‹ Назад

ОПРЕДЕЛЕНИЕ ПРИМЕНИМОСТИ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ ПО ОБЕСПЕЧЕНИЮ КИБЕРБЕЗОПАСНОСТИ И ЗАЩИТЕ ИНФОРМАЦИИ В ОРГАНИЗАЦИИ (по состоянию на 19.12.2025).

Подготовлен: Аксёнова Т.В., студентка БГУИР

Редакция: Аксёнов В.В., “Приорбанк” ОАО

 

Ключевые нормативные правовые акты:

1. Указ Президента Республики Беларусь № 40 от 21.02.2023 (Указ №40)  — определение объектов информационной инфраструктуры (ОИИ) и перечня организаций обязанных создавать центры кибербезопасности (ЦКБ).
2. Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449) (Указ №196) и Положение о технической и криптографической защите информации (Положение о ТКЗИ), утвержденное Указом №196 — защита информации, распространение и (или) предоставление которой ограничено, за исключением информации информации, содержащей государственные секреты (ИРиПКО).
3. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ) № 65 от 14.07.2023 (в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 17.12.2024 № 266) (Приказ ОАЦ №65) — показатели уровня вероятного ущерба для отнесения объектов к критически важным объектам информатизации (КВОИ).
4. Постановление Совета Министров Республики Беларусь № 120 от 24.02.2023 (в редакции постановления Совета Министров Республики Беларусь 28.03.2025 № 185) (Постановление №120) и Указ №40 — перечни организаций, обязанных создавать ЦКБ (или приобретать услуги).
5. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ) № 130 от 18.08.2023 (Приказ ОАЦ №130) — требования к ЦКБ и общие требования по обеспечению кибербезопасности (Приложение 4). https://www.oac.gov.by/cybersecurity-centers-list/activity/question
6. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 10.12.2024 № 259) (Приказ ОАЦ №66):

• Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;
• Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;
• Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации;
• Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации;
• Положение о порядке ведения Государственного реестра критически важных объектов информатизации.

 

Краткое описание шагов алгоритма:

1. Определение наличия ОИИ — если ОИИ нет, требования не применяются
2. Анализ обработки ИРиПКО — если обрабатывается, требуется создание и аттестация системы защиты информации (СЗИ)
3. Оценка на соответствие критериям КВОИ — если соответствует, требуется регистрация в реестре и создание системы информационной безопасности (СИБ) КВОИ
4. Проверка обязательности создания ЦКБ — если входит в перечень, обязательно создание ЦКБ, иначе — добровольно

 

Алгоритм:

1. Владеет ли организация объектами информационной инфраструктуры (ОИИ)?
   • Проверяется наличие в собственности или ведении ключевых объектов, информационных сетей, систем, ресурсов (Указ №40, приложение 2, пункт 5).
   • Если нет: организация не подпадает под регулирование, требования по технической и криптографической защите информации (ТКЗИ и КБ) не применяются.
   • Если да: переход к следующему этапу.
2. Обрабатывает ли организация ИРиПКО?
   • Проверяется наличие информационных систем для обработки служебной информации ограниченного распространения, персональных данных, электронных документов или иной ИРиПКО (Указ №196, Положение о ТКЗИ, пункт 3).
   • Если да: необходимо проектировать, создать и аттестовывать систему защиты информации (СЗИ) для соответствующих информационных систем.
   • Переход к следующему этапу вне зависимости от ответа.
3. Соответствуют ли объекты информационной инфраструктуры критериям КВОИ и показателям ущерба?
   • Оценка по критериям социальной, экономической, экологической и информационной значимости, а также по показателям вероятного ущерба (Приказ ОАЦ №65).
   • Если да: составляется заключение, направляется в государственный орган и ОАЦ. После включения в Реестр КВОИ необходимо спроектировать, создать и проводить ежегодный аудит системы информационной безопасности (СИБ) КВОИ.
   • Переход к следующему этапу.
4. Входит ли организация в перечень обязанных создавать Центр кибербезопасности (ЦКБ)?
   • Проверяется наличие в перечнях, указанных в Приложении 2 к Постановлению №120 или в Приложении 1 к Указу №40.
   • Если да: необходимо создать ЦКБ или приобрести соответствующие услуги. Сроки зависят от перечня.
   • Если нет: организация обязана соблюдать общие требования по кибербезопасности (Приложение 4 к Приказу ОАЦ №130), создание ЦКБ — добровольно.

Сводная таблица результатов:

Обязанность	Условие (если ДА на вопрос)	Основание
1. Обеспечить соблюдение требований по КБ ОИИ (приложение 4 к приказу ОАЦ №130)	Вопрос 1: является ли организация владельцем объектов информационной инфраструктуры?	Указ №40, Приказ ОАЦ №130
2. Создать СЗИ	Вопрос 2: обрабатывает информацию ограниченного распространения?	Указ №196, Положение о ТКЗИ
3. Создать СИБ КВОИ	Вопрос 3: соответствует критериям КВОИ + включен в Реестр?	Указ №196, Положение о ТКЗИ
4. Создать ЦКБ/приобрести услуги	Вопрос 4: входит в перечень Постановления №120 или Прил.1 Указа №40?	Указ №40, Постановление №120

 

Схема алгоритма: