ОДКБ. Республика Беларусь. Анализ законодательства в области информационной безопасности

BIS Journal №4(51)2023

24 ноября, 2023

ОДКБ. Республика Беларусь. Анализ законодательства в области информационной безопасности

Данной статьёй начинается серия статей по анализу законодательства в области информационной безопасности. На данный момент в мире много разных союзов между странами. Во многих участвует Российская Федерация — Союзное государство, ОДКБ, ЕАЭС, СНГ, БРИКС и др.

При планировании путешествия в другую страну или бизнеса с представителями иностранного государства возникает ряд вопросов, связанных с требованиями по обеспечению безопасности информации в соответствии с местным законодательством. Как будут защищаться ваши персональные/личные данные, какие законы в области ИБ действуют в данной стране, как не нарушить требования ИБ и не стать нарушителем закона и др.? Вопросов много. Можно изучать статьи в интернете, но многие публикации написаны несколько лет назад и потеряли свою актуальность. Законодательство меняется, нормативные документы отменяются, изменяются, выходят новые документы.

Начинаем с публикации, посвящённой анализу законодательства в области ИБ нашего ближайшего соседа — Республики Беларусь. Между нашими странами сложились тесные взаимоотношения. Создано и развивается союзное государство. Россия и Беларусь являются участниками целого ряда союзов с другими странами.

 

ОБЩИЕ СВЕДЕНИЯ

Республика Беларусь — государство в Восточной Европе. Столица — Минск. Государственные языки — белорусский и русский.

Органы, утверждающие законы и подзаконные акты в области ИБ в стране: Президент Республики Беларусь, Совет министров Республики Беларусь, Совет безопасности Республики Беларусь, Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ), Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД), Национальный банк Республики Беларусь (НБ РБ) и другие отраслевые ведомства.

Все документы, за исключением документов НЦЗПД и НБ РБ, имеют общереспубликанское значение и применяются для организации и обеспечения информационной и кибербезопасности. НЦЗПД имеет свою специфику в регулировании сбора и обработки ПД граждан РБ. Национальный банк Республики Беларусь и другие отраслевые ведомства дополняют и детализируют ИБ в части специфичных отраслевых процессов. НБ РБ выделен как более активный отраслевой регулятор ИБ.

 

ТАЙНЫ

Тайны, определённые законодательством Республики Беларусь:

  • коммерческая тайна утверждена Законом РБ от 5.01.2013 № 16-З «О коммерческой тайне»: «коммерческая тайна — сведения любого характера (технического, производственного, организационного, коммерческого, финансового и иного), в том числе секреты производства (ноу-хау), соответствующие требованиям настоящего Закона, в отношении которых установлен режим коммерческой тайны».
  • банковская тайна утверждена Банковским кодексом Республики Беларусь от 25.10.2000 № 441-З: «Сведения о счетах и вкладах (депозитах), в том числе о наличии счёта в банке (небанковской кредитно-финансовой организации), его владельце, номере и других реквизитах счёта, размере средств, находящихся на счетах и во вкладах (депозитах), а равно сведения о конкретных сделках, об операциях без открытия счёта, операциях по счетам и вкладам (депозитам), а также об имуществе, находящемся на хранении в банке, являются банковской тайной и не подлежат разглашению».
  • персональные данные [1] утверждены Законом Республики Беларусь от 7.05.2021 № 99-З «О защите персональных данных»: «персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано».

 

ВЫСОКОУРОВНЕВЫЕ ДОКУМЕНТЫ

Высокоуровневыми концептуальными документами, охватывающими вопросы информационной безопасности, являются:

  • Концепция национальной безопасности Республики Беларусь (утверждена Указом Президента Республики Беларусь 9.11.2010 № 575). Данная концепция закрепляет совокупность официальных вкладов на сущность и содержание деятельности РБ по обеспечению баланса интересов личности, общества, государства и их защите от внутренних и внешних угроз. Концепция призвана обеспечить единство подходов к формированию и реализации государственной политики обеспечения национальной безопасности, а также методологическую основу совершенствования актов законодательства в различных сферах национальной безопасности, разработки документов стратегического планирования.
  • Концепция информационной безопасности Республики Беларусь (утверждена Постановлением Совета Безопасности Республики Беларусь 18.03.2019 № 1). Концепция представляет собой систему официальных взглядов на сущность и содержание обеспечения национальной безопасности в информационной сфере, определяет стратегические задачи и приоритеты в области информационной безопасности. Данная концепция обеспечивает комплексный подход к проблеме информационной безопасности, создаёт методологическую основу для совершенствования деятельности по её укреплению, служит основанием для формирования государственной политики, выработки мер по совершенствованию системы обеспечения информационной безопасности, конструктивного взаимодействия, консолидации усилий и повышения эффективности защиты национальных интересов в информационной сфере. 
  • Концепция обеспечения кибербезопасности в банковской сфере (утверждена Постановлением Правления Национального банка Республики Беларусь 20.11.2019 № 466). Концепция представляет собой структурированный документ, разработанный на основе результатов анализа и видения Национальным банком сложившейся ситуации в области обеспечения кибербезопасности банков, небанковских кредитно-финансовых организаций, открытого акционерного общества «Банк развития Республики Беларусь», содержащий перспективные направления решения имеющихся и предотвращения возможных проблем в сфере обеспечения кибербезопасности в банках и Национальном банке в виде систематизированного изложения целей, задач, особенностей текущей ситуации и возможных способов достижения требуемого уровня обеспечения кибербезопасности в банковской сфере.
  • Концепция информационной безопасности Союзного государства (утверждена 22.02.2023 Высшего Государственного совета Союзного государства). Концепция определяет основы для формирования согласованной государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также выработки мер по совершенствованию систем обеспечения информационной безопасности государств — участников Договора о создании Союзного государства.

 

ЗАКОНЫ

Законы — нормативные акты высшего уровня, регулирующие определённый круг вопросов. Основными законами в области ИБ являются:

  • Закон Республики Беларусь от 10.11.2008 № 455-3 «Об информации, информатизации и защите информации». Настоящим Законом регулируются общественные отношения, возникающие: при поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией; создании и использовании информационных технологий, информационных систем и информационных сетей, формировании информационных ресурсов; организации и обеспечении защиты информации.
  • Закон Республики Беларусь от 28.12.2009 № 113-З «Об электронном документе и электронной цифровой подписи». Настоящий Закон направлен на установление правовых основ применения электронных документов, определение основных требований, предъявляемых к электронным документам, а также правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе.

 

УКАЗЫ ПРЕЗИДЕНТА РБ

Указы, декреты Президента РБ — акты, имеющие силу закона, издаваемые главой государства в соответствии с действующим законодательством. Наивысший юридический статус имеют декреты, затем следуют указы. Основными указами в области ИБ являются:

  • Указ Президента РБ № 40 от 14.02.2023 «О кибербезопасности (центры обеспечения кибербезопасности и реагирования на киберинциденты». Данный указ создаёт национальную систему обеспечения кибербезопасности и их задачи, элементами которой являются: Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ); Национальный центр обеспечения кибербезопасности и реагирования на киберинциденты (Национальный центр кибербезопасности); центры кибербезопасности; авторизованный оператор электросвязи; объекты информационной инфраструктуры.
  • Указ Президента РБ № 196 от 16.04.2013 «О некоторых мерах по совершенствованию защиты информации». Данный указ утверждает: Положение о технической и криптографической защите информации; Положение о порядке отнесения объектов информатизации к критически важным объектам информатизации.
  • Указ Президента РБ № 60 от 01.02.2010 «О мерах по совершенствованию использования национального сегмента сети Интернет».
  • Указ Президента РБ № 449 от 09.12.2019 «О совершенствовании государственного регулирования в области защиты информации». Данный указ утверждает: Положение о технической и криптографической защите информации; Положение о порядке отнесения объектов информатизации к критически важным объектам информатизации; Положение о технической и криптографической защите информации в Республике Беларусь, утверждённое Указом, изложено в новой редакции; дополнение Указа Положением о порядке отнесения объектов информатизации к критически важным объектам информатизации.
  • Указ Президента РБ № 515 от 30.09.2010 «О некоторых мерах по развитию сети передачи данных в Республике Беларусь». Данный указ постановляет создать единую республиканскую сеть передачи данных (ЕРСПД), включив в её состав сети передачи данных республиканских органов государственного управления, местных исполнительных и распорядительных органов, иных государственных органов и других государственных организаций, а также хозяйственных обществ.
  • Указ Президента РБ № 461 от 16.12.2019 «Об использовании государственными органами и иными государственными организациями телекоммуникационных технологий». Вводит понятие республиканский центр обработки данных (РЦОД), предназначенный для размещения программно-технических средств республиканской платформы и других программно-технических средств, информационных систем (ресурсов) государственных органов и иных государственных организаций, хозяйственных обществ, в которых Республика Беларусь либо административно-территориальная единица обладает акциями (долями в уставных фондах) в размере более 50 процентов.
  • Указ Президента РБ № 49 от 28.02.2017 «О государственном регулировании в области экспортного контроля». Данный указ утверждает: Положение о порядке предоставления юридическим лицам права на осуществление внешнеторговой либо посреднической деятельности в отношении специфических товаров (работ, услуг); Положение о порядке государственного регулирования ввоза специфических товаров (работ, услуг), вывоза объектов экспортного контроля, осуществления посреднической деятельности в отношении объектов экспортного контроля; Положение о порядке проведения идентификации; Положение о порядке оформления обязательств по использованию импортированных специфических товаров (работ, услуг); Положение о порядке организации государственного контроля за выполнением обязательств по использованию импортированных (экспортированных) специфических товаров (работ, услуг) в заявленных целях.
  • Указ Президента РБ № 188 от 31.05.2022 «О расширении использования государственными организациями информационно-коммуникационных технологий». Устанавливает, что при оказании электронных услуг и осуществлении административных процедур в электронной форме государственными организациями идентификация и аутентификация физических и юридических лиц для совершения ими юридически значимых действий в электронном виде проводятся с использованием Единой системы идентификации физических и юридических лиц (Единая система идентификации).
  • Указ Президента РБ № 187 от 25.05.2017 «О республиканской системе мониторинга общественной безопасности». Данный Указ постанавливает создание республиканской системы мониторинга общественной безопасности.
  • Указ Президента РБ № 350 от 18.09.2019 «Об особенностях использования национального сегмента сети Интернет».
  • Указ Президента РБ № 422 от 28.10.2021 «О мерах по совершенствованию защиты персональных данных». Данный Указ постанавливает создание Национального центра защиты персональных данных Республики Беларусь (Национальный центр защиты персональных данных).

 

ОАЦ

Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ) обычно выпускает подзаконные акты, регламентирующие конкретные направления и процедуры обеспечения защиты информации. Документы можно найти и ознакомиться с ними на портале ОАЦ. В частности, там представлены тематические подборки:

  • законы Республики Беларусь;
  • указы Президента Республики Беларусь;
  • постановления Совета министров Республики Беларусь;
  • постановления Оперативно-аналитического центра при Президенте Республики Беларусь;
  • приказы Оперативно-аналитического центра при Президенте Республики Беларусь.

В частности, ОАЦ издаёт приказы, которые детализируют требования, процедуры в области защиты информации и являются подзаконными актами. Например, в отношении Указа Президента РБ № 40 от 14.02.2023 «О кибербезопасности» подзаконным актом является Приказ ОАЦ № 130 от 25.07.2023, детализирующий работу центра обеспечения кибербезопасности и реагирования на киберинциденты. А Приказ ОАЦ № 65 от 20.02.2020 «О показателях уровня вероятного ущерба национальным интересам Республики Беларусь» является продолжением Положения о порядке отнесения объектов информатизации к критически важным объектам информатизации по Указу Президента РБ № 449 от 09.12.2019.

 

ПОСТАНОВЛЕНИЕ СОВЕТА МИНИСТРОВ РБ

Важным для реализации технических мер, соответствующих требованиям законодательства РБ, является:

  • Постановление Совета Министров Республики Беларусь 15.05.2013 № 375. «Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Настоящим техническим регламентом устанавливаются требования к средствам защиты информации в целях обеспечения национальной безопасности, а также предупреждения действий, вводящих в заблуждение потребителей относительно назначения и качества средств защиты информации.

 

ПРИКАЗЫ НАЦИОНАЛЬНОГО ЦЕНТРА ЗАЩИТЫ ПД РБ

Свод документов регулятора по ПД — Национальный центр защиты персональных данных Республики Беларусь:

  • Приказ Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 12 «О классификации информационных ресурсов (систем)». Устанавливает следующие классификации: общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); биометрические и генетические персональные данные; персональные данные, не являющиеся общедоступными или специальными.
  • Приказ Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 13 «Об уведомлении о нарушениях систем защиты персональных данных».
  • Приказ Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 14 «О трансграничной передаче персональных данных».

 

ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ НАЦИОНАЛЬНОГО БАНКА РБ

Национальный Банк Республики Беларусь издал ряд технических требований и правил по ИБ (ТТП ИБ) [2]:

  • ТТП ИБ 1.1-2020 «Общие положения и терминология»;
  • ТТП ИБ 2.1-2020 «Требования к системам менеджмента информационной безопасности»;
  • ТТП ИБ 3.1-2020 «Требования по обеспечению информационной безопасности при использовании технологий виртуализации»;
  • ТТП ИБ 4.1-2020 «Менеджмент рисков информационной безопасности»;
  • ТТП ИБ 5.1-2020 «Оценка соответствия информационной безопасности банков Республики Беларусь требованиям ТТП ИБ 1.1 — 2020 и ТТП ИБ 2.1 — 2020»;
  • ТТП ИБ 6.1-2020 «Рекомендации по документационному обеспечению деятельности в области обеспечения информационной безопасности в соответствии с требованиями ТТП ИБ 1.1 — 2020»;
  • ТТП ИБ 7.1-2020 «Рекомендации по менеджменту инцидентов информационной безопасности»;
  • ТТП ИБ 8.1-2020 «Технические требования и правила информационной безопасности. Требования по защите программного обеспечения банковских мобильных приложений».

 

СТАНДАРТЫ

ТТП ИБ разработаны в развитие пяти государственных стандартов серии «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь», действующих с 2013 года:

  • СТБ 34.101.41 «Общие положения»;
  • СТБ 34.101.42 «Аудит информационной безопасности»;
  • СТБ 34.101.61 «Методика оценки рисков нарушения информационной безопасности»;
  • СТБ 34.101.62 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТБ 34.101.41»;
  • СТБ 34.101.68 «Методика оценки соответствия информационной безопасности банков Республики Беларусь требованиям СТБ 34.101.41».

Ресурс Национального фонда технических нормативных правовых актов содержит перечни и описание Стандартов Беларуси, в том числе и по ИБ.

 

РИСК-МЕНЕДЖМЕНТ

В заключение перечень официальных документов РБ по тематике риск-менеджмента:

  • СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах»;
  • СТБ 34.101.61-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методика оценки рисков нарушения информационной безопасности»;
  • Постановление правления НБРБ 29.10.2012 № 550 «Об утверждении Инструкции об организации системы управления рисками в банках, небанковских кредитно-финансовых организациях, банковских группах и банковских холдингах»;
  • Постановление Правления НБ РБ 08.01.2020 № 1 «Инструкция об управлении рисками при аутсорсинге»;
  • ТТП ИБ 4.1 — 2020. «Требования к системам менеджмента ИБ»;
  • ТТП ИБ 2.1 — 2020. «Менеджмент рисков ИБ».

Надеемся, что данная статья поможет «не заблудиться» в Законодательстве Республики Беларусь. Мы постарались облегчить путь изучения и применения на практике нормативных законов и подзаконных актов в области ИБ. В следующем номере мы продолжим обзор законодательства в области информационной безопасности других стран.

 

[1] Более подробно про обработку персональных данных в странах наших ближайших соседей можно прочитать в статье «Но есть нюансы… Национальные особенности обработки персональных данных в странах ОДКБ». Виноградов А., Меньшиков С., Ситнов А., BIS Journal № 3(46)/2023, а также на сайте журнала.

[2] Более подробно описание и сравнение комплекса ТТП и СТО БР были опубликованы в статье «Россия — Беларусь: диалог друзей. Как СТО БР возродился в ТТП ИБ». Виноградов А., Меньшиков С., BIS Journal № 4(47)/2022.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
17.01.2025
Минцифры бьёт по телефонному мошенничеству офлайн-практиками
17.01.2025
2024 — год Жука. Сколько заработали «белые шляпы» на поиске брешей
17.01.2025
День знаний в январе. Скамеры проникли даже в сферу «Сферума»
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных