Бұл – Әкімшілік құқық бұзушылық, Кәсіпкерлік, Еңбек және Денсаулық сақтау кодекстеріне, сондай-ақ қолданыстағы 10 заңға өзгерістер мен толықтырулар енгізетін ауқымы құжат.
Inbusiness.kz онымен таныса келе, келесі жылы толыққанды күшіне енетін басты жаңашылдықтарын түсіндіреді.
Жаңа заңға сай, қазақстандықтардың жеке басын куәландыратын құжаттардың, яғни жеке куәлік пен паспорттың көшірмесін сұратуға, жинауға, өңдеуге тыйым салынады.
Оны тек егер ұйым меморгандардың, мемлекеттік заңды тұлғалардың ақпараттық жүйелерімен интеграцияланбаған болса ғана сұратуына рұқсат. Мәселен, шетелдік елшіліктен, консулдықтан виза алғанда. Технологиялық құралдардың көмегімен адам тұлғасын анықтау мүмкін болмағанда да құжатының көшірмесін алдыртуға жол беріледі.
Бұдан бөлек, "мемлекеттік мүддені қорғау және ұлттық қауіпсіздікті қамтамасыз ету" үшін шетелден келушілер, мигранттар, релоканттар, босқындар және басқасы жеке басын куәландыратын құжаттардың, паспортының көшірмелерін тапсыруға міндеттеледі. Бұған дейін жатжұрттықтар шекарада, әуежайда құжатын паспорттық бақылауда бір көрсетіп, ішке өтіп кете беретін.
"Бұл қауіпсіздікті қамтамасыз ету үшін керек. Елге енген шетелдіктердің құжаттарының көшірмесін алудың бірнеше себебі бар. Оның жеке басын, келуінің заңдылығын, мәртебесін анықтау үшін қажет. Бұған дейін қағаз түрінде берілетін құжаттар біздің азаматтарға да, шетелдік азаматтарға да міндетті болды. Алайда енді автоматтандырылғаннан кейін біздің азаматтар ондай процедурадан босатылады. Ал қауіпсіздікті қамтамасыз ету үшін шетелдіктер құжаттарының көшірмесін беруге міндетті", – деп қысқаша түсініктеме берді Ішкі істер министрінің бірінші орынбасары Марат Қожаев.
"Жаңа мұнай" мықтырақ қорғалады
Заң "қазіргі заманғы жаңа мұнай" атанған дербес деректердің айналымы мен сақталуы саласында мемлекеттік бақылауды күшейтеді, сол үшін қажетті құқықтық базаны қалыптастырады.
Заңда жаңа талап көзделген: азаматтардың дербес деректерін жинаумен айналысатын кез келген оператор олардың қауіпсіздігі бұзылғанын, деректер сыртқа "ағып" кеткенін білсе, онда ол туралы уәкілетті органға дереу, 1 жұмыс күнінен кешікпей хабарлауға міндеттеледі. Хабарламаса, жазаға тартады.
Әйтпесе, қалыптасқан тәжірибе бойынша дербес деректердің сыртқа кетіп қалғанын анықтаса да, операторлар дым білмегендей, тым-тырыс отыра береді. Тіпті сол туралы жариялаған ақпарат құралдары мен сарапшыларға қоқан-лоққы көрсетіп, жоққа шығарып әлек болады.
Жекеменшік операторлар заңға сәйкес, төл ақпараттық жүйелерінің осал тұстары мен кемшіліктерін дер кезінде анықтап, ұдайы жетілдіру үшін ақпараттық жүйелерді зерттеуші үздік мамандарын тартуға тиіс.
Сонымен қатар мемлекетке қарасты дерекқорлар да жете қорғалмаған. Олардан да қаншама рет деректер ұрланыпты.
Бұған дейін Inbusiness.kz жазғандай, Орталық сайлау комиссиясынан – республикадағы 12 миллиондай азаматтың дербес дерегі; "Спортмастер" сауда желісінен – 260 мыңнан астам адамның дербес деректері; "Қазпоштадан" – шамамен 12 миллион жазба; ChocoFamily-ден – шамамен 12 мың жазба, сондай-ақ "ЯндексЕда" сервисінен миллиондаған адамның деректері сыртқа тарап кеткені әшкере болды. Бұл – тек кейінгі оқиғалар.
Сондықтан жаңа заң аясында меморгандардың ақпараттық қауіпсіздігін қамтамасыз ету мақсатында арнайы орталық құрылады, "Электронды үкіметтің" бірыңғай репозиториі нақтыланады, онда бағдарламалық өнімдердің бастапқы кодтары сақталады.
Бағдат Мусиннің командасы жаңа мәртебе иеленді. Ол Қазақстанда дербес деректерді қорғау саласындағы уәкілетті органға айналды. Осы мақсатта Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігіне деректер және оларды қорғау туралы заңнаманың сақталуын қамтамасыз ету үшін мемлекеттік бақылаудың қосымша функциясы беріліп отыр.
Заңның басты бір жаңалығы да – салада мембақылаудың енгізілуімен байланысты. Оның аясында уәкілетті органның "ревизорлары" азаматтардың дербес деректері қаншалықты қорғалғанын бағамдап, қолды болу тәуекелдерін табу үшін бұдан былай мемлекеттік органдарға мерзімді және кезектен тыс тексерулермен кез келген уақытта сау ете қала алады.
Ал дерекқоры бар, база операторы саналатын жеке және заңды тұлғаларға, бизнес нысандарына – ескертусіз, жоспардан тыс тексерістер ұйымдастыра алады.
Жаңа Агенттік құрылуы мүмкін
Мәжіліс депутаты Екатерина Смышляеваның түсіндіруінше, билік дербес деректерді қорғауға мүлдем мән бермей, бұл саланы алаяқтар жайлап алды. Мыңдаған адам қаскөйлердің құрбаны болды, "әлдебір қылмысқа не тосын оқиғаға тап болған туысқанын" құтқару, "жинағын аман сақтап қалу" үшін жиған-тергенін телефон алаяқтарының шотына аударып берді. Қаскүнемдер шетелде, негізінен Ресейде отырып, қазақстандықтардың дербес деректері арқылы олардың үстінен бірнеше миллиондық онлайн кредит рәсімдеді.
Депутаттың айтуынша, тек 2020 жылдың маусымында ғана саланы бақылау Цифрлық даму министрлігіне беріліп, ол азаматтардың жанайқайына қал-қадари үн қата бастады. Яғни, мембақылау институтының құрылғанына үш жылдай өтті. Бірақ ведомствоның тиісті құзыр-құралдары тапшы еді. Мына заң оны береді.
Не бермейді? Штат және мамандар. Олар қат болып қалады.
"Бүгінде дербес деректер субъектілерінің саны 20 миллионнан асты. Ал олар туралы мәлімет жинайтын кем дегенде 32 мың субъект ақпараттық қауіпсіздік тұрғысынан бақылауды қажет етеді. Соның ішінде 500 субъект ақпараттық инфрақұрылымның төтенше маңызды объектісі саналады. Арасында Data-орталықтар да бар. Яғни, салада бақылануға тиіс субъектілердің ауқымы орасан. Бұл ретте Цифрлық даму министрлігінің Ақпараттық қауіпсіздік комитетінде осы іспен айналысатын небары 4 адам ғана бар. 20 миллион субъектінің дербес деректерін қорғап, 32 мың субъектіні бақылауға олардың физикалық түрде күші жетпеуі мүмкін", – деп алаңдайды Е.Смышляева.
Парламент Ақпараттық қауіпсіздік комитетінің штатын арттыру туралы жоғарыға өтініш жіберді. Сарапшылар салада тәуелсіз меморган – Ақпараттық қауіпсіздік жөніндегі жеке агенттік құруды ұсынды. Мұны да депутаттар қолдап отыр. Бірақ Үкімет құптамаса, тұйықтан жекеменшік бақылау операторларын немесе өзін-өзі басқару ұйымдарын тартып, жалдау арқылы шығу қарастырылмақ.
Депутаттардың мойындауынша, бәрібір бұл институт әзір толыққанды іске кірісе алмайды. Оның инфрақұрылымы, әкімшілік тетіктері, құқықтық конструкциясы Үкімет әзірлеп жатқан ел тарихындағы тұңғыш, тың құжат – Цифрлық кодекспен біте қабысып жатыр. Ал оны Парламент тек келесі 2024 жылдың соңында ғана қабылдамақ.
Ендеше әр азаматқа әрі қарай да төл дербес деректерін өзі қорғауға тура келеді.
"Баг-баунтиден" табыс табыңыз!
Заңдағы түзетулердің үлкен бір блогы "ақ хакерлер" институтын құқықтық реттеуге бағытталған. Оларды билік мемлекеттік және жекеменшік ақпараттық жүйелерді тексеріп, олардағы дербес деректер сыртқа "ағып" кетуі мүмкін қателер мен ақаулы тұстарын табуға жұмылдыра алады.
Депутаттар мұны "басқарылатын хакерлік бұзу" деп атады: ол тапсырыс берушінің, яғни уәкілетті органның бақылауымен жүзеге асырылады, қарым-қатынас арнаулы платформа арқылы жүргізілмек. Егер осал жерін, "тесігін" анықтаса, тиісті тарифпен сыйақы алуға тиіс.
Себебі, барлық жүйелердің кемшін жерлерін, олқылықтарын әшкерелеуге бір ғана ведомствоның күші жетпес еді.
Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министрі Асхат Оразбек бұл тәсілді қолданып жатқандарын жеткізді.
"Ақпараттық қауіпсіздіктің жедел орталықтары (АҚЖО) базасында біз "Баг баунти" деп атайтын алаңдарды ұйымдастыра аламыз. Сөйтіп, осы іске АҚЖО-ларды да, ден қою қызметтерін де, кәсіби ұйымдарды да, яғни дербес деректерді қорғаумен шұғылданатындарды жұмылдыра аламыз. Олар қажетті алаңдарды, платформаларды барынша тез өрістетуге қабілетті. Бұл сонша қиын жұмыс емес. Ең маңыздысы, олардың көп болғаны. Сонда арасында бәсекелестік дамиды. Бәсекелестік қызған жерде нарық та тезірек өркендейді және көбірек нәтиже береді. Сондықтан біз нарықтық негізде жедел орталықтар институтын құрдық", – деді А.Оразбек.
Оның мәліметінше, бүгінде елде 30-дан астам АҚЖО құрылған. Кез келген ұйым өзінің жүйесінде қандай ақау барын білу үшін солардың қызметіне жүгіне алатын көрінеді.
Bug Bounty-ді қазіргі кезде жеке сайттар да, бағдарламалық қамтылымды әзірлеушілер де ұсынады. Егер жасөскін, кез келген азамат ақпараттық технологиялардың "құлағында ойнайтын", сүйегін шағып, майын ішетін майталман болса, онда тиісті платформада тіркеліп, қателіктерді, эксплойттарды (зиянды бағдарламаларды), олқы тұстарын тауып беріп, сол үшін сыйақы ала алады.
Заң Ақпараттық қауіпсіздіктің мемлекеттік орталығын құруды да қарастырады. Ол мемлекеттік органдардың ақпараттандыру объектілеріне, дерекқорларына қызмет көрсетеді. Аталған орталық Ұлттық қауіпсіздік комитетінің Мемлекеттік техникалық қызметі жанында жұмыс істемек
Бірақ Цифрлық даму вице-министрінің нақтылауынша, меморгандарға, мемлекеттік кәсіпорындарға, ұйымдарға және ұлттық компанияларға жекеменшік зерттеу алаңдарында орналасып, соларды пайдалануына да тыйым салынбайды.
