Данные абонентов и камеры в общественных местах: какие новые правила вводят в Казахстане

Комитет национальной безопасности наделяют полномочиями государственного контроля в сфере кибербезопасности критически важных цифровых объектов. КНБ сможет проверять такие объекты и выдавать предписания, если обнаружит нарушения. Рапорт уполномоченного сотрудника КНБ об обнаружении нарушений станет самостоятельным основанием для проверки предпринимателя.

Все операторы сотовой связи обязаны за свой счёт подключить свои сети к системе централизованного управления сетями телекоммуникаций Казахстана. Сделать это нужно до 1 января 2027 года. Порядок подключения определит КНБ. Для телеком-компаний это означает новые технические обязанности и расходы: им придётся выполнить требования комитета и встроить свои сети в общую систему управления телеком-инфраструктурой.

Хостинг-провайдеры – компании, которые размещают сайты и цифровые сервисы, – должны будут взаимодействовать с Национальным координационным центром кибербезопасности. Если центр сообщит о кибератаке или уязвимости на серверах провайдера, тот обязан немедленно передать эту информацию владельцу сайта. Также хостинг-провайдеры должны будут предоставлять доступ к размещённым ресурсам только через сети Казахстана с соблюдением правил централизованного управления.

Госорганы и компании с государственным участием 50% и более получат право заключать офтейк-контракты в сфере кибербезопасности. Это долгосрочные договоры на закупку отечественных цифровых продуктов ещё до их создания. Разработчик обязуется создать и внедрить продукт, а государство или компания с госучастием – купить его. Такой контракт разработчик сможет использовать как залог при привлечении финансирования.

Служебная информация об абонентах – это технические данные, которые формируются при использовании связи и интернета. К ним отнесут абонентские номера, идентификационные коды устройств, биллинговые сведения, местоположение устройства, адреса в сети передачи данных, адреса посещаемых сайтов и другие технические сведения. 

Эти данные можно будет использовать для контрразведывательной деятельности и оперативно-розыскных мероприятий. До 31 декабря 2027 года они также смогут применяться в пилотном проекте для технического обнаружения признаков правонарушений в сетях связи. Порядок пилота определит КНБ по согласованию с Генеральной прокуратурой.

Закон расширяет и формализует Национальную систему видеомониторинга. В неё будут включать не только камеры на улицах, но и системы видеонаблюдения в общественных местах, местах массового пребывания граждан и на объектах, открытых для свободного посещения.

Форма собственности значения не имеет: в систему смогут включать камеры не только на государственных объектах, но и в частных местах, если они открыты для свободного посещения. В законе также закрепляют роли участников системы – координатора, оператора, администратора, пользователей и абонентов. Оператором назначат государственный орган или компанию с государственным участием, которых определит правительство. Госорганам, правоохранительным органам и МЧС доступ к системе будет предоставляться бесплатно.

Организации, которые используют системы кибербезопасности, должны будут каждый год обучать сотрудников вопросам кибербезопасности и киберкультуры. Государственные органы также обязаны проводить профилактические мероприятия для своих служащих.

В Трудовой кодекс вносят дополнение: работодатель должен знакомить работников с требованиями по кибербезопасности и контролировать их исполнение. То есть цифровая безопасность станет не только задачей IT-специалистов, но и частью внутренних правил для сотрудников.

Для граждан самые чувствительные изменения связаны со служебной информацией об абонентах и расширением видеомониторинга. Закон отдельно закрепляет, какие технические данные могут использоваться в рамках контрразведки, оперативно-розыскных мероприятий и пилотного проекта по выявлению признаков правонарушений в сетях связи.

Для бизнеса появляются новые обязанности: операторы связи должны подключаться к централизованной системе, хостинг-провайдеры – реагировать на киберинциденты, работодатели – обучать сотрудников и контролировать соблюдение требований кибербезопасности. Компании, которые работают с критически важными цифровыми объектами, попадут под отдельный контроль КНБ.