На письмо № 01-3-4-27/3141-И
от 02.06.2020 г.

Национальная палата предпринимателей Республики Казахстан «Атамекен» рассмотрев проект приказа Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан «О внесении изменений и дополнения в приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ «Об утверждении Правил проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры» напарвляет замечания и предложения согласно Приложению.

Приложение: на___листах;

Член Правления –
Заместитель Председателя Правления О. Ордабаев

В последнее время банки получают письма от Государственного учреждения на праве хозяйственного ведения «Государственная техническая служба» Комитета национальной безопасности Республики Казахстан (далее – ГТС КНБ) касательно передачи на единую национальную резервную платформу хранения (далее – ЕНРП) национального координационного центра информационной безопасности резервных копий электронных информационных ресурсов/баз данных банков (далее – ЭИР).

Действующим законодательством Республики Казахстан определен ограниченный перечень случаев раскрытия информации, содержащей охраняемую законом тайну и положения данных нормативных правовых актов не содержат исключительных норм в виде права на раскрытие указанной информации путем передачи резервных копий ЭИР на ЕНРП.

Передача резервных копий ЭИР на ЕНРП приводит к разглашению информации и сведений, составляющих банковскую тайну, требования по защите которых регламентированы статьей 50 Закона РК «О банках и банковской деятельности в Республике Казахстан», коммерческой тайны в соответствии со статьей 126 Гражданского кодекса РК, персональных данных, способы и порядок защиты которых предусмотрены Законом РК «О персональных данных и их защите».

Подпунктом 29-1 пункта 1 статьи 15 Закона РК «О национальной безопасности Республики Казахстан» установлено, что обеспечение безопасности, стабильности финансовой системы относится к исключительной компетенции Агентства Республики Казахстан по регулированию и развитию финансового рынка (далее – АРРФР), являющегося правопреемником Национального Банка Республики Казахстан (далее – НБ РК) в части обеспечения безопасности, стабильности финансовой системы РК.

Требования по безопасности банковских информационных систем обеспечиваются нормативно-правовыми актами АРРФР (ранее – НБ РК) с учетом отраслевых и международных требований по обеспечению безопасности информационных систем.

В соответствии с Постановлением Правления НБ РК от 27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения o нарушениях, сбоях в информационных системах» банками на постоянной основе осуществляется резервное копирование, хранение и архивация информационных систем, их файлов и настроек, которые в полном объеме обеспечивают восстановление работоспособной копии информационных систем банков. Постановлением Правления НБ РК №34 от 28 января 2016 «Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций» определены требования к Планам восстановления систем и их регулярному тестированию.

Таким образом, дополнительная процедура резервного копирования и передачи ЭИР противоречит пункту 10 статьи 3 Закона Республики Казахстан «Об административных процедурах», согласно которой предусмотрены принципы четкого разграничения компетенции и согласованного функционирования всех государственных органов и должностных лиц государства, предполагающие исключение дублирования полномочий государственных органов в определенной сфере правоотношений.

Поскольку передача резервных копий также будет являться нарушением установленного действующим законодательством Республики Казахстан порядка предоставления сведений, содержащих охраняемую законом тайну, банки не вправе осуществлять передачу резервных копий ЭИР на ЕНПР.

Также ряду банков поступили сообщения от ГТС КНБ о необходимости подключения банков к Единому шлюзу доступа к Интернету (далее - ЕШДИ).

Информационно-коммуникационная инфраструктура банков не оказывает влияние на непрерывную безопасную эксплуатацию особо важных государственных объектов, стратегических объектов либо возникновение угрозы чрезвычайной ситуации, объектов отраслевой экономики, объектов информатизации «электронного правительства» и иных информационных коммуникационных услуг, частичное или полное нарушение функционирования которых может привести к чрезвычайной ситуации социального характера.

В связи с тем, что банки не относятся к критически важным объектам информационно-коммуникационной инфраструктуры статья 30 Закона РК «Об информатизации» к банковскому сектору не применима.

Подключение и пропуск трафика операторов связи через единый шлюз доступа к Интернету осуществляются на договорной основе.

В свою очередь, банки не используют услуги оператора информационно-коммуникационной инфраструктуры или другого оператора связи, имеющего зарезервированные каналы связи на оборудовании ЕШДИ и объекты информатизации банков, в том числе интернет-ресурс и информационно-коммуникационная инфраструктура не подключены к ЕШДИ.

Согласно пп.2) п. 1 ст. 54 Закона РК «Об информатизации» в отношении объектов информационно-коммуникационной инфраструктуры и КВОИКИ защита объектов информатизации осуществляется их собственниками или владельцами.

Банками принимаются соответствующие меры по недопущению несанкционированного доступа или иного несанкционированного воздействия на средства обработки и передачи электронных информационных ресурсов.

В связи c вышеизложенным считаем, что необходимость в предоставлении запрашиваемых данных об интернет ресурсе для использования межсетевого экрана для защиты веб-приложений и средств мониторинга несанкционированных изменений веб-страниц интернет ресурсов отсутствует.

Учитывая вышеизложенное, просим исключить информационно-коммуникационную инфраструктуру банков из перечня КВОИКИ и подпункт 12) пункта 2  проект приказа Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ «Об утверждении Правил проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры» (далее – проект приказа) изложить в следующей редакции:

12) критически важные объекты информационно-коммуникационной инфраструктуры (далее – КВОИКИ) – объекты информационно-коммуникационной инфраструктуры, нарушение или прекращение функционирования которых приводит к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или для жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности «электронного правительства».

Вместе с тем, в пункте 6 проект приказа правовая форма Государственной технической службы из республиканского государственного предприятия на праве хозяйственного ведения заменяется на акционерное общество.  

Данные поправки противоречат подпункту 40-1) статьи 2 Закона РК «О связи» в соответствии с которым государственная техническая служба -  это республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан.