Читайте репортаж с основными выводами конференции - profit.kz/news/61415/PROFIT-Security-Day-2021-kiberugrozi-v-novoj-realnosti/

Видно, слышно, Алматы)))

Как будет осуществляться сбор перс данных в рамках нацпроекта DigitEl? Ответ МЦРИАП: Требования по сбору персональных данных отражены в законодательстве РК о персональных данных и их защите. Сбор и обработка персональных данных указанным проектом будет осуществляться с учетом требований вышеназванного законодательства.

Куда и как обращаться при обнаружении, что твои ПД были «слиты» 3им лицам? Ответ МЦРИАП: Комитет является уполномоченным органов в сфере защиты персональных данных и в соответствии с пунктом 1 статьи 692-2 КоАП РК рассматривает дела об административных правонарушениях, в том числе, предусмотренные статьей 79 КоАП РК. Для возбуждения административного производства в обращении должны содержаться достаточные данные, указывающие на признаки административного правонарушения - материалы, подтверждающие факт нарушения, субъект, допустивший правонарушение и сроки его совершения. Далее, после рассмотрения дела об административном правонарушении, уполномоченный орган в сфере защиты персональных данных выносит решение о наложении административного взыскания или прекращении производства по делу согласно действующему законодательству и уведомляет заявителя о принятых мерах. Анонимные обращения и обращения, не отражающие суть вопроса (нарушения) и конкретного правонарушителя согласно законодательству не подлежат рассмотрению.

Как часто происходят утечки персональных данных с гос ресурсов?? Ответ МЦРИАП: Факты утечки персональных данных из государственных информационных систем единичны и в основном связаны с человеческими факторами.

Есть ли у ЕСЭДО, которую сопровождает НИТ, документы о соответствии требованиям ИБ? Ответ МЦРИАП: ИС «Единая система электронного документооборота с web- интерфейсом» имеет акт испытании на соответствие требованиям информационной безопасности от 14 августа 2020 года (www.gov.kz/memleket/entities/mdai/documents/details/139801?lang=ru).

Почему вопрос организации центра биометрических данных не обсуждался? Компрометация его ресурсов будет катастрофой Ответ МЦРИАП: Заинтересованными государственными органами прорабатывается вопрос создания подобной системы.

Почему ГТС требует, чтобы наименование документов совпадали с наименованием документов из единых требований? Ведь самое главное это наличие утвержденных процедур. Ответ МЦРИАП: Наименование технической документации по информационной безопасности прописано в постановлении Правительства Республики Казахстан № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности».

Планируется ли разработка исчерпывающего перечня сведений, которые будут отнесены к персональным данным ограниченного доступа? Ответ МЦРИАП: Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан. Следовательно, отнесение каких-либо персональных данных к персональным данным ограниченного доступа определяется законодательством Республики Казахстан даже в случае исключения. Таким образом, в настоящее время отсутствует необходимость разработки перечня персональных данных ограниченного доступа.

Можно ли в отрытом доступе посмотреть перечень ИС, имеющих акт о прохождении испытаний ИБ? Ответ МЦРИАП: Перечень ИС, имеющих акт испытания на соответствие требованиям информационной безопасности, можно посмотреть на официальном интернет-ресурсе Комитета по информационной безопасности (www.gov.kz/memleket/entities/mdai/documents/details/139801?lang=ru). Информация, размещенная на сайте содержит подробные сведения по наименованию информационной системы и организации заявителя и дата выдачи акта о прохождении испытаний ИБ за последнее три года.

Государственная организация (для примера региональное Управление образования или здравоохранения - подключена к сети интернет через ЕШДИ Необходимо ли устанавливать аппаратный фаирвол с функциями предотвращения атак или уже весь трафик передаваемый является безопасным? Ответ МЦРИАП: Единым шлюзом доступа к Интернету является аппаратно-программный комплекс, предназначенный для защиты сетей телекоммуникаций при доступе к Интернету и (или) сетям связи, имеющим выход в Интернет. Таким образом, передаваемая информация по сетям телекоммуникаций, подключенным к ЕШДИ, является защищенным. При этом допускается установка дополнительных аппаратно-программных комплексов с функциями предотвращения атак.

Законно ли, что банк без уведомления клиента запрашивает кредитную историю и потом предлагает ему кредиты? Ответ МЦРИАП: В соответствии Законом Республики Казахстан «О персональных данных и их защите» сбор и обработка персональных данных, а также доступ к персональным данным осуществляются с согласия субъекта или его законного представителя, за исключением случаев, предусмотренных статьей 9 Закона. При отсутствии согласия субъекта на сбор и обработку персональных данных, а также иных законных оснований в действиях Банка будут усматриваться нарушения законодательства Республики Казахстан о персональных данных и их защите.

Отменили ли бессмысленное требование для КВОИКИ о централизованном хранении резервных копий ИС? Ответ МЦРИАП: В соответствии с подпунктом 4) пункта 2-1 статьи 17 Закона «Об информатизации», владелец КВОИКИ обязан осуществлять передачу резервных копий электронных информационных ресурсов на единую национальную резервную платформу хранения электронных информационных ресурсов в порядке и сроки, которые определены уполномоченным органом в сфере обеспечения информационной безопасности, если иное не установлено законами Республики Казахстан. Кроме того, в соответствии с пунктом 4 Правил функционирования единой национальной резервной платформы хранения электронных информационных ресурсов (Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 16 марта 2018 года № 44/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 2 мая 2018 года № 16857.) НКЦИБ обеспечивает безопасность, непрерывность и отказоустойчивость работы ЕНРП, гарантирует владельцу КВОИКИ целостность, конфиденциальность и доступность его резервных копий ЭИР, хранящихся на ЕНРП. Вместе с тем Комитет готов рассмотреть частные случаи невозможности предоставления резервных копий для принятия нормативно-правовых исключений.

Алматы

Есть ли в Казахстане единая биометрическая система? Ответ МЦРИАП: В настоящее время у государственных органов отсутствует данная система.

Почему вообще используется российская платформа Телеграм в нарушение ЕТ о размещении АПК на территории РК? Мои персональные данные уходят на зарубежные серверы, кто за это ответит? Почему КИБ допускает такое? Ответ МЦРИАП: Вопрос хранения персональных данных регламентирован законодательством Республики Казахстан о персональных данных и их защите. При этом согласие на трансграничную передачу персональных данных с последующим хранением на территории иностранных государств предоставляется самим субъектом персональных данных. Тем самым, защита персональных данных осуществляется интернет-сервисом. Необходимо отметить, что в настоящее время Комитетом во исполнение требований Закона Республики Казахстан «О персональных данных и их защите» по размещению баз на территории Республики Казахстан прорабатывается вопрос размещения баз данных таких интернет-сервисов на территории РК или ЕАЭС. Поскольку для администраций иностранных мессенджеров вопрос размещения базы данных граждан Республики Казахстан на территории РК является трудоемким и нерентабельным с точки зрения необходимости, то решением этого вопроса мы видим вышеуказанное предложение прорабатывать в рамках ЕАЭС.

Хоть скажите, какая пасхалка с девушкой?)

И формат мероприятия и доклады больше на шоу похоже, никакой полезной информации не получил, тема с непонятными конкурсами (найди посхалку) только отвлекает и забирает время. Для меня бесполезная потеря времени, рекомендую перейти к серьезному формату.

и с ремнём непонятная история )

Не все выступавшие компетентны в теме своего доклада. Удивил парень, сравнивавший ИТ и промышленные системы. Похоже он не видел ни того, ни другого. Не имеет понятия о процессах оценки рисков ит систем.