17 августа 2023 года вступил в силу Указ Президента Республики Беларусь от 14.02.2023 № 40 «О кибербезопасности» (Указ № 40), который был принят в целях повышения уровня защиты национальной информационной инфраструктуры от внешних и внутренних угроз. В развитие положений Указа № 40 принят приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 25.07.2023 № 130 «О мерах по реализации Указа Президента Республики Беларусь от 14 февраля 2023 г. № 40» (Приказ № 130).
 
Данный Приказ определил ряд технических регламентов и требований, включая требования по кибербезопасности объектов информационной инфраструктуры, требования к Центрам кибербезопасности и их типовой структуре, порядку аттестации Центров кибербезопасности, порядку информационного взаимодействия элементов Национальной системы обеспечения кибербезопасности.

Егор Кравченко, старший юрист и глава практики по защите персональных данных Legaltax, разъясняет основные нововведения и положения нового регулирования кибербезопасности в Беларуси.

1. Национальная система обеспечения кибербезопасности

В Беларуси создается национальная система обеспечения кибербезопасности. Помимо объектов информационной структуры и сетей передачи данных элементами этой системы являются:

• Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ).

• Национальный центр обеспечения кибербезопасности и реагирования на киберинциденты (Национальный центр кибербезопасности).

• Центры обеспечения кибербезопасности и реагирования на киберинциденты объектов информационной инфраструктуры государственных органов и иных организаций (Центры кибербезопасности).

• Оператор электросвязи по взаимодействию Национального центра кибербезопасности, центров кибербезопасности, а также государственных органов и иных организаций (Авторизованный оператор электросвязи). Его функции выполняет ООО «Белорусские облачные технологии» (BeCloud).

Ожидается, что скоординированность действий участников национальной системы обеспечения кибербезопасности, новые правила, требования и стандарты в конечном итоге позволят повысить уровень защиты национальной информационной инфраструктуры от внешних и внутренних угроз.

2. Деятельность и задачи ОАЦ

ОАЦ выполняет одну из ключевых ролей в национальной системе обеспечения кибербезопасности.

Основные функции ОАЦ:

• определяет требования по кибербезопасности для объектов информационной структуры;

• определяет состав технических требований к киберинциденту;

• осуществляет координацию деятельности государственных органов и иных организаций;

• определяет требования к Центрам кибербезопасности;

• согласовывает назначение на должность их руководителей Центров, а также продление их полномочий;

• осуществляет международное сотрудничество.

ОАЦ предоставлено право выносить обязательные для исполнения предписания:

• операторам электросвязи — об ограничении или приостановлении оказания государственным органам и иным организациям услуг электросвязи в случае обнаружения киберинцидентов на объектах их информационной инфраструктуры;
• государственным органам и иным организациям — об устранении выявленных нарушений требований по кибербезопасности объектов их информационной инфраструктуры и требований законодательства в сфере кибербезопасности.

Важно: компаниям стоит обратить внимание на возможность вынесения в их адрес предписаний в случае несоблюдения или нарушениями ими установленных требований по кибербезопасности.
 

3. Национальный центр кибербезопасности

В структуре ОАЦ создается Национальный центр кибербезопасности. Более того, в составе Национального центра кибербезопасности предусмотрено создание национальной команды реагирования на киберинциденты (CERT.BY).

Дополнительно Национальному центру кибербезопасности в рамках осуществления своих функций предоставлено право требовать от государственных органов и иных организаций:

• представления документов и информации, в том числе технического характера, связанных с функционированием принадлежащих им объектов информационной инфраструктуры. Такие документы и иная информация должны быть представлены не позднее дня, следующего за днем предъявления требования об их представлении;
• обеспечения беспрепятственного доступа в помещения и иные объекты (на территории), в которых размещены (функционируют) объекты информационной инфраструктуры, а также к программно-техническим средствам (в том числе удаленно), с помощью которых обеспечивается их функционирование.

4.  Центры кибербезопасности

Центры кибербезопасности являются своего рода первичным звеном:

• они также осуществляют автоматизированные сбор, обработку, накопление, систематизацию и хранение данных о кибербезопасности объектов информационной инфраструктуры;
• предпринимают действия по выявлению, предупреждению и исследованию кибератак и вызванных ими киберинцидентов на указанных объектах, реагированию на такие киберинциденты;
• проводят оценку степени защищенности объектов информационной инфраструктуры, мероприятия по установлению причин киберинцидентов, вызванных кибератаками на объекты информационной инфраструктуры.

Можно выделить две большие группы лиц, которые обязаны обеспечить создание Центров кибербезопасности или должны приобретать услуги по обеспечению кибербезопасности у сторонних организаций в соответствии с требованиями Указа № 40:

• владельцы критически важных объектов информатизации, указанные в приложении 1 к Указу № 40 (сюда входят, например, операторы связи, крупные предприятия энергетики, ряд банковских учреждений и страховые организации), а также уполномоченные провайдеры хостинга официальных интернет-сайтов и электронной почты – они обеспечивают создание Центров кибербезопасности.
• лица, включенные в перечень, определенный Правительством РБ.

Правительство Беларуси по предложению ОАЦ должно будет определить перечень (с ежегодной его актуализацией) государственных органов и иных организаций, местных исполнительных и распорядительных органов, которые в сроки, устанавливаемые данным перечнем, создают Центры кибербезопасности и (или) приобретают услуги по обеспечению кибербезопасности у организаций, создавших такие центры.

Указом № 40 предусмотрены следующие ключевые положения в отношении создания Центров кибербезопасности и их деятельности:

• обязательная аттестация: до начала функционирования Центры кибербезопасности подлежат аттестации, проводимой ОАЦ. В последующем аттестация проводится с периодичностью не реже 1 раза в 3 года.
• обучение: Центры кибербезопасности организуют не реже 1 раза в 3 года в РУП «Национальный центр обмена трафиком» обучение своих работников, в обязанности которых входит обеспечение кибербезопасности.
• команды реагирования: Центры кибербезопасности обязаны обеспечить функционирование в своем составе команд реагирования на киберинциденты.
• информирование: Центры кибербезопасности обязаны информировать Национальный центр кибербезопасности о выявленных киберинцидентах в течение 1 часа с момента их выявления, а также представляют в указанный центр иные сведения в установленном порядке.
   

5. Персональная ответственность руководителей и иные новшества

Дополнительно закреплены следующие положения и требования:

• обязанность по хранению информации: государственные органы и иные организации обеспечивают хранение информации о киберинцидентах, произошедших на принадлежащих им объектах информационной инфраструктуры, в течение не менее 1 года.
• персональная ответственность руководителя: руководитель государственного органа и иной организации несет персональную ответственность за обеспечение кибербезопасности этого органа (организации).
• назначение ответственного заместителя: руководители государственных органов и иных организаций, в которых согласно Указу № 40 обязаны создаваться Центры кибербезопасности, назначают одного из своих заместителей ответственным за организацию работы по обеспечению кибербезопасности этого органа (организации), в том числе за осуществление мероприятий по обнаружению, предотвращению и минимизации последствий кибератак и вызванных ими киберинцидентов, реагированию на такие киберинциденты, если иное не установлено законодательством.