В Беларуси обновлен регламент работы национальной системы обеспечения кибербезопасности. Официальный текст соответствующего приказа, изданного Оперативно-аналитическим центром при Президенте Республики Беларусь, уже размещен на страницах Национального правового интернет-портала. Установлено, что данные корректировки начнут применяться на практике с 1 июля 2026 года. Стоит отметить, что данные нововведения представляют собой не радикальную смену курса, а последовательный и логичный этап развития системы. Согласно разъяснениям представителей Национального центра кибербезопасности, подготовка обновлений опиралась на детальный анализ правоприменительной практики в этой сфере, а также на накопленный за время работы центров кибербезопасности опыт. Кроме того, при разработке изменений были всесторонне рассмотрены и учтены многочисленные инициативы и предложения, поступившие от государственных структур и других организаций, которые являются участниками национальной системы безопасности.
Почему кибербезопасность касается каждого юридического лица?
В соответствии с положениями указа №40 «О кибербезопасности», в состав национальной системы обеспечения кибербезопасности входят не только специализированные подразделения, но и информационная инфраструктура всех организаций, функционирующих на территории страны. Это подразумевает, что с 2023 года требования в сфере кибербезопасности, в той или иной мере, применимы к каждому юридическому лицу в Беларуси. При этом следует отметить, что данные специализированные правила не распространяются на физических лиц, включая индивидуальных предпринимателей.
Для наглядности можно провести параллель с правилами дорожного движения. Существуют более строгие нормативы для водителей транспортных средств, допуск которых к участию в движении возможен лишь при наличии соответствующего удостоверения, однако сами правила дорожного движения являются обязательными для соблюдения всеми участниками – от автомобилистов до пешеходов. Широкое внедрение современных цифровых технологий во все аспекты человеческой деятельности диктует необходимость повсеместной бдительности: даже если объект информационной инфраструктуры конкретной организации сам по себе не представляет очевидного интереса для киберпреступников, исходя из важности автоматизируемых бизнес-процессов или объемов обрабатываемой информации, это вовсе не означает, что он находится вне зоны потенциального риска. Современные стратегии кибератак зачастую строятся на принципе «цепочки компрометации», где злоумышленники активно ищут наиболее уязвимое звено в общей цифровой экосистеме.
После установления контроля над таким, казалось бы, «неинтересным» объектом, киберпреступник способен использовать его для организации распределенных атак типа «отказ в обслуживании» (DDoS), направленных на веб-порталы государственных структур, банковскую систему или критически важные объекты информатизации. Также скомпрометированные ресурсы могут быть задействованы для массового распространения вредоносного программного обеспечения и фишинговых кампаний внутри страны, а также для создания скрытых командных центров, предназначенных для управления ботнетами, и других злонамеренных действий. Следовательно, даже компрометация относительно рядового объекта превращает его в инструмент для осуществления атак на объекты, имеющие отношение к национальной информационной инфраструктуре, такие как банки, энергетические сети, транспортные узлы и системы государственного управления. Именно по этой причине обеспечение базового уровня кибербезопасности для всех организаций, чьи информационные системы имеют доступ к сети Интернет, является не чьей-либо произвольной прихотью, а фундаментальным элементом коллективной обороноспособности всего национального киберпространства.
Новые требования как ответ на реалии рынка
При разработке текущих изменений ключевым принципом служило обеспечение фактической выполнимости законодательных норм в области кибербезопасности для всех участников национальной системы – начиная от крупных специализированных центров кибербезопасности и заканчивая небольшими организациями, обладающими выходом в сеть Интернет. Избыточные или заведомо невыполнимые требования не способствуют повышению уровня защищенности; напротив, они могут провоцировать формальный подход к их выполнению и создавать лишь иллюзию безопасности. Новая редакция приказа №130 тщательно выверяет баланс интересов: государства, которое стремится к устойчивости национальной информационной инфраструктуры; организаций, ожидающих предсказуемости и разумных затрат; а также добросовестных участников рынка услуг кибербезопасности, получающих четкие и прозрачные правила игры.
Важным дополнением к вышесказанному является тот факт, что значительная часть внесенных изменений направлена не на формирование совершенно новых правил, к которым участникам рынка придется заново адаптироваться, а скорее на юридическое закрепление уже устоявшихся общественных отношений в рассматриваемой сфере. Регулятор, анализируя правоприменительную практику на протяжении трех лет, приводит нормативно-правовую базу в соответствие с фактически сложившимися моделями поведения и ожиданиями всех вовлеченных сторон.
Обновления законодательства. Что изменилось?
Произошло существенное совершенствование терминологической базы. Для обеспечения единообразного применения правовых норм, приказ ОАЦ №130 был дополнен исчерпывающим перечнем терминов и их соответствующих определений. Разработка унифицированного терминологического аппарата способствует устранению любых двусмысленностей в толковании и закладывает прочный фундамент для последующей нормотворческой и правоприменительной деятельности.
Внесенные корректировки в систему уровней киберинцидентов (теперь их три вместо двух ранее существовавших) преследуют цель дальнейшего выведения области кибербезопасности из сугубо технической парадигмы.
Кибербезопасность не является изолированным явлением, она неразрывно связана с процессами, которые она призвана защищать в таких ключевых областях, как государственное управление, промышленность, социальная сфера и многие другие. Она представляет собой критически важный компонент, оказывающий влияние на все аспекты национальной безопасности: от экономической и экологической стабильности до политической и социальной устойчивости. Это выходит за рамки узкотехнической задачи инженеров и специалистов. Это комплексная, системная деятельность, ориентированная на обеспечение непрерывности и устойчивости жизненно важных процессов.
Принятый новый подход основывается на принципе определения уровня критичности инцидента, исходя из потенциального масштаба его негативных последствий. Киберинцидент, идентичный по своей технической природе, но произошедший в небольшой организации без значительных негативных последствий, не может быть отнесен к тому же уровню, что и аналогичный инцидент, затронувший владельца критически важной информационной инфраструктуры. В качестве примеров инцидентов высокого уровня теперь классифицируются события, способные привести к нарушению работы критически важных объектов информатизации на период, превышающий три часа; к компрометации конфиденциальности биометрических, генетических или персональных данных более 100 тысяч физических лиц; а также к распространению ложной общественно значимой информации.
Это изменение обладает не только концептуальной, но и существенной практической правовой значимостью. С 19 июня 2026 года вводятся в действие статьи 23.11 и 23.12 Кодекса об административных правонарушениях (КоАП), которые закрепляют ответственность в сфере обеспечения кибербезопасности. При этом данная административная ответственность применяется исключительно при условии возникновения киберинцидента, классифицированного как высокий уровень. Следовательно, обновленная классификация формирует необходимый правовой фундамент для соразмерного и дифференцированного применения мер государственного принуждения, адекватных степени общественной опасности совершенного деяния.
Оптимизация взаимодействия с регулятором: от формализма к прикладной эффективности
Важным изменением стало исключение обязанности центров кибербезопасности на регулярной основе направлять в ОАЦ регламенты обеспечения кибербезопасности и планы мероприятий по реагированию на инциденты. Данные документы переведены в разряд инструментов сугубо внутреннего пользования.
Их ключевая роль заключается не в выполнении отчетных функций перед государственным органом, а в обеспечении качественной операционной деятельности. Регламент задает стандарты взаимодействия с объектом информационной инфраструктуры, а план реагирования — четкий алгоритм действий при возникновении угроз. Именно эти документы служат фундаментом прозрачности и предсказуемости процессов для самих центров и их клиентов в рамках договорных обязательств.
Данная мера направлена на устранение административных барьеров и снижение избыточного документооборота. Учитывая необходимость постоянной актуализации этих материалов, их обязательная отправка в ОАЦ теряла практический смысл. При этом регулятор сохраняет за собой право затребовать указанную документацию в случае возникновения киберинцидентов или при проведении проверочных мероприятий.
Для поддержания контроля за общим состоянием кибербезопасности в стране вводится упрощенный механизм отчетности. Центры кибербезопасности будут предоставлять обобщенные данные о своей работе, результатах аудитов и оценках защищенности дважды в год: за первое полугодие (в срок до 5 июля) и за календарный год (в срок до 5 января).
Такой формат позволяет ОАЦ эффективно отслеживать динамику отрасли и выявлять системные риски, не прибегая к чрезмерному вмешательству в операционную деятельность компаний. В результате достигается оптимальный баланс: центры кибербезопасности избавляются от обременительной отчетности, сохраняя при этом внутреннюю дисциплину планирования и прозрачность для регулятора в рамках принципа «разумной достаточности».
Развитие кадрового потенциала и стандартизация услуг кибербезопасности
Редакционные изменения в типовой структуре центров кибербезопасности были внесены с целью повышения ясности и доступности для правоприменителей, при этом общее количество предусмотренных ролей осталось прежним.
Однако для ЦКБ, предоставляющих услуги сторонним организациям, вводится обязательное требование по наличию в штате специалистов по анализу вредоносного программного обеспечения и специалистов по оценке эффективности защищенности. Это нововведение призвано значительно укрепить ключевые компетенции в национальной системе кибербезопасности. Концентрация экспертов в области реверс-инжиниринга и моделирования кибератак в штате организаций будет способствовать наращиванию общего потенциала, что критически важно в условиях возрастающей сложности киберугроз. Допускается привлечение внешних ресурсов (аутсорсинг) для выполнения данных функций, однако исключительно в качестве дополнительного средства, а не полной замены штатных специалистов.
Новая редакция приказа №130 предусматривает корректировку существенных условий договоров, заключаемых на оказание услуг по обеспечению кибербезопасности. Целью данных изменений является формирование четких и прозрачных правил функционирования данного сегмента рынка.
На протяжении последних трех лет государство внимательно отслеживало ожидания заказчиков и предложения ЦКБ. Регулирование существенных условий обусловлено тем, что именно государство определяет значительную часть организаций, для которых приобретение таких услуг (или создание собственных центров) является обязательным. В развитие данного подхода, 14 мая 2026 года было принято постановление Совета Министров №246. В этой ситуации государство принимает на себя ответственность за обеспечение того, чтобы обязательные закупки осуществлялись в соответствии с понятными и унифицированными правилами, исключающими недобросовестное исполнение договорных обязательств.
Унификация подходов к аудиту и оценке защищенности
Наиболее существенные содержательные правки внесены в регламенты проведения аудита кибербезопасности и оценки эффективности защиты информационных систем.
Ранее отсутствие законодательной детализации этих процедур создавало неопределенность для заказчиков: не имея профильных компетенций, они фактически приобретали услуги без гарантии качества. Это стимулировало появление на рынке недобросовестных исполнителей, использующих демпинг и подменяющих полноценный анализ формальным автоматизированным сканированием.
Новая редакция приказа ОАЦ №130 вводит строгий регламент данных процессов. Это обеспечивает стратегические преимущества для всех участников системы. Организации-заказчики получают прозрачные критерии оценки объема, содержания и качества выполняемых работ. Добросовестные центры кибербезопасности получают равные рыночные условия, исключающие конкуренцию с компаниями, не способными обеспечить выполнение установленных стандартов.
Оптимизация порядка информационного взаимодействия
Положение о порядке взаимодействия элементов национальной системы кибербезопасности изложено в новой редакции, устанавливающей четкую структуру каналов связи. В частности, взаимодействие Национального центра кибербезопасности с госорганами и иными организациями теперь официально допускает использование телефонной связи и электронной почты.
Данный подход продиктован необходимостью оперативного реагирования, так как минимизация последствий кибератак напрямую зависит от скорости начала защитных мероприятий. Выбор именно этих каналов связи обусловлен рядом факторов.
Доступность в кризисных ситуациях. При компрометации систем или выходе из строя сетевых сегментов специализированные защищенные каналы могут быть недоступны, тогда как телефонная связь и электронная почта остаются наиболее отказоустойчивыми средствами коммуникации.
Сохранение доказательной базы. Своевременный контакт с Национальным центром позволяет оперативно зафиксировать индикаторы компрометации, локализовать угрозу и предотвратить её распространение на смежные инфраструктурные объекты. Ожидание восстановления штатных каналов связи чревато потерей критически важных улик.
Гибкость системы. Предусмотрена возможность использования любых иных способов взаимодействия, не запрещенных законодательством, что позволяет адаптироваться к любым нештатным сценариям.
Кроме того, новая редакция закрепляет необходимость согласования с ОАЦ передачи информации о киберинцидентах международным или иностранным организациям. Ранее эта функция была монополизирована ОАЦ как «единым окном». Современный подход сохраняет за государством контроль над трансграничной передачей данных, обеспечивая при этом необходимый баланс между государственным суверенитетом и оперативностью реагирования на трансграничные угрозы.
Модернизация регламента работы команд реагирования на киберинциденты
Обновленное положение о порядке деятельности национальной команды реагирования и аналогичных структур в центрах кибербезопасности направлено на повышение эффективности и стандартизацию действий при нейтрализации киберугроз.
Среди ключевых нововведений стоит выделить следующие.
Цифровая прозрачность процессов. Теперь ход всех мероприятий по реагированию в обязательном порядке фиксируется в системе обработки сведений о киберинцидентах. Это обеспечивает строгую документированность действий и создает базу для качественного анализа эффективности принятых мер в будущем.
Унификация рекомендаций по сохранению доказательств. Вводится норма, согласно которой все действия по обеспечению сохранности сведений, необходимых для обнаружения индикаторов компрометации, должны выполняться в строгом соответствии с рекомендациями ОАЦ. Данные материалы будут опубликованы на официальном сайте ведомства (oac.gov.by) до 1 июля 2026 года. Примечательно, что использовать эти протоколы смогут не только профессиональные команды реагирования, но и любые организации.
Сохранность цифровых следов — важнейший этап борьбы с последствиями кибератак. Непрофессиональные действия персонала, ведущие к уничтожению или изменению данных, делают невозможным проведение качественного расследования. Соблюдение установленных рекомендаций позволяет предотвратить безвозвратную потерю улик, что критически важно для установления векторов атаки, деанонимизации злоумышленников и последующей защиты инфраструктуры от аналогичных инцидентов.
Обновление требований к кибербезопасности объектов информационной инфраструктуры
Приложение 4, содержащее требования по кибербезопасности к объектам информационной инфраструктуры, было переработано с целью повышения его прагматичности и адаптации к реальным условиям функционирования. Данный раздел является одним из ключевых элементов документа, поскольку его положения распространяются на все организации Республики Беларусь.
Новая редакция требований характеризуется более понятной формулировкой и предусматривает, в частности, возможность привлечения сторонних белорусских организаций или индивидуальных предпринимателей для выполнения соответствующих работ в случае отсутствия собственных ресурсов. Важно отметить, что данная деятельность не подлежит лицензированию. В целом, внесенные изменения предоставляют организациям гибкость в построении систем кибербезопасности с учетом их специфических потребностей и доступных ресурсов, при этом гарантируя поддержание обязательного минимального уровня защищенности.
Таким образом, принятые поправки являются закономерным этапом в эволюции национальной системы обеспечения кибербезопасности, учитывающим опыт, накопленный с момента вступления в силу Указа № 40 в 2023 году. Регулятор последовательно движется от формирования базовой архитектуры системы к её содержательному наполнению. При этом происходит легитимизация сложившихся общественных отношений, снижение избыточной административной нагрузки, внедрение четких профессиональных стандартов, развитие терминологической базы и совершенствование механизмов взаимодействия. Особое внимание уделяется переходу от исключительно технического подхода к кибербезопасности к риск-ориентированному, учитывающему масштаб потенциальных последствий киберинцидентов для всех сфер национальной безопасности.
Для организаций, имеющих или планирующих создание центров кибербезопасности, рекомендуется провести тщательный анализ соответствия своей деятельности новым требованиям. Особое внимание следует уделить кадровому обеспечению (наличие штатных аналитиков по выявлению вредоносного программного обеспечения и пентестеров для центров, оказывающих услуги) и готовности к прохождению ежегодных аудитов и оценок защищенности в соответствии с единой методологией.
Всем остальным организациям рекомендуется пересмотреть свои подходы к базовым аспектам кибербезопасности. Необходимо учитывать, что даже на первый взгляд незначительный объект может стать уязвимым звеном в общенациональной системе. Актуальность этого подчеркивается ужесточением законодательства об административной ответственности за нарушения в данной сфере.
По материалам БЕЛТА. Фото из открытых источников.
