Правовое регулирование кибербезопасности в сфере обеспечения национальной безопасности Республики Казахстан

К сожалению, сотрудничество в рамках работы рабочей группы было приостановлено после обвинений США против Китая в коммерческом шпионаже. Сообщения об этом появились в прошлом году, когда США заявили о попытке со стороны пяти китайских военных чиновников кражи коммерческих секретов с использованием новейших технологий. В свою очередь

Китай обвинил США в кибершпионаже, о чем также стало известно в мае 2014 г. Расследование случаев американского шпионажа в интернет-пространстве выявило, что Китай был главной целью во время ведения противозаконных операций со стороны США. Официальные представители китайской администрации заявили, что большинство атак ведется с территории США; по подсчетам китайских экспертов, в 2012 г. число атак составило более 34 тыс. [104].

Как видно из представленного примера, ситуация далеко не радужная, и угроза киберпространству, вне зависимости от кого она исходит - от киберпреступников, кибертеррористов или централизованных стратегических киберагрессий (далее - КА), составляет одну из наиважнейших национальных стратегий безопасности любого государства. Для ее реализации надлежит выработать и внедрить стратегические направления и комплекс мер, их обеспечивающих: аналитических, юридических, институционных, технологических, которые надлежит реализовать на трех уровнях - национальном, региональном, международном.

Поскольку инциденты в кибернетическом пространстве уже вышли за грань обычных преступлений, использование определения «кибернетическая» со словом «война» лежит не в плоскости «если», а в плоскости «когда» и «как» [105].

Действие и сотрудничество в любой сфере начинается с законодательства (на национальном уровне) и соглашений, конвенций и т. д. (и международном уровне) в любой сфере на приемлемых для всех принципах и нормах.

Рассмотрим некоторые национальные законодательства в сфере кибербезопасности:

-в США - 18-й свод законов США, глава 47, ст. 1029 и 1030 [103];

-в Российской Федерации - федеральные законы от 28 декабря 2010 г. № 390_ФЗ «О безопасности» и от 28 июня 2014 г. № 172-ФЗ «О стратегическом планировании в Российской Федерации» [106];

- в Китае - последний Закон о кибербезопасности одобренный 7 ноября 2016 г. китайскими властями, вступил в силу в июне 2017 г. [107],

- в Европейском Союзе - рапорт Европейскому парламенту, Консилиуму, европейскому комитету по экономике и социальному аспекту и региональному комитету; Стратегия кибербезопасности Европейского союза (Брюссель, 7.2.2013, JOIN(2013)) [108].

Осознав реальность угрозы, страны, помимо собственного законодательства, выработали и национальные стратегии (предусматривающие предотвращение и противоборство киберугрозам), усилия были направлены как на международном, так и на региональном уровне для выработки и ратификации соглашений, договоров в этой сфере.

Существуют различные соглашения, юридические акты, регламентирующие безопасность мирового киберпространства, среди первых - это Будапештская конвенция 2001 г. и другие.

Среди них и Таллиннское руководство по международному праву, применимое при ведении кибервойны - документ, разработанный международной группой экспертов по просьбе Центра передового опыта НАТО по совместной защите от киберугроз [109].

Это руководство предусматривает, что государства имеют право применять различные контрмеры против незаконных киберопераций.

При этом данные контрмеры могут быть признаны незаконными, но только не в случае ответных действий (в этом случае их применение считается оправданным).

Государство, ставшее жертвой «вооруженного нападения» в киберпространстве, повлекшего человеческие жертвы или иной серьезный ущерб, имеет право ответить с помощью силы в киберпространстве или физическом мире. Вот этот тезис достаточно часто приводит к спорам и дискуссиям, но, на наш взгляд, ничего сверхъестественного в нем нет (при условии четкой идентификации нападавшей стороны). Что киберагрессии несут угрозу и могут спровоцировать различные по тяжести последствия - это очевидно, но в данном случае, какими бы тяжкими ни были последствия киберагрессии, это не может сравниться с последствиями, которые могут наступить в случае военных действий.

Так как информационные технологии, существующие на данный момент, позволяют как скрывать местоположение, так и использовать данные других, то, по нашему мнению, следует предпринимать следующие шаги.

На национальном уровне:

-выступать и участвовать в разработке международной стратегии по противодействию киберугрозам и создании единых международно-правовых механизмов регулирования виртуального пространства;

-разработать проект Национальной Концепции Стратегии кибербезопасности государства, которая должна быть базирована на принципах и законах других государственных документов, которые бы рассматривали ее реализацию на различных национальных уровнях и сферах:

- общей целью и направлением Стратегии кибербезопасности является обеспечение виртуальной безопасности личности, организации и государства путем определения системы приоритетов, принципов и мер в области внутренней и внешней политики, в которой должны быть отражены: все составляющие киберпространства, при которых обеспечивается защита от максимально возможного числа угроз и воздействий с нежелательными последствиями;

- конкретными/частными направлениями стратегии необходимо определять стандарты сотрудничества субъектов информационного общества - личности, организаций и государства - в области обеспечения кибербезопасности;

-это нормы соблюдения баланса между установлением ответственности за несоблюдение требований КБ, с одной стороны, и введением избыточных ограничений - с другой;

- приоритетность рисков КБ в соответствии с вероятностями реализации киберугроз и размерами негативных последствий от инцидентов КБ;

- актуализация средств и методов обеспечения кибербезопасности в целях противостояния изменяющимся киберугрозам;

- выработать и внедрить многоуровневую институциональную систему кибербезопасности, которая бы включала:

- научно-аналитический уровень, который бы изучал риски кибербезопасности в соответствии с вероятностями реализации киберугроз и размерами негативных последствий; актуализировал средства и методы обеспечения кибербезопасности. Это одна из наиважнейших задач.

Так как проблема состоит в сложности классификации угроз, исходящих с территории государства и непосредственно от него. Вследствие данной тенденции необходимо подчеркнуть необходимость для любого государства выработать меры по идентификации киберугроз, а также их своевременного обнаружения, предотвращения, защиты, а также минимализации последствий;

- исполняющий уровень, который бы осуществлял координацию по двум направлениям - внутреннему (между национальными структурами, ответственными за выявление и противоборство киберугроз) и внешнему, когда координация осуществляется между национальными структурами и схожими иностранными региональными/международными учреждениями;

- наращивать мощности в информационной сфере по противоборству электронных атак.

Необходимо усилить меры внутриполитического характера по стимулированию развития технологической составляющей кибербезопасности для сохранения баланса сил и составления противовеса другим вероятностным «противникам» в области кибербезопасности;

-выступать, внедрять и реализовать региональное, международное сотрудничество в сфере кибербезопасности, отслеживания деятельности преступных, террористических групп и отдельных хакеров, действующих в киберпространстве;

- выступать и активно участвовать в развитии международного сотрудничества в области и структурах, направленных на выявление киберугроз, своевременно обнаруживать, предотвращать, защищать, а также минимизировать последствия.

На международном уровне:

-выработать и внедрить международное соглашение в сфере предотвращения и расследования киберагрессии;

-создать международный орган с региональными представительствами. Этот орган должен быть эквивалентом ООН в киберпространстве - КиберООН (далее - КООН), в нем должны быть несколько структур, к примеру: научно-аналитический уровень, исполняющий функции, которые должны быть те же, что и на национальном уровне, упомянутые нами выше.

Исполняющий уровень может быть, по нашему мнению, на международном, региональном и на национальном уровне.

Региональный уровень позволит, в случае киберагрессии, вовремя включиться в противодействие, национальный уровень позволит наравне с местными национальными представителями включать в расследование региональных и международных представителей КООН.

Также считаем, что деятельность КООН должна быть осуществлена 12 администраторами, выбираемым ежегодно из членов КООН, в отличие от ООН здесь не должно быть привилегированных членов, с правом на вето или постоянных.

В случае киберагрессии КООН создаст комиссию для расследования из международных, региональных, национальных представителей.

Выводы комиссии с соответствующими доказательствами будут направляться в международный суд. Виновные понесут наказания в виде санкций и штрафов, чтобы возместить ущерб.

Да, нынешний мир очень мобилен, он немыслим без киберпространства и информационных технологий, и эти сферы уязвимы; ответив на зло еще большим злом, мы порождаем хаос. Ключ к решению проблем - это уравновешенность, объективность, переговоры и соглашения, в которых все бы участвовали и уважали принятые решения.

Мы полагаем, что наши выводы и рекомендации послужат укреплению безопасности стран и противодействию киберагрессиям во всем мире.

2.3 Перспективы развития обеспечения кибербезопасности с учётом международной нормативно-правовой базы в системе национальной безопасности государства

Рассмотрение фундаментальных основ феномена кибербезопасности ни раз показывало, что первостепенную значимость в вопросе его формирования оказывало именно нормативно-правовое поле, которое благодаря подобной характеристике, как было выяснено, выступает первым рубежом обороны национального киберпространства.

Тем ни менее вопросы национальной безопасности в сфере киберобороны напрямую зависят и от достижений международного сообщества в выработке действенных наднациональных механизмов контроля и регулирования международной киберсреды, современное состояние которых, не взирая на развитость национальных законодательств, разительно отстаёт от требуемого уровня[110].

Ввиду нарастающих противоречий государств, процесс построения конструктивного диалога из года в год замедлял свои темпы. Подобная тенденция, безусловно, не могла благоприятно сказаться на общем уровне защищённости международной киберсреды, от которой, как было отмечено прежде, со слов Министра внутренних дел Федеративной Республики Германии, зависит и уровень защищённости национальной киберинфраструктуры[111].

По этой причине далее будут рассмотрены возможные сценарии развития феномена кибербезопасности в правовом поле с учётом эволюции международной нормативно-правовой базы, как определяющего элемента в построении национальной политики в области обеспечения безопасности электронной среды.

Итак, выделим несколько сценариев развития международного диалога: первым, в какой-то степени утопичным сценарием, будет выступать возможное нахождение компромисса между политикой «hard power» и «soft power», применяемыми в большей степени на западе и на востоке, соответственно.

В конфронтации данных идеологий основополагающее значение имеет приверженность запада позициям «национального превосходства», выступающего гарантией безопасности страны и предполагающего наличие сильных государственных институтов, способных не только самостоятельно отразить агрессию в киберпространстве, но и подавить возникновение потенциальной угрозы, посредством применения превентивных механизмов воздействия за рубежом [112]. По этой причине, создание международных институтов, обладающих возможностями контроля киберпространства, идёт в противовес национальным интересам западных государств, поскольку предполагает невозможность задействования национальных структур без санкций со стороны вышестоящих международных органов.

По мнению экспертного сообщества, подобный образ мышления является весьма прогрессивным с точки зрения достижения национальных интересов, однако не помогает построению международного сотрудничества, в свою очередь способного искоренить некоторые категории угроз кибербезопасности, не нанося вред киберинфраструктуре государств [113].

Национальное киберпространство в ущерб эффективности будет тотально переходить на государственную технологическую базу, уровень которой во многих областях ниже зарубежных аналогов. Помимо того, восприятие феномена кибербезопасности государствами мира будет основываться на исключительных позициях стран в отношении трактования связанных с ним явлений, а потому способно выразиться в появлении большего количества противоречий и конфликтных областей между государствами.

Таким образом, изменения приобретут, а точнее уже отчасти приобрели принципиально обратный характер[114].

На современном этапе государства мира стремятся обеспечить максимальный уровень национальной защищённости разрабатывая стратегии наиболее эффективного применения трёх основных методов воздействия на киберпространство: нормативно-правового, технологического, а также экономического. Их совокупность позволяет создавать в государстве эффективную систему кибербезопасности, способную в случае необходимости оказать сопротивление агрессии в киберпространстве, гарантировав тем самым устойчивое функционирование национальной киберинфраструктуры.

Что же касается непосредственно нормативно-правового поля, то его роль в вопросе формирования единой системы киберобороны переоценить невозможно: развитие любого другого механизма воздействия, а также киберинфраструктуры в целом напрямую связано с успешным нормативно-правовым регулированием, устраняющим административные барьеры, возникающие в ходе изменения общенационального курса.

3. Кибербезопасность как неотъемлемая часть национальной безопасности Республики Казахстан

3.1 Информационная безопасность как одно из направлений обеспечения национальной безопасности в Республике Казахстан

Законодательство Республики Казахстан в области обеспечения национальной безопасности основывается на Конституции Республики Казахстан [115], Законе Республики Казахстан от 5 июля 2018 года № 178-VI «О Совете Безопасности Республики Казахстан» [116], Законе Республики Казахстан от 6 января 2012 года № 527-IV «О национальной безопасности Республики Казахстан» по состоянию ЗРК на 28.12.2018 г. [117], и других нормативно-правовых актах.

Национальная безопасность Республики Казахстан - состояние защищенности национальных интересов Республики Казахстан от реальных и потенциальных угроз, обеспечивающее динамическое развитие человека и гражданина, общества и государства.

Информационная безопасность - состояние защищенности информационного пространства Республики Казахстан, а также прав и интересов человека и гражданина, общества и государства в информационной сфере от реальных и потенциальных угроз, при котором обеспечивается устойчивое развитие и информационная независимость страны;

Информационная безопасность как одно из направлений обеспечения национальной безопасности в Казахстане обеспечивается решениями и действиями государственных органов, организаций, должностных лиц, направленными на:

1) недопущение информационной зависимости Казахстана;

2) предотвращение информационной экспансии и блокады со стороны других государств, организаций и отдельных лиц;

3) недопущение информационной изоляции Президента, Парламента, Правительства и сил обеспечения национальной безопасности Республики Казахстан;

4) обеспечение бесперебойной и устойчивой эксплуатации сетей связи

5) выявление, предупреждение и пресечение утечки и утраты сведений, составляющих государственные секреты и иную защищаемую законом тайну;

6) недопущение информационного воздействия на общественное и индивидуальное сознание, связанного с преднамеренным искажением и распространением недостоверной информации в ущерб национальной безопасности.

В настоящее время в Казахстане разработана Концепция Законопроекта «Об информационной безопасности» [118] в связи с поручением Президента Республики Казахстан Н.А. Назарбаева о создании системы «Киберщит Казахстана», изложенном в ежегодном Послании Главы Государства «Третья модернизация Казахстана: глобальная конкурентоспособность» от 31 января 2017 года[119].

Создание такой системы обусловлено возросшими вызовами в киберсфере и рисками в области кибербезопасности, связанными с резким ростом киберпреступности, увеличением онлайн атак, непредсказуемой динамикой развития киберпространства, что, в совокупности, требует от Казахстана создания гибких нормативных инструментов защиты и выработки эффективных требований по защите киберсреды.

В январе 2017 года был зафиксирован массовый взлом государственных сайтов в зоне gov.kz; необходимый перечень имевших место инцидентов, ставящих под угрозу информационную безопасность Республики Казахстан.

Действующая система реагирования смогла только постфактум оповестить владельцев атакованных ресурсов о состоявшихся атаках и указать им на соответствующие уязвимости.

Между тем, развитие защищенного национального информационного пространства относится к основным национальным интересам Республики Казахстан и предполагает обеспечение действенных превентивных мер по предотвращению инцидентов в обеспечении информационной безопасности и их профилактике, которая должна стать главным ориентиром в создании системы «Киберщит Казахстана».

В настоящее время в Казахстане отсутствует консолидированный правовой акт, который мог бы действовать в качестве единой правовой основы для обеспечения информационной безопасности.

Более того, правовые нормы, относящиеся к информационной безопасности, только недавно начали внедряться законодателем в правовое поле Казахстана. Они пока не вполне соответствуют актуальным и применимым мировым тенденциям по обеспечению информационной безопасности, и, самое главное, не могут обеспечить информационную безопасность в Казахстане на надлежащем уровне.

Не определены структуры, осуществляющие контроль и функции стратегического планирования в сфере обеспечения информационной безопасности. Отсутствует система взаимодействия государственных органов и технических операторов, которая позволяла бы отслеживать кибер атаки, предотвращать их последствия и принимать адекватные превентивные меры.

Не определены и не категорированы объекты государственной информационно-коммуникационной инфраструктуры, нарушение функционирования которых может привести к негативным и даже катастрофическим последствиям для экономического и социального состояния страны. Отсутствуют способы и методы оценки систем безопасности информационных систем и инструментов на таких критически важных объектах.

Можно заключить, что несмотря на глубокое вовлечение информационно-коммуникационной структуры Казахстана в мировую цифровую среду, по сей день в Казахстане не существует адекватной нормативно-правовой базы как правового инструмента, направленного на защиту прав, интересов, а также объектов материальной собственности нашей страны, ее граждан и юридических лиц.

Таким образом, в настоящий момент требуется не только реализация первоочередных законодательных мер, обеспечивающих информационную безопасность в Казахстане, но также необходимо заложить основы поступательного развития актуальных внутренних инструментов защиты отечественной кибер-среды.

В связи с этим, с учетом динамичного развития и изменчивости кибер-сферы, Законопроект «Об информационной безопасности» должен предоставлять возможности для как можно более оперативного реагирования на вызовы в постоянно меняющихся условиях.

Для того, чтобы избежать излишних административных процедур и соответствующих временных затрат при возникновении новых принципиальных угроз в цифровой среде, предлагается заложить в Законопроекте базовые понятия, компетенции и положения, с отнесением на подзаконный уровень непосредственных инструментов исполнения установленных Законопроектом положений и правил.

Законопроект «Об информационной безопасности» представляет собой правовой акт, закладывающий правовые основы в сфере информационной безопасности и направленный на консолидацию уже действующих релевантных норм.

Законопроект «Об информационной безопасности» постулирует основные положения и понятия, устанавливает базовые компетенции и схемы взаимодействия уполномоченных государственных органов, обеспечивает необходимую законодательную базу для разработки подзаконных нормативных правовых актов, обеспечивающих устойчивое развитие сферы обеспечения информационной безопасности в области государственного управления и в отраслях экономики, имеющих стратегическое значение.

Целями законопроекта «Об информационной безопасности» являются:

-создание законодательной основы функционирования национальной системы защиты от кибератак и предупреждения киберугроз («Киберщит Казахстана»);

-устранение пробелов и коллизий в действующих нормативных правовых актах;

- установление новой и перераспределение текущей компетенции между уполномоченными государственными органами;

- разработка правовых основ взаимодействия между уполномоченными государственными органами, операторами связи и владельцами сетей в области обеспечения информационной безопасности;

-формирование законодательной базы для создания и функционирования специализированных координирующих инстанций (кибер-центров) в сфере обеспечения информационной безопасности по уровню значимости критических объектов и отраслевому признаку;

- категорирование критически важных объектов информационно-коммуникационной инфраструктуры;

- введение требований по обеспечению информационной безопасности критических объектов, реагированию на компьютерные инциденты (выявление угроз, обнаружение, предупреждение и ликвидация атак и их последствий), обеспечение эффективного функционирования CERT (центров немедленного реагирования на компьютерные инциденты);

- установление правовых основ для разработки, принятия и внедрения национальных стандартов в области информационной безопасности и функционирования института сертификации систем безопасности;

- разработка законодательной базы, предусматривающей аккредитацию частных организаций (в том числе образованных в рамках государственно-частного партнерства), выполняющих работы в области обеспечения защищенности критически важных объектов информационно-коммуникационной инфраструктуры и оценки такой защищенности на коммерческой основе;

- определение прав, обязанностей и ответственности владельцев критически важных объектов инфраструктуры в кибер-среде в части обеспечения соответствия 4-уровневым требованиям (на сетевом уровне, серверном уровне, на уровне приложений и уровне конечных пользователей) по обеспечения информационной безопасности;

- нормативное обеспечение создания единой национальной резервной системы хранения информации и формирования единых отраслевых резервных центров обработки данных (ЦОД);

- создание правовых основ для стимулирования и дальнейшего развития внутригосударственной отрасли информационной безопасности: обеспечения мер государственной поддержки, обучения специалистов в области информационной безопасности, создание собственной операционной системы и программного обеспечения.

Предметом регулирования Законопроекта «Об информационной безопасности» является комплекс общественных отношений, возникающих в процессе обеспечения информационной безопасности Республики Казахстан, и связанных с осуществлением административных, контрольных и технических мер, направленных на обеспечение надлежащего функционирования критически важных объектов информационно-коммуникационной инфраструктуры, предотвращение чрезвычайных ситуаций социального и (или) техногенного характера и иных негативных последствий для безопасности, правопорядка, экономики и информационно-коммуникационной инфраструктуры Республики Казахстан и жизнедеятельности граждан Республики Казахстан в результате компьютерных инцидентов.

Законопроект «Об информационной безопасности» не распространяется на общественные отношения в области организации обороны и Вооруженных Сил Республики Казахстан, функции и полномочия государственных органов в обеспечении обороноспособности страны, права и обязанности граждан и организаций в сфере обороны.

Мониторинг действующих законодательных актов в Республике Казахстан выявил отсутствие консолидированных норм, посвященных обеспечению информационной безопасности.

Так, Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г. [120], устанавливает ряд понятий, таких как «информационная безопасность», «критически важные объекты информационно-коммуникационной инфраструктуры», «событие информационной безопасности» и пр.

Также, в статье 5 Закона Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г. предусматривается, «предупреждение и оперативное реагирование на инциденты информационной безопасности, в том числе в условиях чрезвычайных ситуаций социального, природного и техногенного характера, введения чрезвычайного или военного положения», как одна из основных задач государственного управления в сфере информатизации.

Кроме того, Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г. относит на подзаконный уровень ряд положений, регулирующих вопросы информационной безопасности.

Так, к компетенции Правительства Республики Казахстан относится утверждение единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности согласно положениям Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» [121] - далее Единые требования.

Следует отметить, что Единые требования обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры. При этом перечень последних не определен. А аттестация на соответствие требованиям информационной безопасности проводится только в отношении информационных систем «электронного правительства» и интернет-ресурсов государственных органов.

Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г. содержит главу 9 «Защита объектов информатизации», определяющую цели, пути организации и меры защиты объектов информатизации, ресурсов, информационных систем и информационно-коммуникационной инфраструктуры, содержащую по большей части нормы декларативного или коллизионного характера. Так, например, согласно пункту 2 стати 55 собственники или владельцы объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры обязаны принимать меры, обеспечивающие предотвращение несанкционированного доступа.

Неясно, почему круг субъектов этой статьи ограничен только указанными лицами, без включения в него собственников интернет-ресурсов государственных органов, и зачем такое требование вообще существует, если информационные системы «электронного правительства» должны проходить аттестацию.

В целом, правовое регулирование Закона Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г. в большей степени направлено на отношения в сфере создания, использования и развития информационных систем и других объектов информатизации как организационного, социально-экономического и научно-технического процесса, направленного на автоматизацию деятельности субъектов информатизации.

Так как обеспечение информационной безопасности не входит в предмет регулирования Закона Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г., его нормы, посвященные этой тематике, разрознены, противоречивы и не охватывают весь спектр вопросов информационной безопасности.

Так, например, Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г. предусматривает два вида проверки информационных систем - аудит и аттестацию.

Аудит является необязательной формой проверки, объектом аудита могут быть негосударственные информационные системы, а заключение аудита имеет рекомендательный характер (в соответствии с Приказом Министра информации и коммуникаций Республики Казахстан от 13 июня 2018 года № 263 «Об утверждении Правил проведения аудита информационных систем» [122].

В свою очередь, аттестация, которая является обязательной для государственных информационных систем и частных информационных систем, интегрируемых с государственными, также может быть применена по инициативе собственника к частной информационной системе. Таким образом, действующее законодательство содержит излишнее правовое регулирование, выраженное в двойной форме проверки свойств частных информационных систем.

В качестве правовых последствий принятия Законопроекта «Об информационной безопасности» предполагается создание фундаментальной законодательной базы для обеспечения информационной безопасности. В качестве социально-экономических последствий предполагается значительное снижение рисков для государства, бизнеса и гражданского общества при использовании ими цифровых технологий.

В результате принятия Законопроекта «Об информационной безопасности» будут решены следующие первоочередные задачи по обеспечению информационной безопасности государства.

1.Консолидация разрозненных норм и требований, связанных с обеспечением информационной безопасности в Республики Казахстан.

2.Формирование компетенции Комитета национальной безопасности Республики Казахстан в области информационной безопасности и их подведомственных предприятий (РГП «Государственная техническая службы и АО РЦ «Казимпэкс») с соответствующим перераспределением полномочий Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан

3.Установление прав и обязанностей субъектов квазигосударственного и частного секторов в области обеспечения информационной безопасности.

4.Создание национального центра кибербезопасности в качестве координирующей инстанции, подчиненной и подотчетной КНБ РК; определение национального центра кибербезопасности отраслевым кибер-центром в области обеспечения кибербезопасности государственных информационных систем и ресурсов.

5.Определение отраслевых кибер-центров в области:

- единой сети телекоммуникаций,

- финансового сектора,

- энергетического сектора,

- здравоохранения,

- транспорта,

- др.

Установление правовых основ их создания, функционирования, подчиненности и взаимодействия с национальным центром кибербезопасности.

6.Создание института государственно-частных и частных киберцентров, которые оказывают услуги по обеспечению кибербезопасности на коммерческой основе.

7.Категорирование значимости критически важных объектов информационно-коммуникационной инфраструктуры; критерии отнесения объектов ИКИ к критически важным, а также к соответствующей категории критически важных объектов.

8.Определение обязанности всех владельцев информационных ресурсов и систем, отнесенных к определенным категориям значимости критически важных объектов информационно-коммуникационной инфраструктуры, обеспечения за счет собственных или привлеченных финансовых средств соответствия 4-уровневым требованиям (на сетевом уровне, серверном уровне, на уровне приложений и уровне конечных пользователей) по обеспечению кибербезопасности в порядке, определяемом уполномоченным органов области обеспечения кибербезопасности.

9.Обеспечение обязательности формирования единых отраслевых резервных центров обработки данных (ЦОД) с получением Национальным киберцентром сведений о событиях в режиме онлайн.

10.Введение института стандартизации в области кибербезопасности в зависимости от категорий значимости критически важных объектов ИКИ; установление правовых основ для разработки, принятия и внедрения национальных стандартов в области кибербезопасности.

11.Установление правовых основ для функционирования института сертификации систем безопасности, внедряемых на критически важных объектах ИКИ в соответствии с утвержденными национальными стандартами. Распределение полномочий между национальным центром кибербезопасности и отраслевыми кибер-центрами в области сертификации.

12.Определение инфраструктурных зон, сертификация систем информационной безопасности которых должна быть передана в частную конкурентную среду. Разработка правовых основ аккредитации частных агентств по сертификации в области информационной безопасности и их дальнейшего функционирования.

13.Установление правовых основ реагирования на инциденты в киберпространстве (выявление угроз, обнаружение, предупреждение и ликвидация последствий атак, установление правонарушителей в процессе оперативно-розыскной деятельности, доказывание в уголовном процессе).

14.Законодательное обеспечение обязанности владельцев государственных информационных ресурсов и систем, а также критически важных объектов ИКИ введения офицеров кибербезопасности КНБ в виде прикомандированных сотрудников.

15.Правовые основы для стимулирования и дальнейшего развития внутригосударственной отрасли кибербезопасности: меры государственной поддержки; обучение специалистов в области кибербезопасности; создание собственной операционной системы и программного обеспечения.

Сфера обеспечения кибербезопасности Республики Казахстан в настоящее время не является предметом консолидированного, комплексного правового регулирования.

Фрагментарно некоторые вопросы обеспечение информационной безопасности сконцентрированы в Законе Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г.

Целью принятия данного законодательного акта явилось обеспечение дальнейшего развития информатизации казахстанского общества путем законодательного внедрения эффективной системы ее организации, отвечающей современным международным стандартам. Вопросы безопасности и защиты информационно-коммуникационной структуры, несмотря на наличие отдельных норм по этому вопросу, не рассматривались ни в качестве предпосылок, ни в качестве целей Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г.

Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г.ввел ряд новелл, направленных на решение четырех блоков проблемных вопросов:

-разработка правовых основ для создания электронных информационных ресурсов и информационных систем;

- правовое обеспечение гарантий для надлежащего использования электронных информационных ресурсов и информационных систем;

- создание правовой системы, способной обеспечить защиту электронных информационных ресурсов и информационных систем;

- разработка и внедрение комплекса правовых новелл, направленных на реализацию мер государственной поддержки развития отрасли информационных технологий.

Однако, не смотря на то, что вопросы безопасности и защиты информационно-коммуникационной структуры и ее соответствующих объектов вошли в предмет правового регулирования Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» по состоянию ЗРК на 11.04.2019 г., фактически этот законодательный акт не предусматривает действенных механизмов обеспечения информационной безопасности.

Вместе с тем, согласно подпункту 4) статьи 1 Закона Республики Казахстан «О правовых актах» [123], закон - это нормативный правовой акт, который регулирует важнейшие общественные отношения, устанавливает основополагающие принципы и нормы, предусмотренные Конституцией Республики Казахстан.

Подпункт 11) пункта 3 статьи 61 Конституции Казахстана относит сферу обеспечения обороны и безопасности государства к таким важнейшим общественным отношениям, правовое регулирование которых и основополагающие принципы и нормы, их касающиеся, должно быть установлено в законе.

В постановлении Конституционного совета от 10 марта 1999 года № 2/2 «Об официальном толковании пунктов 1 и 2 статьи 14, пункта 2 статьи 24, подпункта 5) пункта 3 статьи 77 Конституции Республики Казахстан» разъяснено, что в соответствии с пунктом 3 статьи 61 Конституции Парламент обладает правом устанавливать новые юридические нормы, исходя из сложившихся обстоятельств и целесообразности, в том числе - устранять недостатки правового регулирования постоянно изменяющихся и динамичных общественных отношений.

Таким образом, учитывая важность рассматриваемых правоотношений, их специфику, заключающуюся в изменчивости и растущей динамике развития киберсреды, необходима разработка отдельного целевого законодательного акта, посвященного вопросам обеспечения кибербезопасности, в качестве и которого предлагается Законопроект.

3.2 Роль государства и государственных органов в механизме обеспечения информационной безопасности и кибербезопасности в системе национальной безопасности Республики Казахстан

Государство должно иметь гибкую, адаптивную, мобильную и эффективную систему защиты собственного информационного пространства от деморализующих пропагандистских акций и информационно-психологических вторжений, способную быстро реагировать на возникающие угрозы и новые условия деятельности.

Под председательством Республики Казахстан в формате ОДКБ (Организация Договора о коллективной безопасности) в республике усиливается работа по противодействию вызовам в сфере кибербезопасности.

В частности, Казахстан ставит задачу о необходимости выработки коллективных мер по нейтрализации компьютерных атак, направленных на объекты информационно-коммуникационной инфраструктуры государств-членов ОДКБ, а также шире использовать диалоговые площадки организации для обмена опытом по методам исследования незадекларированных возможностей в сфере информационно-коммуникационных технологий.

Важным коллективным механизмом реагирования на компьютерные инциденты выступает Консультационный координационный центр ОДКБ. На этой площадке происходит обмен сведениями о зафиксированных атаках, используемых методиках своевременного выявления и пресечения попыток деструктивного воздействия.

Вопросам обеспечения информационной безопасности Республики Казахстан посвящается ст. 22 Закона Республики Казахстан «О национальной безопасности Республики Казахстан», в которой записано, что в республике создается и укрепляется национальная система защиты информации, в том числе государственных информационных ресурсов. Обязанностью государственных органов, организаций независимо от форм собственности, должностных лиц и граждан является принятие всех необходимых мер по недопущению:

- информационной зависимости Казахстана;

- информационной экспансии и блокады со стороны других государств;

- информационной изоляции Президента, Парламента, Правительства и сил обеспечения национальной безопасности Республики Казахстан.

Вышеуказанным Законом не допускается принятие каких бы то ни было решений и совершение действий, противоречащих национальным интересам формирования и бесперебойного функционирования информационного пространства Республики Казахстан и вхождения нашей страны в мировую систему связи и информации.

В этой связи пунктом 5 ст. 22 Закона о национальной безопасности Республики Казахстан запрещается:

- распространение на территории Республики Казахстан печатной продукции, теле - и радиопередач зарубежных СМИ, содержание которых подрывает национальную безопасность;

- разглашение служебной и иной информации, связанной с интересами государства;

- иностранным физическим и юридическим лицам, а также лицам без гражданства, прямо и (или) косвенно владеть, пользоваться, распоряжаться и (или) управлять более 20% пакета акций (долей, паев) юридического лица - представителя СМИ в Республики Казахстан или осуществляющего деятельность в этой сфере.

Уполномоченным государственным органом по представлению Генерального Прокурора Республики Казахстан, согласно пункту 6 ст. 22 вышеуказанного Закона, приостанавливается деятельность СМИ, подрывающих национальную безопасность.

В связи с вышеизложенным важно отметить, что в соответствии со ст. 17 Закона Республики Казахстан «О государственных секретах» не подлежат засекречиванию сведения о состоянии демографии, образования, культуры, о фактах нарушения прав и свобод граждан; о фактах нарушения законности государственными органами и организациями, их должностными лицами, о массовых репрессиях по политическим, социальным и другим мотивам, в том числе находящимся в архивах, за исключением сведений в области разведывательной, контрразведывательной, оперативно-розыскной и иной деятельности, относимых к государственным секретам Республики Казахстан.

Как и всякая политика, политика в области информационной безопасности основывается на определенных принципах:

1) соблюдение Конституции и законодательства Республики Казахстан, а также общепризнанных принципов и норм международного права;

2) открытость в реализации функций республиканских органов государственной власти, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством РК;

3) правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса;

4) приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.

Интересы человека и гражданина в информационной сфере заключаются в реализации их прав на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов граждан в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении Казахстан.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития информационной инфраструктуры Республики Казахстан, для реализации прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности Казахстан, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества [124].

Таким образом, целью информационной безопасности Республики Казахстан является защита национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов граждан, общества и государства.

В механизме обеспечения безопасности решающая роль принадлежит государству и его органам. Государство, являясь единой политической организацией общества, которая распространяет свою власть на всю территорию страны и ее население, имеет своим высшим социальным предназначением гарантирование нормальной, безопасной жизнедеятельности общества.

Современная теория государства трактует сущность государства как «обеспечение с помощью аппарата политической власти целостности общества и его надлежащего функционирования в обстановке, когда общество существует как суверенный, самостоятельный механизм и когда в нем утверждается демократия» [125, с. 117 -118].

С начала 2011 года в Казахстане существует официально созданная Компьютерная группы быстрого реагирования на чрезвычайные ситуации (KZ-CERT) и которая входит в состав Государственной технической службы Республики Казахстан.

Существует также независимый Центр анализа и расследования кибератак (CAIC), который начал работу в 2015 году и работает в интересов государственных и негосударственных клиентов. В начале 2017 года Казахтелеком озвучил планы создания собственного Центра мониторинга и реагирования на кибератаки. В рамках казахстанских правоохранительных органов созданы подразделения борьбы с кибер-преступлениями, например, «Департамент К» в Министерстве внутренних дел.

Одним из основных направлений деятельности Министерства оборонной и аэрокосмической промышленности Республики Казахстан является реализация государственной политики в области информационной безопасности в сфере информатизации и связи (кибербезопасности). Этим же Указом Правительству Республики Казахстан поручено обеспечить создание Комитета по информационной безопасности, который фактически теперь будет выполнять функции уполномоченного органа (регулятора) по разработке государственной политики в сфере национальной информационной безопасности.

Министерство оборонной и аэрокосмической промышленности Республики Казахстан призвано развивать оборонную промышленность, в частности, промышленность в сфере информационной безопасности, то есть решать стратегическую задачу поэтапного импортозамещения в сфере защиты информации. А это весьма сложная и долгосрочная задача, но своевременная и выполнимая. Конечно, реализация наукоемкого проекта государственной важности, прежде всего, предполагает проведение научно-исследовательских и опытно-конструкторских работ в интересах развития отечественных разработок.

С образованием Министерства оборонной и аэрокосмической промышленности Республики Казахстан связано дальнейшее развитие национальной спутниковой системы связи «Kaзсат», так как в задачи министерства входят вопросы по формированию и реализации государственной политики в области оборонной, аэрокосмической, электронной промышленности и информационной безопасности (кибербезопасности).

В Республике Казахстан в настоящее время функционирует национальная космическая система связи (НКСС). В ее состав входит космический аппарат «KazSat-2», запуск которого состоялся 16 июля 2011 года с космодрома «Байконур» и космический аппарат «KazSat-3», который был запущен 29 апреля 2014 года также тоже с «Байконура», также Наземный комплекс управления космическими аппаратами и система мониторинга связи в г. Акколь Акмолинской области (ЦКС «Акколь») и Резервный наземный комплекс управления космическими аппаратами и система мониторинга связи в Илийском районе Алматинской области (ЦКС «Коктерек»). Орбитальная группировка спутников «KazSat-2» и «KazSat-3» позволяет организовывать эффективные каналы спутниковой связи на территории Казахстана, Таджикистана, Узбекистана, Туркменистана и Кыргызстана, а также в приграничных областях России. Система работает в Ku - диапазоне частот и предоставляет потребителям спутниковую емкость в общем объеме 1296 МГц, как в «стандартных», так и в плановых полосах частот ФСС (фиксированная спутниковая служба).

Необходимо отметить создание космической системы связи позволило Казахстану не только поднять престиж на мировой арене, но и оказать огромное влияние на различные сферы деятельности внутри страны.

Наличие космической системы связи -- это защита национальных интересов, в том числе важнейших интересов обороны и государства в вопросах информационной безопасности, что является крайне актуальным в условиях нестабильности современных глобальных социально-экономических и политических вызовов в мире, которая характеризуется ростом напряженности в различных уголках Земли, расширением масштабов терроризма и экстремизма, усилением кризисных явлений в международной экономике, обострением борьбы за природные ресурсы.

С возложенными Министерством оборонной и космической промышленности РК новыми задачами по обеспечению информационной безопасности, сохранности информационных ресурсов государства, роль космической спутниковой связи (КСС) «KazSat» становится неоценимой.

Во-вторых, собственная космическая система связи - это развитие сегментов отечественной экономики, а именно осуществление импортозамещения услуг по аренде спутниковой ёмкости у иностранных поставщиков.

В результате значительные финансовые средства за использование спутниковыми операторами ресурсов национальных телекоммуникационных космических аппаратов сохраняются внутри республики. Обращаясь к конкретным цифрам, необходимо отметить, что с 2011 года по настоящее время, используя КСС «KazSat», удалось обеспечить импортозамещение услуг на сумму порядка 22,2 млрд. тенге, по всей территории Казахстана работает порядка 7 000 земных станций спутниковой связи, обеспечены потребности 15 операторов связи и организаций Казахстана, создано 206 постоянных рабочих мест.

В-третьих, собственная космическая система связи - это содействие в вопросе ликвидации в стране «цифрового неравенства», решение которого является для государства необходимым условием на пути вхождения Казахстана в число 30 развитых государств мира. Уровень развития информационных и коммуникационных технологий (ИКТ) в стране является одним из важных показателей развития нашей республики.

Таким образом, роль государства в доступности ИКТ как свободного, открытого и конструктивного инструмента является ключевым. Население Казахстана как никогда раньше заинтересовано в динамичном развитии и распространении услуг, внедрение которых осуществляется посредством НАО «Государственной корпорации «Правительство для граждан».

Организация научных исследований, разработка и производство собственных аппаратных и программных средств защиты информации, а также ключевых элементов информационно-коммуникационной инфраструктуры является необходимым условием обеспечения информационной безопасности и «цифрового суверенитета» Республики Казахстан.

АО «Национальные информационные технологии» получена государственная лицензия № 072 в Комитете национальной безопасности РК, которая позволила создать на базе компании оперативный центр информационной безопасности который будет направлен не только на мониторинг и отражение хакерских атак, но и для защиты, анализа и предложений разных решений для улучшения безопасности электронного правительства и других информационных систем в Республике Казахстан.

В настоящее время в Казахстане в отношении интернет-ресурсов, информационных систем и других объектов ИК-инфраструктуры электронного правительства АО «НИТ» выполняет следующие функции: