Аттестация по ИБ | 23 октября 2025

Политика информационной безопасности в Беларуси: Как создать работающий документ в реалиях 2025 года

Политика информационной безопасности в Беларуси: Как создать работающий документ в реалиях 2025 года

В современном цифровом мире документ, который многие до сих пор считают формальностью, может стать разделительной чертой между стабильной работой бизнеса и разрушительными штрафами. Речь идет о Политике информационной безопасности (ИБ) — основополагающем документе, который определяет стратегию, цели и принципы защиты информации в организации.

В белорусских реалиях его наличие и содержание строго регулируются законодательством, а ключевую роль в этом процессе играет Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ). В 2025 году вступили в силу важные изменения, которые окончательно сместили акценты с "бумажной" безопасности на более гибкую, осмысленную и риск-ориентированную модель.

Эта статья — детальное и практическое руководство по разработке и внедрению Политики ИБ, которое поможет вашей организации не просто соответствовать букве закона, но и построить реально работающую систему защиты.

Законодательная база: На чем строится ИБ в Беларуси

Разработка Политики ИБ в Беларуси — это не творческий процесс, а работа в строгом правовом поле. Игнорирование или неверное толкование требований может повлечь за собой серьезную административную, а в некоторых случаях и уголовную ответственность.

Иерархия нормативных правовых актов выглядит следующим образом:

  • Концепция информационной безопасности Республики Беларусь (утв. Постановлением Совета Безопасности от 18.03.2019 г. № 1): Стратегический документ верхнего уровня. Он определяет национальные интересы, ключевые угрозы (от киберпреступности до деструктивного информационного воздействия) и общие направления государственной политики в сфере ИБ.
  • Закон «Об информации, информатизации и защите информации» (№ 455-З от 10.11.2008 г.): Фундаментальный закон, который вводит основные понятия (информационные ресурсы, системы) и определяет права и обязанности их собственников.
  • Закон «О защите персональных данных» (№ 99-З от 07.05.2021 г.): Крайне важный документ, устанавливающий жесткие требования к сбору, обработке, хранению и защите персональных данных. Он определяет полномочия регулятора — Национального центра защиты персональных данных.
  • Указ Президента РБ № 449 от 9.12.2019 г. «О совершенствовании государственного регулирования в области защиты информации»: Устанавливает обязательность аттестации систем защиты информации для государственных органов, а также для владельцев критически важных объектов информатизации (КВОИ).
  • Приказ ОАЦ № 66 от 20.02.2020 г.: Долгое время этот приказ был главным техническим руководством для специалистов, детально регламентируя порядок аттестации и требования к системам защиты. Однако в 2025 году его положения были существенно переработаны.

Новые реалии 2025 года: Приказ ОАЦ № 259 меняет правила игры

С 1 марта 2025 года вступил в силу Приказ ОАЦ № 259 от 10 декабря 2024 года, который внес революционные изменения в положения Приказа № 66. Эти нововведения — четкий сигнал от регулятора: формальный подход больше не работает.

Рассмотрим ключевые изменения, которые необходимо учесть при разработке Политики ИБ:

  • Гибкость в содержании: Организациям предоставлено право самостоятельно определять структуру и состав Политики ИБ и связанных с ней локальных правовых актов (ЛПА). Это не просто упрощение, а требование к осмысленному подходу. Теперь нельзя просто скачать шаблонный документ — его нужно адаптировать под специфику бизнеса, размер компании и сложность IT-инфраструктуры.
  • Обязательное утверждение руководителем: Политика ИБ, а также структурная и логическая схемы информационной системы (ИС), должны быть утверждены лично руководителем (собственником) организации. Этот шаг перемещает документ из ящика стола IT-отдела на стол директора, повышая его статус и вовлеченность высшего руководства в процессы ИБ.
  • Обособленность документов по ИБ: Установлен запрет на включение правил применения средств защиты информации (СЗИ) в локальные акты, регулирующие другие вопросы (например, в правила внутреннего трудового распорядка). Все, что касается ИБ, должно быть собрано в профильных, взаимосвязанных документах.
  • Требование к EDR: Для информационных систем классов 3-бг и 3-дсп (обрабатывающих информацию ограниченного распространения) введено обязательное требование по внедрению средств Endpoint Detection and Response. Регулятор прямо говорит: пассивной защиты в виде классического антивируса уже недостаточно. Нужны средства проактивного обнаружения угроз и реагирования на них.
  • Ежегодный анализ эффективности: Владельцы аттестованных систем защиты обязаны не реже одного раза в год проводить анализ эффективности ее работы. Результаты должны утверждаться отдельным документом. Безопасность — это непрерывный процесс, а не разовый проект.
  • Ужесточение требований к схемам: Требования к детализации структурных и логических схем IT-инфраструктуры стали значительно строже. Схемы должны быть актуальными и подробными, отражая реальное состояние дел.

Структура и содержание Политики ИБ (образец 2025 года)

На основе анализа законодательства и новых требований, предлагаем следующую логичную и полную структуру для вашей Политики ИБ.

1. Общие положения

  • Цели и задачи Политики: Четкая формулировка главной цели — обеспечение трех столпов ИБ (конфиденциальности, целостности и доступности) информационных активов и минимизация рисков.
  • Область применения: На какие информационные системы, процессы, подразделения и категории сотрудников (включая подрядчиков и временный персонал) распространяется действие документа.
  • Нормативная база: Перечисление ключевых законов, указов и приказов (см. список выше), на которых основана Политика.
  • Порядок утверждения и пересмотра: Процедура введения документа в действие и указание на периодичность его актуализации (например, не реже раза в год или при существенных изменениях в IT-инфраструктуре или законодательстве).

2. Основные термины и определения

Ключевой раздел для создания единого понятийного аппарата в компании. Включите сюда определения терминов: информационная безопасность (ИБ), информационный актив, угроза, уязвимость, риск, инцидент ИБ, система защиты информации (СЗИ), информационная система (ИС) и т.д.

3. Цели и задачи в области ИБ

  • Стратегические цели:
    • Соответствие требованиям законодательства Республики Беларусь.
    • Обеспечение непрерывности ключевых бизнес-процессов.
    • Минимизация финансового и репутационного ущерба от инцидентов ИБ.
  • Тактические задачи:
    • Реализация принципа наименьших привилегий при управлении доступом.
    • Обеспечение надежной аутентификации пользователей.
    • Защита от вредоносного программного обеспечения.
    • Эффективный мониторинг событий ИБ и реагирование на инциденты.
    • Обеспечение резервного копирования и возможности восстановления данных.

4. Распределение ролей и ответственности

Один из самых важных разделов, который отвечает на вопрос "кто за что отвечает?".

  • Руководство организации: Общее кураторство, выделение ресурсов, утверждение Политики.
  • Подразделение по ИБ (или ответственный специалист): Разработка ЛПА, управление СЗИ, расследование инцидентов, обучение персонала.
  • Владельцы информационных систем/активов: Классификация информации, определение правил доступа к ней.
  • Системные администраторы: Техническая реализация мер защиты, настройка и поддержка СЗИ.
  • Все работники (пользователи): Неукоснительное соблюдение установленных правил, немедленное информирование об инцидентах или подозрениях.

5. Основные направления обеспечения ИБ

Практическая часть, описывающая ключевые процессы защиты.

  • Управление доступом: Принцип наименьших привилегий, правила предоставления и отзыва прав доступа.
  • Парольная защита: Требования к сложности, длине, смене и хранению паролей.
  • Антивирусная защита и EDR: Порядок установки, настройки и обновления ПО для защиты конечных точек.
  • Безопасность сетевой инфраструктуры: Правила межсетевого экранирования, сегментации сети, использования беспроводных сетей.
  • Резервное копирование и восстановление: Периодичность, глубина архива, порядок проверки целостности резервных копий.
  • Управление инцидентами: Порядок действий при обнаружении, классификации, реагировании и расследовании инцидентов.
  • Физическая безопасность: Контроль доступа в серверные помещения, к коммутационному оборудованию.
  • Безопасность при дистанционной работе: Требования к использованию VPN, защите домашних рабочих мест.
  • Повышение осведомленности персонала: Программы обучения, инструктажа и проверки знаний.

6. Классификация информационных активов

Описание подхода к классификации информации по степени конфиденциальности (например, общедоступная, для служебного пользования, коммерческая тайна, персональные данные) и критичности для бизнеса.

7. Ответственность за нарушения

Четкое указание на виды ответственности (дисциплинарной, административной, уголовной) за несоблюдение требований Политики и законодательства РБ.

От документа к реальности: Пошаговый план внедрения

  • Сформируйте рабочую группу: Включите в нее не только IT и ИБ, но и юристов, кадровиков и представителей ключевых бизнес-подразделений.
  • Проведите инвентаризацию: Определите, какими информационными активами владеет организация.
  • Оцените риски: Проанализируйте, какие угрозы наиболее актуальны именно для вашего бизнеса.
  • Разработайте проект Политики: Используйте предложенную структуру, но наполните ее содержанием, релевантным для вашей компании.
  • Согласуйте и утвердите: Проведите согласование со всеми участниками рабочей группы и утвердите финальный документ у руководителя.
  • Разработайте сопутствующие ЛПА: В развитие Политики создайте конкретные инструкции: парольную политику, регламент резервного копирования и т.д.
  • Ознакомьте и обучите персонал: Каждый сотрудник должен быть ознакомлен с Политикой под роспись. Проведите обучение.
  • Внедрите технические меры: Настройте средства защиты информации в соответствии с требованиями вашей новой Политики.
  • Контролируйте и пересматривайте: Регулярно проводите внутренние аудиты и ежегодный анализ эффективности, чтобы документ оставался живым и актуальным.

Создание Политики информационной безопасности в Беларуси в 2025 году — это не формальность для получения аттестата, а критически важный бизнес-процесс. Новые требования ОАЦ подталкивают организации к построению осмысленной и эффективной системы управления ИБ, которая будет работать на практике, а не пылиться на полке.

сертификация СЗИ аттестация указ

Как вам статья?

По теме
Создание SOC в Республике Беларусь в 2026 году: Стратегический путеводитель и архитектура будущего
Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси
Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Аттестация ОАЦ «под ключ»: Детальное руководство по защите информации в Беларуси от аудита до аттестата

Профессиональное руководство по аттестации СЗИ в ОАЦ «под ключ». Пошаговый план от аудита до получения аттестата в РБ. Типичные ошибки, чек-лист и советы экспертов.

24 октября 2025