Aug. 4, 2019
Взглянем на законодательство двух стран и сравним
Давайте посмотрим законодательство Республики Казахстан и Российской Федерации и попытаемся сравнить.
Подойдем практично к вопросу и опустим верхнеуровневые документы, например, Конституции двух стран, т.к. конституцию мы редко используем в работе.
Закон Республики Казахстан от 24 ноября 2015 года № 418-V ЗРК "Об информатизации"
Закон регулирует общественные отношения в сфере информатизации, возникающие на территории Республики Казахстан между государственными органами, физическими и юридическими лицами при создании, развитии и эксплуатации объектов информатизации, а также при государственной поддержке развития отрасли информационно-коммуникационных технологий.
Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ
Федеральный закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Оба закона в общем описывают сферу информатизации с ссылками на различные нормативные документы. В Казахстанском законе явным является перекос в сторону регулирования информатизации государственных органов видимо это вызвано не развитостью отрасли информационных технологий. Не учтены интересы личности в информационной сфере.
В Российском законе есть намеки на защиту интересов личности, общества и государства с перекосом в сторону государства в части сильной зарегулированности различных областей информатизации.
Приведу пример: право на доступ к информации в казахстанском законе не регулируется за исключением доступа к интернет-порталу открытых данных (компонента ИС "Электронного правительства" РК). Поэтому не удивительно, что отключение Интернета в Казахстане являются общепринятой практикой.
В Казахстане:
Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (https://online.zakon.kz/document/?doc_id=31396226 )
Настоящий Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.
В России:
Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ ( http://www.consultant.ru/document/cons_doc_LAW_61801/ )
При этом основаная механика описывается отдельно:
Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=286959&fld=134&dst=1000000001,0&rnd=0.7955116445924747#010033957639181901
Краткие выводы по персональным данным:
В Казахстане
Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832.
Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности ( http://adilet.zan.kz/rus/docs/P1600000832 )
Общий документ описывающий требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности для государственного и квазигосударственного сектора , собственников и владельцев негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
Постановление по сути устанавливает единые требования к безопасности для всех с требованиями в части организации ИБ на основе старого Республики Казахстан СТ РК ИСО/МЭК 27002-2015 "Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасностью" от же переведенный ( ISO/IEC 27002:2013 «Information technology - Security techniques - Code of practice for information security controls» ).
В России:
Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Детально требования прописаны в:
Приказ ФСТЭК России от 25 декабря 2017 г. N 239 Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (в ред. приказа ФСТЭК России от 26 марта 2019 г. N 60)
Краткие выводы по защите критической инфраструктуры: Почему-то в казахстанском законодательстве требования к критичной инфраструктуре объединены (хотя защиты АСУТП систем явно имеет свою специфику) есть требования к составу документации, которая должна быть разработана, так помимо политики ИБ это:
" В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:
1) методика оценки рисков информационной безопасности;
2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
5) правила проведения внутреннего аудита ИБ;
6) правила использования средств криптографической защиты информации;
7) правила разграничения прав доступа к электронным информационным ресурсам;
8) правила использования Интернет и электронной почты;
9) правила организации процедуры аутентификации;
10) правила организации антивирусного контроля;
11) правила использования мобильных устройств и носителей информации;
12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.
34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:
1) каталог угроз (рисков) ИБ;
2) план обработки угроз (рисков) ИБ;
3) регламент резервного копирования и восстановления информации;
4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
5) руководство администратора по сопровождению объекта информатизации;
6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях."
Cчитаю, что включение в постановление правительства требований по названиям документов это не правильно, т.к. государство не должно диктовать названия документов. Не ясно какие контроли должны быть описаны в том или ином документе. В российских документах более грамотное решение прописаны контроли: а не состав документации.
В Казахстане:
Нет специализированного закона. Статья 126 Гражданского кодекса Республики Казахстан (Общая часть), определяет, что защищается информация, составляющая служебную или коммерческую тайну, в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
Статья 28 Кодекса Республики Казахстан от 29 октября 2015 года № 375-V «Предпринимательский кодекс Республики Казахстан» определяет меры по "охране коммерческой тайны".
В России:
Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 18.04.2018) "О коммерческой тайне"
Регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
Российский закон вводит четкое понятие режима коммерческой тайны и определяет (ст. 10 ) меры защиты, которые должны быть реализованы для установления режима коммерческой тайны.
Краткие выводы по коммерческой тайне: В казахстанском законодательстве смущает не отсутствие отдельного закона, а формулировки Предпринимательского кодекса, который не обязывает реализовывать какие то меры защиты, так пп. 4 ст. 28 говорит:
" Принимаемые субъектом предпринимательства меры по охране информации, составляющей коммерческую тайну, могут включать в себя:
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к коммерческой тайне путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к коммерческой тайне, и (или) лиц, которым эта информация была предоставлена или передана."
т.о. в соответствии со пп. 2 ст. 28 Субъект предпринимательства должен определить порядок отнесения информации к категориям доступа, условия хранения и использования информации, составляющей коммерческую тайну. Но какие конкретно контроли должны быть реализованы не указано, есть только рекомендации 4 пп. 4 ст.28 Предпринимательского кодекса.
ФСТЭК России не зря есть хлеб :-) в российском законодательстве зафиксированы контроли, которые необходимо применять для всех рассмотренных кейсов. В казахстанском законодательстве требования не всегда определены и адекватны, что открывает возможности для злоупотреблений как государственных органов в части давления на бизнес, так и бизнес в части не выполнения необходимых контролей ИБ.
По сути казахстанское законодательство обязывает проявлять должную заботу (due care) об информационной безопасности, например, разработать какой то перечень документов, но слабо описывает какие конкретно контроли должны быть реализованы.