Войти

Статья 1

Что такое информационная безопасность

и какие документы ее регулируют?

Исходный термин “ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ” берет свое начало в Законе РК “О национальной безопасности”, согласно которого:

Информационная безопасность – это защита информационного пространства РК, а также защита прав и интересов людей, общества и государства в информационной сфере от угроз. Это гарантирует стабильное развитие и информационную независимость страны. Далее упростим это определение для лучшего понимания.

Следует знать, что сфера ИБ делится на два аспекта:

Социально-политический аспект ИБ

направлен на защиту информационного пространства и средств массовой информации от целенаправленного негативного воздействия. Он включает борьбу с дезинформацией, информационным манипулированием, а также контроль над общественным мнением. Фактчекинг является одним из инструментов защиты в этом аспекте.

Напоминание: Не передавайте друзьям или знакомым не проверенную информацию, так как она может быть не достоверной.

Технический аспект ИБ

связан с защитой информации от несанкционированного доступа, использования, изменения и уничтожения. Его целью является обеспечение целостности, конфиденциальности и доступности информации.

Например: egov должен быть всегда доступен, а информация, которую он нам выдает достоверной.

Напоминание:

После передачи/использования информации не забывайте уничтожать данные на бумажных и электронных носителях!

ВЫВОД № 1:

Информационная безопасность состоит из двух аспектов: социально-политический и технический.

Наш портал рассматривает технический аспект информационной безопасности.

Документы регулирующие информационную безопасность.
Закон РК «Об информатизации» регулирует общественные отношения в сфере информатизации и обеспечения информационной безопасности, а также определяет основные понятия в данной отрасли.

Информационная безопасность в сфере информатизации — это состояние защищённости электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз. Таким образом, мы защищаем следующие активы:

Объект информатизации

Электронные информационные ресурсы
тексты, электронные документы, изображения, видео и т. д

Программное обеспечение
(операционные системы, прикладные программы, утилиты, антивирусные программы и т. д.);

Интернет-ресурсы
(веб-сайты, блоги, социальные сети, онлайн-форумы и т. д.);

Информационно-коммуникационная инфраструктура, 
включая информационные системы (каналы и сети связи, серверы, сетевое оборудование, веб-сайты, автоматизированные системы управления, приложения, базы данных и др.).

Информационная безопасность в области информатизации также понимается как термин "кибербезопасность", который был впервые использован в Концепции кибербезопасности "Киберщит Казахстана" (постановление Правительства РК №407 от 30 июня 2017 года).

ВЫВОД № 2:

Защищаем информацию и данные в любом виде. А информационная безопасность в сфере информатизации = кибербезопасность! С этим разобрались)

ЧТО ТАКОЕ ДАННЫЕ? Какие виды информации бывают?

Данные — это факты или сведения, которые еще не обработаны или не организованы. Они представляют собой статистику, текст, числа, изображения, звуки или любую другую форму информации.

Информация— это данные, которые были обработаны, организованы или проанализированы, чтобы приобрести значение или смысл. Информация более полезна, чем просто данные, потому что она представляет собой осмысленный контекст или выводы, которые можно использовать для принятия решений или действий.

В зависимости от их природы и предназначения данные могут быть классифицированы по разным критериям. Вот некоторые из основных видов данных:

Классификация данных

1. Коммерческие данные:

Это информация, связанная с деловыми операциями компании. Коммерческие данные могут включать в себя финансовые отчёты, данные о продажах, инвентаризации товаров и так далее.

2. Служебные данные:

Это данные, используемые в рабочих или офисных средах для организации работы. Они могут включать в себя расписания, задачи, заметки, контактные данные коллег и прочее.

3. Персональные данные:

Это информация, которая позволяет идентифицировать физическое лицо. Персональные данные могут быть зафиксированы на электронном, бумажном и (или) ином материальном носителе. Сведения, которые не определяют конкретное физическое лицо без привязки дополнительных данных (например, Ф.И.О., ИИН и т. д.), не являются персональными данными.

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа:

3.1. Общедоступные персональные данные: Это персональные данные, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, и доступ к которым является свободным с согласия субъекта.

3.2. Персональные данные ограниченного доступа: Это персональные данные, доступ к которым ограничен законодательством Республики Казахстан (например, медицинская тайна, банковская тайна и другие).

4. Транзакционные данные

Это данные, связанные с финансовыми транзакциями, такими как покупки, продажи, переводы и платежи.

5. Биометрические данные

Это персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность.

Классификация данных важна для их эффективного хранения, обработки и использования, а также для обеспечения безопасности и конфиденциальности тех данных, которые требуют защиты, то есть персональных данных.

Для изучения безопасной работы с персональными данными в рамках курса по кибергигиене, переходите сюда

Классическая модель кибербезопасности
базируется на обеспечении трех значимых для безопасности информации атрибутов: конфиденциальность, целостность и доступность.

  • Целостность

    информации означает, что данные находятся в корректном состоянии, нужном для использования. Например, базы данных защищены от внесения изменений сторонними лицами.

  • Конфиденциальность

    информации гарантирует, что доступ к данным предоставляется только тем лицам, у которых есть законное право на него. Например, секретные данные доступны только авторизованным лицам с соответствующими правами доступа.

  • Доступность

    информации обеспечивает, что данные доступны пользователям в нужное время и место. Например, банковское приложение должно быть доступно 24/7/365 для клиентов.

ВЫВОД № 3:

Для чего нужно обеспечить кибербезопасность?
Для того чтобы вы и ваша организация были уверены в защищённости информации. Сегодня обеспечение кибербезопасности — это бренд любой успешной компании (организации, учреждения и др.). И да, это не разовая акция, а ежедневная коллективная работа.

Кто же в нашей стране регулирует сферу кибербезопасности?

Впервые в 2016 году Указом Президента Республики Казахстан был создан Комитет по информационной безопасности, который на сегодняшний день входит в состав Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

Комитет по информационной безопасности является уполномоченным органом в сфере кибербезопасности, отвечающим за реализацию государственной политики, государственного контроля, а также за развитие рынка в данной сфере.

Комитет национальной безопасности Республики Казахстан осуществляет мероприятия по киберзащите информации через технического оператора АО “Государственная техническая служба”, на базе которого функционирует Национальный координационный центр информационной безопасности и Национальная служба реагирования на компьютерные инциденты.

Примечание:

В каждой отрасли существует также свой регулятор. К примеру, финансовому сектору дополнительные требования устанавливает АРРФР (Агентство Республики Казахстан по регулированию и развитию финансового рынка).

ВЫВОД № 4:

Основным уполномоченным государственным органом в области обеспечения информационной безопасности в сфере информатизации (кибербезопасности) является Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности (КИБ МЦРИАП).

Как выглядит экосистема кибербезопасности в Казахстане?

Основные субъекты и сокращения

Экосистема кибербезопасности состоит из государственных и частных субъектов, таких как:

  • Комитет по информационной безопасности (КИБ) — устанавливает правила игры и проверяет их исполнение.
  • Комитет национальной безопасности (КНБ) — координирует и контролирует работу АО “Государственная техническая служба”, а также проводит расследования уголовных правонарушений.
  • АО “Государственная техническая служба” (ГТС) — осуществляет функции Национального координационного центра информационной безопасности (НКЦИБ), Национальной службы реагирования на компьютерные инциденты (KZ-CERT) и другие.
  • НКЦИБ — осуществляет сбор, анализ и обобщение информации об инцидентах информационной безопасности.
  • KZ-CERT — осуществляет межотраслевую координацию по вопросам мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации, казахстанского Интернета.
  • Государственный ОЦИБ (ГосОЦИБ) — осуществляет мероприятия по выявлению, пресечению и исследованию угроз и инцидентов информационной безопасности государственных органов.
  • ОЦИБ — частные организации, осуществляющие деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации.
  • Отраслевые центры ИБ — осуществляют организацию и координацию мероприятий по обеспечению защиты информации от несанкционированного доступа или воздействия в отношении подведомственных организаций и (или) регулируемой сферы управления. P.S. Отраслевой центр ИБ это как НКЦИБ, только в определенной сфере. На сегодняшний день, отраслевой центр ИБ работает в финансовом секторе на базе Агентства РК по регулированию и развитию финансового рынка.
  • Службы реагирования на компьютерные инциденты (CERT) — частные организации, осуществляющие сбор и анализ информации об инцидентах информационной безопасности и актуальных угрозах информационной безопасности, а также предоставляют рекомендации по их устранению.
  • Исследователи ИБ (BugBounty) — исследующие объекты информатизации для выявления уязвимостей через платформы т.н. BugBounty.
  • Госорган — центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориальные подразделения ведомства центрального исполнительного органа. P.S. Министерства, акиматы, агентства и территориальные департаменты.
  • КВОИКИ — объекты, нарушение или прекращение функционирования которых приводит к незаконному сбору конфиденциальных (защищаемых) сведений, к чрезвычайной ситуации или к значительным негативным последствиям для жизнедеятельности населения.
  • Организации — государственное юридическое лицо (например, поликлиники, школы и т. д.), субъект квазигосударственного сектора (например, АО “Казпочта”, АО “Казахтелеком” и т. д.), собственник и владелец частных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов (например банки), а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры.

ВЫВОД № 5:

Теперь мы знаем, как в стране всё построено.

Государственное регулирование общественных отношений в сфере обеспечения кибербезопасности основывается на следующих нормативных правовых актах:

  1. Конституция Республики Казахстан (высший нормативный правовой акт Республики Казахстан, который определяет основы политической, правовой и экономической систем государства).
  2. Уголовный кодекс Республики Казахстан (предусматривает уголовную ответственность за нарушения в сфере связи, информатизации, а также за нарушения в области персональных данных и их защиты).
  3. Кодекс Республики Казахстан "Об административных правонарушениях" (предусматривает административную ответственность за нарушения законодательства в сфере информатизации, связи, персональных данных и их защиты).
  4. Закон "О национальной безопасности Республики Казахстан" (предназначен для защиты государства и его граждан, а также содержит различные аспекты безопасности).
  5. Закон "Об электронном документе и электронной цифровой подписи" (регулирует отношения, возникающие при создании и использовании электронных документов, удостоверенных посредством электронных цифровых подписей).
  6. Закон "Об информатизации" (регулирует общественные отношения в сфере информатизации).
  7. Закон "О связи" (устанавливает правовые основы деятельности в области связи).
  8. Закон "О персональных данных и их защите" (регулирует общественные отношения в сфере персональных данных).
  9. Постановление Правительства Республики Казахстан “Об утверждении единых требований в области ИКТ и обеспечения информационной безопасности” и другие законодательные акты.

Если законы и постановления определяют, что такое информационная безопасность (ИБ), то основным документом, который указывает, как обеспечивать безопасность информации, являются Единые требования в области информационно-коммуникационных технологий и обеспечения ИБ (Единые требования).

Единые требования:

  • Определяют основные термины и определения в сфере информационных технологий (ИТ) и информационной безопасности (ИБ).
  • Регламентируют требования по информатизации госорганов
  • Устанавливают требования к технической документации по информационной безопасности, размещению рабочих станций и минимально необходимому программному обеспечению (например, антивирусное ПО, DLP и другие).
  • Определяют порядок подключения рабочих станций к интернету(Единый шлюз доступа к Интернету и т.д.).
  • Регламентируют требования по организации ИБ (применение реестра доверенного программного обеспечения и продукции электронной промышленности, оценка рисков ИБ, мониторинг ИБ, резервирование, подключение к оперативным центрам ИБ и др.)
  • Устанавливают требования к электронным информационным ресурсам, интернет-ресурсам, разрабатываемому (приобретаемому) прикладному программному обеспечению, информационно-коммуникационной инфраструктуре и информационным системам.

Документ содержит конкретные нормы, которым должны соответствовать организации. Общий перечень других нормативных актов и требований уполномоченных государственных органов по информационной безопасности также приводится в документе НПА по ИБ и будет рассмотрен по мере изучения различных аспектов ИБ в данной методологии.

ВЫВОД № 6:

С основной нормативно-правовой базой по кибербезопасности разобрались. Теперь переходим к стандартам.

Как и везде, в сфере информационной безопасности (ИБ) существуют стандарты. Для сведения: одним из принципов стандартизации в РК является принцип добровольности. Это означает, что никакая организация НЕ ОБЯЗАНА соответствовать каким-либо стандартам, за исключением случаев, когда это прямо предписано нормативными правовыми актами. Тем не менее, организации могут использовать международные стандарты и практики в области информационной безопасности для своей выгоды, даже если это не является обязательным.

Вот некоторые из наиболее известных на сегодня стандартов в области информационной безопасности (руководств, рекомендаций и др.):

В Единых требованиях (ЕТ) предусмотрены следующие стандарты:

СТАНДАРТЫ В ЕТ

Со стандартами в ЕТ можете ознакомиться тут

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ

Серия ISO/IEC 27001, 27002

Это международные стандарты, определяющие требования к системе управления информационной безопасностью (СУИБ), рекомендации по внедрению, поддержке и улучшению ИБ, а также меры безопасности для управления рисками ИБ в организации. Эти стандарты применяются по всему миру и являются наиболее популярными.

NIST Cybersecurity Framework

Фреймворк, разработанный Национальным институтом стандартов и технологий США, предоставляет методы управления и снижения рисков кибербезопасности, включая практики для повышения сопротивляемости кибератакам.

PCI DSS

Стандарты безопасности данных платежных карт устанавливают требования для организаций, обрабатывающих платежные данные. Они включают в себя меры безопасности для защиты информации и предотвращения кражи данных. Соблюдение PCI DSS необходимо для подключения к международным платежным системам.

GDPR

Общий регламент ЕС о защите данных устанавливает правила для защиты персональных данных граждан ЕС и требует от организаций принимать меры по обеспечению безопасности данных.

Важно прояснить основные аспекты этих четырёх стандартов в области информационной безопасности:

  1. ISO/IEC 27001 (и 27002 и другие): Эти стандарты признаны на международном уровне и используются в различных странах. Сертификат соответствия ISO/IEC 27001 часто требуется для участия в государственных закупках в Казахстане в сфере информационных технологий. В некоторых странах могут быть адаптированные версии этих стандартов, которые учитывают местные законодательные и культурные особенности. Например: В Казахстане действует ГОСТ Р ИСО/МЭК 27001-2016, который является национальной адаптацией международного стандарта.
  2. NIST Cybersecurity Framework: Для работы с клиентами из США важно соответствие фреймворку NIST Cybersecurity, который предоставляет методы управления и снижения рисков в области кибербезопасности.
  3. PCI DSS: Банки обязаны соответствовать стандарту PCI DSS для осуществления международных операций с платежными картами, обеспечивая защиту данных держателей карт.
  4. GDPR: Если ваша компания работает с клиентами из Европы, соблюдение регламента GDPR поможет вам приобрести дополнительные конкурентные преимущества, так как этот регламент устанавливает правила защиты персональных данных граждан ЕС, повышая доверие клиентов.

Применение этих стандартов поможет значительно повысить уровень защищённости информационных ресурсов и инфраструктуры вашей организации, а также подчеркнёт ваше серьёзное отношение к безопасности данных перед инвесторами, партнёрами и клиентами.

ВЫВОД № 7:

Стандарты по ИБ — систематизированные наборы знаний, опыта и лучших практик, применение которых способствует повышению эффективности вашего бизнеса.

Пример: Какую машину вы выберете: ту, в которой есть стандартная система безопасности (подушки, камеры, датчики слепых зон и др.), или ту, в которой шанс выжить в аварии стремится к нулю? Думаем, ответ очевиден. Более подробно для чего нужны стандарты по ИБ и какие они бывают, можно прочитать здесь.

Для получения доступа к статье Методологии, Вам необходимо

или
Вопросы и ответы