Новые требования в области кибербезопасности начнут действовать с 1 июля. Поясняем новации
В Беларуси пересмотрели правила функционирования национальной системы кибербезопасности. Соответствующий приказ Оперативно-аналитического центра при Президенте Республики Беларусь опубликован на Национальном правовом интернет-портале. Изменения вступают в силу с 1 июля 2026 года и носят не революционный, а планомерный эволюционный характер. Как пояснили в Национальном центре кибербезопасности, изменения подготовлены с учетом практики применения действующего законодательства в области кибербезопасности, накопленного с 2023 года опыта функционирования центров кибербезопасности, а также многочисленных предложений государственных органов и иных организаций, участвующих в национальной системе.
Почему изменения касаются каждой организации в Беларуси
В соответствии с указом №40 «О кибербезопасности», элементами национальной системы обеспечения кибербезопасности признаются не только специализированные центры, но и объекты информационной инфраструктуры всех организаций страны. Это означает, что с 2023 года в нашей стране требования по кибербезопасности в той или иной степени распространяются на каждую организацию. Специализированные правила не распространяются только на физических лиц, включая индивидуальных предпринимателей.
Можно провести аналогию с правилами дорожного движения. Есть повышенные требования к водителям транспортных средств, которые допускаются к дорожному движению только с водительским удостоверением, но сами правила дорожного движения обязаны соблюдать все: от водителей до пешеходов. Повсеместное внедрение современных технологий во все сферы жизнедеятельности человека обязывают: даже если объект информационной инфраструктуры отдельной организации сам по себе не представляет интереса для злоумышленника с точки зрения важности бизнес-процессов, которые он автоматизирует, или обрабатываемой информации, это не означает, что такой объект находится вне зоны риска. Современные кибератаки строятся по принципу цепочки компрометации: злоумышленник ищет слабейшее звено в экосистеме.
После получения контроля над таким «неинтересным» объектом злоумышленник может использовать его для проведения распределенных атак типа «отказ в обслуживании» (DDoS) на порталы государственных органов, банковскую систему или критически важные объекты информатизации, для распространения вредоносного программного обеспечения и фишинговых рассылок внутри страны, а также организации скрытых командных центров для управления ботнетами и т.д.
Таким образом, даже компрометация рядового объекта превращает его в инструмент атаки на объекты, относящиеся к национальной информационной инфраструктуре, — банки, энергосети, транспортные узлы, системы государственного управления. Именно поэтому базовая кибербезопасность всех организаций, чьи системы имеют выход в Интернет, — это не чья-то прихоть, а элемент коллективной обороноспособности национального киберпространства.
При разработке изменений ключевым ориентиром выступал принцип, согласно которому законодательство о кибербезопасности должно быть фактически выполнимым для всех участников национальной системы — от крупных центров кибербезопасности до небольших организаций, имеющих выход в сеть Интернет. Избыточные или заведомо неисполнимые требования не повышают защищенность, а напротив, могут порождать практику формального его выполнения и создают иллюзию безопасности. Новая редакция приказа №130 оттачивает баланс интересов: государства, заинтересованного в устойчивости национальной информационной инфраструктуры; организаций, стремящихся к предсказуемости и разумным затратам; и добросовестных участников рынка услуг кибербезопасности, получающих прозрачные правила игры.
В качестве завершения предисловия также важно отметить: значительная часть изменений направлена не на формирование новых правил, к которым участникам рынка придется заново привыкать, а на легитимизацию устоявшихся общественных отношений в рассматриваемой сфере. Регулятор, наблюдая за правоприменительной практикой на протяжении трех лет, приводит нормативную базу в соответствие с фактически сложившимися моделями поведения и ожиданиями участников.
Что изменилось?
Усовершенствована терминологическая база. Для единообразного применения правовых норм приказ ОАЦ №130 дополнен перечнем терминов и их определений. Формирование терминологического аппарата позволяет устранить неоднозначность толкования и создает прочную основу для дальнейшего нормотворчества и правоприменения.
Совершенствование классификации киберинцидентов: от технической плоскости к масштабу последствий
Изменение уровней киберинцидентов (введение трех уровней вместо двух) направлено на продолжение вывода сферы кибербезопасности из чисто технической плоскости.
Кибербезопасность не существует сама по себе, в отрыве от защищаемых процессов организаций в сферах государственного управления, промышленности, социальной и многих других. Кибербезопасность — это элемент, влияющий на любую сферу национальной безопасности: от экономической и экологической до политической и социальной. Это не просто техническая работа инженеров и техников, а системная деятельность, обеспечивающая устойчивость критически важных процессов.
Новый подход сформирован по принципу определения критичности, исходя из масштаба последствий. Один и тот же по технической природе киберинцидент в небольшой организации, не оказывающий существенного негативного воздействия, и у владельца критически важной инфраструктуры не могут признаваться киберинцидентами одного уровня. Так, например, к высокому уровню отнесены инциденты, способные повлечь нарушение функционирования критически важных объектов информатизации на срок более трех часов; нарушение конфиденциальности биометрических, генетических персональных данных либо данных более 100 тыс. физических лиц; распространение недостоверной общественно значимой информации.
Данное изменение имеет не только концептуальное, но и практическое правовое значение. 19 июня 2026 года вступают в силу статьи 23.11 и 23.12 КоАП, устанавливающие ответственность в области обеспечения кибербезопасности. Указанная административная ответственность наступает только в случае возникновения киберинцидента высокого уровня. Таким образом, новая классификация создает необходимую юридическую основу для дифференцированного применения мер государственного принуждения, соразмерного степени общественной опасности деяния.
Переориентация внутренней документации: регламенты и планы — для себя и клиентов, а не для регулятора
Одним из изменений является отмена обязанности центров кибербезопасности направлять в ОАЦ регламенты обеспечения кибербезопасности и планы мероприятий по реагированию на киберинциденты.
Эти документы разрабатываются и поддерживаются в актуальном состоянии не для регулятора, а для внутреннего использования — самим центром кибербезопасности, а также, в рамках договорных отношений, для его клиентов. Именно регламент определяет порядок взаимодействия с объектом информационной инфраструктуры, а план — алгоритм действий при возникновении инцидента. Эти документы являются рабочими инструментами, обеспечивающими прозрачность и предсказуемость деятельности центров кибербезопасности.
Такой подход исключает избыточный документооборот с ОАЦ. Тем более, что эти документы требуют частой актуализации. Теперь регламенты и планы могут быть запрошены ОАЦ при наличии необходимости — в ходе реагирования на киберинциденты или при проведении контрольных мероприятий.
Одновременно с этим для обеспечения системного мониторинга состояния кибербезопасности в стране введена отчетность дважды в год (за первое полугодие — до 5 июля, за год — до 5 января). Отчеты содержат обобщенные сведения о результатах работы ЦКБ, проведенных аудитах и оценках защищенности, что позволяет ОАЦ отслеживать динамику и выявлять системные проблемы без избыточного вмешательства в текущую деятельность центров.
Таким образом, достигается баланс: центры кибербезопасности освобождаются от большей части отчетности, но сохраняют дисциплину внутреннего планирования и прозрачность для регулятора на условиях «разумной достаточности».
Развитие кадрового потенциала
Типовая структура центров кибербезопасности претерпела редакционные изменения, направленные на изложение сложившихся отношений в более доступной и понятной для правоприменителя форме. Общее количество ролей осталось неизменным.
Исключение составляют специалисты по анализу вредоносного программного обеспечения и специалисты по оценке эффективности защищенности. Для центров кибербезопасности, оказывающих услуги по обеспечению кибербезопасности другим организациям, наличие указанных специалистов в штате становится обязательным.
Данное требование направлено на развитие критически важных компетенций внутри национальной системы. Концентрация экспертов по реверс-инжинирингу и моделированию кибератак в штате организаций позволит нарастить потенциал национальной системы кибербезопасности в целом, что особенно важно в условиях роста сложности киберугроз. Аутсорсинг данных функций не запрещается, однако он может использоваться только как дополнительный ресурс, а не как замена штатным единицам.
Корректировка существенных условий договоров на приобретение услуг по обеспечению кибербезопасности
Новой редакцией приказа №130 скорректированы существенные условия договоров на приобретение услуг по обеспечению кибербезопасности. Это сделано для формирования понятных и прозрачных правил на данном рынке.
Государство на протяжении трех лет пристально наблюдало за тем, какие ожидания от этих услуг существуют у заказчиков и что им готовы предложить центры кибербезопасности. Важно отметить, что строгое регулирование существенных условий осуществляется в связи с тем, что именно государство определяет значительную часть организаций, которые обязаны приобретать такие услуги (либо создавать собственные центры кибербезопасности). 14 мая текущего года по предложению ОАЦ принято очередное постановление Совета Министров №246 от 14 мая 2026 года. В этой ситуации государство несет ответственность за то, чтобы обязательные закупки осуществлялись по понятным и единообразным правилам, исключающим недобросовестное исполнение.
Унификация аудита кибербезопасности и оценки защищенности
Наиболее значимые в плане содержательного наполнения изменения затронули порядки проведения аудита кибербезопасности и оценки эффективности защищенности объектов информационной инфраструктуры от кибератак.
Ранее такие сущности в законодательстве не были детализированы, что создавало риски для заказчиков услуг, которые, не обладая достаточными специальными компетенциями, фактически могли приобретать услуги «в виде кота в мешке» и не могли объективно оценить их качество. Это создавало условия для появления недобросовестных участников рынка, применявших демпинговые стратегии и ограничивавшихся формальным сканированием с выдачей автоматически сгенерированных отчетов.
Новая редакция приказа ОАЦ №130 детально регламентирует эти процессы, что выгодно всем участникам национальной системы: организациям — позволяют точно понимать объем и содержание подлежащих выполнению работ, а также контролировать их качество; добросовестным центрам кибербезопасности — создают равные конкурентные условия, отсекая недобросовестных исполнителей, не способных выполнить работу в соответствии с установленными требованиями.
Изменение порядка информационного взаимодействия
Положение о порядке информационного взаимодействия элементов национальной системы кибербезопасности изложено в новой редакции, которая четко разграничивает каналы связи между всеми ее элементами. Здесь принципиально важно обратить внимание на то, что взаимодействие Национального центра кибербезопасности с государственными органами и иными организациями Республики Беларусь возможно через электронную почту и телефонную связь. В условиях важности оперативного реагирования на киберинциденты критически необходимо максимально быстро начать соответствующие мероприятия. Только таким образом негативные последствия кибератак могут быть сведены к минимуму.
Использование электронной почты и телефонной связи в качестве допустимых каналов взаимодействия с Национальным центром кибербезопасности обусловлено несколькими практическими факторами.
Во-первых, не все организации на этапе возникновения киберинцидента могут иметь доступ к специализированным защищенным системам информационного взаимодействия (например в случае компрометации учетных записей или выхода из строя сегмента сети). Телефонная связь и электронная почта в национальном сегменте сети Интернет остаются наиболее доступными и отказоустойчивыми каналами, которые работают даже в условиях развивающейся атаки.
Во-вторых, скорость начала реагирования напрямую влияет на возможность сохранения доказательной базы (индикаторов компрометации), локализации атаки и предотвращения ее распространения на смежные объекты информационной инфраструктуры. Ожидание восстановления штатных каналов связи может привести к безвозвратной потере улик и расширению зоны поражения.
В-третьих, предусмотрена возможность использования иных способов взаимодействия, не запрещенных законодательством, что делает систему гибкой и адаптируемой к любой нештатной ситуации.
Также этим положением определена необходимость согласования с ОАЦ предоставления информации о событиях кибербезопасности и киберинцидентах в иностранные или международные организации. При этом до внесения изменений такая передача в целом могла осуществляться только ОАЦ, который выступал «единым окном» передачи таких сведений. Такой подход обеспечивает баланс между государственным контролем, сохраняя государственный суверенитет в вопросах трансграничной передачи данных о кибербезопасности, и оперативностью реагирования, делая регулирование более сбалансированным.
Изменение порядка функционирования команд реагирования
Положение о порядке функционирования национальной команды реагирования на киберинциденты и команд реагирования центров кибербезопасности также претерпело существенные изменения, направленные на повышение эффективности и стандартизацию действий при ликвидации последствий кибератак.
Вот ключевые нововведения. Во-первых, ход реализации мероприятий по реагированию на киберинциденты подлежит обязательной фиксации в системе обработки сведений о киберинцидентах, что обеспечивает прозрачность, документированность и возможность последующего анализа эффективности принятых мер. Во-вторых, принципиально важным нововведением является норма, согласно которой меры по обеспечению сохранности сведений, необходимых для выявления индикаторов компрометации, принимаются в соответствии с рекомендациями, размещаемыми на официальном интернет-сайте Оперативно-аналитического центра при Президенте Республики Беларусь (oac.gov.by). Они будут опубликованы до вступления в силу изменений (до 1 июля) и могут быть использованы не только командами реагирования, но любыми организациями.
Сохранность индикаторов компрометации — критически важный этап реагирования на любой киберинцидент. Уничтожение или изменение цифровых следов в результате неправильных действий персонала может сделать невозможным установление причин атаки, выявление злоумышленников и предотвращение аналогичных инцидентов в будущем.
Изменение требований по кибербезопасности к объектам информационной инфраструктуры
Требования по кибербезопасности к объектам информационной инфраструктуры (Приложение 4) также претерпели изменения, направленные на их прагматизацию и адаптацию к реальным условиям функционирования. Это один из важнейших структурных элементов всего документа, поскольку, как уже было сказано, распространяется на все организации в Республике Беларусь.
Требования в новой редакции не только изложены более понятным для применения языком, но и, например, предусматривают возможность привлечения любых сторонних белорусских организаций или индивидуальных предпринимателей в случае невозможности выполнения работ по реализации требований собственными силами. При этом такая деятельность не лицензируется. В целом, изменения позволяют организациям выстраивать систему кибербезопасности с учетом собственных потребностей и ресурсов, не снижая при этом обязательного минимального уровня защищенности.
Таким образом, принятые изменения представляют собой закономерный этап эволюции национальной системы обеспечения кибербезопасности, учитывающий опыт, накопленный с момента принятия указа №40 в 2023 году. Регулятор последовательно движется от формирования базовой архитектуры системы к ее содержательному наполнению: легитимизируются сложившиеся общественные отношения, снимается избыточная административная нагрузка, вводятся четкие профессиональные стандарты, развивается терминологическая база и совершенствуются механизмы взаимодействия. Особое внимание уделяется переходу от чисто технического понимания кибербезопасности к риск-ориентированному подходу, учитывающему масштаб последствий киберинцидентов для всех сфер национальной безопасности.
Организациям, имеющим центры кибербезопасности или планирующим их создание, рекомендуется провести анализ соответствия своей деятельности новым требованиям, обратив особое внимание на кадровое обеспечение (штатные аналитики ВПО и пентестеры для оказывающих услуги центров кибербезопасности) и готовность к проведению ежегодных аудитов и оценок защищенности по единой методологии. Всем иным организациям рекомендуется пересмотреть свои подходы к базовой кибербезопасности, поскольку даже незначительный, на первый взгляд, объект может стать уязвимым звеном в общенациональной системе. Это тем более актуально с учетом уже описанных изменений в законодательстве об административной ответственности.
БЕЛТА.-0-
