Указ «О кибербезопасности» вступает в силу. О чем он

Источник: Onlíner
21 187
17 августа 2023 в 9:00

Сегодня вступает в силу Указ Президента Республики Беларусь от 14.02.2023 №40 «О кибербезопасности». С текстом документа можно ознакомиться по ссылке, мы же коротко расскажем о нем, разъяснив некоторые, возможно, непонятные моменты, а также о том, какие действия и кому необходимо предпринять и что он значит для бизнеса: требования касаются юридических лиц разных форм собственности.

В июле, напомним, сообщалось как минимум о нескольких серьезных случаях, когда пользовательские данные оказались скомпрометированы из-за воздействия извне. Так, произошли масштабные утечки пользовательских данных клиентов двух крупных интернет-магазинов, принадлежащих разным компаниям. В этих случаях речь идет в общей сложности о чуть менее чем миллионе скомпрометированных аккаунтов.

Оперативно-аналитическим центром при Президенте Республики Беларусь подготовлен новый объемный документ (Приказ ОАЦ №130 от 25.07.2023), подробно описывающий условия, необходимые для обеспечения информационной безопасности, раскрывающий вопрос создания как Национального центра, так и ведомственных (отраслевых) центров кибербезопасности и реагирования на киберугрозы, формализующий алгоритмы действий при возникновении киберинцидентов разного уровня опасности. Здесь также описана типовая структура указанных центров, собственно требования по кибербезопасности объектов информационной инфраструктуры и механизмы взаимодействия между всеми элементами.

Бизнесу, который радеет за безопасность данных пользователей и собственной информации, стоит обратить внимание на требования по кибербезопасности объектов информационной инфраструктуры, так как их соблюдение с момента вступления приказа в силу и будет обязательным — как для государственных органов, так и для иных организаций-юридических лиц.

Как уточнил Onlíner директор НЦОТ Алексей Цымбалов, вопрос обеспечения защиты данных государственными организациями урегулирован в течение длительного времени, однако ландшафт угроз постоянно меняется, что требует совершенствования существующих правил. Кроме того, теперь требованиям будут следовать и юридические лица негосударственной формы собственности.

Требования могут показаться простыми или очевидными, но это одна из целей документа: охватить весь спектр вероятных способов обеспечения кибербезопасности. «Все должно быть прописано, даже самое простое. Считается, если чего-то нет, значит этого можно не делать», — говорит Алексей Цымбалов. А с документом появляются предпосылки для создания «самозащищающейся» системы, состоящей из множества элементов — условно слабых звеньев.

Директор НЦОТ приводит гипотетический пример: есть некто заинтересованный в данных определенной организации или конкретного лица. Этот некто проводит разведку как в отношении объекта интереса, так и его окружения. Проверяют, кто делал сайт, в каких тендерах участвовал, кто сопровождает, кто занимается делопроизводством, изучают открытые данные и тому подобное. Здесь выясняется, что в белорусском нормативном поле требований к сторонним поставщикам сервисов не было: могли защищаться, могли не защищаться, а данные — утекать.

«Чтобы разрешить этот момент, и был разработан указ о кибербезопасности. Его основная идея — защита информационной инфраструктуры. Сейчас у нас в стране появились требования по защите инфраструктуры, которые будут распространяться на все юридические лица. Требования несложны, они логически правильны и понятны», — поясняет Алексей Цымбалов и вновь иллюстрирует общепринятые подходы. Например, в компаниях часто практикуют использование дефолтных настроек безопасности, отказываются от регулярной смены паролей, превращают всех пользователей в администраторов, игнорируют антивирусную защиту и тому подобное (все это «тому подобное» есть в документе по ссылке выше).

Технические, программно-аппаратные и программные средства защиты, в свою очередь, позволят собирать данные для возможного анализа в случае возникновения киберинцидента или при появлении предпосылок для его возникновения (это, например, логи антивирусов, межсетевых экранов и иных средств). Почему «возможного»? Эти данные необходимо собирать и хранить, но никто особенно не будет проверять, выполняются ли требования — до момента, когда защита будет преодолена.

В случае компрометации необходимо сообщить об инциденте, и одним из этапов станет проверка того, следовало ли юридическое лицо всем описанным правилам. Ответственность же за невыполнение требований будет лежать на руководителях фирм, а не компаниях. На данный момент специальной нормы в законодательных актах нет, но и этот вопрос в настоящее время активно прорабатывается.

Обеспечением защиты могут заниматься как сами организации, так и отдавать на аутсорс сторонним центрам кибербезопасности. В первом случае речь идет о закупке необходимого оборудования и ПО, его настройке и поддержке за счет собственных специалистов. Центры безопасности, в свою очередь, могут быть как государственными, так и коммерческими, но в обоих случаях — аттестованными. Вероятно, подобные услуги смогут предоставлять уже существующие на рынке игроки, обладающие необходимыми облачными мощностями и компетенциями.

На данный момент, говорит руководитель НЦОТ, перечислены 27 организаций, которые начнут создавать центры кибербезопасности. По словам нашего собеседника, также возможно их объединение в кластеры: так проще выполнять типовые процессы. Не будет требования и к регулярному проведению конкурсов на предоставление услуг: выстраивание бизнес-процессов требует длительного времени, постоянная смена поставщиков услуги в этом случае сыграет против ее эффективности.


Мы также попросили прокомментировать нововведения «со стороны» — Сергея Стецюка из компании «Секьюрити Лаб».

Он напомнил, что сфера информационной безопасности в Беларуси регулируется давно, а предлагаемые правила закрывают многие белые пятна. В том числе — с точки зрения ответственности: за счет четких требований, выстроенной иерархии и описания инструментов. Документ также создает предпосылки для создания системы информационной безопасности на постоянной основе, а не после того, как киберинцидент произошел. Одновременно эксперт не исключает, что в будущем могут быть какие-то изменения в процедурах и технических требованиях. По его мнению, на рынке обеспечения безопасности и мониторинга появятся крупные игроки, в том числе отраслевые — таких до этого упоминал и Алексей Цымбалов.

Сергей Стецюк не исключает, что некоторые организации (юридические лица) будут полагаться на свои силы, другие же предпочтут делегировать обязанности и ответственность центрам кибербезопасности — таким образом создаются условия для скорейшего исполнения требований.

«Центры мониторинга, реагирования призваны не только для того, чтобы исключить возможности [возникновения киберинцидента], но и для того, чтобы минимизировать ущерб и сократить время восстановления, что критично именно для бизнеса.

Всех угроз невозможно избежать: есть, например, так называемая „угроза нулевого дня“, когда кто-то находит ранее неизвестную уязвимость, есть инсайдеры, всегда будет человеческий фактор. Но можно вовремя обнаружить, локализовать [проблему]», — добавил собеседник.


Новый документ расширяет спектр обязанностей организаций разных форм собственности в отношении данных: если ранее требовалась «просто» их защита и шифрование, теперь необходимо бороться с киберугрозами активнее. Наши спикеры подчеркивали, что подобная практика не является новой и активно применяется в мире.

Наш канал в Telegram. Присоединяйтесь!

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ng@onliner.by