14 февраля 2023 года подписан Указ Президента Республики Беларусь №40 «О кибербезопасности» (далее – Указ). Его цель – повышение уровня защиты национальной информационной инфраструктуры от внешних и внутренних угроз.

Указ направлен на дальнейшую реализацию положений Концепции национальной безопасности и взаимосвязан с Концепцией информационной безопасности. Реализация мер, предусмотренных в Указе, позволит консолидировать усилия по предотвращению, обнаружению и минимизации последствий кибератак на объекты информационной инфраструктуры, тем самым повысить безопасность и надежность информационных систем.

Вместе с юристами и специалистами по информационной безопасности Noventiq Belarus рассказываем, какие изменения и в какие сроки нас ожидают в связи с принятием Указа.

Получить консультацию

Национальная система обеспечения кибербезопасности. Какие задачи выполняет и кто в нее входит 

В Беларуси должна быть создана Национальная система обеспечения кибербезопасности, состоящая из: 

• Оперативно-аналитического центра при президенте Республики Беларусь (ОАЦ), 
• Национального центра обеспечения кибербезопасности, 
• центров кибербезопасности инфраструктуры, 
• авторизованного оператора электросвязи (ООО «Белорусские облачные технологии»), 
• объектов информационной инфраструктуры и сетей передачи данных. 

Координацию государственных органов и иных организаций по созданию и функционированию национальной системы обеспечения кибербезопасности будет осуществлять ОАЦ. 

До 17 августа 2023 г. в структуре ОАЦ будет создан Национальный центр кибербезопасности, а для реагирования на киберинциденты в составе Национального центра кибербезопасности создается национальная команда реагирования на киберинциденты.

Национальная система обеспечения кибербезопасности будет выполнять следующие задачи: 

• достижение максимальной скоординированности действий государственных органов и иных организаций по обнаружению, предотвращению и минимизации последствий кибератак на объекты информационной инфраструктуры, 

• постоянный поиск потенциальных уязвимостей национального сегмента глобальной компьютерной сети Интернет, 
• проведение анализа информации о кибератаках и вызванных ими киберинцидентах, установление причин киберинцидентов, 
• оценка эффективности защищенности объектов информационной инфраструктуры от кибератак, 
• прогнозирование ситуации в области обеспечения кибербезопасности. 

Обращаем внимание: 

Уполномоченные лица Национального центра кибербезопасности будут вправе требовать от государственных органов и иных организаций: 

• представления документов (их копий) и (или) иной информации, в том числе технического характера, связанных с функционированием принадлежащих им объектов информационной инфраструктуры. Такие документы (их копии), иная информация должны быть представлены не позднее дня, следующего за днем предъявления требования об их представлении;
• обеспечения беспрепятственного доступа в помещения и иные объекты, в которых размещены объекты информационной инфраструктуры, а также к программно-техническим средствам (в том числе удаленно), с помощью которых обеспечивается их функционирование. 

Уполномоченные лица организаций, которые оказывают услуги по обеспечению кибербезопасности объектов информационной инфраструктуры, обладают такими же правами лишь в том случае, если они определены в договоре на оказание услуг по обеспечению кибербезопасности. 

Кто и в какие сроки должен создать центры кибербезопасности? 

Согласно п.3.5 Указа обеспечить создание своих центров кибербезопасности в срок не позднее 17 августа 2024 года должны владельцы критически важных объектов информатизации, указанные в Приложении 1 к Указу, а также уполномоченные поставщики интернет-услуг, оказывающие услуги хостинга официальных интернет-сайтов и электронной почты

Советом Министров Республики Беларусь не позднее 17 февраля 2024 г. будет определен перечень государственных органов и иных организаций, которые обязаны либо создать собственные центры кибербезопасности, либо приобрести услуги по обеспечению кибербезопасности у организаций, которые такие центры создали. Этот перечень будет пересматриваться и обновляться ежегодно. 

Кроме того, до 17 февраля 2024 г. будут определены компании, у которых государственные органы и организации вправе закупать услуги по кибербезопасности, с применением процедуры закупки из одного источника. 

Что еще важно знать 

• Государственные органы и иные организации обеспечивают хранение информации о киберинцидентах, произошедших на принадлежащих им объектах информационной инфраструктуры, в течение не менее одного года. 
• Персональная ответственность за обеспечение кибербезопасности государственного органа и иной организации возложена Указом на руководителя этого органа (организации).
• В июне 2023 года вышел Приказ Оперативно-аналитического центра при президенте Республики Беларусь № 130 «О мерах по реализации Указа президента Республики Беларусь от 14 февраля 2023 г. № 40». В нем даны пояснения по отдельным положениям закона. Читайте подробнее.

Если вам необходима более подробная инфомрация по исполнению положений Указа в рамках деятельности вашей организации, можете заполнить форму на получение конслуьтации ниже.