Система Orphus
RTF Print OpenData
Документ Реквизиты Ссылающиеся документы
Редакция:      кыргызча  |  на русском

 

 

Приложение 1

 

 

постановлению Правительства Кыргызской Республики
от 24 июля 2019 года № 369)

СТРАТЕГИЯ
кибербезопасности Кыргызской Республики на 2019-2023 годы

I. Введение

Информационно-коммуникационные технологии в настоящее время стали одной из наиболее распространенных, стержневых, глобальных технологий, определяющих динамику развития мировой экономики и отдельных зависимых от нее ниш и сегментов.

Центральной составляющей глобальной отрасли информационных технологий и связи является Интернет. По данным Международного союза электросвязи, к концу 2018 года доступ к глобальной сети имели более 3,9 млрд. человек. Тенденция распространения Интернет-технологий показывает ежегодный рост, и по прогнозам Международного союза электросвязи, к 2023 году 70-процентов населения мира будет иметь доступ к сети Интернет.

При этом, информационно-коммуникационные технологии во всех отраслях экономической, хозяйственной, управленческой и иной деятельности выступают в роли глобального преобразователя из аналогового в цифровой формат бизнес-процессов, способствуют трансформации всевозможного взаимодействия на уровне отдельных граждан, бизнеса, государства, а также на международном уровне.

Глобальная тенденция цифровизации создает высокую добавленную стоимость, сокращает временные, материальные, административные и иные издержки в любых видах процессов, сделок и иного взаимодействия.

Кыргызская Республика осуществляет в указанных условиях собственное движение к цифровой трансформации национальной экономики и обеспечению доступа граждан к современным цифровым сервисам. Построение цифровой экономики в рамках настоящей Стратегии рассматривается как необходимое условие и национальный приоритет развития Кыргызской Республики на краткосрочную и среднесрочную перспективы. Контуры стратегии цифровой трансформации кыргызской экономики формируются в рамках Концепции цифровой трансформации "Цифровой Кыргызстан 2019-2023", одобренной решением Совета безопасности Кыргызской Республики от 14 декабря 2018 года № 2 (далее - Концепция).

Необходимым условием решения задач и достижения целей, поставленных в рамках указанной Концепции, и возможных иных инициатив цифровой трансформации национальной экономики является обеспечение безопасности соответствующих инфраструктур, сервисов и бизнес-процессов. При этом необходимо учитывать, что развитие информационно-коммуникационных технологий и цифровой экономики неизбежно влечет определенные риски и угрозы. Однако в настоящее время в Кыргызской Республике не созданы базовые условия, без которых невозможно обеспечить безопасность цифровой трансформации и развитие национальной отрасли информационных технологий и связи в целом. В том числе:

- отсутствует рамочный документ, который формирует доктринальную основу и выступает в качестве единой "системы координат" для государственной политики в области обеспечения кибербезопасности;

- имеются существенные пробелы в системе нормативных правовых актов и политики обеспечения кибербезопасности (отсутствие системы и подходов к реагированию на компьютерные инциденты, обеспечению безопасности критической информационной инфраструктуры Кыргызской Республики, международному сотрудничеству в области обеспечения кибербезопасности);

- в тех направлениях государственной политики, где система нормативных правовых актов и заданных ими подходов к регулированию сферы информационных технологий и информационно-коммуникационных технологий присутствует, наблюдается ее неполнота и отставание от актуальных тенденций развития информационно-коммуникационных технологий и кибербезопасности (противодействие компьютерной преступности, регулирование в области защиты информации, техническая стандартизация в области информационных технологий);

- не выстроен подход к обеспечению необходимого уровня компьютерной гигиены и цифровой грамотности, а также в целом к наращиванию потенциала среди различных субъектов (государственных гражданских служащих, сотрудников правоохранительных органов) реализации государственной политики в сфере кибербезопасности.

Для решения перечисленных проблем и устранения пробелов необходимо сформировать систему принципов и стратегических направлений деятельности по построению национальной системы обеспечения кибербезопасности, которые будут служить основой для формирования и реализации государственной политики Кыргызской Республики в этой области. При этом, необходимо учитывать международный опыт, лучшие практики и рекомендации, но в то же время исходить из специфических условий Кыргызской Республики, которые в том числе включают следующее:

- сухопутное расположение Кыргызской Республики, отсутствие выхода к морю, относительно низкий уровень развития информационно-телекоммуникационной инфраструктуры в регионе;

- частичная историческая преемственность системы законодательства, технического регулирования и государственных институтов Кыргызской Республики в области информационной безопасности по отношению к СССР и исторически обусловленная ориентация на интеграционные форматы постсоветского пространства. Эта особенность повышает важность задачи по разработке подходов к понятийному аппарату кибербезопасности, регулированию средств криптографической защиты информации и технической стандартизации в области информационных технологий и связи, которые позволят адаптировать государственную политику Кыргызской Республики к лучшим международным практикам и опыту, не разрушая исторически сложившуюся систему регулирования;

- зависимость Кыргызской Республики в вопросах тестирования и сертификации средств криптографической защиты информации и организации межгосударственного электронного взаимодействия в рамках формата ЕАЭС. Этот фактор обусловливает необходимость формирования национальных ресурсов и институциональных механизмов Кыргызской Республики, в том числе для самостоятельного решения таких задач;

- крайне малый объем внутреннего рынка средств и решений отрасли информационных технологий и связи, в том числе сферы кибербезопасности Кыргызской Республики, и практически полная зависимость от зарубежных поставщиков программно-аппаратной продукции. Это обстоятельство повышает важность задачи по развитию национальной системы сертификации ввозимой продукции в сфере информационных технологий, а также ее тестированию на уязвимость и недекларированные возможности для сохранения технической нейтральности и суверенитета.

II. Основные принципы стратегии кибербезопасности

1. Соблюдение баланса интересов личности, общества и государства. Первичным субъектом и выгодоприобретателем реализации настоящей Стратегии являются граждане Кыргызской Республики. Эффективная практическая реализация и высвобождение материальных и финансовых ресурсов для достижения целей Стратегии обеспечиваются за счет развития механизмов государственно-частного взаимодействия в отрасли информационных технологий и связи, а также минимизации нормативных правовых и иных административных барьеров для развития инициатив в области обеспечения кибербезопасности.

2. Комплексный характер. В рамках Стратегии обеспечивается фундамент для построения комплексной, единой и сквозной государственной политики в области обеспечения кибербезопасности Кыргызской Республики:

1) комплексный характер государственной политики включает задачи обеспечения кибербезопасности по всем ключевым направлениям, всем секторам, рассматривая такие направления и секторы не по отдельности, а во взаимной увязке;

2) единый характер государственной политики предполагает общую координацию и работу над решением поставленных задач министерств и ведомств Кыргызской Республики, а также тесное взаимодействие между государственными органами и частным сектором, академическим и инженерно-техническим сообществом, неправительственными организациями;

3) сквозной характер государственной политики предполагает выработку и реализацию мер на всех уровнях: от отдельного гражданина до государства в целом.

3. Приоритет обеспечения безопасности критической информационной инфраструктуры. Обеспечение кибербезопасности критической информационной инфраструктуры Кыргызской Республики является ключевым звеном в формировании и реализации государственной политики в области обеспечения кибербезопасности. В то же время, отсутствие системного подхода и нормативной правовой базы в этой области представляет наиболее серьезное препятствие к обеспечению кибербезопасности в процессе цифровой трансформации отечественной экономики. Важнейшими условиями успешной реализации государственной политики в этой части являются: четкое определение объектов критической информационной инфраструктуры на основе системы критериев и измеримых параметров, активное взаимодействие с частным сектором, выстраивание комплексной системы мер и требований по обеспечению кибербезопасности критической информационной инфраструктуры. При этом, главной задачей является обеспечение доступности, целостности и конфиденциальности информации в информационных системах, а также обеспечение устойчивости и непрерывности функционирования объектов критической информационной инфраструктуры в условиях компьютерных атак и компьютерных инцидентов. В цепочке "предупреждение инцидента - управление инцидентом - восстановление после инцидента" приоритетным является предупреждение инцидента за счет нормативных, организационных, технических и иных мер и ресурсов.

4. Сопряжение и подчинение целей Стратегии общим задачам социально-экономического развития, включая цифровую трансформацию экономики Кыргызской Республики. Обеспечение кибербезопасности граждан, общества и государства, являясь самостоятельной задачей, вписывается в общий контекст развития отрасли информационных технологий и связи в Кыргызской Республике и осуществляется в качестве неотъемлемой составляющей государственной политики по повышению уровня развития отрасли информационных технологий и связи в Кыргызской Республике, расширению и совершенствованию системы услуг электронного управления и сервисов электронного документооборота, а также реализации Концепции. Инвестирование необходимых ресурсов в обеспечение кибербезопасности не должно вести к торможению процессов цифровой трансформации экономики Кыргызской Республики.

5. Поэтапный подход и учет ресурсных ограничений. Стратегия кибербезопасности Кыргызской Республики и План действий по ее реализации предполагают разбивку задач по этапам в пределах горизонта 2023 года, приоритизацию задач и учет ресурсных ограничений, существующих на начальном этапе. В первоочередном порядке требуется обеспечить заполнение основных пробелов в системе концепций регулирования, законодательства и институтов Кыргызской Республики, необходимых для реализации государственной политики в области кибербезопасности (понятийный аппарат кибербезопасности, нормативные правовые акты в области обеспечения безопасности критической информационной инфраструктуры, организационно-правовые основы отечественной системы реагирования на компьютерные инциденты, система межведомственной координации государственной политики в области обеспечения кибербезопасности, развитие системы технической стандартизации и инициатив в области международного сотрудничества и прочее). Ограничения по финансовым, материально-техническим и человеческим ресурсам сдвигают реализацию ряда задач на более поздние сроки (глубокая отраслевая специализация центров реагирования на компьютерные инциденты, развитие системы собственных криптографических стандартов, формирование собственной системы киберобороны Кыргызской Республики, разработка специализированных политик кибербезопасности для новых ниш цифровой инфраструктуры, таких как Интернет, большой объем данных, распределенные реестры и прочее).

6. Интеграция и преемственность по отношению к действующим нормативным правовым актам. Важнейшим условием является отсутствие противоречий между целями, содержанием и принципами государственной политики в области обеспечения информационной безопасности, уже сложившейся в Кыргызской Республике. Настоящая Стратегия не создает необходимости отмены либо пересмотра действующих основ политики в области технической стандартизации и технического регулирования в части информационных технологий, а также не противоречит действующей системе нормативных правовых актов, а также вступивших в установленном законом порядке в силу международных договоров, участницей которых является Кыргызская Республика.

7. Приоритетная роль и многовекторный характер международного сотрудничества в области обеспечения кибербезопасности. Стратегия предполагает активное участие Кыргызской Республики в различных международных форматах и рабочих процессах в области обеспечения кибербезопасности. Основополагающим принципом такого сотрудничества со стороны Кыргызской Республики является его многовекторность и максимальная деполитизация.

III. Цель и задачи

8. Целью настоящей Стратегии и Плана мероприятий является формирование отечественной системы и политики кибербезопасности для обеспечения соответствующего уровня безопасности граждан, бизнеса и государства, позволяющего защитить их жизненно важные интересы в киберпространстве и обеспечить устойчивое социально-экономическое развитие Кыргызской Республики, включая цифровую трансформацию экономики.

9. Реализация Стратегии будет осуществляться в увязке с комплексом мероприятий "дорожной карты" по реализации Концепции цифровой трансформации "Цифровой Кыргызстан 2019-2023".

10. Задачами Стратегии и Плана мероприятий являются:

1) формирование основы для единой системы и политики обеспечения кибербезопасности Кыргызской Республики;

2) формирование единого понятийного и методологического аппарата в области кибербезопасности;

3) сокращение количества и минимизация последствий компьютерных инцидентов на объектах информационной инфраструктуры Кыргызской Республики за счет формирования и развития отечественной системы предупреждения, реагирования и управления компьютерными инцидентами;

4) формирование организационно-технической и нормативной правовой основы системы тестирования и сертификации средств защиты информации и средств криптографической защиты информации;

5) модернизация системы национальных стандартов в области кибербезопасности и защиты информации;

6) повышение уровня кадрового потенциала для реализации государственной политики Кыргызской Республики в области обеспечения кибербезопасности.

11. В результате решения поставленных задач возможно обеспечение безопасности критической информационной инфраструктуры, включая резервирование объектов критической информационной инфраструктуры, обеспечение устойчивости объектов критической информационной инфраструктуры в условиях компьютерных инцидентов и компьютерных атак, непрерывность функционирования объектов критической информационной инфраструктуры и предотвращение существенных компьютерных инцидентов на таких объектах; сокращение количества и снижение ущерба от противоправных действий, осуществляемых с использованием информационно-коммуникационных технологий (компьютерная преступность) за счет совершенствования законодательства в области борьбы с компьютерной преступностью, расследования компьютерных преступлений и активизации международного сотрудничества в этой области.

IV. Основные понятия

12. В Стратегии используются следующие термины и соответствующие им определения:

информационное пространство - комплексная сфера деятельности, связанная с формированием, созданием, преобразованием, передачей, использованием, хранением информации, оказывающей воздействие на информационную инфраструктуру и информацию, в том числе на индивидуальное и общественное сознание;

киберпространство - сфера деятельности в информационном пространстве, образуемая за счет любых форм взаимодействия людей, программного обеспечения и сервисов, осуществляемого при помощи информационно-телекоммуникационных сетей (включая глобальную информационно-телекоммуникационную сеть Интернет) и любых других видов информационной инфраструктуры;

кибербезопасность - сохранение свойств целостности (которая может включать аутентичность и отказоустойчивость), доступности и конфиденциальности информации объектов информационной инфраструктуры, обеспечиваемое за счет использования совокупности средств, стратегий, принципов обеспечения безопасности, гарантий безопасности, подходов к управлению рисками и страхования, профессиональной подготовки, практического опыта и технологий;

информационная инфраструктура - совокупность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления технологическими процессами, используемых для формирования, создания, преобразования, передачи, использования и хранения информации, а также управления технологическими процессами;

критическая информационная инфраструктура Кыргызской Республики - совокупность государственных информационных систем, государственных информационно-телекоммуникационных сетей и автоматизированных систем управления технологическими процессами, функционирующих в секторе государственного управления и государственных электронных услуг, области здравоохранения, транспорта, телекоммуникаций и связи, кредитно-финансовой сфере, оборонном секторе, топливной промышленности, отрасли генерации и распределения электроэнергии, пищевой промышленности и горнодобывающей промышленности;

объекты критической информационной инфраструктуры Кыргызской Республики - государственные информационные системы, государственные информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами (далее - государственные системы), функционирующие в секторах государственного управления, государственных электронных услуг, области здравоохранения, транспорта, телекоммуникаций и связи, кредитно-финансовой сфере, оборонном секторе, топливной промышленности, отрасли генерации и распределения электроэнергии, пищевой промышленности и горнодобывающей промышленности;

компьютерная атака - целенаправленное воздействие программными либо программно-аппаратными средствами на информационные системы, информационно-телекоммуникационные сети, средства связи и автоматизированные системы управления технологическим процессом, осуществляемое в целях нарушения их функционирования и (или) нарушения безопасности обрабатываемой ими информации;

компьютерный инцидент - событие нарушения или прекращения функционирования объекта информационной инфраструктуры и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванное компьютерной атакой.

V. Ключевые направления деятельности для формирования государственной политики в области обеспечения кибербезопасности

5.1. Формирование единой системы мер обеспечения кибербезопасности

13. В рамках решения задачи по построению комплексной, единой и сквозной системы государственной политики в области обеспечения кибербезопасности Кыргызской Республики в пределах временного горизонта 2023 года реализуются следующие меры:

1) укрепление межведомственного взаимодействия по вопросам формирования и реализации государственной политики в области обеспечения кибербезопасности.

Для построения единой системы государственной политики Кыргызской Республики необходимо наладить систематическое взаимодействие профильных государственных органов в части обмена информацией об угрозах и инцидентах кибербезопасности, получения и предоставления оценок реализации мер по обеспечению кибербезопасности, текущего развития ведомственных подходов к регулированию и иных вопросов.

Сопряженной задачей является налаживание прямых каналов взаимодействия для проработки вопросов кибербезопасности, ведения диалога и взаимодействия между исполнительной и законодательной ветвями власти с целью своевременной проработки и решения многоуровневых вопросов государственной политики в области обеспечения кибербезопасности.

В целях обеспечения эффективного взаимодействия предусматривается консультационная и координационная площадка при Правительстве Кыргызской Республики, которая должна обеспечивать выполнение следующих функций:

а) координация и совершенствование взаимодействия заинтересованных государственных органов или предприятий, учреждений и других организаций, независимо от их формы собственности, в сфере кибербезопасности;

б) формирование единой политики по кибербезопасности и обеспечению безопасности критической информационной инфраструктуры;

в) согласование и обсуждение, фиксирование и представление позиции по вопросам политики в области обеспечения кибербезопасности на внутригосударственном уровне;

г) представление Жогорку Кенешу Кыргызской Республики и Президенту Кыргызской Республики регулярных отчетов об исполнении положений нормативных правовых актов, организационно-технических и иных мер, а также мероприятий в рамках государственной политики в области обеспечения кибербезопасности;

д) содействие обмену информацией и иному взаимодействию между органами исполнительной власти Кыргызской Республики по вопросам реализации государственной политики в области обеспечения кибербезопасности;

ж) контроль за исполнением Стратегии кибербезопасности Кыргызской Республики и Плана действий по ее реализации, координация развития, доработки и обновления данных документов.

2) определение уполномоченного органа, ведающего вопросами национальной безопасности органов государственной власти, уполномоченного в области обеспечения кибербезопасности:

а) определение профильного регулятора не означает, что на нем замыкаются все функции и задачи органов исполнительной власти в области обеспечения кибербезопасности, каждое ведомство сохраняет свой сектор ответственности в области кибербезопасности в соответствии со своими полномочиями.

Вместе с тем, к зоне ответственности органа, уполномоченного в области обеспечения кибербезопасности, отнесены следующие вопросы:

а) определение политики по обеспечению кибербезопасности личности, общества и государства;

б) обеспечение соблюдения установленных требований к защите объектов критической информационной инфраструктуры, осуществление взаимодействия с операторами объектов критической информационной инфраструктуры, координация дальнейшего развития системы обеспечения безопасности критической информационной инфраструктуры, в том числе в части разработки и реализации нормативных правовых актов Кыргызской Республики;

в) контроль и координация деятельности Национального центра по реагированию на компьютерные инциденты;

г) координация деятельности центров по реагированию на компьютерные инциденты (частные, финансовые и иные);

д) организация и обеспечение деятельности по проведению регулярных киберучений с участием государственных органов Кыргызской Республики и организаций частного сектора;

е) осуществление международного сотрудничества в рамках полномочий, установленных нормативными правовыми актами Кыргызской Республики;

ж) информирование Правительства Кыргызской Республики о динамике развития рисков и угроз кибербезопасности Кыргызской Республики в сфере обеспечения безопасности, а также информирование о ключевых инцидентах кибербезопасности, включая информацию об инцидентах в критической информационной инфраструктуре и их последствиях для Кыргызской Республики;

з) организация и обеспечение деятельности координационного центра по обеспечению информационной и кибербезопасности;

и) организация взаимодействия между Национальным центром по реагированию на компьютерные инциденты и другими центрами реагирования на компьютерные инциденты Кыргызской Республики (частные, финансовые и иные);

3) формирование координационного центра по обеспечению информационной и кибербезопасности Кыргызской Республики, подведомственного государственному органу, ведающему вопросами национальной безопасности. Деятельность и модель работы координационного центра по обеспечению информационной и кибербезопасности может соответствовать следующим параметрам:

а) координационный центр по обеспечению информационной и кибербезопасности является основным механизмом межведомственной координации и обмена информацией по вопросам обеспечения кибербезопасности между государственными органами, бизнесом и экспертным сообществом;

б) координационный центр по обеспечению информационной и кибербезопасности осуществляет сбор, анализ и формирование единой базы инцидентов и угроз в сфере кибербезопасности;

в) координационный центр по обеспечению информационной и кибербезопасности также выступает площадкой для диалога по вопросам реализации государственной политики и практического взаимодействия в области обеспечения кибербезопасности между государственными органами и иными заинтересованными сторонами, включая организации отрасли информационных технологий и связи Кыргызской Республики, а также операторов объектов критической информационной инфраструктуры.

Для организации диалога по вопросам реализации государственной политики в области обеспечения кибербезопасности на площадке координационного центра по обеспечению информационной и кибербезопасности организуются регулярные обсуждения с участием представителей всех заинтересованных сторон, включая представителей:

а) профильных государственных органов;

б) государственных организаций Кыргызской Республики и технических структур, участвующих в реализации государственной политики в области обеспечения кибербезопасности;

в) частного сектора Кыргызской Республики, включая сектор информационных технологий и связи, а также отраслевых ассоциаций сектора информационных технологий и связи;

г) академической среды, инженерно-технического сообщества и неправительственных организаций Кыргызской Республики, сфера деятельности которых затрагивает сектор информационных технологий и связи.

На координационный центр по обеспечению информационной и кибербезопасности возлагаются операционно-технические функции, в том числе:

а) в случае существенных инцидентов кибербезопасности либо наличия высокого риска таких инцидентов, совместно с Национальным центром по реагированию на компьютерные инциденты осуществление оперативного информирования населения, государственных органов, и частных организаций;

б) прием обращений и запросов от государственных органов, граждан, частных организаций по вопросам обеспечения кибербезопасности и управления рисками; предоставление информации и выпуск разъяснений по данным запросам;

в) в соответствии с возложенными полномочиями осуществление взаимодействия в части обмена информацией по вопросам кибербезопасности с международными партнерами Кыргызской Республики в рамках форматов и механизмов взаимодействия, к которым присоединилась Кыргызская Республика;

г) площадка информационно-ресурсной поддержки и взаимодействия с участниками государственно-частного партнерства в области информационно-коммуникационных технологий и кибербезопасности;

д) выполнение иных задач в пределах его компетенции.

5.2. Обеспечение безопасности критической информационной инфраструктуры Кыргызской Республики

14. Одной из задач настоящей Стратегии является формирование единой системы обеспечения безопасности критической информационной инфраструктуры Кыргызской Республики.

15. Государственная политика в этой области реализуется путем:

1) определения секторов, отраслей и сфер деятельности, в которых функционируют объекты критической информационной инфраструктуры, в том числе государственные системы в следующих секторах и сферах:

- сектор государственного управления и государственных электронных услуг;

- сфера здравоохранения;

- транспортная отрасль;

- отрасль телекоммуникаций и связи;

- кредитно-финансовая сфера;

- оборонный сектор;

- топливная промышленность;

- отрасль генерации и распределения электроэнергии;

- пищевая промышленность;

- горнодобывающая промышленность;

2) разработка и утверждение критериев и параметров, определяющих принадлежность объектов к критической информационной инфраструктуре.

Критерии включают потенциальные последствия, наступление которых может повлечь нарушение функционирования объекта в сфере обороноспособности, социально-экономической, социально-политической и управленческой сферах.

Параметры необходимы для категорирования отдельного объекта информационной инфраструктуры на предмет установления его значимости как объекта критической информационной инфраструктуры. Параметры значимости варьируются в зависимости от типа функций, обеспечиваемых объектом, однако имеют измеримый, количественный характер и основываются на привязке показателей деятельности объекта к доле экономически активного населения Кыргызской Республики, охватываемого либо зависящего от услуг данного конкретного объекта.

Для решения данной задачи до конца 2023 года необходимо разработать и принять Закон Кыргызской Республики о безопасности критической информационной инфраструктуры, а также сформировать систему подзаконных нормативных правовых актов, обеспечивающих реализацию положений указанного Закона.

16. Для операторов критической информационной инфраструктуры необходимо установить обязательные требования по обеспечению безопасности их объектов, в том числе:

а) требования по резервированию объектов критической информационной инфраструктуры, функционирование которых они обеспечивают, включая количественные показатели резервирования ресурсов и формирование "оперативного резерва" для ключевых узлов их информационной инфраструктуры;

б) требования по разработке и согласованию политики обеспечения безопасности объектов критической информационной инфраструктуры, которые включают формирование моделей угроз для конкретных объектов критической информационной инфраструктуры, разработку планов предотвращения, управления и восстановления после компьютерных инцидентов;

в) требования по установке и использованию средств предотвращения и обнаружения компьютерных вторжений, а также средств обнаружения и предотвращения компьютерных атак, и иных средств обеспечения безопасности объектов критической информационной инфраструктуры;

г) требования к организации подразделений по обеспечению кибербезопасности в штатной структуре операторов объектов критической информационной инфраструктуры;

д) требования по обязательному информированию операторами объектов критической информационной инфраструктуры Национального центра по реагированию на компьютерные инциденты о фактах компьютерных инцидентов на объектах критической информационной инфраструктуры, включая существенные компьютерные инциденты, а также по обеспечению регулярного обмена информацией об угрозах и уязвимостях с Национальным центром по реагированию на компьютерные инциденты.

5.3. Формирование системы предупреждения, реагирования и управления компьютерными инцидентами

17. В рамках решения задачи по сокращению количества и минимизации последствий компьютерных инцидентов на объектах информационной инфраструктуры Кыргызской Республики будет сформирована система предупреждения, реагирования и управления компьютерными инцидентами Кыргызской Республики. Центральные звенья этой системы:

а) координационный центр по обеспечению информационной и кибербезопасности;

б) центр по реагированию на компьютерные инциденты уполномоченного государственного органа в сфере обеспечения кибербезопасности (Национальный центр по реагированию на компьютерные инциденты);

в) инфраструктура центров по реагированию на компьютерные инциденты (частные, финансовые и иные);

г) организация деятельности по проведению регулярных киберучений с участием государственных органов и организаций частного сектора, включая в том числе операторов объектов критической информационной инфраструктуры.

18. Для создания и развертывания такой системы необходимо принять следующие меры:

1) деятельность по предупреждению, реагированию и управлению компьютерными инцидентами в рамках реализации настоящей Стратегии позволит:

- с учетом международного опыта (в том числе CC-CERT, AP-CERT, US-CERT, IMPACT-ITU, FIRST, FIN-CERT РФ) разработать и внедрить систему классификации инцидентов кибербезопасности. Система классификации должна опираться на практические критерии (время, необходимое для восстановления систем, функционирование которых нарушено в ходе инцидента; степень нарушения функционирования систем в результате инцидента; потенциальные либо реальные последствия инцидента - утечка информации, удаление данных, ущерб для физической инфраструктуры и прочее);

- на основе классификации формируется шкала уровней инцидентов кибербезопасности, которая является необходимым инструментом при разработке системы требований к защите информационных систем, включая информационные системы государственных органов и объектов критической информационной инфраструктуры. Инциденты, относимые к верхним уровням шкалы, относятся к категории существенных инцидентов кибербезопасности. Обеспечение мер по недопущению и ликвидации последствий существенных инцидентов, а также информирование о фактах таких инцидентов является обязательным для более широкого круга субъектов по сравнению с другими категориями (уровнями) инцидентов;

- получить аккредитацию центров по реагированию на компьютерные инциденты CC-CERT, FIRST и иных международных форматов, позволяющую соответствовать лучшим международным практикам и стандартам деятельности в области реагирования на компьютерные инциденты (включая модель функционирования 24x7x365 и минимальное время начала реагирования на поступающие сообщения о компьютерных инцидентах);

- разработать и утвердить требования к объектам критической информационной инфраструктуры по организации обмена информацией и иного взаимодействия с Национальным центром по реагированию на компьютерные инциденты. В частности, требования должны предусматривать формирование системы обязательного информирования о компьютерных инцидентах, имевших место на объектах критической информационной инфраструктуры.

Система утвержденных требований должна быть направлена на:

а) формирование системы понятий и определений компьютерного инцидента, компьютерной атаки и иных событий кибербезопасности, создающих угрозы кибербезопасности для объектов критической информационной инфраструктуры;

б) разработку и утверждение требований к операторам объектов критической информационной инфраструктуры, в части предоставления координационному центру по обеспечению информационной и кибербезопасности информации и отчетов о компьютерных инцидентах;

в) сформировать при координационном центре по обеспечению информационной и кибербезопасности единый репозиторий данных о компьютерных уязвимостях и вредоносных программных обеспечениях, пополняемый операторами объектов критической информационной инфраструктуры, а также открытый для пополнения со стороны частных организаций и лиц;

г) на площадке координационного центра по обеспечению информационной и кибербезопасности разработать план действий в случае чрезвычайной ситуации, включающий нарушения функционирования сетей электросвязи и информационных инфраструктур на территории Кыргызской Республики. Осуществлять регулярную актуализацию и обновление плана учений и отрабатываемых в ходе учений моделей угроз и сценариев чрезвычайной ситуации.

5.4. Противодействие компьютерной преступности

19. Стратегия исходит из необходимости противодействовать растущей высокотехнологичной преступности, включая трансграничные компьютерные преступления, совершаемые в отношении отдельных лиц, организаций и государства как на территории Кыргызской Республики, так и из-за рубежа. В рамках Стратегии упор по противодействию современной компьютерной преступности делается на следующее:

а) необходимость закрепления в Уголовном кодексе Кыргызской Республики криминализации составов компьютерных преступлений в соответствии с международными подходами к борьбе с киберпреступностью;

б) закрепление в Уголовно-процессуальном кодексе Кыргызской Республики методов и средств компьютерной криминалистики, введение в Уголовно-процессуальный кодекс Кыргызской Республики и сопутствующие нормативные правовые акты понятия цифрового доказательства, описание и изложение его критериев, характеристик и способов фиксации. Обеспечение признания юридической силы цифровых доказательств наравне с другими доказательствами;

в) обеспечение гармонизации законодательства Кыргызской Республики в части криминализации составов и расследования компьютерных преступлений, трансграничной выдачи с территории Кыргызской Республики лиц, подозреваемых в совершении компьютерных преступлений либо осужденных за их совершение на территории зарубежных государств;

г) рассмотрение возможности привлечения частных компаний к сбору цифровых доказательств и проведению судебных экспертиз по цифровым доказательствам для правоохранительных органов Кыргызской Республики.

5.5. Формирование системы защиты информации, включая криптографическую защиту информации

20. В рамках Стратегии преследуется цель формирования комплексной и единой государственной политики Кыргызской Республики в области криптографической защиты информации. Формируемая и проводимая политика следует принципу согласования подходов и разделения задач: на уровне технической стандартизации криптографических алгоритмов и функций, на уровне формирования системы тестирования и сертификации средств защиты информации, включая средства криптографической защиты информации, используемые в бизнес-процессах государственных органов Кыргызской Республики.

На уровне технической стандартизации в области криптографической защиты информации должно быть обеспечено принятие стандартов Кыргызской Республики, гармонизированных с международными стандартами. При этом, принимаемые стандарты Кыргызской Республики описывают математические параметры международно признанных и используемых криптографических алгоритмов.

На уровне тестирования и сертификации средств защиты информации и средств криптографической защиты информации необходимо обеспечить разработку требований к средствам защиты информации, в том числе применяемым в административных процедурах государственных органов Кыргызской Республики. На объектах критической информационной инфраструктуры Кыргызской Республики должно быть обеспечено внедрение системы тестирования и сертификации средств криптографической защиты информации. В числе первоочередных мер в этом направлении должно стать формирование системы испытательных центров (лабораторий), осуществляющих тестирование средств защиты информации, в том числе средств криптографической защиты информации. Принципом формирования такой системы в Кыргызской Республике также может выступать государственно-частное партнерство, в том числе подключение интеллектуальных и материальных ресурсов, а также центров компетенций частного сектора к процессу формирования и развития системы испытательных центров (лабораторий) для средств криптографической защиты информации, используемых на территории Кыргызской Республики.

21. Важным элементом государственной политики в области криптографической защиты информации Кыргызской Республики является формирование системы организаций, осуществляющих сертификацию средств защиты информации, включая средства криптографической защиты информации, в части их инженерно-технической защищенности, по итогам тестирования таких средств в испытательных центрах (лабораториях) на территории Кыргызской Республики.

22. В рамках Стратегии предполагается создание минимально необходимого числа государственных организаций по сертификации средств защиты информации.

5.6. Формирование единого подхода к обеспечению кибербезопасности в государственном секторе Кыргызской Республики

23. В части определения соотношения информационного пространства и киберпространства Стратегия опирается на видение, изложенное в международном стандарте ISO/IEC 27032:2012 "Информационные технологии. Методы обеспечения безопасности. Руководящие указания по кибербезопасности".

В части определения кибербезопасности Стратегия опирается на наработки Исследовательской группы № 17 (SG-17) Международного союза электросвязи, изложенные в Рекомендации Х.1205 "Сектор стандартизации электросвязи Международного союза электросвязи (04/2008). Серия X: Сети передачи данных, взаимосвязь открытых систем и безопасность".

24. Исходя из практических задач по формированию собственной системы и политики кибербезопасности Кыргызской Республики, а также с учетом лучших зарубежных практик и международного опыта (в том числе представленных стандартов ISO и рекомендаций Международного союза электросвязи), настоящая Стратегия исходит из принципа отделения вопросов информационной безопасности в части воздействия контента на общественное и индивидуальное сознание, информационного противоборства и информационно-психологических операций, от вопросов кибербезопасности как сохранения целостности, доступности и конфиденциальности информации объектов информационной инфраструктуры. В соответствии с этим принципом:

а) настоящая Стратегия охватывает исключительно вопросы кибербезопасности в соответствии с законодательством Кыргызской Республики;

б) в Стратегии не рассматриваются термины, вызовы, угрозы, задачи и направления деятельности, связанные с обеспечением информационной безопасности, в части воздействия контента на общественное и индивидуальное сознание, информационного противоборства и информационно-психологических операций, а также формирования и реализации государственной информационной политики и политики в отношении средств массовой информации;

в) политика в области обеспечения кибербезопасности в соответствии с настоящей Стратегией представляет самостоятельное и независимое направление государственной политики Кыргызской Республики, которое реализуется с учетом развития государственной информационной политики и политики в области обеспечения информационной безопасности;

г) настоящая Стратегия, равно как и заложенные в ней принципы, не ограничивает государственную политику по обеспечению информационной безопасности.

25. Для решения задачи по повышению уровня и качества практической реализации мер государственной политики в области обеспечения кибербезопасности будет обеспечено укрепление надзорной политики в области обработки персональных данных, а также установлены единые требования в области обработки персональных данных путем создания уполномоченного государственного органа по персональным данным.

26. В рамках Стратегии предусматривается создание уполномоченного государственного органа не позднее 2019 года, с полномочиями по привлечению субъектов обработки информации персонального характера к ответственности в случае невыполнения ими требований законодательства в сфере защиты персональных данных.

27. Для обеспечения безопасности информационных систем государственного сектора Кыргызской Республики предусматривается проведение регулярного аудита кибербезопасности; к такому аудиту могут быть допущены частные компании, зарегистрированные в Кыргызской Республике, после обязательного согласования с уполномоченным государственным органом, ведающим вопросами национальной безопасности. В отношении государственных информационных инфраструктур, подпадающих по итогам категорирования в список объектов критической информационной инфраструктуры, также устанавливается обязательная процедура тестирования на уязвимости программно-аппаратной продукции (пентест), приобретаемой в рамках процедуры государственных закупок.

5.7. Международное сотрудничество и техническая стандартизация

28. Кыргызская Республика в течение 2019-2023 годов будет укреплять свое присутствие на ключевых международных рабочих площадках по технической стандартизации в области кибербезопасности и информационной безопасности.

29. Необходима гармонизация с международными стандартами в области кибербезопасности и информационной безопасности, включая профильные стандарты ISO/МЭК, IEEE, стандарты стран ЕАЭС, а также документы Рабочей группы по проектированию Интернет (IETF). Результатом должно стать повышение уровня гармонизации отечественных стандартов в области кибербезопасности информационных технологий с международными.

Также целесообразно запустить процедуру обновления межгосударственных стандартов криптографической защиты информации, принятых в рамках Межгосударственного комитета по стандартизации.

5.8. Наращивание потенциала и укрепление человеческих ресурсов для обеспечения кибербезопасности

30. Ключевой задачей в части наращивания человеческого потенциала является внедрение систематизированного преподавания дисциплин кибербезопасности, компьютерной гигиены и цифровой грамотности в систему школьного, среднего и высшего профессионального образования Кыргызской Республики. Для этой цели будет запущен процесс пересмотра стандартов образовательной деятельности и образовательных регламентов, с целью включения:

а) дисциплины "кибербезопасность" в список профильных дисциплин для технических специальностей в высших образовательных учреждениях Кыргызской Республики;

б) дисциплины "кибербезопасность" в список обязательных профильных дисциплин для технических специальностей в учреждениях среднего профессионального образования Кыргызской Республики;

в) дисциплин "компьютерная гигиена" и "основы цифровой грамотности" в качестве обязательных предметов в учебных программах базового школьного образования Кыргызской Республики.

31. Кроме того, в рамках Плана по реализации Стратегии предусмотрены мероприятия по укреплению технической компетенции отечественных специалистов и повышению их вовлеченности в работу международного технического сообщества.

32. В рамках наращивания потенциала для борьбы с компьютерной преступностью предполагается сформировать и запустить, в том числе во взаимодействии с региональными и международными партнерами по развитию, программы профессиональной подготовки и повышения квалификации сотрудников специальных служб, правоохранительных органов, органов прокуратуры, а также судей, в части повышения навыков расследования и ведения уголовных процессов по фактам компьютерных преступлений.

VI. Ожидаемые результаты, благоприятные предпосылки и риски реализации стратегии

33. Принятие и своевременная реализация положений настоящей Стратегии в дальнейшем позволят:

- создать институциональные и базовые условия для разработки отраслевых программ и планов работы уполномоченного государственного органа, компетентных государственных органов Кыргызской Республики, вовлеченных общественных организаций, бизнес-инициатив и граждан;

- создать площадку для информационно-ресурсной поддержки и взаимодействия между собой всех заинтересованных сторон в области развития информационно-коммуникационных технологий и кибербезопасности;

- создать единый понятийный аппарат и специальную правовую базу, определяющую нормы и правила правомерного поведения в области обеспечения кибербезопасности, а также регулирующую деятельность государственных органов в данной сфере;

- выстроить систему органов обеспечения кибербезопасности, в том числе определить уполномоченный государственный орган, ответственный за состояние киберзащищенности Кыргызской Республики;

- внедрить единые правила проведения аудита и контроля кибербезопасности;

- ввести в законодательство Кыргызской Республики ответственность за преступления в сфере кибербезопасности, включая трансграничные компьютерные преступления, внедрить и совершенствовать методики обнаружения, сбора, фиксации и представления доказательств противоправной деятельности с использованием компьютерных технологий;

- определить объекты критической информационной инфраструктуры, с созданием единых стандартов обеспечения их безопасности, а также сформировать систему координации и контроля, а также план действий на случай чрезвычайных ситуаций;

- внедрить систему тестирования и сертификации средств защиты информации и средств криптографической защиты информации;

- за счет внедрения специальных дисциплин (кибербезопасность, компьютерная гигиена и цифровая грамотность) в систему школьного, среднего и высшего профессионального образования Кыргызской Республики повысить человеческий потенциал;

- гармонизировать законодательство, унифицировать термины и понятия, а также международные стандарты в области кибербезопасности в целях устранения барьеров и развития международного научно-технического и правового сотрудничества, обеспечения полноценного участия Кыргызской Республики в международных механизмах регулирования отношений, связанных с обеспечением кибербезопасности;

- сформировать и запустить во взаимодействии с региональными и международными партнерами по развитию программы профессиональной подготовки и повышения квалификации сотрудников специальных служб, правоохранительных органов, органов прокуратуры, а также судей, в части повышения навыков расследования и ведения уголовных процессов по фактам компьютерных преступлений.

В совокупности указанные достижения очертят рамки отечественной системы обеспечения кибербезопасности Кыргызской Республики и позволят в дальнейшем развивать архитектуру системы кибербезопасности.

34. Благоприятные предпосылки для успешной реализации Стратегии:

а) наличие поддержки со стороны политических, законодательных и административных органов государственной власти, в вопросах внедрения, использования и развития информационно-телекоммуникационных технологий и обеспечения их безопасности;

б) заинтересованность международных партнеров из числа представителей различных институтов иностранных государств и международных организаций в оказании содействия в построении технологически продвинутого и безопасного Кыргызстана;

в) готовность к оказанию поддержки и приверженность гражданского общества к инициативам, связанным с обеспечением кибербезопасности и технической нейтральности Кыргызской Республики при осуществлении масштабных проектов по цифровой трансформации;

г) увеличение количества специалистов в области информационных технологий.

35. Одновременно с положительными предпосылками в процессе реализация Стратегии, государственные органы могут столкнуться со следующими рисками:

- отклонение от установленных направлений деятельности по реализации Стратегии;

- отсутствие понимания значимости проводимых преобразований и соответственно затягивание принятия отдельных инициатив и решений, а возможно и намеренное их блокирование;

- недостаточная грамотность государственных гражданских служащих в сфере информационно-коммуникационных технологий, руководителей государственных органов в вопросах киберзащиты и кибербезопасности;

- дефицит профессиональных кадров, обладающих качественными знаниями и опытом в сфере информационно-коммуникационных технологий;

- деятельность деструктивно настроенных лиц и организаций, направленная на оказание подрывного воздействия на принимаемые решения;

- ограниченное или несвоевременное финансирование проектов, связанных с реализацией Стратегии;

- транснациональный и трансграничный характер телекоммуникационных сетей и их международная связанность.

VII. Мониторинг реализации Стратегии

36. Мониторинг и оценка процесса реализации Стратегии будут производиться ежегодно, не позднее 20 декабря, следующего за отчетным годом, с обсуждением их итогов на уровне Аппарата Правительства Кыргызской Республики, по итогам которого будет представляться отчет Премьер-министру Кыргызской Республики. Это позволит заблаговременно исключать возможные отклонения от целей и задач Стратегии и вносить необходимые корректировки в План мероприятий.

37. В настоящее время, согласно глобальному индексу кибербезопасности, публикуемому Международным союзом электросвязи Организации Объединенных Наций, Кыргызская Республика занимает 111-ое место в мире. С выполнением всех пунктов Плана мероприятий Стратегии прогнозируется повышение на 28 позиций.

Согласно национальному индексу кибербезопасности, публикуемому Академией электронного управления Эстонии, Кыргызстан занимает 104 место. К 2023 году планируется повышение на 18 позиций.

В рейтинге Индекса развития информационно-коммуникационных технологий Кыргызская Республика расположена на 109-ом месте (индекс, публикуемый Международным союзом электросвязи Организации Объединенных Наций). В данном рейтинге прогнозируется повышение на 17 позиций при реализации всех запланированных мероприятий Стратегии.

VIII. Финансовые и иные ресурсы реализации Стратегии

38. На реализацию Стратегии в 2019-2023 годах будут направлены средства республиканского бюджета в рамках бюджетных ассигнований государственных органов, в пределах предусмотренных средств на соответствующий год, задействованных в реализации настоящей Стратегии и "дорожной карты" по реализации Концепции цифровой трансформации "Цифровой Кыргызстан 2019-2023", а также средства из других источников, не противоречащих законодательству Кыргызской Республики, включая финансовые средства, выделяемые международными организациями-партнерами.