С 1 июля в Беларуси официально начали действовать новые требования к кибербезопасности. Они утверждены приказом Оперативно-аналитического центра при Президенте. 

Документ впервые распространяет строгие правила защиты не только на критическую инфраструктуру, но и на информационные системы любого бизнеса, подключенного к интернету.

Исключение сделано лишь для физлиц и ИП, – пишет «Белта».

Главные мысли за 1 минуту:

  • Масштаб. Новые правила касаются объектов информационной инфраструктуры всех организаций страны. Цель — закрыть уязвимости, через которые хакеры могут атаковать банки, энергосети и госорганы.
  • Градация угроз. Вводится трехуровневая система киберинцидентов. К высшему уровню относят атаки, вызвавшие сбой в работе критических объектов дольше 3 часов или утечку данных более 100 тыс. человек.
  • Рост ответственности. За инциденты высокого уровня с 19 июня уже действует административная ответственность.
  • Бюрократия и кадры. Сокращен документооборот с регулятором, но введена полугодовая отчетность. Центры кибербезопасности теперь обязаны иметь в штате вирусных аналитиков и специалистов по пентесту.
  • Аудит. Наиболее серьезно обновлены правила проведения аудита безопасности и оценки защищенности объектов от взлома.

Эффект домино

Главное нововведение — отказ от деления на «важные» и «второстепенные» организации в цифровом пространстве. Под требования теперь подпадают информационные системы не только специализированных центров, но и объектов, которые раньше считались рядовыми.

Регулятор подчеркивает: взлом небольшой компании сегодня — это не частная проблема, а потенциальный плацдарм для проникновения в национальную инфраструктуру.

Логика проста: скомпрометированный сайт или незащищенный сервер малого бизнеса легко превращается в инструмент для массированных DDoS-атак или точку входа в сети государственных органов, банков, транспортных узлов и энергетики.

Поэтому базовая гигиена каждого, у кого есть выход в интернет, объявлена элементом коллективной обороны.

Как теперь классифицируют угрозы

Приказ изменил подход к оценке киберинцидентов. Если раньше существовало две градации, то теперь вводится три уровня критичности. Ключевой критерий — не столько техническая сложность хакерской атаки, сколько масштаб реального ущерба и последствий для конкретного владельца инфраструктуры.

Инцидентом высшего уровня признается ситуация, способная привести к действительно серьезным сбоям. Среди четких критериев:

   нарушение работы критически важных объектов информатизации на срок более трех часов;

   компрометация биометрических или генетических персональных данных;

   утечка сведений более чем о 100 тысячах физических лиц;

   распространение недостоверной общественно значимой информации.

За такие инциденты с 19 июня уже введена административная ответственность.

Баланс контроля и бюрократии

Разработчики приказа учли жалобы бизнеса на избыточный документооборот. Из обязательных требований исключена рассылка в ОАЦ регламентов по обеспечению кибербезопасности и планов реагирования на инциденты.

Теперь регулятор запросит их только в случае реальной необходимости — во время ликвидации атаки или в рамках официальной проверки.

Взамен отмены постоянных отчетов введена системная отчетность. Центры кибербезопасности будут отчитываться дважды в год: за первое полугодие до 5 июля и за весь год до 5 января.

Одновременно усиливается кадровый блок. Для центров, предоставляющих услуги по защите информации сторонним клиентам, введены жесткие штатные нормативы.

Отныне в таких структурах в обязательном порядке должны работать как минимум два профильных специалиста: эксперт по анализу вредоносного ПО и специалист по оценке эффективности защищенности (пентестер).

Что изменилось в аудите

Самый глубокий пересмотр затронул порядок проведения аудита кибербезопасности и пентестов. Содержательное наполнение этих процедур существенно обновлено с прицелом на повышение эффективности проверок и их стандартизацию.

Это значит, что формальные «бумажные» аудиты должны уступить место реальному поиску уязвимостей.

Кроме того, в целях скорейшей нейтрализации хакерских атак и минимизации ущерба унифицировано положение о работе национальной команды реагирования на инциденты.

Документ описывает четкий алгоритм взаимодействия команд реагирования центров кибербезопасности и государственного регулятора при ликвидации последствий взломов.

Как отметили в Национальном центре кибербезопасности, данные изменения не являются революционным переворотом. Это планомерная эволюция, основанная на практическом опыте работы системы с 2023 года и предложениях участников рынка.