Законодательство о кибербезопасности распространяется как на государственные организации, так и на частные. Оно не заменяет законодательство о защите информации. Об этом сообщил сотрудник Оперативно-аналитического центра при Президенте Республики Беларусь Илья Мячин на IT-Security Conference-2024.
В феврале 2023 г. появился указ № 40 «О кибербезопасности». В соответствии с ним определена иерархическая система центров кибербезопасности (Security Operations Center, SOC) с координирующей ролью Национального центра кибербезопасности при ОАЦ. В документе названы 27 компаний, обязанных построить SOC не позднее 16 августа 2024 г. Все они отнесены к владельцам критически важных объектов информатизации (БелАЭС, Гродно Азот, Нафтан, Белтелеком, А1, МТС, Беларусбанк и др.).
Приказом ОАЦ № 130 от 25 июля 2023 г. обозначены технические и организационные требования к SOC и процедура аттестации таких центров.
Илья Мячин подчеркнул, что законодательство о кибербезопасности касается не только государственных органов и организаций, но и любых коммерческих предприятий.
Он прокомментировал и еще одно заблуждение, которое имеется у участников рынка.
– Законодательство о кибербезопасности – это не замена действующего законодательства о защите информации. Оно его дополняет. У некоторых организаций возникает вопрос, можно ли заключить договор на получение услуги по обеспечению кибербезопасности и не выполнять требования в части проектирования, создания и аттестации систем защиты информации. Нет, нельзя, – сказал Мячин.
Постановлением Совета Министров от 23 февраля 2024 г. № 120 установлены перечни предприятий для построения SOC до конца следующего года.
В первый список вошли компании, у которых госорганы и иные госорганизации вправе приобретать услуги по обеспечению кибербезопасности с применением процедуры закупки из одного источника. Это государственный Национальный центр обмена трафиком, частные «Надежные программы» и «Секьюрити Лаб».
– Этот перечень формировался самым прозрачным образом, – заверил Мячин. – Туда включили все центры кибербезопасности, которые были аттестованы ОАЦ на момент подготовки проекта документа. Недавно центр кибербезопасности компании А1 прошел аттестацию. Сейчас мы ждем, что другие компании последуют его примеру, после этого дополним перечень в постановлении Совмина.
Постановлением определен и перечень государственных органов и иных организаций, которые внедряют центры обеспечения кибербезопасности и реагирования на киберинциденты объектов информационной инфраструктуры и (или) приобретают услуги по обеспечению кибербезопасности у организаций, создавших такие центры. В списке 124 организации, включая министерства и ведомства, банки, 4 гособъединения (БЖД, Белоруснефть, Белтопгаз, Белэнерго), десятки компаний с госдолей, в том числе МАЗ, БЕЛАЗ, «Белавиа», «Белпочта», «Амкодор», а также государственные архивы, торфозаводы, страховые компании, 4 учебных заведения и др. Им необходимо создать SOC до конца 2025 г. Хотя некоторые структуры (например, Минфин и «Агат») должны сделать это в текущем году.
– К сожалению, мы не смогли включить в перечень все организации Беларуси, поскольку ресурсы ограничены. Поэтому фокус сделан на объектах критической инфраструктуры и ведомственной принадлежности. Мы исходили из того, что республиканскому госоргану, создав центр или приобретя услуги по кибербезопасности, будет проще масштабировать это на другие подведомственные организации, – пояснил Илья Мячин.
Законодательство допускает появление отраслевых SOC. Отдавать услугу по кибербезопасности можно и на аутсорсинг сторонним центрам.
Ранее эксперты говорили, что в Беларуси около 300 организаций с критически важной IТ-инфраструктурой. Соответственно, их кибербезопасность необходимо будет усиливать в первую очередь. Однако, чтобы построить SOC с нуля, требуется закупить оборудование, программное обеспечение, нанять специалистов, аттестовать системы защиты информации. Помимо значительных финансовых вложений, существует дефицит квалифицированных кадров.
