В последнее время в Республике Беларусь на государственном уровне уделяется большое внимание кибербезопасности национальной информационной инфраструктуры. Вспомним Указ Президента Республики Беларусь от 14.02.2023 №40 «О кибербезопасности», а также Закон Республики Беларусь от 07.05.2021 №99-3 "О защите персональных данных" и взаимосвязанные с ним документы.
Для систематизации требований различных нормативных документов Национальным центром кибербезопасности подготовлены "Рекомендации государственным органам и иным организациям" и размещены в открытом доступе на официальном сайте ОАЦ.
В этом документе собраны разъяснения:
- для центров обеспечения кибербезопасности и критически важных объектов информатизации;
- для объектов информационной инфраструктуры, предназначенных исключительно для обработки общедоступной информации и общедоступных персональных данных;
- а также об ответственности должностных лиц за обеспечение кибербезопасности организации и защиту персональных данных, в том числе персональной ответственности руководителя.
Отдельное внимание важно обратить организациям частной формы собственности, которые могут ошибочно полагать, что меры нормативных документов к ним не относятся.
На сайте ОАЦ четко указано, что требования по кибербезопасности, определенные приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 25 июля 2023 г. № 130 "О мерах по реализации Указа Президента Республики Беларусь от 14 февраля 2023 г. № 40" (приложение 4 к приказу) распространяются не только на государственные органы, но и на все иные организации, независимо от их организационно-правовой формы:
"…они [требования] распространяются не только на государственные органы и организации, но и на иные организации, вне зависимости от их организационно-правовой формы".
С чего начать выполнение требований?
- Определить, какие именно требования законодательства распространяются на ваше предприятие, к какой группе объектов информационной инфраструктуры относятся ваши информационные системы, какой класс информации обрабатывается в той или иной системе.
- Оценить, достаточно ли принятых организационных и технических мер безопасности, в том числе состав имеющегося программного обеспечения, средств технической и криптографической защиты информации.
- Разработать план по повышению защищенности организации и обеспечению соответствия требованиям законодательства. В частности, может потребоваться приобретение и внедрение дополнительных инструментов безопасности.
- Создать культуру кибербезопасности внутри организации. Сотрудники должны осознавать важность защиты информации, понимать свою роль в этом процессе и знать, как минизировать риски и действовать в случае инцидента.
Важно понимать, что основная цель требований законодательства в части кибербезопасности - не наказание, а повышение уровня защищенности всех участников информационного пространства. Недостаточное внимание к данным требованиям или их игнорирование может повлечь за собой определенные риски – киберинциденты, утрату доверия клиентов и партнеров, возможные санкции со стороны регулятора и привлечение к ответственности должностных лиц и руководителя.
Чтобы детальнее разобраться в требованиях законодательства и необходимых действиях, свяжитесь с нами. Специалисты по безопасности предоставят подробную информацию, помогут с выбором средств защиты, их тестированием и внедрением.
