Аттестация по ИБ | 6 октября 2025

Правовая основа и классификация информационных систем в Республике Беларусь

Правовая основа и классификация информационных систем в Республике Беларусь

Акт отнесения информационной системы к классу типовых информационных систем

Правовая основа и актуальность

Акт отнесения информационной системы к классу типовых информационных систем — это фундаментальный документ в системе информационной безопасности Республики Беларусь.
Он является обязательным к составлению согласно приказу Оперативно-аналитического центра при Президенте Республики Беларусь № 66 от 20 февраля 2020 г.
«О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».
Документ действует в актуальной редакции от 10 декабря 2024 г. № 259.

Согласно пункту 8 Положения о порядке технической и криптографической защиты информации, собственник (владелец) информационной системы до начала проектирования системы защиты информации обязан:

  • определить вид информации, которая будет обрабатываться в системе;
  • осуществить отнесение информационной системы к определённому классу (или классам) типовых информационных систем.

Классификация типовых информационных систем

В соответствии с приложением 1 к приказу № 66, установлены следующие классы типовых информационных систем.

Системы 4-го класса (без подключения к открытым каналам)

  • Класс 4-ин — персональные данные (за исключением специальных) без подключения к открытым каналам передачи данных;
  • Класс 4-спец — специальные персональные данные (кроме биометрических и генетических) без подключения к открытым каналам;
  • Класс 4-бг — биометрические и генетические персональные данные без подключения к открытым каналам;
  • Класс 4-юл — коммерческая и иная охраняемая законом тайна юридического лица без подключения к открытым каналам;
  • Класс 4-дсп — служебная информация ограниченного распространения без подключения к открытым каналам.

Системы 3-го класса (с подключением к открытым каналам)

  • Класс 3-ин — персональные данные (за исключением специальных) с подключением к открытым каналам;
  • Класс 3-спец — специальные персональные данные с подключением к открытым каналам;
  • Класс 3-бг — биометрические и генетические данные с подключением к открытым каналам;
  • Класс 3-юл — коммерческая тайна юридического лица с подключением к открытым каналам;
  • Класс 3-дсп — служебная информация ограниченного распространения с подключением к открытым каналам.

Дополнительные классы

  • Класс 6-частн — негосударственные системы с общедоступной информацией без подключения к открытым каналам;
  • Класс 6-гос — государственные системы с общедоступной информацией без подключения к открытым каналам;
  • Класс 5-частн — негосударственные системы с общедоступной информацией с подключением к открытым каналам;
  • Класс 5-гос — государственные системы с общедоступной информацией с подключением к открытым каналам.

Типовая форма акта

Согласно приложению 2 к приказу № 66, акт отнесения информационной системы к классу типовых информационных систем имеет утверждённую форму.

Типовая форма акта
>>> Скачать бланк акта (DOCX)

Пример заполнения для ООО «Эридан»
>>> Скачать пример заполненного акта (PDF)

Процедура создания и состав комиссии

Для составления акта создаётся комиссия, назначаемая приказом или распоряжением руководителя организации.

В состав комиссии рекомендуется включать:

  • Председателя комиссии — заместителя руководителя или иное ответственное лицо;
  • Специалиста по информационной безопасности (инженера по защите информации);
  • Юрисконсульта или специалиста по правовым вопросам;
  • Специалиста по персональным данным или инспектора по кадрам;
  • Технического специалиста (системного администратора).

Критерии отнесения к классам

Основными критериями для определения класса информационной системы являются:

1. Тип обрабатываемой информации

  • Общедоступные персональные данные — данные, которые с согласия субъекта могут быть общедоступными.
  • Персональные данные — информация, относящаяся к определённому физическому лицу.
  • Специальные персональные данные — сведения о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни.
  • Биометрические и генетические данные — информация о физиологических и биологических особенностях человека.
  • Коммерческая тайна — сведения, составляющие коммерческую или иную охраняемую законом тайну юридического лица.
  • Служебная информация ограниченного распространения.

2. Наличие подключения к открытым каналам передачи данных

  • Подключена к сетям электросвязи общего пользования (Интернет);
  • Не подключена к открытым каналам передачи данных.

Значение акта для дальнейших этапов

Акт отнесения является основополагающим документом, который определяет:

  • требования к системе защиты информации;
  • методику и программу аттестации;
  • перечень необходимых средств защиты информации.

На основании присвоенного класса в техническом задании определяются обязательные и рекомендуемые меры защиты, описанные в приложении 3 к приказу № 66, которое включает более 100 требований к защите информации.

Особенности для различных типов собственников

Юридические лица

Обязаны составлять акт по утверждённой форме, с созданием комиссии и утверждением документа руководителем организации.

Индивидуальные предприниматели

(за исключением осуществляющих деятельность в сфере агроэкотуризма) — также обязаны составлять акт по установленной форме.

Физические лица

Если в системе обрабатываются персональные данные, акт составляется в произвольной форме, но должен содержать обязательные сведения:
наименование, назначение, класс системы, правовые основания.

Практические рекомендации

Предварительный анализ

Перед составлением акта рекомендуется провести анализ:

  • категорий обрабатываемой информации;
  • технической архитектуры системы;
  • наличия подключений к внешним сетям;
  • способов взаимодействия с другими системами.

Использование онлайн-инструментов

Для удобства можно использовать специализированные онлайн-классификаторы, разработанные в соответствии с приказом ОАЦ, чтобы определить класс системы автоматически.

Документооборот

Акт должен быть:

  • утверждён до начала проектирования системы защиты информации;
  • храниться в составе документации по информационной безопасности;
  • при необходимости представляться в ОАЦ или аттестационную организацию.

Типичные ошибки при составлении акта

  1. Неправильная классификация информации.
    Ошибки при определении категорий данных приводят к неверному выбору класса.
  2. Игнорирование подключений к открытым каналам.
    Даже единичное подключение к Интернету меняет класс системы.
  3. Формальный подход.
    Поверхностное заполнение без анализа может привести к отклонению акта на этапе аттестации.

Обновления 2025 года

С 1 марта 2025 года вступил в силу приказ ОАЦ № 259 от 10 декабря 2024 года, внесший изменения в требования к системам защиты информации.
Теперь для систем классов 3-бг и 3-дсп обязательно обеспечение обнаружения и реагирования на угрозы безопасности конечных узлов (EDR-системы).

Акт отнесения информационной системы к классу типовых информационных систем — это ключевой документ, который определяет архитектуру, уровень защиты и соответствие системы требованиям законодательства Республики Беларусь.
Правильное составление акта обеспечивает законность, безопасность и устойчивость функционирования информационных систем на всех этапах их жизненного цикла.

аттестация

Как вам статья?

По теме
Создание SOC в Республике Беларусь в 2026 году: Стратегический путеводитель и архитектура будущего
Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси
Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Безопасность сети: то, что должен знать каждый

Надёжная сетевая безопасность — это системный подход: от инвентаризации до восстановления. Разберём ключевые меры защиты.

7 октября 2025