АТТЕСТАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ: ЧТО ВАЖНО ЗНАТЬ БИЗНЕСУ В БЕЛАРУСИ?

Цифровизация бизнеса сопровождается ростом числа и масштаба киберинцидентов, которые ставят под угрозу безопасность данных и устойчивость компании. В этих условиях одной из стратегических задач для бизнеса становится обеспечение надежной защиты конфиденциальной информации, предотвращение утечек и несанкционированного доступа.

В Беларуси сформировано законодательство в области защиты информации и применяются комплексные требования к информационной безопасности данных. Надзор за выполнением требований к безопасности данных осуществляет Оперативно-аналитический центр при Президенте Республики Беларусь (далее – ОАЦ). 

К основным нормативным правовым актам относятся:

 

• Закон Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», которые устанавливает правила сбора, обработки и хранения персональных данных;
• Закон Республики Беларусь от 10.11.2008 №455-З «Об информации, информатизации и защите информации», который регулирует отношения в области информации, информатизации и защиты информации;
• Указ Президента Республики Беларусь от 16.04.2013 №196 «О некоторых мерах по совершенствованию защиты информации», который устанавливает требования в области технической и криптографической защиты информации и порядок отнесения объектов информатизации к критически важным объектам информатизации; 
• Постановления и Положения ОАЦ, которые определяют порядок сертификации СЗИ и требования к защите информации.

Одним из ключевых инструментов контроля за обеспечением информационной безопасности белорусскими субъектами является аттестация средств защиты информации (далее – СЗИ) в соответствии с требованиями ОАЦ и законодательства Республики Беларусь. 

 

Каким субъектам в Беларуси необходимо проходить аттестацию СЗИ и какие правила нужно соблюсти при ее прохождении?

 

Что такое аттестация СЗИ?

Аттестация системы защиты информации — комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации. 

Система защиты информации состоит из совокупности средств защиты информации, используемых в информационных системах (антивирусное ПО, различные системы управления доступами к информации и т.д.).

Аттестация является официальным подтверждением соответствия средств защиты установленным требованиям безопасности. Она проводится в отношении программных, аппаратных и программно-аппаратных решений, обеспечивающих защиту информации.

 

Кому нужно проходить аттестацию СЗИ?

 

Аттестацию СЗИ необходимо проходить:

1. Государственным органам и организациям, работающим с государственными информационными системами, закрытыми и служебными документами, государственными тайнами, официальными информационными ресурсами, размещенными на государственных серверах;
2. Организациям, обрабатывающим персональные данные;

 

В соответствии с Законом «О защите персональных данных» операторы обязаны обеспечивать защиту персональных данных в процессе их обработки. Если организация использует технические средства защиты информации (системы шифрования, межсетевые экраны, системы контроля доступа), они должны быть сертифицированы в ОАЦ. 

При этом при получении собственником (владельцем) информационной системы от физического лица его персональных данных, предоставленных этим физическим лицом без использования средств криптографической защиты информации (например, социальные сети), предоставление в последующем этих данных тем же (владельцем) информационной системы названному физическому лицу может осуществляться без использования средств криптографической защиты информации.

Согласно п. 7 Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденного Приказом ОАЦ №66 от 20.02.2020 г., наличие аттестата является обязательным условием для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, в течение установленного в нем срока.

В соответствии со ст. 17 Закона Республики Беларусь от 10.11.2008 №455-З «Об информации, информатизации и защите информации» к информации, распространение и (или) предоставление которой ограничено, относится:

 

• информация о частной жизни физического лица и персональные данные;
• сведения, составляющие государственные секреты;
• служебная информация ограниченного распространения;
• информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну;
• информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу;
• иная информация, доступ к которой ограничен законодательными актами.

Пример: страховые компании; медицинские учреждения; организации, осуществляющие обработку биометрических и (или) генетических персональных данных, т.д.

      3. Критически важные объекты информационной инфраструктуры

Требования по технической и криптографической защите информации, реализуются на критически важных объектах информатизации, являющихся информационными системами, имеющими аттестованную в установленном порядке систему защиты информации.

Согласно Указу Президента Республики Беларусь от 25 октября 2011 г. № 486 «О мерах по обеспечению безопасности критически важной информационной инфраструктуры» создан Государственный реестр критически важных объектов информатизации.

В соответствии с пунктом 5 Положения о порядке отнесения объектов информатизации к критически важным объектам информатизации, утвержденного Указом Президента Республики Беларусь от 16.04.2013 № 196 определены критерии отнесения объектов информатизации к критически важным.

Критериями отнесения объектов информатизации к критически важным являются:

 

• критерий социальной значимости – в отношении объектов информатизации, обеспечивающих жизнедеятельность населения (жилищно-коммунальное хозяйство, здравоохранение, образование, труд, занятость и социальная защита);
• критерий экономической значимости – в отношении объектов информатизации, обеспечивающих функционирование объектов (организаций) основных отраслей экономики и (или) иные важные экономические потребности, в том числе обеспечивающих проведение безналичных (межбанковских) расчетов, осуществляющих процессинг;
• критерий экологической значимости – в отношении объектов информатизации, нарушение или прекращение функционирования которых может причинить ущерб окружающей среде;
• критерий информационной значимости – в отношении объектов информатизации в области связи и средств массовой информации.

Таким образом, к таким объектам относятся множество критически важных объектов, например крупные гидротехнические сооружения, нефте-, газо-, продуктопроводы, сети АЭС, пункты хранения стратегических запасов нефти и газа, вредные химические производства, транспортные узлы, аэродромы и т.п.

Все организации, задействованные в этих секторах, должны использовать сертифицированные СЗИ.

       4. Частные компании, использующие сертифицированные СЗИ

Если коммерческая организация использует СЗИ, предназначенные для защиты конфиденциальной информации или персональных данных, они также должны пройти аттестацию. Это касается в первую очередь компаний, работающих с государственными контрактами или данными, подлежащими защите.

Например, аутсорсинговые IT-компании, участвующие в государственных закупках, частные дата-центры и облачные сервисы, хранящие государственные или персональные данные.

Каким субъектам не требуется проходить аттестацию СЗИ?

Не обязаны проходить аттестацию СЗИ:

• малый бизнес, не обрабатывающий конфиденциальную информацию;
• компании, использующие общедоступные IT-решения (например, стандартные CRM-системы без обработки чувствительных данных);
• физические лица, индивидуальные предприниматели, если они не работают с персональными данными третьих лиц в масштабах, требующих защиты.

 

Какие правила нужно соблюсти для прохождения аттестации?

Аттестация проводится организациями, имеющими лицензии на осуществление деятельности по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ (далее – специализированные организации). 

 

Собственники (владельцы) информационных систем вправе самостоятельно проводить аттестацию.

На первом этапе необходимо:

• разработать документы, устанавливающие требования к защите информации в конкретной системе; 
• определить объект защиты (информационные системы, базы данных и т.д.); 
• классифицировать информацию по уровням конфиденциальности/категорирование информации (определение характера обрабатываемой информации и отнесение информационной системы к определенному классу: «3-ин», «3-спец», «3-юл» и иные); 
• реализовать меры, направленные на обеспечение конфиденциальности, целостности и доступности информации: 
• выбрать и внедрить необходимые средства защиты (шифрование, контроли доступа, антивирусы и т.д.).

Для проведение предварительной оценки безопасности следует провести анализ рисков информационной безопасности и осуществить тестирование на уязвимости, оценить устойчивость к угрозам.

При подготовке к проведению аттестации в компании необходимо провести предварительную оценку безопасности, анализ рисков информационной безопасности и осуществить тестирование на уязвимости, оценить устойчивость к угрозам, в том числе должна быть разработана техническая документация (политика информационной безопасности, инструкции, моделирование угроз и т.д.); провести испытания системы защиты на соответствие требованиям и оформить протоколы испытаний.

Для получения заключения по аттестации в уполномоченный орган необходимо представить соответствующие документы и пройти экспертизу.

Таким образом, аттестация специализированными организациями проводится на основании следующих исходных данных:

 

• политики информационной безопасности;
• акта отнесения информационной системы к классу типовых информационных систем;
• технического задания на создание информационной системы или системы защиты информации;
• общей схемы системы защиты информации;
• документации на систему защиты информации;
• копий сертификатов соответствия либо экспертных заключений на средства защиты информации.

Важно также принимать меры по поддержанию соответствия требованиям, для это компании осуществляют регулярный мониторинг и аудит системы защиты, а также обновляют меры защиты с учетом изменения инфраструктуры и характера угроз.

Какая ответственность предусмотрена за непрохождение аттестации?

Аттестация СЗИ является одной из обязательных мер по обеспечению защиты персональных данных (абз. 6 п. 3 ст. 17 Закона № 99-З «О защите персональных данных»). 

Согласно п. 15 Положения о технической и криптографической защите информации, утвержденного Указом Президента Республики Беларусь от 16.04.2013 № 196, руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации.

В этой связи, возможно привлечение организации к административной ответственности согласно ч. 4 ст. 23.7 Кодекса Республики Беларусь об административных правонарушениях за несоблюдение мер по обеспечению защиты персональных данных физических лиц. Мера ответственности – наложение штрафа в размере от 2 до 10 базовых величин, на индивидуального предпринимателя - от 10 до 25 базовых величин, а на юридическое лицо - от 20 до 50 базовых величин.

Невыполнение мер по обеспечению защиты персональных данных может повлечь уголовную ответственность согласно ст. 203-2 Уголовного кодекса Республики Беларусь - несоблюдение мер обеспечения защиты персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий. 

Таким образом, обеспечение конфиденциальности данных бизнеса в Республике Беларусь требует строгого соблюдения законодательства, применения сертифицированных криптографических решений и организации эффективных мер кибербезопасности. Соблюдение этих требований не только снижает риски утечек и киберугроз, но и повышает доверие клиентов и партнеров к бизнесу.

Аттестация СЗИ в разрезе требований ОАЦ и законодательства Республики Беларусь является обязательной для государственных структур, критически важных объектов, а также организаций, обрабатывающих персональные данные или защищаемую информацию. Частный бизнес, не связанный с этими сферами, не обязан проходить аттестацию, но при необходимости может добровольно подтвердить соответствие своим требованиям безопасности.