2. Ағымдағы ахуалды талдау Cоңғы онжылдықтарға тән ақпараттық-коммуникациялық технологиялар жетістіктерін енгізудің жалпы әлемдік үрдісі "ақпараттық қоғам" үшін қоғамдық және өндірістік қарым-қатынастарды пайдаланудың және нығайтудың мәдениетін қалыптастыру қарқынынан елеулі басымдыққа ие болып, киберқауіпсіздікті қамтамасыз ету бірінші кезектегі мәселеге айналуына байланысты бұл Қазақстанда да қолдауға ие болып отыр.
Дегенмен "Ұлттық ақпараттық инфрақұрылымды, ақпараттандыру процестерін қалыптастыру мен дамыту және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі жұмыстарды үйлестіру туралы" Қазақстан Республикасы Үкіметінің 1998 жылғы 31 желтоқсандағы № 1384 қаулысы қабылданған 1998 жылдан бері "Ақпараттандыру туралы" Қазақстан Республикасы заңдарының 3 жаңа редакциясы (2003, 2007, 2015 жылдары) және оларға ақпараттарды (деректерді) берудің электрондық форматтары мәселелері бойынша, оның ішінде ақпараттық-коммуникациялық желілер, "электрондық үкімет" мәселелері бойынша тиісті өзгерістер енгізу туралы Қазақстан Республикасының бірнеше мамандандырылған заңдары қабылданды.
Өткен кезеңде электрондық ақпараттық ресурстар және ақпараттық жүйелер мүліктік активтердің басқа түрлерімен бірге шаруашылық айналымға енгізілді, оларды нарықтық пайдалану саласы кеңейді.
Мемлекеттік көрсетілетін қызметтерді автоматтандыру саласы, электрондық коммерция мен электрондық төлемдер нарығы ақпараттық-коммуникациялық технологияларды қолдану кезінде жеке адамның, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету, сондай-ақ ақпараттандыру және байланыс объектілерінің сенімділігі мен басқарылуын қамтамасыз ететін бірыңғай стандарттар негізінде қызметті жүзеге асыру қағидаттарында дамуда.
Ақпараттық қауіпсіздік мәселелері қалыптасқан кезеңнен бастап бар ақпараттың сипатын ескере отырып, көпшілікке қолжетімді және құпия электрондық ақпараттық ресурстар мен жүйелердің құқықтық режимдері сараланды, меншік иелерінің, оларды қорғау жөніндегі иеленушілер мен пайдаланушылардың құқықтары мен міндеттері белгіленді.
Мемлекеттік органдар және ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті қамтамасыз ету бойынша басқа да субъектілердің қызметі олардың салалық құзыретіне, сондай-ақ АКТ пайдаланумен байланысты нысаналы салалардағы (байланысты және ақпараттық технологияларды реттеу, жеке деректерді қорғау, мемлекеттік құпияларды қорғау, шетелдік техникалық барлау қызметіне қарсы іс-қимыл, байланыс желілеріндегі жедел-іздестіру қызметі, АКТ пайдалану арқылы жасалатын қылмыстарды тергеу және басқалары) мақсаттары мен міндеттеріне сәйкес жүзеге асырылады.
Тұтастай алғанда, Қазақстан Республикасында ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті (киберқауіпсіздікті) қамтамасыз ету бойынша шаралар жүйесінің ұйымдастыру-құқықтық және техникалық негіздері "Ұлттық қауіпсіздік туралы" Қазақстан Республикасының Заңына сәйкес ақпараттық қауіпсіздіктің және ақпараттық кеңістік пен байланыс инфрақұрылымының қауіпсіздігін қамтамасыз етудің құрамдас бөліктері ретінде заңнамалық түрде бекітілді.
Соңғы жылдары ақпараттандыру мен байланыс саласындағы ақпараттық қауіпсіздікті қамтамасыз етудің түрлі өзара байланысты аспектілері Қазақстан Республикасының Қылмыстық кодексінде, "Әкімшілік құқық бұзушылық туралы" Қазақстан Республикасының Кодексінде, "Мемлекеттік құпиялар туралы", "Жеке деректер және оларды қорғау туралы", "Электрондық құжат және электрондық цифрлық қолтаңба туралы", "Байланыс туралы" Қазақстан Республикасының заңдарында және 2016 жылғы 1 қаңтардан бастап күшіне енген "Ақпараттандыру туралы" Қазақстан Республикасы Заңының жаңа редакциясын іске асыру үшін әзірленген заңға тәуелді бірқатар актілерде көрініс тапқан.
Соңғы кезде қабылданған заңға тәуелді бірқатар заңнамалық актілердің құқық қолдану тәжірибесі әлі өріс алған жоқ. Атап айтқанда, ұлттық және үйлестірілген стандарттардың құқықтық және техникалық нормаларын кодификациялауды білдіретін "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" (бұдан әрі – Бірыңғай талаптар) Қазақстан Республикасы Үкіметтің 2016 жылғы 20 желтоқсандағы қаулысы. Құжат заңмен қорғалатын ақпарат түрлерін өңдеу кезінде ақпараттық-коммуникациялық технологияларды пайдалану бойынша рәсімдер мен қағидаларды егжей-тегжейлі сипаттайды, ақпараттық инфрақұрылымның, ақпараттық жүйелер мен ресурстардың, бағдарламалық жасақтаманың, техникалық құралдардың әрекет ету циклінің барлық кезеңдеріндегі технологиялық қауіпсіздігін қамтамасыз ету бойынша маңызды нормалардан тұрады.
Мемлекеттік, сонымен қатар мемлекеттік жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді қамтитын "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингі жүйесінің жұмыс істеуі заңнамалық деңгейде реттелген.
Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 26 қаңтардағы № 66 бұйрығымен бекітілген Ақпараттық қауіпсіздікті, "электрондық үкіметтің" ақпараттандыру объектілерін қорғау және оның қауіпсіз жұмыс істеуін қамтамасыз ету мониторингін жүргізу қағидаларында технологиялық іркілістер немесе компьютерлік атакалар белгілері, сондай-ақ туындаған оқиғалар мен ақпараттық қауіпсіздік инциденттеріне ден қою алгоритмдері кезінде мүдделі тараптар арасындағы өзара іс-қимылдың негізгі қағидаттары көрсетілген.
"Электрондық үкіметтің" қауіпсіздік мониторингі орталығы күн сайын жойылмаған осалдықтарды анықтайды, шараларды қабылдау үшін бұл туралы оның компоненттері болып табылатын ақпараттық жүйелердің иелеріне хабарламалар жібереді. Анықталған осалдықтардың және оларға қатысты қабылданған шаралардың оң серпіні бар. Мысалы, 2014 жылы 1241 жойылмаған осалдық анықталды, 2015-те – 469, 2016-да – 355.
Сондай-ақ Қазақстан Республикасы Үкіметінің 2016 жылғы 8 қыркүйектегі № 529 қаулысымен ерекше маңызды мемлекеттік және стратегиялық объектілер, сондай-ақ стратегиялық маңызы бар экономика саласының объектілері қатарынан Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызу қағидалары мен өлшемшарттары бекітілді.
Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері тізбесіне кірген осындай объектілерге Бірыңғай талаптар қолданылады, сондай-ақ олар заңнамада көзделген ақпараттық қауіпсіздік инциденттері туралы хабарлау міндетін қоса алғанда, олардың ақпараттық қауіпсіздігі, қорғалуы және қауіпсіз жұмыс істеуі мониторингін қамтамасыз ету бойынша бірлескен шараларға қатысуы қажет.
Ақпараттық жүйелерді өнеркәсіптік пайдалануға кіргізу рәсімі жетілдірілуде. Осыған байланысты ақпараттық жүйелерге олардың белгілі бір сынаққа жататындығына қарай қауіпсіздік шаралары заңнамалық түрде сараланды, ақпараттық жүйенің тәжірибелік пайдалану режимінде болу мерзімі шектелді.
Ақпараттық қауіпсіздік талаптарына сәйкестік тұрғысынан мемлекеттік және мемлекеттік жүйемен интеграцияланатын мемлекеттік емес ақпараттық жүйелерде 500-ден астам аттестациялық зерттеулер жүргізілді, олардың нәтижелері бойынша өндірістік пайдалануға енгізу үшін негіз болып табылатын 199 аттестат берілді. Ақпараттық жүйелердің қалған бөлігі "Ақпараттандыру туралы" Қазақстан Республикасының Заңына сәйкес 2018 жылдың соңына дейін аттестаттаудан өтуге міндетті.
2016 жылғы 1 қаңтардан бастап мемлекеттік органдардың ақпараттық жүйелері, мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелер тәжірибелік пайдалану кезеңінде ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтан өтеді. Сынақ кезінде шығыс кодтар, қауіпсіздік функцияларының теңшеуі тексеріледі, желілік және серверлік жабдықтар зерттеледі және жүктеме тестілеу жүзеге асырылады.
Сынақты өткізу нәтижелері ақпараттық жүйелердің қорғалуының және істен шығудан беріктігінің артуы, ақпараттық жүйелердің бағдарламалық жасақтаманың қауіпсіздігі, ақпараттық жүйелердің ақпараттық қауіпсіздігінің бұзылу факторлары ықпалының төмендеуі, ақпараттық жүйелердің қауіпсіздігін бақылау және мониторинг тетіктерін енгізу арқылы көрінеді.
Техникалық реттеу жүйесі бағдарламалық жасақтама мен телекоммуникациялық жабдықтың, соның ішінде олардың мемлекеттік секторда пайдаланылуы кезінде міндетті түрде сертификатталу жағдайларын айқындаумен сәйкес келуін растауды көздейді. Осы мақсаттарда жыл сайын ақпараттық қауіпсіздік, ақпаратты қорғау, ақпараттық технологиялардың қауіпсіздігі саласындағы ұлттық және үйлесімді техникалық стандарттар жиынтығы өзектілендіріледі. Қазіргі уақытта 68 техникалық стандарт бар.
Мемлекеттік органдардың интернетке қолжетімділіктің бірыңғай шлюзі арқылы интернетке қосылуын орталықтандырудың арқасында рұқсатсыз қолжетімділік қаупі және мемлекеттік органдардың электрондық ақпараттық ресурстарына зиян келтіретін ықпалдар айтарлықтай төмендеді. Күн сайын әртүрлі деңгейдегі 180 миллионнан астам атака тіркеліп, оларға тойтарыс беріледі.
Есептеу техникасының құралдарын пайдалана отырып өңделетін мемлекеттік құпиялардың құқықтық, ұйымдық, техникалық және криптографиялық шараларының жүйесі құрылып, жетілдірілуде.
Мемлекеттің қауіпсіздігі үшін неғұрлым сезімтал электрондық нысандағы ақпарат интернеттен бөлектенген және ақпаратты қорғаудың криптографиялық құралдарын пайдаланатын арнайы мақсаттағы телекоммуникация желілері арқылы ғана жіберіледі.
Жалпы пайдаланатын байланыс және телекоммуникациялар желілері инфрақұрылымының қауіпсіздігін қамтамасыз ету тәсілдері шекаралық жабдықта "электрондық шекара" тұжырымдамасын іске асыратын магистральдық байланыс операторларының мүмкіндіктері арқылы телекоммуникациялар желілерін орталықтан басқару жүйесінің айналасына тізіледі.
Интернеттің ұлттық сегменті заңнамаға сәйкес Қазақстан Республикасының аумағында орналастырылатын .КZ және .ҚАЗ домендеріндегі 120 мыңнан астам интернет-ресурсты құрайды. Ақпараттық ресурстар мен жүйелердің иелері мен пайдаланушыларына АТК-ны қауіпсіз пайдалану мәселелері бойынша жәрдемдеу мақсатында 2010 жылдан бастап КZ-СЕRТ Компьютерлік инциденттерге ықпал ету ұлттық қызметі жұмыс істейді. Қызмет бірқатар халықаралық ұйымдардың қатысушысы болып табылады, соның ішінде FIRST (Forum of Incident Responseand Security Teams), TI (Trusted Introducer for Security and Incident Response Teams), OIC-CERT (Компьютерлік инцидиенттерге ден қою қызметінің исламдық өзара іс-қимыл ұйымы).
Қызмет шет елдердің бейіндік құрылымдарымен өзара түсіністік және ынтымақтастық туралы 20 меморандум жасап, ақпараттық қауіпсіздік инциденттерінің 66000-нан астамын тіркеді және өңдеді.
Қазақстандық нарықта ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан қорғалуын бағалау бойынша (енуді тестілеу арқылы) аспаптық аудитпен айналысатын және ақпараттық қауіпсіздік инциденттерінің мән-жайын, себептері мен жағдайларын зерттеуге, сондай-ақ зиянды бағдарламалық жасақтаманы техникалық зерделеуге мамандандырылған алғашқы отандық компаниялар пайда болды. Вирусқа қарсы алғашқы отандық құралдар әзірленді.
Бірнеше ұлттық компанияда және жеке құрылымдарда техникалық оқиғалар мен технологиялық процестердің мониторингісін жүргізетін бөлімшелер бар, олар штаттан тыс жағдайларға шұғыл ден қою үшін тәулік бойы кезекшілік жүргізеді.
Азаматтардың дербес деректерін электрондық түрде жинау, өңдеу мақсаттары, сондай-ақ оларды қорғау тәртібі мен шаралары заңнамалық тұрғыдан айқындалды. Заңнамада оларды тек азаматтардың келісімімен ғана жинау, сондай-ақ операторлардың олардың талабы бойынша дербес деректерді жою рәсімдері, сондай-ақ дербес деректерді ел аумағында қауіпсіз сақтау және трансшекаралық беру жағдайлары регламенттеледі.
Банктік ақпараттық жүйелердің қауіпсіздігі бойынша талаптар ақпараттық жүйелердің қауіпсіздігін қамтамасыз ету жөніндегі салалық және халықаралық талаптарды ескере отырып, Қазақстан Республикасы Ұлттық Банкінің нормативтік-құқықтық актілерімен қамтамасыз етіледі.
2014 жылдан бері қолданыстағы Қазақстан Республикасы Қылмыстық кодексінің жаңа редакциясында ақпарат және байланыс саласында жасалатын қылмыстарға арналған жеке тарау көзделген. Саралау мән-жайларын ескере отырып, онда электрондық ақпараттық ресурстар мен жүйелерге немесе телекоммуникациялар желілеріне қарсы қылмыстардың 38 құрамы қамтылған.
"Әкімшілік құқық бұзушылық туралы" Қазақстан Республикасының Кодексінде жасалғаны үшін әкімшілік жауапкершілік шаралары көзделген, соның ішінде электрондық ақпараттық ресурстарды қорғау құралдарын пайдалану жөніндегі талаптарды бұзу, Бірыңғай талаптарды орындамау, дербес деректерден тұратын ақпараттық жүйелердің меншік иесінің немесе иесінің оларды қорғау бойынша шараларды жүзеге асырмауы не тиісті жүзеге асырмауы түріндегі ақпараттық қауіпсіздікті қамтамасыз ету бойынша міндеттерді орындамайтын лауазымды адамдар үшін бірқатар әкімшілік құқық бұзушылықтар құрамдары қамтылған.
Бүгінде "Ақпараттық қауіпсіздік жүйелері" мамандығының оқу жоспарларына қолданбалы пәндерді оқудан басқа, қауіпсіздіктің интеграцияланған жүйелерінде пайдаланылатын микропроцессорлық жүйелер мен құрылғыларды қолданбалы бағдарламалау, радиоэлектрондық құрылғыларды автоматтандырылған түрде жобалау мен әзірлеу бойынша білімдер мен қабілеттерді қалыптастыратын пәндер қосылған.
Елдің жетекші техникалық жоғары оқу орындарында мынадай пәндер оқытылады: "Қолданбалы инженерлік бағдарламалар", "Микропроцессорлар мен микропроцессорлық жүйелер", "Бағдарламалау және құрамдас жүйелерді іске асыру".
Талдамалық зерттеулер, ғылыми-зерттеу және тәжірибелік-конструкторлық жұмыстар жүргізу, бейіндік конференциялар мен семинарларды ұйымдастыру тәжірибесі қалыптасуда, бұл қоғамның, ғылыми ортаның және ақпараттандыру субъектілерінің ақпараттық қауіпсіздік саласындағы түрлі аспектілерге деген қызығушылығының артқанын көрсетеді.
Халықаралық электр байланыс одағы өткізген 195 елдің құқықтық, техникалық, ұйымдастырушылық даярлығы мен әлеуетін бағалайтын "Киберқауіпсіздіктің жаһандық индексі" зерттеуі (бұдан әрі – Киберқауіпсіздіктің жаһандық индексі) Қазақстанның 29 ел ішінде 0,176 индексімен 23 топтық орнын белгіледі.