С 1 июля в Беларуси официально начали действовать новые требования к кибербезопасности. Они утверждены приказом Оперативно-аналитического центра при Президенте.
Документ впервые распространяет строгие правила защиты не только на критическую инфраструктуру, но и на информационные системы любого бизнеса, подключенного к интернету.
Исключение сделано лишь для физлиц и ИП, – пишет «Белта».

Главные мысли за 1 минуту:
- Масштаб. Новые правила касаются объектов информационной инфраструктуры всех организаций страны. Цель — закрыть уязвимости, через которые хакеры могут атаковать банки, энергосети и госорганы.
- Градация угроз. Вводится трехуровневая система киберинцидентов. К высшему уровню относят атаки, вызвавшие сбой в работе критических объектов дольше 3 часов или утечку данных более 100 тыс. человек.
- Рост ответственности. За инциденты высокого уровня с 19 июня уже действует административная ответственность.
- Бюрократия и кадры. Сокращен документооборот с регулятором, но введена полугодовая отчетность. Центры кибербезопасности теперь обязаны иметь в штате вирусных аналитиков и специалистов по пентесту.
- Аудит. Наиболее серьезно обновлены правила проведения аудита безопасности и оценки защищенности объектов от взлома.
Эффект домино
Главное нововведение — отказ от деления на «важные» и «второстепенные» организации в цифровом пространстве. Под требования теперь подпадают информационные системы не только специализированных центров, но и объектов, которые раньше считались рядовыми.
Регулятор подчеркивает: взлом небольшой компании сегодня — это не частная проблема, а потенциальный плацдарм для проникновения в национальную инфраструктуру.
Логика проста: скомпрометированный сайт или незащищенный сервер малого бизнеса легко превращается в инструмент для массированных DDoS-атак или точку входа в сети государственных органов, банков, транспортных узлов и энергетики.
Поэтому базовая гигиена каждого, у кого есть выход в интернет, объявлена элементом коллективной обороны.
Как теперь классифицируют угрозы
Приказ изменил подход к оценке киберинцидентов. Если раньше существовало две градации, то теперь вводится три уровня критичности. Ключевой критерий — не столько техническая сложность хакерской атаки, сколько масштаб реального ущерба и последствий для конкретного владельца инфраструктуры.
Инцидентом высшего уровня признается ситуация, способная привести к действительно серьезным сбоям. Среди четких критериев:
нарушение работы критически важных объектов информатизации на срок более трех часов;
компрометация биометрических или генетических персональных данных;
утечка сведений более чем о 100 тысячах физических лиц;
распространение недостоверной общественно значимой информации.
За такие инциденты с 19 июня уже введена административная ответственность.
Баланс контроля и бюрократии
Разработчики приказа учли жалобы бизнеса на избыточный документооборот. Из обязательных требований исключена рассылка в ОАЦ регламентов по обеспечению кибербезопасности и планов реагирования на инциденты.
Теперь регулятор запросит их только в случае реальной необходимости — во время ликвидации атаки или в рамках официальной проверки.
Взамен отмены постоянных отчетов введена системная отчетность. Центры кибербезопасности будут отчитываться дважды в год: за первое полугодие до 5 июля и за весь год до 5 января.
Одновременно усиливается кадровый блок. Для центров, предоставляющих услуги по защите информации сторонним клиентам, введены жесткие штатные нормативы.
Отныне в таких структурах в обязательном порядке должны работать как минимум два профильных специалиста: эксперт по анализу вредоносного ПО и специалист по оценке эффективности защищенности (пентестер).
Что изменилось в аудите
Самый глубокий пересмотр затронул порядок проведения аудита кибербезопасности и пентестов. Содержательное наполнение этих процедур существенно обновлено с прицелом на повышение эффективности проверок и их стандартизацию.
Это значит, что формальные «бумажные» аудиты должны уступить место реальному поиску уязвимостей.
Кроме того, в целях скорейшей нейтрализации хакерских атак и минимизации ущерба унифицировано положение о работе национальной команды реагирования на инциденты.
Документ описывает четкий алгоритм взаимодействия команд реагирования центров кибербезопасности и государственного регулятора при ликвидации последствий взломов.
Как отметили в Национальном центре кибербезопасности, данные изменения не являются революционным переворотом. Это планомерная эволюция, основанная на практическом опыте работы системы с 2023 года и предложениях участников рынка.