Cотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS с анализом нормативной базы по информационной безопасности в Узбекистане. Впервые опубликована в ноябре 2014, актуализирована в декабре 2024.
Любой CISO (англ. Chief Information Security Officer) — руководитель отдела информационной безопасности, приступая к работе по организации работы подразделения, разработке внутренней нормативной базы по ИБ, озадачивается вопросом – какие имеющиеся документы принимать за основу. В этой статье попробуем кратко проанализировать существующие документы по этой теме.
Для упорядочения типов нормативов предлагаем использовать условную иерархию. На самом высоком уровне, в законодательном плане, проблемы по ИБ упомянуты в Уголовном кодексе, в главе XX(1), ознакомиться с документом будет не лишним, но в практической работе для CISO он вряд ли применим.
На высшем уровне находитя Конституция Республики Узбекистан в новой редакции, которая вступила в силу 01.05.2023 Теперь в тексте основного закона упоминается интернет и даже право на защиту своих персональных данных.
Следующими по уровню иерархии нормативной базы находятся законы. Из них можно почерпнуть общий взгляд на проблему, некоторые общие определения. Вот, пожалуй, основные из них, в которых упоминается информационная безопасность:
• Закон «Об информатизации». В статьях 19 и 20 определяются цели защиты информационных систем, а также обязанности физических и юридических лиц по их защите таких систем, содержащих, в том числе, и конфиденциальную информацию.
• Закон «О принципах и гарантиях свободы информации». Тут стоит обратить особое внимание на статьи с 11 по 15, в которых достаточно подробно описано какая информация и как (в правовом смысле) защищается.
• Закон «О телекоммуникациях» в большей степени касается операторов и провайдеров, но многие тезисы могут быть полезными.
• Закон «О персональных данных», вступает в силу 1 октября 2019 г.
• Закон «О кибербезопасности», дата вступления в силу 17 июля 2022 г.
• Закон «Об электронной цифровой подписи» в новой редакции, дата вступления в силу 14 января 2023 г.
• Закон «О защите информации в автоматизированной банковской системе». Несмотря на такое прикладное название, многие тезисы могут быть использованы и адаптированы при разработке нормативов. Финансовая отрасль вообще почти всегда идет в авангарде ИБ, в данном случае это подтверждается и принятием такого закона, в котором вопросы безопасности АБС освещены отдельно.
Далее по статусу идут государственные стандарты. Основными стандартами в области информационной безопасности являются стандарты серии O`z DSt ISO/IEC 27000. Большинство стандартов этой серии принято и введено в действие в качестве государственного стандарта Узбекистана и имеют степень соответствия IDT (т.е. идентичный соответствующему международному стандарту) или MOD (т.е. модифицированный, как правило, слегка скорректированный в плане оформления или нумерации разделов). В качестве основных стандартов серии можно отметить:
• O`z DSt ISO/IEC 27000:2022 «Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь»
• O`z DSt ISO/IEC 27001:2020 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования». Этот стандарт описывает требования к системе управления информационной безопасностью и именно по этим требованиям происходит сертификация систем.
• O'z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью». Этот стандарт можно назвать настольной книгой специалиста по информационной безопасности, именно в нем изложены не только основные требования (этим он связан с O`z DSt ISO/IEC 27001:2016), но и указано, как именно нужно реализовывать каждое конкретное требование. Именно с учетом большинства требований этого стандарта и разрабатываются нормативы по ИБ, создаются системы обеспечения безопасности.
• Национальный стандарт Узбекистана OʻzМSt ISO/IEC 27005:2024 (ISO/IEC 27005:2022, IDT) Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство по управлению рисками информационной безопасности. Для предприятий, которые давно и подробно занимаются проблемами ИБ, этот стандарт будет подспорьем в формировании системы управления рисками, т.е. в переходе на следующий, более высокий уровень зрелости. Для остальных же данный стандарт поможет в выборе приоритетных защитных механизмов, ведь всегда нужно решить, что нужно сделать в первую очередь, а что можно и позже. Подход с использованием принципов риск-менеджмента поможет в этом.
Следующий уровень условной иерархии документов – руководящие документы которые описывают какую-то определённую сферу в области ИТ и ИБ. Например:
RH 45-129:2008 «Страхование информационных рисков. Инструкция по проведению экспертизы (аудита) безопасности информационных систем.»
RH 45-199:2008 «Страхование информационных рисков. Методика оценки ущерба и определение суммы страхового возмещения.»
Самым конкретными и подробными являются, как правило, требования по информационной безопасности, предъявляемые регуляторами.
В конце 2017 года был утверждён и в начале 2018 года появился в публичном доступе достаточно объемный документ, изданный Центром информационной и общественной безопасности (сейчас ГУП "Центр кибербезопасности") - «Требования обеспечения информационной безопасности органов государственного и хозяйственного управления, государственной власти на местах». Документ призван свести в единый документ требования множества стандартов, в том числе серии ISO 27000, выбрав самые важные из них и снабдив их более конкретными требованиями и разъяснениями. Т.е. у администратора ИБ в госоргане появился единый документ, отправная точка всех работ по обеспечению информационной безопасности.
Другими яркими примерами этого класса документов являются положения Центрального банка Республики Узбекистан. Например:
1. Положение о защите информации в автоматизированных системах коммерческих банков Республики Узбекистан (рег. в МинЮсте №3224 10.03.2020) на русском языке - перевод ITTS. Ссылка на документ на Lex.uz.
2. Положение о порядке применения мер и санкций в отношении банков и небанковских кредитных организаций. рег.№ 3492 23.01.2024 г. (🔎наш обзор этих штрафов).
3. Положение о мерах по обеспечению информационной безопасности и кибербезопасности платежных систем операторов платежных систем и поставщиков платежных услуг и профилактики правонарушений, совершаемых посредством цифровых технологий 21.05.2024 г., рег. № 3513 21.05.2024
Приказы Министра Юстиции Республики Узбекистан в сфере защиты персональных данных:
1. Типовой порядок организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора, обеспечивающего обработку персональных данных и их защиту (утверждён приказом министра юстиции Республики Узбекистан от 15.11.2023 г., рег.№ 3477)
2. Типовой порядок обработки персональных данных (утверждён приказом министра юстиции Республики Узбекистан от 15.11.2023 г., рег.№ 3478)
Приказы Службы государственной безопасности Республики Узбекистан:
1. Приказ Председателя Службы государственной безопасности Республики Узбекистан рег. в МинЮсте №3570 от 11 ноября 2024 г. "Об утверждении временного положения о порядке классификации объектов критической информационной инфраструктуры Республики Узбекистан и формирования их единого реестра" (перевод документа на русский язык от ITTS)
2. Приказ председателя СГБ РУз № 3573 от 14.11.2024 “Об утверждении положения о порядке проведения экспертизы на соответствие требованиям кибербезопасности”.
3. Приказ председателя СГБ РУз № 3574 от 14.11.2024 “Об утверждении положения о порядке сертификации аппаратных, аппаратно-программных и программных средств, используемых для обеспечения кибербезопасности информационных систем и ресурсов”.
Выше приведена лишь небольшая часть существующих нормативов по информационной безопасности. Удобными инструментами поиска их являются:
1. LexUz - Информационно-поисковая система Национальной базы данных законодательства Республики Узбекистан.
2. Электронный фонд нормативных документов сферы информационных технологий и коммуникаций.
3. Сайты отраслевых регуляторов.
Обновление от 9.11.2020
1. Пунктом 8.в указа президента Республики Узбекистан «Об утверждении Стратегии «Цифровой Узбекистан-2030» и мерах по ее эффективной реализации» (№ УП-6079 5 октября 2020 г.) предусмотрено:
«Внедрение с 1 января 2021 года системы компенсации до 50 процентов расходов граждан на получение международных IT-сертификатов по системному администрированию, управлению базами данных и облачными платформами, обеспечению информационной безопасности и другим востребованным направлениям». На кого именно распространяется эта льгота и механизмы её реализации нам пока не ясно.
В этом же документе, в пункте 15, важное указание для госорганов:
«Возложить с 1 ноября 2020 года на одного из действующих заместителей руководителей всех министерств и ведомств, органов исполнительной власти на местах полномочия заместителя руководителя по цифровизации (Chief Digital Officer), определив их основными задачами:
«... обеспечение информационной безопасности ведомственной цифровой инфраструктуры, а также защиты электронных данных и документов.»
Проще говоря, во всех госорганах нужно определить одного из заместителей руководителя задачи по ИБ. Если заместителей нет, то вопросами ИБ должен заниматься сам руководитель. Выполнить этот пункт указа, скорее всего, можно или оформлением специального приказа или внести эти пункты в должностные инструкции.
2. Постановление Кабинета Министров Республики Узбекистан «О мерах по дальнейшему развитию системы электронного правительства, а также о введении порядка электронной отчетности государственных органов и организаций перед населением о своей деятельности» № 444 от 16 июля 2020 г.
В документе предполагается до конца 2020 года создание единого реестра информационного систем и ресурсов госорганов. В пункте 2 этого документа уточняется, что под госорганами в т.ч. понимаются организации с долей государства в уставном капитале от 50% и выше. При этом госорганам запрещается разрабатывать и использовать системы, дублирующие уже включенные в единый реестр. (Видимо, чтобы госорганы не тратили средства на разработку однотипных систем, а брали наработки коллег. Прим. ITTS)
Девятым пунктом документа поручается проведение экспертизы ИБ госорганов ГУП «Центр кибербезопасности». (При этом никак не ограничивается проведение подобных экспертиз ИБ другими организациями. Прим. ITTS)