Аттестация системы защиты информации (СЗИ) — это комплекс организационно-технических мероприятий, подтверждающий соответствие системы защиты информации требованиям законодательства Республики Беларусь в области информации, информатизации и защиты данных.
Система защиты информации (СЗИ) объединяет меры, направленные на обеспечение конфиденциальности, целостности и доступности информации. В 2025 году вступают в силу обновлённые требования, утверждённые Приказом ОАЦ № 259 от 10 декабря 2024 года, который применяется поэтапно — с 19 декабря 2024 г. и 1 марта 2025 г.
Кому обязательна аттестация СЗИ
Государственные органы и организации
Аттестацию обязаны проходить:
- государственные органы и организации, работающие с государственными информационными системами;
- организации, обрабатывающие служебные документы ограниченного распространения;
- организации, связанные с государственными тайнами;
- владельцы официальных информационных ресурсов, размещённых на государственных серверах.
Операторы персональных данных
Организации, обрабатывающие персональные данные, обязаны защищать их с помощью сертифицированных в ОАЦ средств защиты — межсетевых экранов, систем контроля доступа, средств шифрования и т. д.
Владельцы критически важных объектов информатизации
Для таких организаций обязательно:
- обучение сотрудников не реже одного раза в три года;
- определение объектов по критериям социальной и экономической значимости, а также по принадлежности к инфраструктуре.
Классификация информационных систем
Согласно СТБ 34.101.30-2017, информационные системы подразделяются на классы:
| Класс | Подкласс | Категория данных |
|---|---|---|
| 4 | 4-ин | персональные данные, кроме специальных |
| 4-спец | специальные персональные данные | |
| 4-бг | биометрические и генетические данные | |
| 4-юл | коммерческая тайна юридического лица | |
| 4-дсп | служебная информация ограниченного распространения | |
| 3 | 3-ин | персональные данные с подключением к открытым сетям |
| 3-спец | специальные персональные данные | |
| 3-бг | биометрические и генетические персональные данные | |
| 3-юл | коммерческая тайна | |
| 3-дсп | служебная информация ограниченного распространения | |
| 5 | 5-гос | государственные ИС с общедоступной информацией |
Этапы проведения аттестации
Этап 1. Предпроектное обследование
- Анализ структуры и потоков данных;
- Подготовка акта отнесения ИС к классу;
- Составление перечня используемых средств защиты;
- Проведение сканирования на уязвимости.
Этап 2. Проектирование и создание СЗИ
- Разработка технического задания;
- Внедрение и настройка средств защиты;
- Подготовка организационно-распорядительной документации.
Этап 3. Аттестация системы
- Разработка программы и методики испытаний;
- Проведение испытаний и проверок;
- Получение аттестата соответствия.
Изменения в законодательстве на 2025 год
Согласно Приказу ОАЦ № 259, вступившему в силу 1 марта 2025 года, введены новые требования:
1. Обнаружение и реагирование на угрозы
Для систем классов 3-бг и 3-дсп обязательно внедрение средств, обеспечивающих обнаружение и реагирование на угрозы безопасности конечных узлов (п. 7.18).
2. Оценка эффективности защищённости
Необходимо регулярно проводить тестирование на проникновение (penetration testing) для классов 3-бг и 3-дсп.
3. Ежегодный анализ эффективности СЗИ
Анализ проводится не реже одного раза в год с даты аттестации.
4. Сроки предоставления сведений
Изменения сведений подаются в ОАЦ в течение 10 календарных дней с момента их возникновения.
Требования к аттестующим организациям
Аттестацию проводят организации, имеющие лицензию ОАЦ на техническую и (или) криптографическую защиту информации.
Собственники ИС также могут проводить аттестацию самостоятельно — при наличии квалифицированных специалистов и утверждённых методик.
Необходимые документы для аттестации
- Политика информационной безопасности;
- Акт отнесения ИС к классу типовых систем;
- Техническое задание на создание ИС или СЗИ;
- Общая схема системы защиты информации;
- Комплект эксплуатационной и проектной документации;
- Сертификаты или экспертные заключения на средства защиты.
Срок действия аттестата
Аттестат соответствия выдается на 5 лет.
Он сохраняет силу при неизменности:
- технологии обработки информации;
- состава и конфигурации технических средств защиты.
По истечении срока проводится повторная аттестация на основании нового договора.
Стоимость аттестации в 2025 году
Стоимость зависит от сложности информационной системы.
| Тариф | Стоимость, BYN | Описание |
|---|---|---|
| Система | 26 500 | Полный цикл работ |
| Этап 1 | 13 250 | Предпроектное обследование |
| Этап 2 | индивидуально | Проектирование и внедрение |
| Этап 3 | включён | Проведение испытаний |
| Спринт | – | Для небольших ИС класса 3-ин |
Ответственность за непрохождение аттестации
Административная
- Ст. 23.7 КоАП РБ:
Статья 23.7 КоАП Республики Беларусь устанавливает административную ответственность за нарушение законодательства о защите персональных данных. Суть статьи заключается в следующем:
Часть 1: Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица, а также нарушение его прав, связанных с обработкой персональных данных, влечёт наложение штрафа в размере до 50 базовых величин.
Часть 2: Те же деяния, совершённые лицом, которому персональные данные известны в связи с профессиональной или служебной деятельностью, — штраф от 4 до 100 базовых величин.
Часть 3: Умышленное незаконное распространение персональных данных физических лиц — штраф до 200 базовых величин.
Часть 4: Несоблюдение мер обеспечения защиты персональных данных физических лиц:
Граждане — штраф от 2 до 10 базовых величин.
Индивидуальные предприниматели — от 10 до 25 базовых величин.
Юридические лица — от 20 до 50 базовых величин.
Уголовная
Статья 203-2 УК РБ
Статья 203-2 УК Республики Беларусь устанавливает уголовную ответственность за несоблюдение мер обеспечения защиты персональных данных. Суть статьи состоит в следующем:
Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий, наказывается:
Штрафом,
Лишением права занимать определённые должности или заниматься определённой деятельностью,
Исправительными работами на срок до одного года,
Арестом,
Ограничением свободы на срок до двух лет,
Лишением свободы на срок до одного года.
Статья применяется в случаях, когда разглашение или утечка персональных данных произошли по неосторожности (например, в силу организационных или технических недоработок), и это повлекло серьёзные негативные последствия для пострадавших.
Персональная ответственность руководителя
Согласно Указу Президента № 196, руководитель организации несёт персональную ответственность за организацию защиты информации.
Указ Президента Республики Беларусь № 196 от 16 апреля 2013 года называется «О некоторых мерах по совершенствованию защиты информации». Этот указ определяет правовые и организационные основы технической и криптографической защиты информации и возлагает на руководителя организации персональную ответственность за организацию этой работы.
Ключевые положения указа:
Руководители организаций обязаны обеспечивать выполнение мер технической и криптографической защиты информации на объектах информатизации, где это требуется по закону.
Утверждены положения о порядке отнесения объектов информатизации к критически важным объектам и о технической и криптографической защите информации.
Организации обязаны разрабатывать, внедрять и поддерживать систему защиты информации на своих объектах, а также обеспечивать обучение профильного персонала не реже одного раза в три года.
Оперативно-аналитический центр при Президенте контролирует исполнение этих требований.
Таким образом, Указ № 196 устанавливает обязанность руководителя организовать эффективную защиту информации и персональную ответственность за исполнение этих мероприятий в организации.
Обучение и повышение квалификации
Организации обязаны не реже одного раза в три года обучать работников в Национальном центре защиты персональных данных.
Обучаются:
- ответственные за контроль обработки персональных данных;
- лица, непосредственно обрабатывающие данные;
- специалисты по информационной безопасности.
Переходные положения
Для договоров, заключённых до 1 марта 2025 года:
- применяются нормы, действовавшие на дату заключения;
- по решению владельца ИС возможен переход на новые требования.
Практические рекомендации по подготовке к аттестации
- Проведите классификацию данных — определите категории обрабатываемой информации.
- Присвойте класс ИС в соответствии с СТБ 34.101.30-2017.
- Анализируйте инфраструктуру и выявите слабые места.
- Выберите лицензированную организацию, имеющую опыт в вашей отрасли.
- Поддерживайте соответствие:
- регулярно обновляйте средства защиты;
- проводите анализ эффективности;
- обучайте персонал.
Аттестация по информационной безопасности в 2025 году — ключевое требование для государственных и коммерческих организаций в Республике Беларусь.
Выполнение норм законодательства снижает риски утечек и инцидентов, а также повышает доверие клиентов и партнёров.
Изменения, внесённые Приказом ОАЦ № 259, усилили контроль над системами, подключёнными к открытым сетям, и установили новые стандарты защищённости данных.
Своевременная аттестация — это не просто формальность, а инструмент повышения киберустойчивости бизнеса.
