Меньше десяти дней осталось до вступления в силу Указа Президента Республики Беларусь от 14.02.2023 № 40 «О кибербезопасности» (18 августа 2023 года). Нововведения Указа направлены на повышение эффективности борьбы с кибератаками. К сожалению, практика показывает, что их число возрастает с каждым годом. В числе прочего, Указом расширяются полномочия ОАЦ и других органов по контролю за борьбой с киберпреступностью. В этом материале мы остановимся на ключевых моментах нового регулирования и некоторых деталях.
Напоминаем, что каждая организация должна осуществлять меры по технической и криптографической защите информации. Это означает создание системы защиты информации и прохождение процедуры аттестации такой системы. Порядок технической и криптографической защиты определен в Приказе ОАЦ от 20.02.2020 № 66. ОАЦ, в свою очередь, контролирует его применение. Помимо этого, организации должны сообщать в Национальный центр защиты персональных данных о нарушениях систем защиты информации.
С принятием Указа № 40 организации также должны будут принимать меры по борьбе с кибератаками, а ОАЦ будет контролировать реализацию положений Указа № 40, в том числе посредством направления предписаний об устранении нарушений Указа и требований кибербезопасности. Он также теперь вправе направлять организациям информацию об угрозах и о необходимых мерах по нейтрализации данных угроз.
ОАЦ также определил требования по кибербезопасности для объектов информационной инфраструктуры организаций.
Помимо этого, создаются новые структуры – Национальный центр кибербезопасности (далее – НЦК) и центры кибербезопасности. НЦК и центры кибербезопасности будут совершать действия по:
- обнаружению признаков кибератак;
- предупреждению и минимизации последствий этих кибератак;
- реагированию на киберинциденты.
При этом под кибератакой понимается целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.
Киберинцидентом признается событие, которое фактически или потенциально угрожает конфиденциальности, целостности, подлинности, доступности и сохранности информации, а также представляет собой нарушение (угрозу нарушения) политик безопасности.
Для выполнения этих задач и НЦК, и центры кибербезопасности получают право:
- требовать от организаций предоставления документов и сведений об объектах информационной инфраструктуры;
- получать беспрепятственный доступ к таким объектам для выполнения своих функций.
Определенные организации обязаны создать центры кибербезопасности, которые будут взаимодействовать с НЦК. Так, подобные центры будут обязаны сообщать НЦК о киберинцидентах не позднее 1 часа с момента их выявления.
Список организаций, в которых должны быть созданы центры кибербезопасности, приведен в приложении к Указу (среди них мобильные операторы, банки, страховые организации и др.). Срок создания таких центров – 1 год с даты вступления в силу Указа (то есть до 18 августа 2024 года).
Иные организации в некоторых случаях также будут обязаны создать центры кибербезопасности либо приобрести услуги у тех организаций, где уже созданы такие центры. Перечень таких субъектов будет определен Советом Министров по предложению ОАЦ и будет ежегодно обновляться.
Обращаем внимание, что Указом установлен срок для хранения информации о киберинцидентах – 1 год (распространяется на все организации).
Таким образом, организациям рекомендуется:
- учитывать появление новых контрольных полномочий ОАЦ и требований к объектам информационной инфраструктуры в сфере кибербезопасности;
- проверить, не относитесь ли вы к организациям, в которых обязательно должны быть созданы центры кибербезопасности, согласно приложению к Указу, и отслеживать в дальнейшем, включена ли ваша компания в перечень иных организаций, на которые распространяются требования о создании центров кибербезопасности;
- установить и соблюдать сроки хранения информации о киберинцидентах.