Аттестация по ИБ | 24 октября 2025

Аттестация ОАЦ «под ключ»: Детальное руководство по защите информации в Беларуси от аудита до аттестата

Аттестация ОАЦ «под ключ»: Детальное руководство по защите информации в Беларуси от аудита до аттестата

В цифровой экономике Беларуси данные — это новая нефть, а их защита — фундамент стабильности и репутации любого бизнеса. Если ваша компания обрабатывает персональные данные клиентов, хранит коммерческую тайну или работает со служебной информацией, вы не просто должны, а обязаны обеспечить ее безопасность. И главным подтверждением этой безопасности является аттестат соответствия системы защиты информации (СЗИ), выданный по требованиям Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ).

Многие руководители воспринимают аттестацию как сложный бюрократический квест, полный непонятных требований и скрытых затрат. Но на самом деле это логичный и структурированный процесс, который при правильном подходе не только приводит к получению заветного документа, но и выстраивает в компании реальный, работающий щит от киберугроз.

Эта статья — ваше пошаговое руководство. Мы не просто перечислим требования, а объясним их суть, подсветим критические ошибки, которые стоят компаниям времени и денег, и дадим практические рекомендации, понятные не только IT-директору, но и руководителю бизнеса.

Зачем на самом деле нужна аттестация СЗИ?

Аттестация системы защиты информации — это официальная процедура, которая подтверждает, что ваша информационная система (ИС) способна надежно защищать информацию ограниченного распространения. В Республике Беларусь этот процесс регламентируется двумя ключевыми документами:

  • Указ Президента РБ №196 от 16.04.2013 г. — устанавливает общие принципы защиты информации.
  • Приказ ОАЦ №66 от 20.02.2020 г. — содержит конкретные технические и организационные требования к системам защиты.

Простыми словами, если ваша CRM-система хранит данные клиентов, ваша ERP — финансовые отчеты, а на файловом сервере лежат внутренние документы с пометкой «ДСП» (для служебного пользования), вы обязаны пройти аттестацию.

Но аттестация — это не просто формальность для регулятора. Это:

  • Снижение рисков. Процесс аттестации заставляет выявить и устранить уязвимости, которые могут привести к утечке данных, финансовым потерям, штрафам и остановке бизнес-процессов.
  • Конкурентное преимущество. Наличие аттестата — это мощный сигнал для клиентов и партнеров о том, что вы серьезно относитесь к защите их данных. В тендерах и при заключении крупных контрактов это может стать решающим фактором.
  • Юридическая защищенность. В случае инцидента информационной безопасности аттестат подтвердит, что вы приняли все предписанные законом меры для защиты информации.
  • Наведение порядка в IT-инфраструктуре. Аудит и проектирование СЗИ помогают систематизировать IT-активы, разобраться в информационных потоках и выстроить четкие правила работы с данными.

Теперь, когда мы понимаем важность цели, давайте рассмотрим дорожную карту ее достижения.

Дорожная карта процесса аттестации: 5 ключевых этапов

Полный цикл аттестации СЗИ — это комплексный проект, который можно разделить на пять последовательных этапов. Пропуск или некачественное выполнение любого из них неизбежно приведет к проблемам на последующих стадиях.

Этап 1. Предпроектное обследование (Аудит): Закладываем фундамент

Это самый важный этап, от которого зависит 80% успеха всего проекта. Его цель — получить полное и объективное представление о вашей информационной системе, обрабатываемых данных и существующих мерах защиты. Именно здесь определяются масштаб работ, бюджет и требования к будущей СЗИ.

Основные работы на этапе аудита:

  • Классификация обрабатываемой информации. Специалисты совместно с вами должны четко определить, какие типы данных циркулируют в системе:
    • Персональные данные: обычные (ФИО, email), специальные (здоровье, судимость), биометрические (отпечатки пальцев).
    • Коммерческая тайна: ноу-хау, клиентские базы, финансовые планы.
    • Служебная информация ограниченного распространения (ДСП).
      От точности этой классификации зависит все: от выбора класса системы до набора необходимых средств защиты.
  • Отнесение ИС к классу типовых информационных систем. Согласно государственному стандарту СТБ 34.101.30-2017, все системы делятся на 10 классов. Главный критерий разделения — наличие или отсутствие подключения к сетям общего пользования (Интернету).
    • Классы 4-го типа (4-ин, 4-спец, 4-бг и др.): Изолированные системы, не имеющие выхода в интернет. Требования к ним мягче.
    • Классы 3-го типа (3-ин, 3-спец, 3-бг и др.): Системы, подключенные к открытым каналам. Они подвержены большему числу угроз, поэтому требования к их защите значительно строже.
  • Обследование информационной системы. Это глубокое погружение в вашу IT-инфраструктуру. Анализируются ее структура, физические и логические границы, состав оборудования (серверы, рабочие станции, сетевые устройства), а также все информационные потоки — как внутренние, так и внешние.
  • Сканирование на наличие уязвимостей. С помощью специализированного ПО проводится проверка всех компонентов системы на наличие известных уязвимостей, которые могут быть использованы злоумышленниками.

Результаты этапа: На выходе вы получаете пакет ключевых документов:

  • Отчет по результатам обследования.
  • Проект акта классификации информации.
  • Проект акта отнесения ИС к классу типовых систем.
  • Предварительный перечень необходимых средств защиты.

Типичные и самые дорогие ошибки:
Неправильная классификация информации. Самая распространенная ошибка. Например, компания считает, что обрабатывает только обычные персональные данные, а по факту в анкетах есть вопросы о здоровье (специальные ПДн). Это ведет к неверному выбору класса ИС и, как следствие, к покупке ненужных дорогостоящих СЗИ или, наоборот, к недостаточному уровню защиты и отказу в аттестации.
Игнорирование «теневого IT». Аудит затрагивает только официальные, известные IT-отделу системы, забывая про облачные сервисы, которые используют маркетологи, или базы данных, которые ведет отдел продаж «для себя». Эти неучтенные потоки — огромная дыра в безопасности.
Отсутствие формальных документов. Все результаты должны быть зафиксированы в актах и утверждены руководителем. Без этого двигаться дальше нельзя.

Рекомендация от эксперта: Начинайте аудит как можно раньше, в идеале — за год до предполагаемой даты аттестации или запуска новой системы. Это даст вам время без спешки исправить найденные недочеты и спланировать бюджет.

Этап 2. Проектирование системы защиты информации: Строим архитектуру безопасности

На основе данных, полученных на этапе аудита, разрабатывается детальный план будущей системы защиты. Это чертеж вашего цифрового «здания безопасности».

Основные работы на этапе проектирования:

  • Разработка Технического задания (ТЗ) на создание СЗИ. Это главный документ этапа, который описывает все требования к системе защиты, порядок ее взаимодействия с другими системами, требования к криптографии и состав необходимой документации.
  • Определение состава средств защиты. На этом шаге подбираются конкретные технические решения:
    • Межсетевые экраны (Firewalls): Фильтруют сетевой трафик, пропуская разрешенный и блокируя запрещенный.
    • Антивирусное ПО: Защищает от вредоносных программ.
    • DLP-системы (Data Loss Prevention): Предотвращают утечки конфиденциальной информации.
    • SIEM-системы (Security Information and Event Management): Собирают и анализируют события безопасности со всех устройств, помогая выявлять атаки.
    • Средства криптографической защиты: Шифруют данные при передаче и хранении.
      Ключевой момент: Все используемые средства защиты должны иметь либо сертификат соответствия Национальной системы подтверждения соответствия РБ, либо положительное экспертное заключение ОАЦ. Использование несертифицированных продуктов недопустимо.
  • Разработка общей схемы СЗИ. Это визуальная карта вашей защиты, на которой отображаются все элементы ИС, средства защиты, информационные потоки и границы защищаемого периметра.
  • Разработка организационно-распорядительной документации. Техника без правил — ничто. Необходимо разработать минимальный комплект политик и регламентов, которые будут определять правила игры для всех сотрудников:
    • Политика информационной безопасности (общий документ).
    • Политика управления учетными записями и паролями.
    • Политика физического доступа в помещения.
    • Регламенты антивирусной защиты, реагирования на инциденты, управления конфигурацией и т.д.

Результаты этапа:

  • Утвержденное Техническое задание на СЗИ.
  • Общая схема системы защиты.
  • Спецификация на закупку оборудования и ПО.
  • Комплект готовых политик информационной безопасности.

Типичные ошибки:
Проектирование безопасности «потом». Разработчики сначала создают информационную систему, а уже потом пытаются «прикрутить» к ней защиту. Часто оказывается, что архитектура системы не позволяет внедрить необходимые меры или это требует колоссальных переделок.
Выбор несертифицированных СЗИ. Попытка сэкономить, используя ПО без сертификата ОАЦ, гарантированно приведет к провалу на аттестации.
Фокус только на технике. Компания закупает дорогое оборудование, но забывает разработать регламенты и обучить персонал. В итоге межсетевой экран за миллион рублей легко обходится через фишинговое письмо, открытое неосторожным сотрудником.

Рекомендация от эксперта: Привлекайте специалистов по ИБ на самых ранних этапах проектирования любой новой информационной системы. Интегрировать безопасность в архитектуру с самого начала в разы дешевле и эффективнее, чем исправлять ошибки постфактум.

Этап 3. Создание (внедрение) системы защиты информации: От проекта к реальности

На этом этапе теоретические разработки превращаются в работающую инфраструктуру. Это самая технически насыщенная часть проекта.

Основные работы на этапе внедрения:

  • Установка и настройка средств защиты. Инженеры разворачивают и конфигурируют все запланированные решения: устанавливают межсетевые экраны, настраивают антивирусные серверы, конфигурируют DLP-политики, настраивают SIEM-систему для сбора логов.
  • Интеграция с существующей инфраструктурой. Важно не просто установить СЗИ, а добиться их корректной совместной работы с бизнес-приложениями и IT-системами компании.
  • Создание эксплуатационной документации. Разрабатываются инструкции для администраторов и пользователей, регламенты обслуживания, журналы учета событий, паролей, ключей и т.д.
  • Разработка приказов и назначение ответственных. Это критически важный организационный шаг. Должны быть изданы и подписаны приказы о назначении ответственного за информационную безопасность и администратора(ов) безопасности, а также четко распределены зоны ответственности.
  • Обучение персонала. Все сотрудники, работающие в системе, должны пройти инструктаж по новым правилам и политикам ИБ.
  • Опытная эксплуатация и тестирование. Перед подачей заявки на аттестацию система должна поработать в «боевом» режиме. На этом этапе проверяется ее работоспособность, отлаживаются конфигурации, имитируются атаки для проверки надежности.

Результаты этапа:

  • Полностью развернутая и настроенная СЗИ.
  • Готовый пакет эксплуатационной документации.
  • Подписанные приказы о назначении ответственных.
  • Протоколы, подтверждающие успешное прохождение опытной эксплуатации.

Типичные ошибки:
Забыли про приказ. Отсутствие официального приказа о назначении ответственного за ИБ — это автоматический провал на аудите. Регулятор должен видеть, что в компании есть конкретное лицо, отвечающее за безопасность.
Настройка «по умолчанию». Часто СЗИ устанавливаются с заводскими настройками и паролями (admin/admin), не обновляются прошивки, не настраиваются детальные правила. Такая «защита» бесполезна.
Отсутствие контроля. Внедрили сложные парольные политики, но не контролируют их исполнение. Установили SIEM, но никто не анализирует события. Это равносильно отсутствию защиты.

Рекомендация от эксперта: Уделите максимум внимания детальной настройке и комплексному тестированию. Проведите внутренний пентест (тест на проникновение), чтобы посмотреть на свою систему глазами злоумышленника и найти слабые места до того, как их найдет аттестующая комиссия.

Этап 4. Подача заявки на аттестацию: Формальная готовность

Когда система внедрена, протестирована и задокументирована, наступает время официально инициировать процесс аттестации.

Основные работы на этапе подачи заявки:

  • Выбор аттестующей организации. Проводить аттестацию могут либо специализированные компании с лицензией ОАЦ, либо сам владелец системы (если у него есть для этого необходимые компетенции и лицензия).
  • Подготовка полного пакета документов. Это самый скрупулезный момент. Вам нужно собрать воедино все, что было разработано на предыдущих этапах:
    • Политика ИБ.
    • Акт классификации и Акт отнесения к классу.
    • Техническое задание на СЗИ.
    • Общая схема СЗИ.
    • Вся эксплуатационная и проектная документация.
    • Копии сертификатов ОАЦ на все средства защиты.
    • Все организационно-распорядительные документы (приказы, инструкции).
  • Заключение договора. При работе с лицензиатом заключается договор, в котором прописываются сроки. По закону, срок проведения аттестации не может превышать 180 календарных дней.

Результаты этапа:

  • Заключенный договор на проведение аттестации.
  • Собранный и переданный аттестующей организации полный комплект документов.

Типичные ошибки:
Неполный пакет документов. Отсутствие даже одной инструкции или приказа может стать основанием для отказа в приеме заявки.
Документы «для галочки». В документах описана одна система, а по факту реализована другая. Любое несоответствие будет выявлено на следующем этапе.
Устаревшие версии. Используются старые версии политик или схем, которые не отражают текущее состояние инфраструктуры.

Рекомендация от эксперта: Проведите внутренний аудит готовности за месяц до подачи заявки. Пусть ваш ответственный за ИБ пройдет по всему списку документов и сверит их с реальностью. Это сэкономит вам недели, а то и месяцы.

Этап 5. Аттестационные испытания и получение аттестата: Финальная проверка

Это кульминация всего процесса — «экзамен», на котором комиссия проверяет соответствие вашей СЗИ всем требованиям законодательства.

Основные работы на этапе испытаний:

  • Разработка программы и методики аттестации. На основе ваших документов аттестующая организация составляет детальный план проверки, который согласовывается с вами.
  • Проведение обследования на месте. Комиссия выезжает на объект и проверяет, соответствует ли реальная инфраструктура тому, что описано в документах. Проверяется состав оборудования, настройки, распределение ролей между сотрудниками.
  • Аттестационные испытания. Это самая глубокая часть проверки:
    • Тестирование всех функций безопасности СЗИ.
    • Повторное сканирование системы на уязвимости.
    • Проверка корректности настроек межсетевых экранов, антивирусов и других средств.
    • Для систем высокого класса (например, 3-бг и 3-дсп) проводится оценка эффективности защиты, включая тестирование на проникновение (пентест).
  • Оформление результатов. По итогам всех проверок составляются официальные документы: Протокол испытаний, Технический отчет и Заключение.
  • Выдача аттестата соответствия. Если все испытания прошли успешно, вы получаете долгожданный аттестат.

Результаты этапа:

  • Протокол аттестационных испытаний.
  • Технический отчет.
  • Аттестат соответствия СЗИ.

Типичные ошибки:
Неготовность к «неудобным» вопросам. Сотрудники не могут объяснить, как они выполняют тот или иной регламент, или показать нужные записи в журналах аудита.
Отсутствие журналов аудита (логов). Ведение журналов событий безопасности — обязательное требование. Если логи не ведутся или хранятся неполно, это критическое несоответствие.
Найдены новые уязвимости. За время, прошедшее с первого сканирования, в ПО могли появиться новые уязвимости, а компания не позаботилась об установке обновлений.

Рекомендация от эксперта: Проведите «генеральную репетицию» аттестации за 1-2 месяца до официальной даты. Пригласите стороннего консультанта или проведите внутренними силами максимально строгую проверку, имитируя действия реальной комиссии.

Сроки и действие аттестата: Что дальше?

  • Сроки проведения: При работе с лицензиатом — не более 180 дней. Если в ходе проверки выявляются недостатки, вам дается 30 дней на их устранение.
  • Срок действия аттестата: В соответствии с обновленными требованиями, аттестат выдается бессрочно.

НО! Это не значит, что можно расслабиться. Владелец аттестованной системы обязан постоянно поддерживать ее в актуальном состоянии и не реже одного раза в 2 года проводить периодический контроль уровня защиты, представляя протоколы контроля в ОАЦ. Непредставление этих протоколов — прямое основание для приостановки действия вашего аттестата.

Чек-лист успешной аттестации

До начала процесса:
✅ Определены все категории обрабатываемой информации.
✅ Приказом назначен ответственный за информационную безопасность.
✅ Проведен детальный аудит IT-инфраструктуры.
✅ Сформирован бюджет на СЗИ и услуги по аттестации.

На этапе проектирования:
✅ Корректно определен класс типовой ИС.
✅ Выбраны только сертифицированные в РБ средства защиты.
✅ Разработан и утвержден полный комплект политик и регламентов.

На этапе внедрения:
✅ Все СЗИ корректно установлены, настроены и обновлены.
✅ Проведено обучение персонала и инструктажи.
✅ Ведутся и регулярно анализируются журналы аудита.
✅ Проведена опытная эксплуатация и внутреннее тестирование.

Перед аттестацией:
✅ Вся документация актуальна и соответствует реальности.
✅ Устранены все известные уязвимости.
✅ Персонал готов к проверке и знает свои обязанности.
✅ Проведена внутренняя «репетиция» аттестационных испытаний.

Аттестация СЗИ по требованиям ОАЦ — это марафон, а не спринт. Ключ к успеху — в системном подходе, заблаговременной подготовке и внимании к деталям на каждом этапе. Не стоит воспринимать этот процесс как досадную обязанность. Рассматривайте его как инвестицию в собственную стабильность, репутацию и защищенность.

Правильно выстроенная и аттестованная система защиты информации — это не просто «бумажка» для регулятора. Это работающий механизм, который снижает риски кибератак, защищает от утечек данных и финансовых потерь, а также демонстрирует вашим клиентам и партнерам, что вашему бизнесу можно доверять. В современном мире такое доверие стоит дороже любых затрат на безопасность.

сертификация ОАЦ аттестация этапы

Как вам статья?

По теме
Создание SOC в Республике Беларусь в 2026 году: Стратегический путеводитель и архитектура будущего
Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси
Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Документация для ОАЦ: Полное руководство по созданию работающих политик, приказов и регламентов

Полное руководство по документации для аттестации ОАЦ. Разбираем политики, приказы и регламенты. Готовые образцы, примеры и советы, как избежать «воды»

24 октября 2025