Единый контакт-центр

1414

+7-7172-906-984

Категория

Условие поиска

Государственный орган *

Публичное обсуждение до

С По

Тип

Статус

Дата создания

С По

 

Об утверждении Концепции кибербезопасности («Киберщит Казахстана»)

Публичное обсуждение до: 15/03/2017
Всего голосов за проект: 0
Всего голосов против проекта: 20
Всего комментариев: 10
Всего ответов: 10
Всего голосов "за" (комментариев): 4
Всего голосов "против" (комментариев): 0
Тип НПА: Постановление
Категория: Информационные технологии
Государственный орган: Министерство цифрового развития, инноваций и аэрокосмической промышленности РК
Форма отчета НПА, подтвержденная ГО
Раздел Комментарии Ответ Нравится Не нравится
1) Концепцию кибербезопасности («Киберщит Казахста... Добрый день. Настоящим хотел бы выразить своё личное мнение, как специалиста в области информационной безопасности, касательно Концепции кибербезопасности. Рад ознакомиться с данным документом, появление которого считаю необходимым и своевременным. Разрешите оставить ряд комментариев к тексту концепции: 1. Введение, 1 абзац. Предлагаю добавить в цели обеспечение безопасности личности, так как существуют риски кибербезопасности, применимые к физической безопасности граждан, к примеру, путём вывода из строя устройств "интернета вещей" и прочие риски. 2. Цели и задачи, 2 абзац, 4 подпункт. Для данных целей существует необходимый орган KZ-CERT, уместно предоставить ему данную деятельность. 3. Механизмы реализации, 6 абзац. Непонятны функции уполномоченного органа. 4. Механизмы реализации, 11 абзац. Актуализация документов должна проводиться на постоянной основе, уместно было бы применить для действующих стандартов в области информационной безопасности. 5. Механизмы реализации, 12 абзац. Предлагаю добавить формулировку "а также повышать готовность отражать целенаправленные атаки в области кибербезопасности". 6. Механизмы реализации, 27 абзац. Необходимо продумать механизмы реализации. Как компании готовы обмениваться информацией об инцидентах? На основе чего? Спасибо за внимание. Уважаемый Болат! Спасибо за комментарий, Ваши предложения будут учтены при доработке Концепции. 1 0
Об утверждении Концепции кибербезопасности («Кибер... Замечания: 1. "Концепция" 1.1 По тексту документа термины "информационная безопасность" и "кибер безопасность" (information security & cyber security) используются как синонимы, что создает терминологическую путаницу. Сравните и почувствуйте разницу: "INFORMATION SECURITY, sometimes shortened to InfoSec, is the PRACTICE of preventing unauthorized access, use, disclosure, disruption, modification, inspection, recording or destruction of INFORMATION." "CYBERSECURITY IS THE BODY of technologies, processes and practices designed to protect networks, computers, programs and data from attack, damage or unauthorized access. " Пример: ИЗЪЯТИЕ тиража экстремистской литературы (в типографии) и / или БЛОКИРОВКА сайта - это ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. ТЕХНИЧЕСКИЕ МЕТОДЫ защиты / нападения В КИБЕРПРОСТРАНСТВЕ (CYBERSPACE) - это КИБЕР БЕЗОПАСНОСТЬ. Отсюда следует, что последующие размытые определения типа "под кибербезопасностью понимается состояние защищенности" не несут смысловой нагрузки. Вместо безликого "состояния защищенности" необходимо использовать конкретизирующее "состояние УРОВНЯ защищенности". В тексте полно подобных вещей. 1.2 Почистите, пожалуйста, текст от перлов, типа: "Глобальное доминирование гигантов IT-индустрии отражает имеющееся цифровое неравенство между странами, что само по себе не вносит ощутимого вклада в укрепление кибербезопасности. " А, таки, "неощутимый вклад" вносится? Или "Пренебрежение соображениями безопасности при использовании интернет-ресурсов и социальных сетей ведет к повышенному риску для неприкосновенности частной жизни, модификации или уничтожению общедоступных персональных данных,....." Может пример приведете по "уничтожению"? Но за звание лучшей цитаты борется "профессионально и систематически управлять информационной безопасностью,". Можно управлять профессионально, но не систематически? 1.3 Из-за терминологической путаницы предлагается создать УО по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ "Необходимо определить уполномоченный орган по обеспечению информационной безопасности и его компетенцию, обособить сферу государственного контроля в сфере информационной безопасности в самостоятельную область с выведением из-под регулирования Предпринимательского кодекса" А как же защита в киберпространстве, а какже "Киберщит"? Общий вывод: Документ сырой и требует более тщательной проработки. Уважаемый Канат! Спасибо за комментарий, Ваши предложения будут учтены. 2 0
1) Концепцию кибербезопасности («Киберщит Казахста... Согласно пункту 8 Правил разработки концепции, доктрины, утвержденных постановлением Правительства Республики Казахстан от 14 апреля 2010 года № 305, концепция должна основываться на анализе социологической, статистической, экспертной и иной информации, отражать видение уровня развития определенной сферы, отрасли (отраслей) к концу планового периода, обоснование соответствующей государственной политики, основные принципы и общие подходы достижения планируемого уровня развития определенной сферы, отрасли (отраслей), а также содержать обзор позитивного опыта мировой практики по решению аналогичных задач, который может быть применен в Республике Казахстан. В приведенной концепции кибербезопасности "Киберщит" стат.данные по проблемам кибербезопасности, на основе которых можно выявить основные угрозы кибербезопасности, а также информация о мировом опыты борьбы с киберугрозами не приводятся. Также согласно пункту 10 вышеуказанных Правил в концепции должен быть указан перечень нормативных правовых актов, посредством которых предполагается реализация концепции. С точки зрения содержания, считаю, что темы угрозы Интернета вещей должна быть увязана с развитием технологии передачи данных 5G. Также должно быть уделено внимание применению технологии блокчейн с точки зрения кибербезопасности. Уважаемый Нурлан! Спасибо за комментарий, Ваши предложения будут учтены при доработке Концепции. 0 0
Об утверждении Концепции кибербезопасности («Кибер... Добрый день. Прошу обратить внимание на старую Концепцию информационной безопасности Республики Казахстан до 2016 года от 14 ноября 2011 года № 174. Некоторые задачи, которые ставились этой Концепцией, выполнены, некоторые в силу различных причин остались нерешёнными. Предложение обновить и доработать эту Концепцию, например на следующую пятилетку. Касательно нового проекта Концепции «Киберщит Казахстана» можно сказать, что написан проект в одно дыхание специалистом, но не изучен квалифицированными экспертами. Выносить его на широкое обсуждение было рано. Уважаемый Жанат! Спасибо за Ваш комментарий. Не завершенные задачи Концепций информационной безопасности Республики Казахстан до 2016 года, утвержденная Указом Президента Республики Казахстана от 14 ноября 2011 года № 174, будут предусмотрены в проекте Концепции кибербезопасности «Киберщит Казахстана» Данная Концепция разработана межведомственной рабочей группой, а также размещена для обсуждения и оценки экспертным сообществом. По результатам будут внесены необходимые изменения. В соответствии с Законами Республики Казахстан «О доступе к информации» и «О правовых актах» предусмотрено, что на интернет-портале открытых нормативных правовых актов государственными органами-разработчиками проектов нормативных правовых актов до направления на согласование в заинтересованные государственные органы для публичного обсуждения размещаются проекты нормативных правовых актов. 1 0
1) Концепцию кибербезопасности («Киберщит Казахста... Добрый день! Для предотвращения кибер-атак на объекты промышленной инфраструктуры, Автоматизированные системы управления технологическими процессами (АСУ ТП) стратегически важных предприятий и производств (д.б. составлен перечень), должны быть отделены от остальных вычислительных сетей предприятия "воздушным зазором". Не межсетевым экраном или файерволом, сети АСУ ТП должны быть физически отделены от остальных сегментов ЛВС. В случае необходимости печедачи данных из технологической сети в другие сети предприятия, например для систем MES или ERP, должны использоваться "дата-диоды" с возможностью передачи данных только в одностороннем порядке. Например, могут быть использованы последовательные интерфейсы двух ПК расположенных в защищаемой и публичной сети, с соответствующим ПО на каждом из них. ПО расположенное на ПК защищаемой сети не должно иметь в своем функционале ничего, кроме возможности передавать данные в последовательный интерфейс. ПО расположенное на ПК в публичной сети, будет иметь возможность передавать полученные данные в любые системы. Таким образом, попытка атаки защищаемой сети из публичной, не будет иметь смысла. Уважаемый Алексей! Спасибо за Ваш комментарий. В текущем году будут внесены изменение в постановление Правительства Республики Казахстан «Об утверждении Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» от 20 декабря 2016 года № 832 в части установления требовании к автоматизированным системам управления технологическими процессами. 0 0
Об утверждении Концепции кибербезопасности («Кибер... Добрый день, прочитал концепцию. Существуют явные проблемы с позиционированием Нас во в мире с точки зрения ктбербезопасности, на мой взгляд упущены вопросы совершенствования информационного права как основы, состояние этой отрасли права не дана оценка. Область кибербезопаснлсти является очень быстроизменяющейся отраслью где пересматриваться на постоянной регулярной основе. Техническая сторона вообще не сформулирована, нам нужны кадры и вузы которые будут нам готовить специалистов. Бояться бэкдоров не надо их нужно использовать и знать о них, нужны системные вещи на уровни спецслужб правительства и общества. Не определяет цели которые мы хоти. Достичь и за счёт чего. Кибербезопасность состоит. Из двух основных направлений это информационное и техническое каждое следует развивать стстемно Уважаемый Павел! Спасибо за Ваш комментарий. В Концепции кибербезопасности «Киберщит Казахстан» отражены проблемы модели высшего и послевузовского образования в области ИКТ, включая информационную безопасность. В связи с этим в плане мероприятий по реализации данной Концепции предусмотрены мероприятия, касательно приведения учебных программ в соответствии с отраслевыми стандартами, увеличение государственных образовательных грантов по специальности «система информационной безопасности» и т.д. 0 0
2) План мероприятий по реализации Концепции киберб... Следует наполнить план мероприятяиии отражающими следующие направления Кто на уровне государства будет ответственным за общее руководство кто за информационное право и кто за технические вопросы Кто какие законодательные инициативы к какому сроку должен отработать Кто за развитие вузов и лабораторий и стимулирование этой деятельности Кто за получение информации о бэкдорах, Кто будет заниматься киберазведкой, кто киберконтразведкой. Разработать систему повышения оведомленности для граждан и для объектов и субъектов Системы кибербезопасности Техническое направление следует на мой взгляд разделить на вопросы безопасности интернета, вопросы безопасности инфраструктуры объектов и безопасность приложений программных до каждого из них определить ответственных и создать план развития и поддержания на необходимом. Уровне. Уважаемый Павел! Спасибо за Ваш комментарий. Деятельность государственных органов, участвующих в обеспечении кибербезопасности осуществляется в соответствии с их отраслевой компетенцией в сфере использования информационно-коммуникационных технологий (информатизация, связь, информационная безопасность, защита персональных данных, защита государственных секретов, противодействие деятельности иностранных технических разведок, расследование преступлений, совершаемых с использованием ИКТ). В этой связи конкретные меры будут отражены также в стратегических планах государственных органов для приведения их в соответствии с Концепцией. 0 0
1) Концепцию кибербезопасности («Киберщит Казахста... Необходимо чётко расписать что такоесистема кибербезопасности нашей страны? В концепции этого не даётся. Очень размытые фразы на мой взгляд кто будет входить в эту систему и какие роли права и обязанности. На мой взгляд это система в которой учавствовать должны правительство спецслужбы, военные и частные коммерческие структуры и все работают с одними целями и задачами оценка рисков и снижение уязвимостей и угроз в сфере ит влияющих на работу ит систем нашей страны.. мониторинг инцидентов раннее предупреждение и обнаружение реагирование и постоянные тесты и аудиты Уважаемый Павел! Спасибо за Ваш комментарий. В целом, в Республики Казахстан организационно-правовые и технические основы системы обеспечения кибербезопасности в последние годы формировались и законодательно закреплялись как составляющие информационной безопасности и обеспечения безопасности информационного пространства и инфраструктуры связи в соответствии с Законом Республики Казахстан «О национальной безопасности». 0 0
1) Концепцию кибербезопасности («Киберщит Казахста... Концепция это документ позволяющий представить как будет выглядеть объект который описывается. Применительно к данной концепции, по мере изучения документа у нас должно сложиться понимание что же такое киберщит Республики Казахстан. Читая , этот документ видишь только не связанные между собой блоки информации, призванные сказать, что есть определенные недостатки. Есть в конце документа необходимость создания Национальный оперативный центр информационной безопасности, но все же документ не выстроен логически и к пониманию необходимости данного центра мы не приходим последовательно. Во всем документе местами используются термины то информационная безопасность либо кибербезопасность, и здесь авторы документа не придерживаются единообразия. Желательно по всему документу вместо Казахстан использовать словосочетание Республика Казахстан. Если внимательно читать абзацы - «Концепция кибербезопасности («Киберщит Казахстана») (далее - Концепция) разработана в целях обеспечения информационной безопасности общества и государства в сфере информатизации и связи, а также защиты неприкосновенности частной жизни граждан при использовании ими информационно-коммуникационных технологий (далее - ИКТ).» Для целей данной Концепции под кибербезопасностью понимается состояние защищенности средств телекоммуникаций (средства связи), электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз. Вводим читателя в определенное заблуждение и не понятно Кибер щит нацелен для обеспечения информационной безопасности или все же для анализа защищенности ? Читаем раздел «Анализ текущей ситуации» Также наблюдается непоследовательность подачи информации и некооретные выводы например приведен такой вывод: Таким образом, низкий уровень компьютерной грамотности конечных пользователей при отсутствии базовых знаний по общим методам компьютерных атак (особенно фишинг, поддельные интернет-магазины и т. д.), приводит к тысячам случаев, когда граждане РК становятся как жертвами, так и орудиями противоправного использования ИКТ. Этот вывод приведен после обзора информации о пользователях работающих в социальных сетях, использующих мобильные устройства, использующих интернет вещи. Данный раздел не соответствуют выводу. В целом данный раздел «Анализ текущей ситуации» написан недостаточно в полном объеме. Используются неудачные на мой взгляд предложения например -Некачественные услуги и приложения, предоставляемые гражданам и частным организациям в рамках «Электронного правительства», в том числе, машиночитаемые открытые данные, могут привести к нарушению прав и законных интересов граждан. Экспоненциальное увеличение числа пользователей Интернета повышает критичность и делает более ощутимыми последствия в случае отказов техники. По разделу 3. Цели и задачи. Цель обозначенная в разделе введение данного документа расходится с целью обозначенной в разделе 3 этого же документа. Целью Концепции является поддержание высоко адаптивной и интегрированной системы управления кибербезопасностью, обеспечивающей устойчивое развитие Республики Казахстан при использовании ИКТ. Что значит поддержание ? Далее указаны 8 задач, которые должны быть выполнены для достижения цели. Не хочу останавливаться на всех задачах. профессионально и систематически управлять информационной безопасностью, обеспечивая внутренний и внешний контроль в области использования ИКТ. Управлять можно только состоянием информационной безопасности. Раздел 4 Механизмы реализации требует доработки. Также из себя представляет набор текста. На мой взгляд в данном разделе мы должны получить развернутый ответ как будет достигаться каждая из 8 поставленных задач. Уважаемый Айдос! Спасибо за Ваш комментарий. Редакционные предложения будут учтены при доработке окончательного текста Концепции. 0 0
Об утверждении Концепции кибербезопасности («Кибер... 1) В концепцию кибербезопасности необходимо добавить толкование используемых терминов и определений, так как многим не будет понятно содержание без них. 2) В разделе механизмы реализации концепции, касательно формирования реестров программного обеспечения, добавить уточнение касательно исключительных прав - необходимо наличие исключительных прав, действующих на территории Республики Казахстан. 3) В целом необходимо повысить ответственность поставщиков услуг телекоммуникаций, в том числе и хостинг операторов, за ведение контроля трафика и информации о пользователях (абонентах). Уважаемый Виктор! Спасибо за комментарий, Ваши предложения будут учтены при доработке Концепции. 0 0