ОДКБ. Кыргызская Республика

ОДКБ. Кыргызская Республика

Продолжаем серию материалов по анализу законодательства в области информационной безопасности (ИБ) стран — членов Организации Договора о коллективной безопасности (ОДКБ). На этот раз рассматриваем законодательство Кыргызской республики (далее — КР).

ОБЩИЕ СВЕДЕНИЯ

Кыргызская Республика — государство в Центральной Азии, расположенное в западной и центральной части горной системы Тянь-Шань и на Памиро-Алае. На севере граничит с Казахстаном, на западе — с Узбекистаном, на юго-западе — с Таджикистаном, на востоке и юго-востоке — с Китаем.

Столица — Бишкек, считается самым населённым городом республики. Государственный язык — киргизский, русский язык имеет статус официального языка.

Кыргызстан является членом ООН, СНГ, ЕАЭС, Шанхайской организации сотрудничества, Таможенного союза, Организации исламского сотрудничества, Организации тюркских государств, ТЮРКСОЙ.

Между Кыргызстаном и Россией заключено более 120 договоров, соглашений и иных документов о сотрудничестве. ВВС России располагают базой в Кыргызстане.

Органы, утверждающие законы и подзаконные акты в области ИБ в КР: Президент КР, Правительство КР, Государственное агентство по защите персональных данных при Кабинете министров КР, Национальный Банк КР.

Все документы имеют общереспубликанское значение и применяются для организации и обеспечения информационной и кибербезопасности.

Далее рассмотрим основные нормативные и иные акты КР, составляющие нормативно-правовую основу по обеспечению информационной и кибербезопасности.

ТАЙНЫ

Документы КР, определяющие различные виды тайн.

Закон КР от 15 декабря 2017 года № 210 (15) «О защите государственных секретов Кыргызской Республики»

В данном Законе разграничены понятия и категории государственных и негосударственных секретов, а также определён правовой режим ограничений и допуска к данной категории информации.

Государственные секреты подразделены на следующие категории: государственная, военная и служебная тайны.

К негосударственным секретам относятся: коммерческая тайна, информация для служебного пользования, не для печати, тайна следствия, врачебная, личная и другие виды тайны. Сохранение негосударственных секретов осуществляется их собственником, а также лицами, которым они доверены по службе и роду деятельности.

В законе также определён перечень информации (сведений), которая не может быть засекречена и доступ к которой не может быть ограничен.

Отнесение информации к государственным секретам осуществляется в соответствии с «Положением о порядке определения и установления степени секретности сведений, содержащихся в работах, документах и изделиях», на основании «Перечня главнейших сведений, составляющих государственные секреты» и «Перечня сведений, подлежащих засекречиванию», утверждаемых Постановлением Правительства КР Республики, от 7 июля 1995 года № 267/9.

Закон КР от 30 марта 1998 года № 27 «О коммерческой тайне»

Под коммерческой тайной понимаются сведения, не являющиеся государственной тайной, связанные с производством, технологией, управлением, финансовой и другой деятельностью хозяйствующего субъекта, разглашение которых может нанести ущерб его интересам. Закон определяет правовые основы защиты коммерческой тайны на территории КР и порядок доступа к ней.

Закон КР от 14 апреля 2008 года № 58 «Об информации персонального характера»

Настоящий Закон направлен на правовое регулирование работы с персональными данными на основе общепринятых международных принципов и норм в соответствии с Конституцией и законами Кыргызской Республики в целях обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных.

Прописаны общие требования, касающиеся обеспечения технической безопасности данных, действующих в отношении держателей (обладателей) массива персональных данных и обработчика. Закон определяет разные категории контроля данных за доступом, допуском, пользователем, подписью и вводом, средствами передачи и транспортным контролем.

Закон КР от 28 декабря 2006 года № 213 «О доступе к информации, находящейся в ведении государственных органов и органов местного самоуправления Кыргызской Республики»

Регулирует отношения, связанные с доступом физических и юридических лиц к информации, находящейся в ведении государственных органов и органов местного самоуправления.

КОНЦЕПТУАЛЬНЫЕ ДОКУМЕНТЫ

Концептуальные документы, охватывающие вопросы информационной и кибербезопасности.

Указ Президента КР, от 31 октября 2018 года УП № 221 «Национальная стратегия развития Кыргызской Республики на 2018–2040 годы»

П. 4.5 данного документа предусматривает необходимость сосредоточения усилий на критически важных направлениях, таких как обеспечение кибербезопасности информационно-коммуникационных технологий, а также информационных систем, создание системы реагирования на киберугрозы и киберинциденты.

Постановление Правительства КР от 24 июля 2019 года № 369 «Об утверждении Стратегии кибербезопасности Кыргызской Республики на 2019–2023 годы»

Данная стратегия разработана в соответствии со статьями 10 и 17 конституционного Закона Кыргызской Республики «О Правительстве Кыргызской Республики» для формирования единой национальной политики кибербезопасности.

Целью данного документа является формирование в КР системы и политики кибербезопасности, которая защищает жизненно важные интересы государства в киберпространстве и обеспечивает как цифровую трансформацию экономики, так и устойчивое социально-экономическое развитие.

Постановление Правительства КР от 3 мая 2019 года № 209 «Концепция информационной безопасности Кыргызской Республики на 2019–2023 годы»

Концепция представляет собой совокупность официальных взглядов на обеспечение национальной безопасности КР в информационной сфере и ставит в качестве основных приоритетов информационной безопасности несколько задач по кибербезопасности, однако их перечень полностью дублирует приоритеты, указанные в Стратегии кибербезопасности.

Указ Президента КР от 20 декабря 2021 года № 570 «Концепция национальной безопасности Кыргызской Республики»

Концепция также рассматривает вопросы кибербезопасности в тесной связке с общими вопросами информационной безопасности. Однако среди задач кибербезопасности выделены обеспечение бесперебойной, устойчивой и защищённой эксплуатации сетей связи, повышение уровня защищённости государственных информационно-телекоммуникационных систем и объектов критичной инфраструктуры, создание благоприятных условий для эффективного предупреждения и оперативного выявления (пресечения) киберпреступлений.

ЗАКОНЫ

Основные законы в области информационной и кибербезопасности КР.

Закон — нормативный правовой акт, принимаемый Жогорку Кенешем в установленном порядке и регулирующий наиболее важные общественные отношения в соответствующей сфере.

Уголовный кодекс КР от 28 октября 2021 года № 127

Содержит ряд специальных норм по киберпреступлениям, в нём уточняется понятие преступлений против кибербезопасности и содержится девять статей, в рамках которых компьютерные системы или иные технические средства определяются как объект или элемент объективной стороны преступления. Четыре статьи непосредственно относятся к киберпреступлениям и выделены в отдельную главу 40 «Преступление против кибербезопасности».

Кодекс о правонарушениях КР от 28 октября 2021 года № 128

Глава 26 содержит две статьи, касающиеся правонарушений в сфере информационной безопасности, «Неправомерный доступ к компьютерной информации» и «Нарушение требований по защите информации персонального и коммерческого характера».

Закон КР от 5 декабря 1997 года № 89 «О гарантиях и свободе доступа к информации»

Настоящий Закон регулирует отношения, возникающие в процессе реализации права каждого свободно и беспрепятственно искать, получать, исследовать, производить, передавать и распространять информацию.

Закон КР от 19 июля 2017 года № 128 «Об электронной подписи»

Настоящий Закон регулирует отношения по использованию электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также при совершении юридически значимых действий.

Закон КР от 2 июля 1992 года № 938-XII «О средствах массовой информации»

Закон определяет общие правовые, экономические и социальные основы организации сообщений через средства массовой информации и направлен на свободное функционирование средств массовой информации, регулирует их отношения с государственными органами, общественными объединениями, предприятиями, организациями и гражданами.

Закон КР от 19 июля 2017 года № 127 «Об электронном управлении»

Закон определяет порядок электронного управления в КР. В качестве одной из задач электронного управления определяется необходимость обеспечения информационной безопасности. Также отмечается, что защита прав обладателя информации осуществляется в том числе внедрением технических мер защиты информации.

Под электронным управлением в КР понимается деятельность государственных органов, органов местного самоуправления, их должностных лиц, организаций и граждан по принятию юридически значимых решений и совершению юридически значимых действий с использованием электронных документов и иной информации в электронной форме.

Закон КР от 21 января 2015 года № 21 «О платёжной системе Кыргызской Республики»

Настоящий Закон устанавливает порядок и формы осуществления платежей и расчётов, проведения денежных переводов на территории КР, определяет характеристики платёжных систем, порядок взаимоотношений между участниками платежей и расчётов, надзор (оверсайт) за платёжными системами и определяет полномочия Национального банка КР в платёжной системе КР.

Закон КР от 2 апреля 1998 года № 31 «Об электрической связи»

Закон устанавливает правовые основы для эксплуатации сетей связи и предоставления услуг электросвязи в КР, определяет компетенцию государственных исполнительных органов, уполномоченных осуществлять регулирование таких услуг, режим получения необходимых разрешений на их предоставление, а также права и обязанности юридических и физических лиц, эксплуатирующих сети электросвязи и предоставляющих услуги электросвязи (включая Кыргызтелеком), и пользователей этих услуг.

ПОСТАНОВЛЕНИЯ И ПРИКАЗЫ

Постановление Правительства КР от 21 ноября 2017 года № 762 «Об утверждении Требований к защите информации, содержащейся в базах данных государственных информационных систем»

Требования разработаны в соответствии с Законом Кыргызской Республики «Об электронном управлении» и определяют меры по защите информации, а также требования к использованию информационных технологий в государственных информационных системах и обеспечения безопасности информации, содержащейся в их базах данных.

Постановление Правительства КР от 21 мая 2020 года № 266 «О Координационном центре по обеспечению кибербезопасности Государственного комитета национальной безопасности Кыргызской Республики»

Постановление описывает основные задачи, функции и организационную деятельность координационного центра по обеспечению кибербезопасности Кыргызской Республики (CERT-KG).

Постановление Правительства КР от 6 февраля 2020 года № 66 «Об отдельных вопросах, связанных с базовыми государственными информационными ресурсами»

Описывает порядок формирования, актуализации и использования Реестра базовых государственных информационных ресурсов, разработан в соответствии с Законом КР «Об электронном управлении» и содержит «Требования к формированию, актуализации и использованию базовых государственных информационных ресурсов», данные требования разработаны в соответствии с Законом КР «Об электронном управлении» и определяют условия создания, ведения и использования базовых государственных информационных ресурсов, а также содержат перечень мер, направленных на обеспечение соблюдения прав субъектов персональных данных, и меры по защите информации, в том числе меры по ограничению доступа к конфиденциальной информации, имеющейся в базовых государственных информационных ресурсах.

Постановление Правительства КР от 31 декабря 2019 года № 744 «О некоторых вопросах, связанных с государственными информационными системами»

Настоящие Требования разработаны в соответствии с Законом КР «Об электронном управлении» и устанавливают порядок создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных или муниципальных информационных систем государственными органами или органами местного самоуправления КР.

Постановление Правительства КР от 21 ноября 2017 года № 760 «Об утверждении Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищённости персональных данных»

Настоящие Требования устанавливают уровни защищённости персональных данных при их обработке в информационных системах, критерии угроз безопасности персональных данных, вошедших в перечень угроз, а также требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищённости персональных данных, в соответствии со статьёй 21 Закона КР «Об информации персонального характера». Данные требования являются первым подзаконодательным актом, использующим принципы управления рисками кибербезопасности, определяя требования к защите в зависимости от уровня угроз и нанесения потенциального вреда.

КРЕДИТНО-ФИНАНСОВАЯ СФЕРА

Постановление Комитета по надзору НБ КР от 21 октября 2009 года № 21/1 «Рекомендации по обеспечению безопасности информационных систем в микрофинансовых организациях Кыргызской Республики»

Рекомендации разработаны в соответствии с Гражданским кодексом Кыргызской Республики, законами Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О микрофинансовых организациях в Кыргызской Республике» и другими нормативными и правовыми актами Кыргызской Республики. Данный документ носит рекомендательный характер и содержит сведения и рекомендации по созданию, разработке и эксплуатации информационных систем, выбору и внедрению программного обеспечения.

Постановление Правления Национального банка КР от 2 сентября 2019 года № 2019-П-14/46-2-(ПС) «Положение о нештатных ситуациях в платёжной системе»

Положение определяет основные понятия и требования для обеспечения бесперебойного функционирования платёжной системы, а также при возникновении нештатных ситуаций, связанных с надёжностью и бесперебойностью, доступностью, несанкционированным доступом к системе, мошенничеством и форс-мажорными обстоятельствами.

Постановление Правления Национального банка КР от 30 сентября 2019 года № 2019-П-14/50-2-(ПС) «Положение о регулировании деятельности платёжных организаций и операторов платёжных систем»

Настоящее Положение определяет требования, обязательные для исполнения платёжными организациями и операторами платёжных систем, имеющими лицензию Национального банка КР.

Постановление Правления Национального банка КР от 31 марта 2023 года № 2023-П-14/21-1-(ПС), Положение «О требованиях по обеспечению информационной безопасности операторов платёжных систем и платёжных организаций»

Положение устанавливает единые требования для операторов платёжных систем и платёжных организаций (далее — ОПС/ПО), направленных на повышение уровня информационной безопасности в ОПС/ПО, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала. 

Постановление Комитета по надзору НБ КР от 3 декабря 2004 года № 26/1 «Методические рекомендации по проверке соблюдения безопасности информационных систем в коммерческих банках Кыргызской Республики»

Настоящие Методические рекомендации разработаны Национальным банком КР в целях оказания содействия инспекторам банковского надзора и специалистам по информационной безопасности при проведении проверки соблюдения безопасности информационных систем коммерческих банков и других финансово-кредитных организаций, лицензируемых Национальным банком, а также Государственного банка развития КР и служат для руководства при проведении проверки на месте.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Приказ Государственного агентства по защите персональных данных при Кабинете министров от 19 декабря 2022 года № 13-П, «Методика определения угроз безопасности в информационных системах персональных данных»

Методика устанавливает механизмы определения угроз безопасности в информационных системах персональных данных и защиты персональных данных при их обработке в информационных системах, обрабатывающих персональные данные в зависимости от требуемого уровня защищённости персональных данных.

СТАНДАРТЫ

Национальные стандарты КР:

КМС СТБ ISO/IEC 27001:2020 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасностью. Требования».

КМС ГОСТ Р ИСО 22301:2020 «Системы менеджмента непрерывности бизнеса. Общие требования».

КМС ISO 31000:2010 «Менеджмент рисков. Принципы и руководящие указания».

ГОСТ ISO/IEC 27014:2021 «Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по информационной безопасности».

ГОСТ ISO/IEC 24760-2-2021 «Методы и средства обеспечения безопасностью. Основы управления идентичностью. Часть 2. Базовая архитектура и требования (ISO/IEC 24760-2:2015, IDT)».

ГОСТ ISO/IEC 19896-1-2021 «Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общее требования».

ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных».

ГОСТ ISO/IEC 19249-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений (ISO/IEC TS 19249:2017, IDT)».

КОММЕНТАРИЙ

Анализ правового поля КР показывает, что, несмотря на обилие нормативных правовых актов в сфере информатизации, противоречий в вопросах обеспечения информационной и кибербезопасности не существует. Однако данные нормативные документы не определяют однозначные правовые рамки, основополагающие принципы и единые подходы в вопросе обеспечения информационной и кибербезопасности КР. При их использовании не представляется возможным выстроить единый подход или системную государственную политику в данной области.

Как пример, в «Стратегии кибербезопасности» (далее — Стратегия) в целом определены общие рамки политики и законодательного обеспечения. Но данная Стратегия предусматривает значительный перекос в сторону милитаризации в вопросе кибербезопасности КР, не принимая во внимание деятельность гражданских государственных органов и частных структур. Документ не рассматривает возможность государственно-частного партнёрства в области кибербезопасности.

На уровне законов отсутствуют обозначенные в Стратегии секторы, отрасли и сфера деятельности, в которых функционируют объекты критичной инфраструктуры, в том числе и в государственном секторе. Отсутствуют критерии и параметры, определяющие принадлежность объектов к критической инфраструктуре, и не установлены обязательные требования к обеспечению безопасности как самих объектов, так и операторов критичной инфраструктуры.

Не реализованы положения, указанные в Стратегии, касательно методов и средств компьютерной криминалистики, введение в нормативные правовые акты понятия цифровых доказательств, описание и изложение его критериев, характеристик и способов фиксации.

Кроме этого, данные нормативные правовые акты в области связи, цифровизации и телекоммуникаций ведут к неоднозначному толкованию многих терминов и определений, а разрозненность субъектов информационного рынка, ответственных за обеспечение информационной безопасности, мешает проведению чёткой политики в этой направлении.

Как пример, специальный термин (киберсаботаж), используемый в Уголовном кодексе, не соответствует терминологическому глоссарию, используемому в стратегических документах в области кибербезопасности, а также в законодательстве КР, регулирующем сектор связи и телекоммуникаций.

Надеемся, что данный материал поможет ориентироваться в законодательстве КР. Мы постарались облегчить путь изучения и применения нормативных законов и подзаконных актов в области информационной и кибербезопасности одного из наших ближайших соседей — Кыргызской Республики.