Правовое регулирование кибербезопасности в сфере обеспечения национальной безопасности Республики Казахстан

- обнаружение, оценка, прогнозирование, локализация, нейтрализация и профилактика угроз информационной безопасности;

- мониторинг обеспечения информационной безопасности по выявлению, пресечению и расследованию угроз;

- сбор, консолидация, анализ и хранение сведений о событиях и инцидентах;

- предоставление информации для обеспечения информационной безопасности собственникам или владельцам, в том числе об угрозах безопасности, уязвимости программного обеспечения, оборудования и технологий, способах реализации угроз, предпосылках возникновения инцидентов, а также методах их предупреждения и ликвидации последствий;

- подключение систем журналирования событий информационной безопасности к центру мониторинга электронного правительства Национального координационного центра информационной безопасности.

Система национальной безопасности Республики Казахстан состоит из трех основных элементов:

-концептуальный элемент;

-нормативно-правовой элемент;

-органы государства, общественные и иные организации, граждане.

Обеспечение национальной безопасности - это систематическая деятельность государственных органов, общественных институтов и отдельных граждан, направленная на надежную защиту национальных интересов Республики Казахстан от внешних и внутренних угроз и эффективное противодействие им.

Обеспечение безопасности личности, общества и государства достигается государственным управлением системой обеспечения национальной безопасности.

Соответственно, под системой обеспечения информационной безопасности Республики Казахстан следует понимать совокупность подчиненных общей цели обеспечения национальных информационных интересов Казахстана и взаимосвязанных органов государственной власти, государственных, общественных и иных организаций и объединений, граждан, принимающих участие в обеспечении информационной безопасности в соответствии с законом, а также концептуальные и нормативные правовые акты, регламентирующие отношения в сфере безопасности.

Основными направлениями государственной деятельности в области обеспечения информационной безопасности являются:

-ограничение доступа к информации как исключение из общего принципа открытости информации, и осуществляется только на основе законодательства;

-ответственность за сохранность, засекречивание и рассекречивание информации;

-доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом норм;

-формирование специальной нормативно-правовой базы, регламентирующей права, обязанности и ответственность всех субъектов, действующих в информационной сфере;

-юридические и физические лица, собирающие, накапливающие и обрабатывающее персональные данные и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;

-государство законными средствами обеспечивает защиту общества от ложной, искаженной и недостоверной информации, поступающей через средства массовой информации;

-государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации;

-государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информатизации и защиты информации и осуществляет меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

-государство способствует предоставлению гражданам доступа к мировым информационным ресурсам, глобальным информационным сетям;

-государство стремится к отказу от зарубежных информационных технологий для информатизации органов государственной власти и управления по мере создания конкурентоспособных отечественных информационных технологий и средств информатизации;

-государство формирует программу информационной безопасности, объединяющую усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности;

-государство прилагает усилия для противодействия информационной экспансии других стран, поддерживает интернационализацию глобальных информационных сетей и систем.

Государство в лице его органов, как основной институт политической системы, занимает главное место в системе обеспечения национальной безопасности, в том числе его информационной составляющей.

Указанная роль государства обусловлена, прежде всего, такими коренными свойствами, как способность быть властным регулятором общественных отношений, осуществляя при этом главную управленческую функцию по обеспечению национальной безопасности.

Эту функцию оно осуществляет через институты президентства, законодательной, исполнительной и судебной власти, а также институт государственного контроля. Каждый из перечисленных институтов имеет свою «нишу» в системе обеспечения национальной безопасности и выполняет возложенную на них роль в соответствии с положениями Конституции РК [129] и Закона Республики Казахстан от 6 января 2012 года № 527-IV «О национальной безопасности Республики Казахстан» по состоянию ЗРК на 28.12.2018 г [125].

Закон Республики Казахстан от 6 января 2012 года № 527-IV «О национальной безопасности Республики Казахстан» по состоянию ЗРК на 28.12.2018 г устанавливает, что обеспечение национальной безопасности достигается:

- последовательно реализуемой единой государственной политикой при четком разграничении компетенции и обеспечении согласованного функционирования всех органов и должностных лиц государства, а также граждан, принимающих на законном основании участие в реализации мер по обеспечению национальной безопасности;

- адекватностью мер по защите национальных интересов реальным и потенциальным угрозам;

- взаимной ответственностью личности, общества и государства, балансом их интересов [125].

«Проблемы обеспечения информационной безопасности органами законодательной и исполнительной власти Республики Казахстан, политическим руководством страны, учеными и практиками воспринимаются как одни из наиболее актуальных и жизненно важных для современного состояния и перспектив развития казахстанской государственности, демократии, гарантией защиты интересов общества и личности. Социально-политическая рефлексия данных проблем в значительной степени определяется динамикой современных политических процессов, связанных с формированием нового мирового порядка в условиях глобализации, объективными процессами изменения места и роли Казахстана на мировой политической арене, происходящими на фоне кризисных явлений в ходе модернизации Казахстанского государства, в том числе и в информационной сфере» [128].

Система обеспечения информационной безопасности включает в себя широкий круг государственных органов, возглавляемых Президентом Республики Казахстан.

Глава государства является первоосновой направления не только внутренней и внешней политики государства. Основные направления деятельности государства, его основных институтов, начала их взаимодействия с гражданскими институтами во многом определяются Президентом как главой государства и как гарантом единства народа и государственной власти, незыблемости Конституции, прав и свобод человека и гражданина в его ежегодных посланиях и программе «Казахстан - 2030». Они играют важную роль в процессе развития современного Казахстана, определяющими и направляющими документами деятельности всей системы государственного управления.

Вместе с тем, к основной функции Президента Республики Казахстан в области информационной безопасности и, соответственно, национальной безопасности следует отнести его консолидирующую роль и идейные начала. Особо следует отметить заслуги Главы государства по укреплению социальной, политической, экономической стабильности Казахстана, а также его роль в создании положительного имиджа Казахстана во внешнеполитической среде.

Положительный имидж страны имеет важную роль в процессе международного взаимодействия, чему свидетельствует внешнеполитическая и внешнеэкономическая активность Казахстана.

В области защиты государственных секретов Президент РК:

1.определяет единую политику и утверждает государственную программу в области защиты государственных секретов;

2.осуществляет общее руководство деятельностью системы защиты государственных секретов;

3.образует, упраздняет и реорганизует уполномоченный государственный орган по защите государственных секретов;

4.утверждает перечень должностных лиц государственных органов, наделенных полномочиями по отнесению сведений к государственным секретам [126].

Существенные полномочия в области обеспечения информационной безопасности принадлежат Парламенту РК и Правительству РК.

Парламент РК как законодательный орган власти по вопросам обеспечения национальной безопасности принимает законы, а также по мере необходимости вносит изменения и дополнения к ним, а также в пределах своих полномочий проводит парламентские слушания по вопросам обеспечения национальной безопасности.

Специального закона об информационной безопасности в Казахстане нет. Вместе с тем Парламентом принят целый ряд законов, регулирующих отдельные аспекты обеспечения информационной безопасности личности, общества и государства, а также вопросы юридической ответственности за нарушение их информационных интересов.

В настоящее время на рассмотрении Парламента РК находится проект Закона «О правовом регулировании казахстанского сегмента Интернет» [127], который должен решить целый комплекс вопросов по правовой регламентации казахстанского сегмента Сети.

Кроме того, Парламент РК в пределах своих полномочий:

1.принимает законы в области государственных секретов, вносит изменения и дополнения к ним;

2.проводит парламентские слушания по вопросам обеспечения государственных секретов;

3.принимает обращение к Президенту Республики Казахстан об освобождении от должности члена Правительства по результатам заслушивания его отчета по вопросам обеспечения государственных секретов [130].

На Правительство Республики Казахстан как высший исполнительный орган власти возложен целый комплекс функций в области обеспечения национальной безопасности, в том числе и его информационной составляющей.

В соответствии со ст. 11 Закона РК «О национальной безопасности» на Правительство Республики Казахстан возложено:

1.внесение в Мажилис Парламента Республики Казахстан проектов законов и обеспечение исполнения законов в области национальной безопасности;

2.организацию разработки Концепции национальной безопасности Республики Казахстан;

3.руководство деятельностью центральных и местных исполнительных органов по обеспечению национальной безопасности;

3-1.формирование перечней:

-стратегических объектов, переданных в уставный капитал и находящихся в собственности национальных холдингов и национальных компаний либо их аффиллированных лиц, а также иных юридических лиц с участием государства;

-стратегических объектов, находящихся в собственности юридических лиц, не аффиллированных с государством, а также физических лиц;

3-2.принимает решение о выдаче разрешения или отказе в выдаче разрешения на совершение гражданско-правовой сделки, которая может создать угрозу для национальных интересов Республики Казахстан, со стратегическим объектом, принадлежащим физическим и юридическим лицам, на основании рекомендаций комиссии по стратегическим объектам при Правительстве Республики Казахстан;

3-3.образует при Правительстве Республики Казахстан комиссию по стратегическим объектам;

4.осуществляет иные необходимые полномочия по вопросам национальной безопасности в соответствии с Конституцией, законами и актами Президента [125].

Информационная безопасность как составляющая национальной безопасности обеспечивается органами национальной безопасности РК, представляющими собой единую систему государственных органов.

Важную роль в процессе обеспечения информационной безопасности играет Совет Безопасности Республики Казахстан[133], который, в соответствии с подпунктом 20 статьи 44 Конституции Республики Казахстан является консультативно-совещательным органом, образуемым Президентом Республики Казахстан для выработки решений и содействия реализации главой государства полномочий по обеспечению обороноспособности и национальной безопасности, сохранению государственного суверенитета, независимости и территориальной целостности Республики Казахстан, поддержанию социально-политической стабильности в стране, защите конституционных прав и свобод граждан. Советом Безопасности РК разрабатываются проекты концепций всех видов безопасности, в том числе и концепции информационной безопасности РК.

Совет Безопасности принимает участие в разработках любых концептуальных документов, имеющих непосредственное отношение к вопросам национальной безопасности, в том числе и информационной [133].

На Совет Безопасности возлагается обязанность осуществления комплексного анализа развития ситуации в мире и регионах применительно к интересам национальной безопасности Республики Казахстан, выявление и прогнозирование возникновения источников внутренних и внешних угроз безопасности республики, принятия мер по их предупреждению; рассмотрение актуальных вопросов обеспечения внешней, военной, экономической, общественной, информационной, экологической и иных видов безопасности [133].

Основные функции обеспечения информационной безопасности государства возложены на органы национальной безопасности Республики Казахстан.

В соответствии с Законом РК «Об органах национальной безопасности» под органами национальной безопасности понимаются непосредственно подчиненные и подотчетные Президенту Республики Казахстан специальные государственные органы, являющиеся составной частью системы обеспечения безопасности Республики Казахстан и предназначенные в пределах предоставленных им полномочий обеспечивать безопасность личности и общества, защиту конституционного строя, государственного суверенитета, территориальной целостности, экономического, научно-технического и оборонного потенциала страны [127].

Структурной составляющей органов национальной безопасности являются органы разведки и контрразведки. Разведка и контрразведка являются одними из функций оборонной функции государства. Эти функции возложены на службы «Сырбар» и «Барлау», которые в пределах своих полномочий осуществляют непосредственное обеспечение информационной безопасности.

Помимо органов национальной безопасности, обеспечивающими защиту жизненно важных интересов национальных интересов от противодействий иностранных государств, разведывательных служб, международных и иных организаций, обеспечением внутренних аспектов информационной безопасности занимается целый ряд государственных органов и общественных объединений.

Ключевые позиции в данном аспекте занимают центральные исполнительные органы власти РК, на которые возложен ряд специальных контрольно-надзорных и разрешительных функции по вопросам информирования и информатизации.

Государственная политика в области взаимодействия со СМИ и проведение информационной политики возложено на Министерство информации и коммуникаций Республики Казахстан является государственным органом Республики Казахстан, осуществляющим руководство в сферах связи, информатизации, «электронного правительства» и информации.

Миссии Министерства информации и коммуникаций Республики Казахстан: формирование и проведение эффективной государственной политики в регулируемых сферах, а также развитие и обеспечение устойчивого функционирования и безопасности единого информационного пространства и инфраструктуры связи.

Задачи Министерства информации и коммуникаций Республики Казахстан:

1) участие в формировании и реализации государственной политики в сфере информатизации, информации, связи, электронного документа и электронной цифровой подписи;

2) осуществление государственного контроля, координация в области почты и связи, а также регулирование деятельности в области почты на территории Республики Казахстан и деятельность лиц, предоставляющих услуги в области связи или пользующихся ими;

3) осуществление государственного регулирования в области телерадиовещания и средств массовой информации;

4) осуществление руководства и межотраслевой координации в сфере информатизации и «электронного правительства»;

5) обеспечение реализации государственной политики в сфере оказания государственных услуг в пределах своей компетенции;

6) осуществление формирования, развитие и обеспечение безопасности единого информационного пространства и инфраструктуры связи Республики Казахстан, а также межведомственная координация деятельности по обеспечению безопасности информационного пространства;

7) международное сотрудничество в области средств массовой информации и информатизации в пределах своей компетенции в соответствии с законодательством Республики Казахстан;

8) осуществление руководства соответствующей отраслью (сферой) государственного управления;

9) соблюдение гендерного баланса при принятии на работу и продвижении сотрудников;

10) осуществление иных задач, возложенных на Министерство, в пределах своей компетенции [131].

Технические аспекты информатизации и защиты информации возложено на Государственный уполномоченный орган за соблюдением требований законодательства по защите информации - Комитет по связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.

Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан является ведомством Министерства по инвестициям и развитию Республики Казахстан, осуществляющим регулятивные, реализационные и контрольные функции, а также участвующим в выполнении стратегических функций Министерства в области связи, информатизации и информации. Миссия Комитета связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан: формирование и проведение эффективной государственной политики в сфере связи, информатизации и информации, в целях развития инфокоммуникационного комплекса.

Задача Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан: реализация государственной политики в области связи, почты, государственный контроль, координация и регулирование деятельности лиц, предоставляющих услуги в области связи, почты или пользующихся ими [132].

РГП "Государственная Техническая Служба" Комитета национальной безопасности Республики Казахстан целью деятельности Предприятия является осуществление отдельных видов деятельности в сферах информатизации и обеспечения информационной безопасности. Миссия - способствовать организации формирования, развития и обеспечения безопасности информационного пространства и инфраструктуры связи Республики Казахстан.

Таким образом, рассмотрев вышеуказанную проблему, необходимо отметить, что информационная безопасность и кибербезопасность представляет собой одну из ключевых составных национальной безопасности и заключается в обеспечении стабильного состояния защищенности национальных интересов страны, представляющей собой сбалансированную систему интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз. Данный вид безопасности приобретает особую значимость и актуальность в настоящий период перехода на новую ступень общественного развития и вхождения Республики Казахстан в мировое информационное пространство.

3.3 Зарубежный опыт законодательного регулирования в сфере обеспечения кибербезопасности системы национальной безопасности Республики Казахстан

2017 год ознаменовался принятием новой казахстанской Военной доктрины. Это плод масштабного осмысления геополитической и геостратегической ситуации и системообразующий документ, реализующий Конституцию и законы в сфере безопасности Казахстана [135].

Доктриной очерчены тренды действие системы государственного управления при обеспечении безопасности в военной сфере

Развитие системы национальной безопасности - это один из важнейших факторов совершенствования механизма управления государством, так как способствует формированию сильного государства. Как отмечает профессор С.Ф. Ударцев в статье «Сильное государство: вопросы теории», «необходимость сильного государства актуализируется в условиях планируемого исторического прорыва, ускоренного развития, требующих большого напряжения и усилий общества, его социальных и политических институтов» [136].

Речь идет о реализации задачи Президента по вхождению Казахстана в 30-ку наиболее развитых государств, для чего важно быть сильным и обеспечить безопасные условия для мирного и динамичного созидательного труда сограждан.

Какие понятия лежат в основе политики сильного государства по обеспечению безопасности? Каким образом эта многогранная и проблемная сфера формируется за рубежом? Каковы мировые тенденции в сфере обеспечения национальной безопасности?

Законом РК «О национальной безопасности» дается определение: «Национальная безопасность - это состояние защищенности национальных интересов Республики Казахстан от реальных и потенциальных угроз, обеспечивающее динамическое развитие человека и гражданина, общества и государства» [137].

Наряду с понятием «безопасность» в этой дефиниции фигурируют «национальные интересы» и «угрозы». Тут кстати вспомнить слова великих. Казахский поэт и философ А. Кунанбаев (1845-1904) говорил: «Ничтожнейший из людей тот, кто не имеет стремления», а один из основателей немецкой классической философии Г. Гегель (1770-1831) писал, что «отсутствие интереса есть духовная или физическая смерть». Император Наполеон I (1769-1821), заложивший основы современного французского государства, высказывался радикальнее: «Есть два рычага, которыми можно двигать людей: страх и личный интерес». Государство, как и человек, без интересов - мертво.

В Республики Казахстан под национальными интересами понимается «совокупность политических, экономических, социальных и других потребностей Казахстана, от реализации которых зависит способность государства обеспечивать защиту и развитие конституционных прав человека и гражданина, ценностей казахстанского общества, основополагающих государственных институтов» [137].

Не принижая значения других, в рамках формирования сильного правового государства необходимо выделить такие интересы Казахстана, как обеспечение прав и свобод человека и гражданина; исполнение законов и поддержание правопорядка; общественное согласие и политическая стабильность в стране; патриотизм и единство народа Казахстана; незыблемость конституционного строя Республики Казахстан, в т.ч. независимости, унитарности и президентской формы правления, целостности, неприкосновенности государственной границы и неотчуждаемости территории страны; устойчивое функционирование государственных институтов, повышение эффективности их деятельности; обеспечение боевой и мобилизационной готовности Вооруженных Сил, других войск и воинских формирований; обеспечение оснащенности вооружением и военной техникой и развитие отечественных субъектов ОПК, в полной мере обеспечивающее военную безопасность и другие.

В Законе «О национальной безопасности» сформулированы основные угрозы национальной безопасности РК. Их конгломерат позволяет госорганам принимать и корректировать свой курс в обеспечении национальной безопасности. При этом спектр угроз имеет тенденцию к некоторому расширению [138].

Если «безопасность национальная» - это «состояние защищенности…», то «безопасность международная» - это несостояние, а система отношений.

Политология трактует международную безопасность именно как «систему международных отношений, основанную на соблюдении всеми государствами общепризнанных принципов и норм международного права, исключающую решение спорных вопросов с помощью силы или угрозы» [139]. Неотъемлемой частью международной безопасности является механизм коллективной безопасности, закрепленный Уставом ООН [140].

Все это поможет яснее понять политику и идеологию в сфере обеспечения кибербезопасности отдельных стран.

При изучении международного опыта правового регулирования и государственного управления в сфере обеспечения информационной безопасности были изучены соответствующие законодательные отрасли следующих государств.

Израиль. Является одной из первых в мире стран, поднявшей вопросы обеспечения кибербезопасности на законодательный уровень. Основы правового регулирования были заложены еще в 1995 г., когда был принят «Закон о компьютерах». Основы, принципы и критерии защиты критической инфраструктуры заложены в решении Министерского комитета по национальной безопасности от 2002 г. «Ответственная защита компьютеризованных систем в Государстве Израиль». Уполномоченными государственными органами являются Израильское Национальное Кибер Бюро совместно с Национальным управлением кибер защиты (с 2015 года), независимо от Шин Бет. Реагирование на инциденты осуществляет Израильская команда немедленного реагирования на компьютерные инциденты (IL-CERT) при Национальном управлении кибер-защиты. Объектами правового регулирования являются энергосистема, «электронное правительство», коммуникации, государственные СМИ, государственные сети, госзакупки, банковский сектор, платежные системы, оборона, вооруженные силы (совместно с АОИ), оборонная промышленность, промышленный шпионаж, разведка и контрразведка, государственные секреты.

Республика Корея. Является одним из мировых лидеров в сфере создания внедрения и распространения новых цифровых технологий. Охват Интернетом населения этой страны составляет более 70%. Несмотря на это, в Корее отсутствует закон, консолидирующий вопросы кибербезопасности. Соответствующее регулирование распределено в «Национальном Акте о предотвращении кибер-терроризма», «Акте о защите информационной и коммуникационной инфраструктуры», «Акте о неприкосновенности частной жизни» и в «Правилах управления национальной кибербезопасностью». Основы, принципы и критерии защиты критической инфраструктуры определяются Премьер-министром, Национальным центром кибербезопасности (NCSC), Министерством науки, ИКТ и будущего планирования. Уполномоченными органами являются Министерство национальной обороны, Министерство науки, ИКТ и будущего планирования, Национальная разведывательная служба, Министерство безопасности и государственного управления совместно с NCSC, Корейским агентством по делам интернета и безопасности (KISA). Реагирование на инциденты осуществляет Команда немедленного реагирования на компьютерные инциденты в составе KISA (KnCERT) - частный сектор. В составе NCSC (KrCERT) - государственный сектор. Объектами правового регулирования в государственном секторе являются такие отрасли, как коммуникации, государственные СМИ, государственные сети, госзакупки, банковский сектор, кибер-преступления, оборона, оборонная промышленность, промышленный шпионаж. В частном секторе KISA идентифицирует и предлагает помощь пользователям компьютеров, пораженных ботнетом («программа кибер-вакцинации»).

Российская Федерация. Рассматривается в силу своего геополитического положения и тесных политических и экономических связей с Республикой Казахстан. Законодательное регулирование вопросов кибербезопасности находится на стадии разработки проекта закона «О безопасности критической информационной инфраструктуры Российской Федерации» (2016). Уполномоченными органами являются ФСБ совместно с Федеральной службой по техническому и экспортному контролю. Объектами правового регулирования являются (согласно указанному законопроекту) «объекты, нарушение или прекращение функционирования которого может привести к потере управления экономикой РФ, ее субъекта или административно-территориальной единицы, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения» (критически важные объекты), а также «совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка» (критическая информационная инфраструктура).То есть, в РФ соответствующий законопроект вводит понятие «критически важных объектов» и «критической информационной инфраструктуры», соответственно, регулирование законопроекта распространяется как на владельцев «критически важных объектов», так и на «субъекты критической информационной инфраструктуры» независимо от форм собственности. «Критически важные объекты» и «критическая информационная инфраструктура» определяются ФСБ. Реагирование на инциденты осуществляет Национальный координационный центр по компьютерным инцидентам при ФСБ.

США. Признанный мировой лидер IT индустрии. Консолидирующий закон отсутствует. Соответствующее регулирование разнесено по различным правовым актам и распределено по экономическим и социальным секторам. Так, например, вопросы кибербезопасности в энергетической сфере урегулированы в законе «Об энергетической политике», закон «О банковской тайне» устанавливает требования к защищенности денежных переводов, рабочий Циркуляр № 5 «Электронный доступ», изданный Федеральным резервом регулирует вопросы защищенности платежных систем от кибер-угроз и т.д. Подобная секторальная раздробленность не всегда эффективна и эта система признана не вполне удовлетворительной - в 2011 г. президент Б. Обама принял Международную стратегию кибербезопасности, направленную на тщательное урегулирование и консолидацию разрозненных законодательных норм и ввел должность Координатора по вопросам кибербезопасности в Государственном Департаменте. Уполномоченными органами являются Центр распределения и анализа информации совместно с профильными федеральными агентствами. Координатор по кибербезопасности Белого дома (должность, введенная после пересмотра Политики в киберпространстве в 2009 г.) обеспечивает взаимодействие по кибербезопасности между федеральными агентствами. Основы, принципы и критерии защиты критической инфраструктуры заложены в Плане защиты национальной инфраструктуры (NIPP) 2013: «Партнерство для защиты критической инфраструктуры и противодействия угрозам». Реагирование на инциденты осуществляет Центр развития кибербезопасности и коммуникаций. Объектами правового регулирования являются коммуникации, государственные СМИ, государственные сети, госзакупки, банковский сектор, кибер-преступления, оборона, оборонная промышленность, промышленный шпионаж, разведка и контрразведка, государственные секреты, система управления цепями поставок, каталогизирование уязвимостей в базу данных (NVD).

Эстония. На постсоветском пространстве эта страна обладает наиболее развитой структурой «электронного правительства». Законодательным актом, регулирующим вопросы кибербезопасности является Правила применения мер безопасности в жизненно важных информационных системах и на информационных объектах (2013г.). Уполномоченными органами являются Совет по кибербезопасности в составе Комитета безопасности Правительства совместно с Департаментом защиты критической информационной инфраструктуры в составе Эстонского управления информационных систем (Riigi Infosьsteemi Amet, RIA).

Основы, принципы, критерии защиты, жизненно важные объекты и услуги определяются RIA. Реагирование на инциденты осуществляет Команда немедленного реагирования на компьютерные инциденты в составе RIA (CERT-EE). Что касается объектов правового регулирования, также как и в РФ, уполномоченными органами определяются критические («жизненно важные») объекты инфраструктуры, на которых внедряются меры кибербезопасности и возлагаются соответствующие обязанности. В частном секторе обеспечение кибербезопасности направлено по большей части на защиту персональных данных.

Изложенное позволяет сделать несколько общих выводов о том, каким должен быть законодательный ответ на вызовы кибербезопасности и какие лучшие мировые практики могут быть рассмотрены и применены В Казахстане.

Первой и основополагающей является практика предварительной разработки стратегии в области кибербезопасности.

Второе - это создание четкой организационной структуры, которая распределяет обязанности между министерствами и ведомствами по различным аспектам кибербезопасности.

И третье - это проведение адекватной законопроектной работы. Закон (законы) о кибер-преступлениях, критических объектах/критической информационной инфраструктуре и защите данных имеют жизненно важное значение в целях обеспечения кибербезопасности.

Предложенные выше тезисы Законопроекта, станут стратегической основой, позволяющей гибко и своевременно реагировать на вызовы, обеспечить консолидацию разрозненных норм и требований, создать базу для разработки подзаконных нормативных правовых актов и в итоге осуществлять устойчивое развитие сферы кибербезопасности в Казахстане.

3.4 Правовое регулирование и государственное управление в сфере обеспечения кибербезопасности финансового сектора в Республике Казахстан

Постановлением правления Национального банка Казахстан от 29 октября 2018 года утверждена Стратегии кибербезопасности финансового сектора Республики Казахстан на 2018-2022 годы [141].

Как указывается, Стратегия утверждена в рамках реализации Концепции кибербезопасности («Киберщит Казахстан»). Она включает в себя комплекс целей, задач и мероприятий, достижение, решение и реализация которых позволит обеспечить создание эффективно функционирующей системы кибербезопасности финансового сектора РК.

Основной целью документа является создание условий для безопасного предоставления финансовых услуг, что необходимо для обеспечения стабильного функционирования и развития финансового сектора республики.

Как отмечается в обзоре текущей ситуации, в связи с присутствием на рынке страны большого набора национальных и международных платежных систем существует ряд рисков при работе в киберпространстве, которыми необходимо управлять.

Для регулирования деятельности платежных систем Законом Республики Казахстан от 26 июля 2016 года № 11-VІ «О платежах и платежных системах» по состоянию ЗРК на 24.04.2019 г.[142] была предусмотрена обязанность для операторов и операционных центров платежных систем в определении мер по обеспечению информационной безопасности, а также необходимость в определении порядка действий при проведении несанкционированных платежей и по возврату денег по таким платежам.

Начиная с 2015 года, Национальный банк Республики Казахстан регулярно получает информацию по понесенным банками убыткам, связанным с реализацией рисков информационной безопасности.

Так, на 2015 год заявленный ущерб банков составил около 61 миллиона тенге, в 2016 году более 2 миллиардов тенге и за первое полугодие 2017 года ущерб составил более 11 миллионов тенге.

Между тем популярность приобретения и использования электронных денег растет. Так, в 2019 году по сравнению с 2018 годом количество операций с электронными деньгами выросло на 88,1%, объем возрос в 2,3 раза. На конец 2017 года выпуск электронных денег осуществляли 13 банков, при этом для населения на рынке было представлено 17 систем электронных денег. С учетом общемировых тенденций, ожидается, что потребность в данном инструменте будет и дальше возрастать.

В целом, ввиду отсутствия на государственном уровне утвержденных стандартов, требований и порядков по обеспечению кибербезопасности, реализация мер и контроля по защите производится исходя из опыта отдельных работников и возможностей, заложенных разработчиками информационных систем, программного и аппаратного обеспечения.

Крупные банки самостоятельно создают и успешно эксплуатируют центры и службы реагирования на инциденты кибербезопасности.

Как отмечается в данном документе, существенную проблему составляет распространение киберпреступности, в том числе деятельность организованных транснациональных преступных групп. Специфика киберпреступлений заключается в их высокой латентности. Вследствие этого, официально зарегистрированные преступления с использованием современных ИКТ составляют лишь незначительную часть от реально совершенных. Борьба с киберпреступностью требует от правоохранительных органов и специальных служб специализированной подготовки и адекватного оперативного реагирования путем проведения совместных скоординированных действий со специальными службами и правоохранительными органами зарубежных стран на основе переработанной законодательной базы и соответствующих договоров.

В стране существует единственный государственный центр «KZ-CERT» для пользователей национальных информационных систем и сегмента сети Интернет, обеспечивающий сбор и анализ информации по инцидентам кибербезопасности, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности. Однако данный центр не ориентирован на особенности финансовых организаций и применяемых ими технологий, что существенно снижает его эффективность для финансового сектора.

С октября 2017 года активно проводится работа по усилению организационно-технических мер обеспечения защиты информации и информационных систем Национального банка, созданию оперативного центра и службы реагирования на инциденты кибербезопасности.

Как отмечается, в конце 2017 года Национальным банком налажено сотрудничество с Центральным Банком Российской Федерации в части взаимодействия в области мониторинга и реагирования на компьютерные инциденты. Проводятся работы по налаживанию сотрудничества с правоохранительными и специальными органами РК в части взаимодействия и оказания помощи в борьбе с киберпреступностью.

Существенную помощь в части обеспечения сотрудничества между профессионалами в области кибербезопасности оказывает ОЮЛ «Ассоциация финансистов Казахстана», на базе которой создана рабочая группа, в которую входят представители крупных банков страны. На встречах рабочей группы обсуждаются вопросы кибербезопасности, включая вопросы защиты от компьютерных атак на банковские информационные системы и несанкционированного доступа к счетам клиентов и банков.

К 2023 году Национальный банк Республики Казахстан планирует создать эффективную систему обеспечения кибербезопасности финансового сектора. Для достижения поставленной цели, с учетом текущих недостатков в части кибербезопасности финансового сектора, определены пять основных направлений:

- совершенствование регулирования систем обеспечения кибербезопасности субъектов финансового сектора;

- обеспечение кибербезопасности физических и юридических лиц при использовании финансовых услуг;

- обеспечение устойчивого и безопасного функционирования критичной информационной инфраструктуры финансового сектора, включая Национальный банк;

- сотрудничество в сфере борьбы с киберпреступностью в национальном и глобальном масштабе;

- создание и развитие национальных технологий киберзащиты финансового сектора.

Стратегия кибербезопасности финансового сектора Республики Казахстан на 2018 - 2022 годы (далее - Стратегия) описывает комплекс целей, задач и мероприятий, достижение, решение и реализация которых позволит обеспечить создание эффективно функционирующей системы обеспечения кибербезопасности финансового сектора Республики Казахстан (далее - система обеспечения кибербезопасности). Стратегией определяются ключевые участники системы обеспечения кибербезопасности, их роль и ответственность в рамках реализации поставленных задач. Стратегия направлена в первую очередь на построение в рамках системы обеспечения кибербезопасности информационного обмена между участниками. Основной целью Стратегии является создание условий для безопасного предоставления финансовых услуг, что необходимо для обеспечения стабильного функционирования и развития финансового сектора Республики Казахстан (далее - финансовый сектор).

Стратегия подготовлена на основе Концепции кибербезопасности («Киберщит Казахстан»), утвержденной постановлением Правительства Республики Казахстан от 30 июня 2017 года № 407 (далее - Концепция), которая является среднесрочным документом и составлена с учетом текущих реалий и положения дел в области кибербезопасности в финансовом секторе.

30 июня 2017 года постановлением Правительства Республики Казахстан принята Концепция, которая определяет основные направления реализации государственной политики в сфере защиты электронных информационных ресурсов, информационных систем и сетей телекоммуникаций и обеспечения безопасного использования ИКТ. Согласно Концепции, требования по безопасности банковских информационных систем обеспечиваются нормативными правовыми актами Национального Банка Республики Казахстан (далее - Национальный Банк) с учетом отраслевых и международных требований по обеспечению безопасности информационных систем.

В то же время, основным документом, определяющим требования и меры по защите информационных ресурсов, информационных систем и сетей телекоммуникаций, является Закон Республики Казахстан от 24 ноября 2015 года «Об информатизации», требования которого не распространяются на отношения, возникающие при осуществлении Национальным Банком и организациями, входящими в его структуру, работ по созданию или развитию интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры «электронного правительства».

В этих условиях Национальному Банку необходимо самостоятельно формировать подходы к обеспечению кибербезопасности финансового сектора страны.

31 марта 2001 года было принято постановление Правления Национального Банка Республики Казахстан № 80 «Об утверждении Правил по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций» [143], которое определило требования к обеспечению информационной безопасности информационных систем, а также заложило основы по применению риск-ориентированного подхода при обеспечении безопасности информационных систем банков и организаций, осуществляющих отдельные виды банковских операций.

В 2018 году принято постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах» (далее - постановление № 48) [144].

Указанное постановление направлено на повышение уровня информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, а также на повышение эффективности реагирования на инциденты информационной безопасности.

Кроме того, ранее в 2016 году постановлением Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 «Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций» [145] определены требования по безопасности и беспрерывности работы информационных систем банков, посредством которых обеспечивается оказание электронных банковских услуг.

На ежеквартальной основе, начиная с 1 января 2017 года, банки представляют отчеты о произошедших в течение отчетного периода плановых и внеплановых простоях (сбоях) не менее одного часа в работе информационной системы.

В связи с присутствием на рынке Республики Казахстан большого набора национальных и международных платежных систем существует ряд рисков при работе в киберпространстве, которыми необходимо управлять. В целях регулирования деятельности платежных систем Законом Республики Казахстан от 26 июля 2016 года «О платежах и платежных системах» [142] была предусмотрена обязанность для операторов и операционных центров платежных систем в определении мер по обеспечению информационной безопасности, а также необходимость в определении порядка действий при проведении несанкционированных платежей и по возврату денег по таким платежам.

В 2014 году в соответствии с Законом Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» [146] постановлением Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 «Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня» [147] впервые было введено понятие «риск информационной безопасности» и закреплена необходимость в проведении его оценки в рамках общей системы управления рисками и внутреннего контроля в банках второго уровня.

В целом в Республике Казахстан нормативно-правовые и организационно-технические основы системы мер по обеспечению кибербезопасности в области ИКТ формировались и нормативно закреплялись, как составляющие информационной безопасности платежных систем, в соответствии с законами Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан» [149], от 26 июля 2016 года «О платежах и платежных системах» [142], от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан» [150] и нормативными правовыми актами Национального Банка.

Законодательством Республики Казахстан определены нормы о необходимости обеспечения сохранности банковской и иной охраняемой законом тайны, сохранности персональных данных, включая данные потребителей финансовых услуг в электронном виде. Разглашение подобной информации допускается только при наличии разрешения ее владельца.

В качестве превентивных мер Уголовный кодекс Республики Казахстан предусматривает ряд статей за нарушение требований законов Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан», от 21 мая 2013 года «О персональных данных и их защите», от 24 ноября 2015 года «Об информатизации», от 5 июля 2004 года «О связи» и от 23 июля 1999 года «О средствах массовой информации».

Уровень развития рынка платежных услуг зависит от степени доступности населению платежных сервисов, удобства и скорости оказания услуг. С развитием информационных технологий банковское обслуживание клиентов стало возможным посредством дистанционных каналов обслуживания, в частности электронных терминалов (банкоматы, банковские киоски, терминалы моментальной оплаты) и интернет с использованием стационарных компьютеров и мобильных устройств.

В 2018 году постановлением Совета Директоров Национального Банка Республики Казахстан от 19 марта 2018 года № 28 в Национальном Банке утверждена Стратегия развития информационных технологий в Национальном Банке Республики Казахстан на период 2018-2022 годы (далее - ИТ-стратегия Национального Банка) [151], которая разработана с целью формирования единого подхода к развитию информационных технологий в системе Национального Банка. ИТ-стратегия Национального Банка направлена на повышение эффективности деятельности Национального Банка за счет внедрения и использования новых современных информационных технологий, что в свою очередь требует от Национального Банка обеспечения высокого уровня кибербезопасности при одновременном сохранении гибкости и возможности внедрения актуальных решений, а также принятия лидирующей роли в финансовом секторе в области кибербезопасности (разработка стандартов, сертификация и другое).

В соответствии с Указом Президента Республики Казахстан от 26 мая 2017 года № 483 «О внесении изменений и дополнений в Указ Президента Республики Казахстан от 31 декабря 2003 года № 1271 «Об утверждении Положения и структуры Национального Банка Республики Казахстан» [152], в Национальном Банке в июле 2017 года создано Управление информационных угроз и киберзащиты (далее - УИУК). В задачи УИУК входит формирование правовой и методологической базы Национального Банка в области кибербезопасности по изучению и исследованию киберугроз и формирование централизованной системы информационного взаимодействия по защите информационных систем и информационно-коммуникационной инфраструктуры финансового сектора с целью предотвращения кибератак и обеспечения их стабильного функционирования совместно со специальными государственными и правоохранительными органами Республики Казахстан.

В Казахстане планируется проведение регулярной оценки рисков кибербезопасности, которая послужит основой для выработки и применения мер по минимизации данных рисков, а также оценки эффективности реализованных мер, также обеспечение взаимодействия на международном и локальном уровне, что позволит использовать опыт отечественных и зарубежных организаций, отвечающих за обеспечение кибербезопасности.

3.5 Казахстанское законодательство во взаимодействии с международным правом в системе обеспечения кибербезопасности

В современный период развития киберпространство, стремительно получая свое развитие путем внедрения новейших информационных технологий, стало уязвимой частью системы международной безопасности. За все время существования киберпространства киберпреступлениям подверглись стратегические и жизненно важные инфраструктуры таких стран как Эстония, Грузия, Сирия и др. Несмотря на глобальный характер кибератак, на сегодняшний день отсутствуют единое международно-правовое определение понятий киберпреступности и кибервойны, а также международно-правовой механизм регулирования отношений в киберпространстве.

К киберпреступлениям относят преступные деяния, совершенные в информационно-телекоммуникационной сфере, либо с ее помощью, либо против нее [153, c. 200].

Правовую основу борьбы с киберпреступлениями образуют международные нормативно - правовые акты, такие как Конвенция ООН против транснациональной организованной преступности 2000 г., [154] в которой отражены основные направления межгосударственного сотрудничества в данной сфере.

На необходимость развития международного сотрудничества в информационном пространстве с целью предотвращения киберпреступлений указывают следующие международные документы: Декларация принципов «Построение информационного общества - глобальная задача в новом тысячелетии», принятая 12 декабря 2003 г. представителями народов мира, собравшимися в Женеве для проведения первого этапа Всемирной встречи на высшем уровне по вопросам информационного общества, «Окинавская Хартия глобального информационного общества», принятая 22 июля 2000 г. лидерами стран «Большой восьмерки», Женевская Декларация принципов «Построение информационного общества - глобальная задача в новом тысячелетии», принятая в 2003 г., Тунисская программа для информационного общества, принятая в 2005 г., Программа «Информация для всех» (Information for All Programme), принятая в 2001 г. ЮНЕСКО (Организация объединенных наций по вопросам образования, науки и культуры), Руководство Международного союза электросвязи (ITV): «Понимание киберпреступности: Руководство для развивающихся стран».