С 1 июля для компаний в Беларуси действуют новые правила кибербезопасности

Фото: freepik, Magnific.com
Обновленные условия действуют для всех белорусских организаций, которые имеют выход в интернет.
В Беларуси с 1 июля начал действовать приказ ОАЦ №130, который вносит некоторые изменения в правила кибербезопасности для белорусских компаний.
Сразу стоит отдельно отметить, что документ не распространяется на физлиц и ИП, однако для остальных есть несколько условий, которые могут легко привести к административной ответственности. Так, с 19 июня в Беларуси уже могут наказать рублем за то, что с помощью оборудования организации был совершен инцидент высокого уровня.
Как подмечает «КиберПул», даже «неинтересный» для хакеров объект может стать слабым звеном в цепочке атаки – например, инструментом для DDoS или фишинга. Поэтому с 1 июля вводятся новые критерии оценки различных киберинцидентов. Теперь их три, а классифицировать их будут по масштабу последствий, а не технической сложности.
Что еще меняется
С 1 июля центры кибербезопасности больше не обязаны отправлять в ОАЦ внутренние регламенты и планы реагирования – только отчеты дважды в год (до 5 июля и 5 января). Также вводятся новые кадровые требования. Теперь центры, оказывающие услуги другим организациям, обязаны иметь в штате аналитиков вредоносного ПО и специалистов по оценке защищенности.

Фото: DC Studio, Magnific.com
Новой редакцией приказа №130 скорректированы существенные условия договоров на приобретение услуг по обеспечению кибербезопасности. Это сделано для формирования понятных и прозрачных правил на данном рынке.
Кроме того, обновились правила аудита. В документе детально прописано, что входит в аудит кибербезопасности и оценку защищенности, – это ограждает заказчиков от недобросовестных исполнителей.
Требования по кибербезопасности стали проще и понятнее. Их переписали более доступным языком, чтобы организациям было легче выполнять требования.
Можно привлекать сторонних специалистов. Если у организации нет своих сотрудников для выполнения требований по кибербезопасности, она может нанять любую белорусскую организацию или ИП. Для такой деятельности не требуется лицензия.

Фото: Philipp Katzenberger, Unsplash.com
Больше гибкости. Теперь организации могут строить систему кибербезопасности с учетом своих возможностей и ресурсов, но при этом обязаны соблюдать минимальный уровень защиты.
Что рекомендуется организациям
Если есть центр кибербезопасности (или его планируют создать), то, согласно новому документу, стоит проверить, соответствует ли система компании новым требованиям, убедиться, что есть необходимые специалисты (например, аналитики и пентестеры), а также подготовиться к ежегодным аудитам и оценке защищенности.
Если центра кибербезопасности нет, то необходимо пересмотреть меры базовой защиты информации и устранить слабые места, так как даже небольшая организация может стать целью атаки или использоваться злоумышленниками для атак на других.
Новые правила делают требования более понятными и гибкими, но при этом усиливают ответственность организаций за обеспечение кибербезопасности и требуют уделять больше внимания управлению рисками, а не только установке технических средств защиты.

