Концепция информационной безопасности Республики Казахстан

    Сегодняшние условия политического и социально-экономического развития  страны вызывают  обострение противоречий  между  потребностями  общества в  расширении  свободного обмена информацией  и  необходимостью сохранения  отдельных ограничений на ее распространение.

    Отсутствие  действенных механизмов регулирования  информационных отношений в обществе и государстве может привести ко многим негативным последствиям.    

    Слабое  обеспечение государственных органов  полной,  достоверной и своевременной  информацией  затрудняет принятие обоснованных  решений. Неразвитость информационных  отношений в сфере предпринимательства тормозит  становление цивилизованного рынка.  Отсутствие механизма  включения  информационного ресурса в хозяйственный оборот приводит к серьезным экономическим потерям.

    Недостаточная защищенность  государственного информационного  ресурса  приводит к утрате важной политической, экономической и научно-технической  информации, в том числе о новых и высокоэффективных технологиях военного  и двойного назначения.

    Необеспеченность  прав граждан на информацию и манипулирование  информацией вызывают неадекватную реакцию  населения и в ряде случаев могут служить причинами  политической нестабильности в обществе.

    Потерям важной информации способствуют бессистемность защиты данных и  слабая координация мер по  защите информации  в общегосударственном масштабе, ведомственная разобщенность в обеспечении целостности и конфиденциальности информации.

    Неблагоприятно  обстоят дела с охраной государственной  тайны. Серьезно  ослаблены меры  по обеспечению сохранности государственных секретов, коммерческой и служебной тайны в государственных органах и организациях.

    Неудовлетворительно организована защита персональных данных, налоговой, таможенной, имущественной и другой информации.

    Отсутствие  отечественных информационных технологий вынуждает массового  потребителя идти по пути закупок незащищенной импортной техники, в результате  чего повышается вероятность несанкционированного доступа к базам и банкам  данных, а также возрастает зависимость страны от иностранных производителей  компьютерной и телекоммуникационной техники и информационной продукции.

    Такое положение дел в области обеспечения информационной безопасности  не позволяет Казахстану должным образом включиться в мировую информационную систему. 

    III. ОСНОВНЫЕ ЦЕЛИ И ЗАДАЧИ 

    ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

    Основными целями обеспечения информационной безопасности республики в соответствии с положениями Закона "О национальной безопасности Республики Казахстан являются:

    создание  и укрепление национальной системы  защиты информации, в том числе  государственных информационных ресурсов;

    защита  государственных информационных ресурсов, а также прав личности и интересов общества в информационной сфере;

    недопущение информационной зависимости Казахстана, информационной экспансии и блокады  со стороны других государств, информационной изоляции Президента, Парламента, Правительства и сил обеспечения национальной безопасности Республики Казахстан;

    недопущение принятия решений и совершения действий, противоречащих национальным интересам  формирования и бесперебойного функционирования информационного пространства Республики Казахстан, вхождения Казахстана в мировую систему связи и информатики.   

    Основными задачами по обеспечению информационной безопасности Республики Казахстан являются:

    выявление, оценка, прогнозирование источников угроз информационной безопасности;

    разработка  государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;

    правовое  регулирование и координация  деятельности государственных органов и организаций в области обеспечения информационной безопасности;

    развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения утечек, парирования и нейтрализации угроз информационной безопасности, ликвидации последствий ее нарушений;

    обеспечение активного участия Казахстана в процессах создания и использования глобальных информационных сетей и систем. 

    IV. ОБЪЕКТЫ, УГРОЗЫ, МЕТОДЫ И СРЕДСТВА

    ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

    К объектам информационной безопасности Республики Казахстан относятся:

    информационные ресурсы, вне зависимости от форм хранения, содержащие сведения, составляющие государственную тайну и ограниченного доступа, коммерческую тайну и другую конфиденциальную информацию, а также открытую (общедоступную) информацию и знания;

    система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;

    система формирования общественного сознания (мировоззрения, политические взгляды, моральные ценности и пр.), базирующаяся на средствах массовой информации и пропаганды;

    права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации, персональных данных и интеллектуальной собственности.

    Источники угроз информационной безопасности Республики Казахстан в зависимости от их происхождения можно разделить на внешние и внутренние.

    К внешним относятся:

    недружественная политика иностранных государств в  области глобального информационного  мониторинга, распространения информации и новых информационных технологий;

    деятельность иностранных разведывательных и специальных служб;

    деятельность  иностранных политических и экономических  структур, направленная против интересов нашей страны;

    преступные  действия международных групп, формирований и отдельных лиц;

    стихийные бедствия и катастрофы.

    Внутренними источниками являются:

    противозаконная деятельность политических и экономических  структур в области формирования, распространения и использования  информации;

    неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере;

    нарушения установленных регламентов сбора, обработки, хранения и передачи информации;

    преднамеренные  действия и непреднамеренные ошибки персонала информационных систем;

    отказы  технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.

    Реализация  вышеперечисленных угроз может  осуществляться различными способами: информационными, программно-математическими, физическими, радиоэлектронными и  организационно-правовыми.

    К информационным способам относятся:

    нарушения адресности и своевременности информационного  обмена, противозаконный сбор и использование информации;

    несанкционированный доступ к информационным ресурсам;

    манипулирование информацией (дезинформация, сокрытие или искажение информации);

    незаконное  копирование данных в информационных системах;

    использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства;

    хищение информации из библиотек, архивов, банков и баз данных;

    нарушение технологии обработки информации.

    Программно-математические способы включают:

    внедрение программ-вирусов;

    установку программных и аппаратных закладных  устройств;

    уничтожение и модификацию данных в информационных системах.

    Физические  способы включают:

    уничтожение или разрушение средств обработки  информации и связи;

    уничтожение, разрушение или хищение машинных или других оригиналов носителей  информации;

    хищение программных или аппаратных ключей и средств криптографической защиты информации;

    воздействие на персонал;

    поставка  «зараженных» компонентов информационных систем.

    Радиоэлектронными способами являются:

    перехват  информации в технических каналах (утечка);

    внедрение электронных устройств перехвата  информации в технических средствах  и помещениях;

    перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи;

    воздействие на парольно-ключевые системы;

    радиоэлектронное  подавление линий связи и систем управления.

    Организационно-правовые способы включают:

    закупки несовершенных или устаревших информационных технологий и средств информатизации;

    невыполнение  требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;

    неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

    Методы  и средства обеспечения информационной безопасности являются общими для различных  сфер деятельности государства и  группируются следующим образом.

    Правовые:

    разработка  комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, руководящих и нормативно-методических документов по обеспечению информационной безопасности.

    Программно-технические:

    предотвращение  утечки обрабатываемой информации путем  исключения несанкционированного доступа к ней;

    предотвращение  специальных воздействий, вызывающих разрушение, уничтожение, искажение  информации или сбои в работе средств  информатизации;

    выявление внедренных программных или аппаратных закладных устройств;

    исключение перехвата информации техническими средствами;

    применение  криптографических средств защиты информации при передаче по каналам  связи.

    Организационно-экономические:

    формирование  и обеспечение функционирования систем защиты секретной и конфиденциальной информации;

    сертификация  информационных систем или их элементов  по требованиям информационной безопасности;

    лицензирование  деятельности в сфере информационной безопасности;

    стандартизация  способов и средств защиты информации;

    контроль  и мотивация действий персонала в защищенных информационных системах (экономическое стимулирование, психологическая поддержка и пр.).