- Базовые законы и нормативная рамка
- Конкретные меры, которые прямо упоминаются в регулировании
- Стратегические документы: концепции и направления
- Ответственность и смежные области регулирования
- Как быстро сориентироваться: что читать в первую очередь
- Небольшая реальность про правоприменение
- Ключевые источники для проверки норм
В Казахстане информационная безопасность регулируется сразу несколькими законами и подзаконными актами: одни задают рамки для защиты прав и интересов в информационной сфере, другие устанавливают требования к информационным системам, операторов и провайдеров, а также ответственность за нарушения.
Ниже - что именно обычно подразумевают под мерами и какие ключевые нормы стоит знать.
Базовые законы и нормативная рамка
Законодательство “по уровням”
В Республике Казахстан нормы про информационную безопасность распределены не по одному документу, а по разным актам. На практике ориентируются на связку:
- закон, который определяет понятия и общие подходы к информатизации и защите (в том числе меры реагирования на инциденты);
- закон, который включает информационную безопасность в систему национальной безопасности (через угрозы и защищаемые интересы);
- законы по отдельным темам: персональные данные, доступ к информации, а также нормы ответственности в административной и уголовной сферах.
Главные ориентиры по смыслу
- Информационная безопасность - это “состояние защищенности” электронных ресурсов, систем и инфраструктуры от внутренних и внешних угроз.
- В документах также закрепляются базовые принципы вроде конфиденциальности, целостности и доступности.
Конкретные меры, которые прямо упоминаются в регулировании
Требования к организациям и информационным системам
В подзаконных актах закрепляются единые требования в части:
- использования информационно-коммуникационных технологий;
- мер обеспечения информационной безопасности;
- требований к процессам и управлению безопасностью (в том числе на уровне организаций и ведомств).
Отдельно важны государственные стандарты по терминам и подходам к управлению защитой (они нужны, чтобы “одинаково понимать слова” и опираться на общий язык в документах и внедрениях).
Реагирование на инциденты: центры и служба KZ-CERT
Одна из самых понятных практических мер - выстроенная система реагирования на инциденты:
- предусмотрены оперативные центры информационной безопасности;
- в Казахстане действует KZ-CERT (служба реагирования на компьютерные инциденты).
Что обычно делает такая служба:
- собирает и анализирует сведения о рисках и угрозах;
- готовит отчёты для компетентных органов;
- разрабатывает рекомендации по реагированию на инциденты;
- поддерживает мероприятия и коммуникацию между государством и частным сектором;
- осуществляет мониторинг интернет-ресурсов госорганов (в рамках полномочий, закрепленных в законодательстве).
Это важно, потому что “законы” в реальной работе превращаются именно в процедуры: наблюдение, оценка, эскалация, рекомендации и ликвидация последствий.
Стратегические документы: концепции и направления
Помимо законов, в Казахстане принимаются стратегические документы, которые задают курс (например, концепции уровня “Киберщит Казахстана”). В них обычно повторяются ключевые составляющие защиты:
- конфиденциальность информации;
- целостность информации;
- доступность информации.
Эти категории часто потом “раскладываются” по требованиям к системам, процессам и обязанностям организаций.
Ответственность и смежные области регулирования
Информационная безопасность пересекается с нормами:
- уголовного права (например, за преступления в сфере компьютерной информации);
- административной ответственности;
- регулирования персональных данных;
- доступа к информации;
- противодействия терроризму (в части предотвращения и пресечения угроз, которые могут использовать информационные каналы).
Из-за этого в реальной проверке/оценке компании или проекта обычно смотрят не один закон, а “карту пересечений” - какие именно данные и какие именно действия затронуты.
Как быстро сориентироваться: что читать в первую очередь
Если нужно составить практический список норм под задачу “информационная безопасность в Казахстане”, логично начать так:
| Что нужно | Почему это важно | Где искать |
|---|---|---|
| Определения и общие подходы | Чтобы правильно трактовать “информационная безопасность”, “инцидент”, “несанкционированный доступ” | Законодательные акты по информатизации и базовые определения в стандартах |
| Единые требования к ИКТ и защите | Чтобы понимать минимальные требования к процессам и организации безопасности | Постановление с “едиными требованиями” в области ИКТ и обеспечения безопасности |
| Система реагирования | Чтобы понимать, как устроены мониторинг и реакция на инциденты | Нормы об оперативных центрах и полномочиях KZ-CERT |
| Защита прав и интересов в инфосфере | Чтобы увязать безопасность с национальной безопасностью и устойчивостью развития | Закон о национальной безопасности (определяет защищаемую “информационную сферу”) |
| Частные режимы (данные, доступ, ответственность) | Потому что инциденты часто бьют по персональным данным, доступу и могут вести к ответственности | Законы о персональных данных, доступе к информации, УК/КоАП и смежные акты |
Небольшая реальность про правоприменение
Регулирование информационной безопасности в Казахстане развивается довольно активно, но единая и полностью устоявшаяся правоприменительная практика может формироваться постепенно. Поэтому при внедрении мер часто приходится параллельно сверяться:
- с требованиями ЕТ (единых требований),
- с разъяснениями компетентных органов,
- со стандартами по терминам и подходам к управлению защитой.
Ключевые источники для проверки норм
- Закон Республики Казахстан “Об информатизации” (основы определения и подходы, включая инфраструктуру мер и центры реагирования).
- Закон Республики Казахстан “О национальной безопасности” (понятие защищенности информационного пространства и защищаемые интересы).
- Постановление Правительства РК от 20 декабря 2016 года № 832 “Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности”.
- Государственные стандарты РК по терминам и понятиям (например, серии СТ РК 34.005-2002, 34.006-2002, 34.007-2002) и стандарт СТ РК ISO/IEC 17799-2006 (как “свод правил” по управлению защитой информации).
- Материал о системе мер и KZ-CERT (как справочная компоновка того, какие функции обычно закреплены): https://mg-partner.com/novosti/informacionnaya-bezopasnost-v-kazahstane
- Пример документации по управлению безопасностью и ссылкам на нормативную базу (политика информационной безопасности): https://prg.kz/document/?doc_id=31935371
Если свести всё в одну мысль: в Казахстане информационный блок про безопасность держится на законах (рамка и ответственность), единых требованиях (минимум для внедрения), стандартах (единый язык и подходы) и практической системе реагирования, где KZ-CERT и оперативные центры играют ключевую роль.