Киберқылмыстылыққа қарсы іс-қимылға техникалық дайындық пен кәсіби құзыреттіліктің жоғары деңгейін қалыптастыру және қамту бойынша міндеттерді шешу, жоғары оқу орындары және ғылыми-зерттеу ұйымыдары тарту арқылы құқық қорғау органдарының аса күрделі кибер-қылмыстарды тергеуіне, сондай-ақ мемлекеттің қауіпсіздігін қамтамасыз ету бойынша арнайы мемлекеттік органдардың техникалық мүмкіндіктерін кеңейтуге қатысуға қарай шешу. Ғылыми, ғылыми-техникалық және білім беру қызметі саласындағы қазақстандық әлеуетті еселеу үшін ғылыми-зерттеу және тәжірибелік-конструкторлық зертханалар құруға көңіл бөлу, оқу процесінің электрондық өнеркәсіп кәсіпорындарының өндірістік қызметімен тығыз байланысын қамтамасыз ету, оқу бағдарламаларын технологияларды дамытудың заманауи деңгейіне және кәсіби салалық стандарттарға сәйкестендіру. Бағдарламаланатын логикалық интегралдық схемалар (БЛИС) бойынша өз қолданбалы математика, криптология, зерттемелер мектебін дамыту мен зерттеулерге және ақпарат берудің, өңдеудің және сақтаудың қорғалған жүйелерін құруға басымдық беру. Қиберқауіпсіздіктің түптеп келгенде отандық IT-сала мен электрондық өнеркәсіптің даму деңгейіне байланысты болатындығын түбегейлі түсіну. Отандық зерттемелерге деген сұраныстың төмен болу проблемасын еңсеру, оның себептерінің бірі - мемлекеттік органдарда оларды басым түрде пайдалану міндеттілігінің болмауы. Оларды қолдау бойынша пәрменді шаралар қабылдау, оның ішінде мемлекеттік-жекешелік әріптестікті ынталандыру, мемлекеттік сатып алу кезінде Қазақстанда өндірілген телекоммуникациялық жабдық пен бағдарламалық жасақтама үшін артықшылықтар беретін жағдайлар жасау арқылы шаралар қабылдау. Зерттемені локалдау және техникалық қолдау талаптарына сәйкестік, жеткізушіде бағдарламалық өнімдер мен телекоммуникациялық жабдықтарды конструкторлық және техникалық құжаттауға айрықша зияткерлік меншік құқықтарының болуы, сондай-ақ өндірісті және кепілдік, кепілдіктен кейінгі қызмет көрсетуді ұйымдастыру үшін қажетті өндірістік базаның болуы өлшемшарттар болуы тиіс керек. Сала өкілдерімен бірлесіп ақпараттық қауіпсіздік талаптарына сәйкестікке міндетті сертификаттау рәсімінен өткен сенімді отандық немесе шетелдік үлгілермен оларды ауыстыру мақсатында мемлекеттік органдар мен квазимемлекеттік секторда сатып алынатын бағдарламалық жасақтама мен телекоммуникациялық жабдыққа ұдайы талдау жасау. Ақпараттық қауіпсіздік жөніндегі уәкілетті орган жанынан Қоғамдық кеңес құрылуы тиіс, оның негізгі міндеттерінің бірі киберқауіпсіздік бойынша өзекті мәселелерді қарау, басшылыққа алынатын құжаттарды, нормативтік құқықтық базаны өзекті күйінде ұстау, отандық электрондық және софтверлік өнеркәсіп өнімін басым түрде пайдалануға ықпал ету, қоғамдық маңызы бар IT-жобаларға жария бағалау жүргізу болуы тиіс. Еліміздің жетекші компанияларымен және кәсіпорындарымен, білім беру және ғылыми зерттеу ұйымдарымен тұрақты тікелей диалог орнату АКТ пайдаланудың аса маңызды салаларында біріктірілген киберқауіпсіздікті қамтамасыз ету бойынша міндеттерді шешуге жүйелілік пен кешенділік береді және күштерді біріктіреді. Мемлекеттік ақпараттық жүйелер мен ресурстардың қорғалуына мониторинг және талдау жүргізумен қатар, азаматтар мүддесі үшін АКТ-ны қауіпсіз пайдалану бойныша көмек көрсету, «кибергигиена» шараларын дәріптеу KZ-CERT компьютерлік оқиғаларына мемлекеттік әрекет ету қызметінің қосымша басымдығына айналуы тиіс. Өзінің экономикалық мүмкіндіктерімен салыстыра отырып, жеке ақпараттық жүйелердің иелері мен меншік иелері сонымен қатар ақпараттық жүйелердің сынамаларын жасаудың және пайдаланудың, әзірлеудің стандартталған процестеріне сүйенуге ұмтылып, қажетті бағдар ретінде қызмет ете алатын олардың ақпараттық қауіпсіздігін қамтамасыз етуге қажетті шаралар қарастыруы тиіс, бұл үшін техникалық стандарттар мен басқа да нормативтік-техникалық құжаттар бар. Құқық қолдану практикасын, әдіснамалық базаны, АКТ-ны қауіпсіз пайдалануды нормативтік-құқықтық және ұйымдастыру-техникалық қамтамасыз етуді жетілдіру жөніндегі міндеттерді шешу үшін технологиялық процестерді басқарудың автоматтандырылған жүйелерінің қауіпсіздігі мен ақпараттық қолдау ұлттық жүйесінде келесі шамалар қолдану қажет: Мемлекеттік секторда заңнамамен және техникалық стандарттармен белгіленген ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі талаптарды жаппай орындауға, сондай-ақ киберқауіпсіздік үшін зиян келтірмей технологиялардың даму динамикасын ескере отырып оларға қажетті өзгерістер енгізудің жеделдігіне қол жеткізу. Белгіленген талаптарды сақтау пәрменді мемлекеттік бақылау шараларымен қамтамасыз етілуі тиіс. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті органды және оның құзыреттілігін айқындау, ақпараттық қауіпсіздік саласындағы мемлекеттік бақылау саласын дербес салаға бөліп, мемлекеттік объектілер мен аса маңызды объектілерге қатысты Кәсіпкерлік кодекстің реттеуінен ақпараттық-коммуникациялық инфрақұрылымды шығару. Ақпараттық жүйелер мен ресурстардың жай-күйін қорғалуды бақылаудың техникалық құралдарымен ұдайы тексеруді және ақпараттың таралу арналарын (осалдықтарды, вирустарды, троян бағдарламаларын, декларацияланбайтын функциялар мен белгілерді) анықтау бойынша тұрақтыжұмысты жүзеге асыру, бұндай көрініс толық бола алмайды. Оның үстіне, киберқылмыскерлер мен шетелдік техникалық барлаушылар әрекетінің сипаты ақпараттық ресурстар мен жүйелер иелерінің салғырттық танытуына және өзін-өзі жұбатуына себепші болады. Тек осындай тәсілдеме ғана ұлттық және қоғамдық қауіпсіздікке қауіп төндіретін, ақпараттық қауіпсіздік оқиғаларынан туындаған, технологиялық, әлеуметтік сипаттағы төтенше жағдайлар орын алған жағдайда мемлекеттік фунцияларды іске асыру мүмкіндігінің, ал төтенше немесе әскери жағдай орын алған жағдайда ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің мүдделері үшін ұлттық қауіпсіздікті қамтамасыз ету күштерінің тұрақты ақпараттық-коммуникациялық инфрақұрылымын пайдалану мүмкіндігін сақтауды қамтамасыз етеді. Стратегиялық және аса маңызды мемлекеттік объектілер, стратегиялық экономика салалары объектілері қатарынан аса маңызды ақпараттық-коммуникациялық инфрақұрылым объектілерімен жұмысты қалыпқа келтірумен қатар, сондай-ақ халыққа ақпараттық-коммуникациялық қызметтер көрсетуге бағдарланған аса маңызды объектілерге жатқызу мүмкіндігі жөніндегі тәсілдемелерді түзеу қажет. Ескерту және профилактикалық шараларды мемлекеттік органдарға және мемлекеттік жүйелермен біріктірілетін жеке ақпараттық жүйелердің иелеріне ғана емес, сонымен қатар бұзылуы еліміздің экономикалық дамуына кері әсер етуі мүмкін автоматтандырылған технологиялық процестері бар экономика объектілерінің өзге санаттарына және өнеркәсіп кәсіпорындары иелеріне жолдау; Жалпыұлттық ауқымдағы қауіп-қатерлерді тиімді ауыздықтау және оларды іске асырудың алдын алу үшін Бірыңғай талаптар мен қолданыстағы "Электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін, қорғалуын және қауіпсіз жұмыс істеуін қамтамасыз етудің мониторингін жүргізу қағидалары негізінде өз қолданысын мемлекеттік секторға ғана емес, сонымен қатар жеке меншікте тұрған объектілерге тарататын және оларға бағдар ретінде қызмет ететін басшылыққа алынатын құжаттар жасау. Ақпараттық жүйелердің немесе аппараттық-бағдарламалық кешендердің кез келген компонентін тексеруге дайындықты және бақыланушылығын арттыру үшін «бір терезе» принципін іске асыру үрдісін пайдаланған және қолданушылардың ыңғайлылығын қамтамасыз ету жөніндегі талаптармен теңестірілетін электрондық мемлекеттік қызметтердің қауіпсіздігін қамтамасыз ету кезінде қолжетімділікті басқаруды орталықтандырған жөн. Азаматтар мен бизнестің мемлекеттік органдар көрсететін қызметтерге жоғары сенімін қамтамасыз ету мақсатында заңнамалық деңгейде бағдарламалық өнімдер, байланыс қызметтерін және өзге де ақпараттық-коммуникациялық инфрақұрылым жеткізушілері үшін кемінде үш жыл ішінде міндетті техникалық қолдау шартымен келісімдерде, конкурстық құжаттамада және сатып алынатын өнімдерге техникалық ерекшеліктерде қауіпсіздік жөніндегі талаптар мен принциптер белгіленуі, сондай-ақ жеткізушілер қабылдайтын қауіпсіздік шаралары бойынша ақпараттық жүйелердің, бағдарламалық өнімдердің барлық өмірлік циклында жеткізушілердің үздіксіз қадағалауы қамтамасыз етілуі тиіс. Технологиялық процестерді басқарудың автоматтандырылған жүйелерінің және жалпы пайдаланудағы телекоммуникациялар желілері телекоммуникациялар жабдығының қауіпсіздігін қамтамасыз ету саласында қажетті талаптар белгілеу. Тұрғындардың тіршілігін қамтамасыз ету жүйелерінде, отын-энергетикалық секторда, байланыс инфрақұрылымында және басқа да жүйелерде сенімді инфрақұрылым құруға ерекше көңіл бөлінуі қажет. Жалпыға қолжетімді электрондық ақпараттық ресурстардың (интернет-ресурстардың) жұмыс істеуін қамтамасыз ететін интернеттің ұлттық сегментінің және деректер өңдеу орталықтарының (дата-орталықтардың) аса маңызды инфрақұрылымы элементтерінің орнықтылығына қатысты ұғым елеулі тереңдетуді қажет етеді. Қолданушылардың әрекеттерін сенімді сәйкестендіру, түпнұсқаландыру және тіркеу олардың дербес деректерінің құпиялылығын қамтамасыз ету шараларымен біріктіріліп, ақпараттық жүйелердің қолданушылары мен электрондық бұқаралық ақпарат құралдарының аппараттық бағдарламалық кешендерін қосқанда, жалпыға қолжетімді электрондық ресурстардың түнұсқалылығымен байланысты аса кең таралған қауіптер тәуекелін төмендетеді. Бұл ұлттық сегментте электрондық коммерция, электрондық төлемдер, банк қызметі және интернет-ресурстар арқылы көрсетілетін басқа да ақпараттық-коммуникациялық қызметтер саласындағы жалған әрекеттерді жоюға мүмкіндік береді. Барлық ұлттық ақпараттық-коммуникациялық инфрақұрылымға қатысты ақпараттандыру және байланыс саласындағы ақпараттық қауіпсіздікті мемлекеттік басқарудың жоғары бейімделген және біріктірілген жүйесін құру үшін келесі шамалар қолдану қажет: Киберқауіпсіздік қауіптері ұдайы өзгеріп отырады, сондықтан қауіпсіздіктің жоғары деңгейін қамтамасыз ету жөніндегі шаралар ұдайы жетілдірілуі және жаңартылуы тиіс. Мемлекеттік органдар мен қызметтер жеткізушілеріне қалыпты және күтпеген режимдерде жасалатын ақпараттық жүйелер сенімділігінің және олардың қасақана іркілістерге төзімділігінің аса жоғары деңгейін қамтамасыз ететін күштерге бірінші кезекте көңіл бөле отырып, қауіпсіздікке тәуекел-бағдарланған тәсілдеме қабылдау қажет. Сонымен қатар, ақпараттық ресурстар мен жүйелердің иелеріне көмек көрсету және туындайтын қауіп-қатерлер туралы өзара хабардар ету үшін ақпараттық қауіпсіздік оқиғаларына әрекет етудің және оларды мониторингілеудің ведомстволық және салалық құрылымдары құрылуы және өзара әрекет етуі тиіс. Олардың қатысушылары қауіпсіздік түсініктерін салалық ақпараттық жүйелер мен желілерді жоспарлаудың, жобалаудың, әзірлеудің және пайдаланудың аса маңызды элементі ретінде қарастыруы тиіс және еліміздің барлық ақпараттық-коммуникациялық инфрақұрылымының орнықтылығын айқындайтын тірек нүктелеріне айналуы тиіс. Ақпараттық қауіпсіздік оқиғаларына әрекет ететін жаңа қызметтердің мамандануы және құрылуы тартылған ұйымдар мен сарапшылар шоғырын кеңейтуге мүмкіндік береді, бұл салалық ерекшеліктерді ескере отырып ақпараттық қауіпсіздік саласында жұмыс істейтін қызметкерлерді кәсібилендірудің артуына ықпал ететін болады және көп жағдайда IT және ақпараттық қауіпсіздік саласындағы білікті мамандарды ұстауға мүмкіндігі бола бермейтін шағын бизнес үшін ақпараттық қауіпсіздікке аудит жүргізу бойынша қызметтер нарығын кеңейтуге көмек көрсетеді. Шетелдік кеңістіктен іске қосылған компьютерлік шабуылдар еліміздің виртуалдық периметрі – «электрондық шекарада» тоқтатылуы мүмкін және тоқтатылуы тиіс. Телекоммуниация желілері мен ақпараттық-коммуникациялық желілерді конвергенциялау нәтижесінде оның артып келе жатқан осалдығын және зарарлы трафик көлемдерін төмендету және байланыс операторларының нормадан ауытқыған желілік белсенділікті уақытылы бұғаттау қажеттілігін ескере отырып, Қазақстан Республикасы Бірыңғай телекоммуникациялар желісінің басшылыққа алынатын құжаттарын өзектендіру қажет. Арнайы бөлімшелердің жеке құрамын күшейту, техникалық жазу құралдары арсеналын кеңейту және «цифрлық» дәлелдемелерді криминалистік зерттеулер жолымен киберқауіпсіздікке қарсы тиімді күрес үшін жағдайлар жасауды қамтамасыз етудің де маңызы зор. Қызметі АКТ пайдаланумен байланысты барлық субъектілердің міндеті болып табылатын киберқауіпсіздікті қамтамасыз ету, сондықтан ынтымақтастықта жүзеге асырылатын ақпараттық қауіпсіздікті қамтамасыз ету барлық мүдделі тараптардың мүдделерін қорғауға ықпал етеді. Күштерді біріктіру үшін ғылыми жұртшылықтың, жеке сектордың қатысуымен үйлестіруші Ұлттық жедел ақпараттық қауіпсіздік орталығын құру қажет, ол онлайн режимінде ұлттық ақпараттық инфрақұрылымның аса маңызды компоненттерінің қорғалу жай-күйі туралы ақпаратты өңдейтін болады және ақпарат алмасуды қамтамасыз етеді, бұл: - азаматтар мен бизнеске ақпараттық қауіпсіздік саласындағы қауіп-қатерлерді білікті бағалауға қол жеткізуді қамтамасыз етуге және бағдарламалық жасақтама мен ақпараттық-коммуникациялық жүйелердегі олқылықтардан болатын кері әсерді қалай азайту қажеттігі туралы қосымша білімдер алуға - Қазақстан Республикасының Қауіпсіздік кеңесіне табиғи, техногендік және әлеуметтік сипаттағы төтенше жағдайлар кезінде болатын ахуалды бағалауға және шешімдер жасап шығаруға; - Қорғаныс министрлігіне Қазақстан Республикасына қатысты агрессия таныту жағдайына дайындықты қамтамасыз ету кезінде соғыс қаупі ретінде компьютерлік шабуылдарды уақытылы саралауға және бағалауға; - Ұлттық қауіпсіздік комитеті мен басқа арнайы мемлекеттік органдарға мемлекеттік ақпараттық ресурстарды қарсы барлап қорғау және Қазақстан Республикасының үкіметтік байланысын қамтамасыз ету бойынша қызметті жүзеге асыру кезінде шетелдік техникалық барлауларға кешенді қарсы іс-қимыл ұйымдастыруға; - Ішкі істер министрлігіне ақпараттық технологияларды пайдаланып жасалатын жасырын қылмыстардың санын айтарлықтай азайтуға және қазіргі уақытта оларды ашудың жоғары деңгейін қамтамасыз етуге; - Мемлекеттік органдарға технологиялық іркілістердің туындауының алдын алу және бұзылуға төзімділіктің жоғары деңгейін сақтауға, сондай-ақ «электрондық үкімет» және басқа мемлекеттік ақпараттық жүйелер мен ресурстардың құрамына кіретін инфрақұрылымдағы олардың салдарларын уақытылы жоюға; - Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері иелеріне оларға тиесілі автоматтандырылған басқару жүйелерінің қауіпсіздігіне технологиялық процестермен болатын ықтимал әсерлер туралы уақытылы ақпарат алуға. - Ұлттық банк пен екінші деңгейлі банктерге қаржы-банк жүйесіндегі өзекті қауіптер туралы қосымша ақпарат алуға мүмкіндік береді. Халықаралық құқықтар үдерісі мен нормалары, халықаралық ақпараттар жүйесі негізінде нығайту бойынша бастамаларды жүзеге асыруды басымдық ретінде белгілеу арқылы ақпараттық саласында халықаралық қоғамдастық мүшелері арасында «сандық» үзілістен өтуге бағытталған Қазақстан Республикасының ұлттық мүдделерін сыртқы саяси және сыртқы экономикалық деңгейде дәйекті түрде жылжыту қажет. Одан басқа екіжақты және көпжақты дипломатия шеңберінде АКТ-ны соғыс мақсаттарына пайдалануға қарсы шығатын, халықаралық ақпараттық қауіпсіздік саласындағы сенім шараларын сақтауды және ашықтықты көздейтін, технологиялық даму жолдарын таңдаудағы мемлекттердің егемендік теңдігін бұзбайтын қуатты серіктес ретіндегі Қазақстанның орнын нығайта беруді жалғастыру маңызды. Халықаралық және аймақтық ұйымдар (ШЫҰ, ЕАЭО, ҰҚШҰ, ТМД және т.б.) түйінді диалог алаңдарына айналуы тиіс, бұдан әрі олардың бастамаларын жалпыға ортақ әмбебаптандыру жағына ілгерілету қажет. жүктеу/скачать 80,21 Kb. Достарыңызбен бөлісу:
|