cookies
Согласие на обработку cookie
Сайт использует файлы cookie для обеспечения удобства пользователей сайта, его улучшения, предоставления персонализированных рекомендаций. Вы можете настроить обработку cookie. Отозвать соглаcие можно на странице Политики обработки файлов cookie.
Сайт может перестать корректно работать
Часть функционала сайта перестанет работать. Мы не сможем хранить персональные настройки и рекомендации.
Для полноценной работы всего сайта рекомендуем принять все cookie или выполнить настройку.
Отклонить
Настроить
Принять соглашение
Везде
Где искать:
Везде
Банковские продукты
Курсы валют
Статьи
MYFIN Справочник
Компании
Банковские отделения
Услуги для бизнеса
Лизинг
Авто
Деньги в долг
Инвестиции
«Нарушил – заплати до 27 тысяч рублей». В Беларуси ввели новые требования для бизнеса по кибербезопасности
Новости бизнесаСпецпроект

«Нарушил – заплати до 27 тысяч рублей». В Беларуси ввели новые требования для бизнеса по кибербезопасности

Автор: Юлия Лапковская, Журналист

Буквально за месяц нормативное поле в Беларуси изменилось: в КоАП внедрились штрафные статьи за нарушение требований информационной безопасности, а список компаний, обязанных внедрять SOC-центры, существенно вырос. Эксперты hoster.by – первой коммерческой компании в стране, которая получила статус аттестованного центра кибербезопасности, – объясняют, к чему готовиться руководителям и как защитить бизнес от новых рисков.

Содержание

Вопросы с приставкой «кибер» окончательно вышли из IT-отделов и обосновались на уровне высшего руководства. Теперь это не про рекомендации для технических специалистов, а про стратегию, ежедневные бизнес-процессы и умение держать руку на пульсе.

Чуть больше чем за месяц в Беларуси появились законодательные обновления, которые еще раз показывают: правила кибербезопасности будут становиться только строже. Речь в первую очередь о:

– появлении в КоАП статей 23.11 и 23.12, которые касаются нарушения требований по кибербезопасности;

– расширении перечня организаций, которым необходимо использовать услуги центров кибербезопасности (SOC) или создавать свои собственные центры.

Самая частая цель киберпреступников – персональные данные. Как их защитить?

Любая компания, которая работает (то есть принимает, хранит или обрабатывает) с информацией ограниченного распространения, должна иметь аттестованную систему защиты информации (СЗИ). Это требование прописано в ст. 28 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации».

К информации ограниченного распространения относятся и персональные данные, которые чаще всего являются целью киберпреступников, – на них приходится почти 40% украденных данных. Причем далеко не во всех компаниях есть понимание того, что персональные данные – это далеко не только ФИО и номер паспорта. Это и адрес, телефон, сведения о месте работы и даже IP и файлы cookie.

Таким образом, если ваша компания так или иначе работает с клиентами (CRM-система, бухучет, подготовка коммерческих предложений, личный кабинет или простая форма обратной связи на сайте), то почти наверняка вам нужно иметь аттестованную СЗИ.

Система защиты информации или СЗИ – это комплекс правовых, организационных и технических мер, направленных на обеспечение целостности, конфиденциальности, доступности и сохранности информации. То есть это не только условный антивирус и firewall, а выстроенная система, которая включает и бизнес-процессы.

Аттестованная СЗИ – это система, которая получила официальное подтверждение, что она работает в соответствии с техническими требованиями, описанными в Приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66.

Во сколько обойдутся руководству новые штрафы в КоАП?

Новая статья КоАП 23.11 «Нарушение требований по кибербезопасности» теперь предусматривает штраф до 600 базовых величин, или 27 000 BYN. И это если ваш проект не относится к критически важной инфраструктуре и проблемы с ним даже по касательной не заденут национальные интересы (для них есть статья 23.12).

!
Штрафы
Важно знать
Какие предусмотрены штрафы:
– Если система могла работать без СЗИ, но требования по кибербезопасности были нарушены – до 100 базовых для юрлица.
До 125 базовых
– Если СЗИ есть, но проблемы возникли из-за технической или криптографической защиты – до 125 базовых.
До 200 базовых
– Если СЗИ должна была быть, но ее вообще не было – уже до 200 базовых.
Максимальный штраф
– А для центров обеспечения кибербезопасности штрафы доходят до 600 базовых величин.

«Самое важное, что здесь надо понимать: в случае инцидентов высокого уровня, к которым относятся утечки данных, доступ к корпоративной сети, заражение вредоносным ПО и многое другое, правовые последствия для компаний наступают не только за последствия инцидента, но и за сам факт отсутствия необходимых мер защиты. Например, за то, что СЗИ не была аттестована. Кибербезопасность становится частью управленческой ответственности», – комментирует руководитель центра кибербезопасности hoster.by Сергей Самохвал.

«Ни одну компанию не обойдет стороной вопрос кибербезопасности»

Отдельный большой вопрос: кому и когда необходимо обращаться за услугами центров кибербезопасности или иметь собственные в структуре компании.

Центр кибербезопасности (SOC, Security Operations Center) – это структурное подразделение или выделенная функция организации, отвечающая за мониторинг, обнаружение и реагирование на киберинциденты.

Существует конкретный перечень организаций, которые обязаны создать собственный SOC или иметь заключенный договор с одним из аттестованных в Беларуси центров кибербезопасности. Он закреплен в Постановлении Совета Министров Республики Беларусь от 14 мая 2026 г. № 246.

Остальные компании могут обращаться к услугам SOC при необходимости. Это может быть постоянное абонентское обслуживание: например, непрерывный мониторинг и управление событиями безопасности. Или разовые обращения: например, для расследования кибератаки или проведения пентеста – анализа защищенности IT-инфраструктуры.

«К сожалению или счастью, ни одну компанию не обойдет стороной вопрос кибербезопасности. Такова реальность, и она не ограничивается соблюдением формальных требований. Сегодня атаки перестали быть чем-то исключительным: они автоматизированные, массовые, неприцельные и способны парализовать работу компании за несколько минут», – добавляет Сергей Самохвал.

Чек-лист: что можно сделать уже сейчас

Если вы еще даже не начинали проводить в компании аудиты персональных данных, подготовку к аттестации, а кибербезопасность живет лишь за дверями IT-отдела, вот несколько важных шагов, которые нужно сделать в любой организации:

  1. Провести инвентаризацию цифровых активов.
  2. Определить, работаете ли вы с данными ограниченного распространения и к каким классам относится обрабатываемая информация.
  3. Понять, необходимо ли вам создать и аттестовать систему защиты информации.
  4. Оценить совместно с техническими специалистами, можете ли вы построить СЗИ самостоятельно или лучше обратиться к подрядчику.
  5. После построения СЗИ регулярно проводить аудиты, желательно пентесты.
  6. Проводить обучение сотрудников. Для старта подойдет базовый список правил, который бы касался:

– использования надежных паролей и их уникальности для разных сервисов;
– включения двухфакторной аутентификации, где это возможно;
– запрета на передачу паролей и кодов подтверждения другим людям;
– внимательного отношения к письмам: не переходить по подозрительным ссылкам и не открывать сомнительные вложения;
– работы только с проверенными корпоративными программами и устройствами;
– запрета на установку неизвестных или нелицензионных программ;
– блокировки компьютера при уходе с рабочего места;
– обязательного информирования IТ-специалистов о любых подозрительных ситуациях или сбоях.


«Не оставайтесь с киберрисками один на один»

Аутсорс
Что можно передать
При всем объеме технических и юридических тонкостей, связанных с кибербезопасностью, руководителям важно помнить, что они не обязаны делать все самостоятельно и глубоко погружаться в процессы. Можно передать львиную долю задач уполномоченным компаниям на аутсорс. Например:
Аудит
Аудит персональных данных. Процесс позволит выявить нарушения Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и привести бизнес-процессы в соответствие с законодательством о персональных данных.
Аттестация
Аттестация СЗИ. Здесь можно делегировать партнеру отдельные этапы (например, подготовку к аттестации, создание, внедрение, собственно процесс получения аттестата) или весь процесс полностью.
Кибербезопасность
Услуги центра кибербезопасности. Тут речь как о разовых услугах, так и о непрерывном обслуживании.

– Вопрос кибербезопасности невозможно решить раз и навсегда. Или даже на какое-то продолжительное время, – подводит итог Сергей Самохвал. – Это должен быть непрерывный процесс, вплетенный во все бизнес-процессы и корпоративную культуру. Да, безопасно – это не про "удобно" или "просто", но такова реальность. Если с ней не считаться, то последствия – вопрос времени. С другой стороны, сегодня у любого руководителя есть все инструменты, чтобы свести риски к минимуму – самостоятельно или с помощью надежных партнеров.

*Партнерский материал. ООО «Надежные программы», УНП 191101193

Фото: Екатерина Сиводедова
Если вы заметили ошибку в тексте новости, пожалуйста, выделите её и нажмите Ctrl+Enter
Последние изменения по теме
Интернет-бизнес
Отправить редакции myfin.by сообщение об ошибке в тексте
Текст:
Комментарий
Оформление заявки
Оставьте заявку и получите:
Отправить заявку
Оставьте заявку и получите:
Отправить заявку
Расчетно-кассовое обслуживание
Торговый эквайринг
Интернет-эквайринг
Кассовое и терминальное оборудование
Облигации
Ещё
Оформление заявки
Оставьте заявку и получите:
Отправить заявку