ОДКБ. Республика Беларусь. Анализ законодательства в области информационной безопасности
Данной статьёй начинается серия статей по анализу законодательства в области информационной безопасности. На данный момент в мире много разных союзов между странами. Во многих участвует Российская Федерация — Союзное государство, ОДКБ, ЕАЭС, СНГ, БРИКС и др.
При планировании путешествия в другую страну или бизнеса с представителями иностранного государства возникает ряд вопросов, связанных с требованиями по обеспечению безопасности информации в соответствии с местным законодательством. Как будут защищаться ваши персональные/личные данные, какие законы в области ИБ действуют в данной стране, как не нарушить требования ИБ и не стать нарушителем закона и др.? Вопросов много. Можно изучать статьи в интернете, но многие публикации написаны несколько лет назад и потеряли свою актуальность. Законодательство меняется, нормативные документы отменяются, изменяются, выходят новые документы.
Начинаем с публикации, посвящённой анализу законодательства в области ИБ нашего ближайшего соседа — Республики Беларусь. Между нашими странами сложились тесные взаимоотношения. Создано и развивается союзное государство. Россия и Беларусь являются участниками целого ряда союзов с другими странами.
ОБЩИЕ СВЕДЕНИЯ
Республика Беларусь — государство в Восточной Европе. Столица — Минск. Государственные языки — белорусский и русский.
Органы, утверждающие законы и подзаконные акты в области ИБ в стране: Президент Республики Беларусь, Совет министров Республики Беларусь, Совет безопасности Республики Беларусь, Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ), Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД), Национальный банк Республики Беларусь (НБ РБ) и другие отраслевые ведомства.
Все документы, за исключением документов НЦЗПД и НБ РБ, имеют общереспубликанское значение и применяются для организации и обеспечения информационной и кибербезопасности. НЦЗПД имеет свою специфику в регулировании сбора и обработки ПД граждан РБ. Национальный банк Республики Беларусь и другие отраслевые ведомства дополняют и детализируют ИБ в части специфичных отраслевых процессов. НБ РБ выделен как более активный отраслевой регулятор ИБ.
ТАЙНЫ
Тайны, определённые законодательством Республики Беларусь:
- коммерческая тайна утверждена Законом РБ от 5.01.2013 № 16-З «О коммерческой тайне»: «коммерческая тайна — сведения любого характера (технического, производственного, организационного, коммерческого, финансового и иного), в том числе секреты производства (ноу-хау), соответствующие требованиям настоящего Закона, в отношении которых установлен режим коммерческой тайны».
- банковская тайна утверждена Банковским кодексом Республики Беларусь от 25.10.2000 № 441-З: «Сведения о счетах и вкладах (депозитах), в том числе о наличии счёта в банке (небанковской кредитно-финансовой организации), его владельце, номере и других реквизитах счёта, размере средств, находящихся на счетах и во вкладах (депозитах), а равно сведения о конкретных сделках, об операциях без открытия счёта, операциях по счетам и вкладам (депозитам), а также об имуществе, находящемся на хранении в банке, являются банковской тайной и не подлежат разглашению».
- персональные данные [1] утверждены Законом Республики Беларусь от 7.05.2021 № 99-З «О защите персональных данных»: «персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано».
ВЫСОКОУРОВНЕВЫЕ ДОКУМЕНТЫ
Высокоуровневыми концептуальными документами, охватывающими вопросы информационной безопасности, являются:
- Концепция национальной безопасности Республики Беларусь (утверждена Указом Президента Республики Беларусь 9.11.2010 № 575). Данная концепция закрепляет совокупность официальных вкладов на сущность и содержание деятельности РБ по обеспечению баланса интересов личности, общества, государства и их защите от внутренних и внешних угроз. Концепция призвана обеспечить единство подходов к формированию и реализации государственной политики обеспечения национальной безопасности, а также методологическую основу совершенствования актов законодательства в различных сферах национальной безопасности, разработки документов стратегического планирования.
- Концепция информационной безопасности Республики Беларусь (утверждена Постановлением Совета Безопасности Республики Беларусь 18.03.2019 № 1). Концепция представляет собой систему официальных взглядов на сущность и содержание обеспечения национальной безопасности в информационной сфере, определяет стратегические задачи и приоритеты в области информационной безопасности. Данная концепция обеспечивает комплексный подход к проблеме информационной безопасности, создаёт методологическую основу для совершенствования деятельности по её укреплению, служит основанием для формирования государственной политики, выработки мер по совершенствованию системы обеспечения информационной безопасности, конструктивного взаимодействия, консолидации усилий и повышения эффективности защиты национальных интересов в информационной сфере.
- Концепция обеспечения кибербезопасности в банковской сфере (утверждена Постановлением Правления Национального банка Республики Беларусь 20.11.2019 № 466). Концепция представляет собой структурированный документ, разработанный на основе результатов анализа и видения Национальным банком сложившейся ситуации в области обеспечения кибербезопасности банков, небанковских кредитно-финансовых организаций, открытого акционерного общества «Банк развития Республики Беларусь», содержащий перспективные направления решения имеющихся и предотвращения возможных проблем в сфере обеспечения кибербезопасности в банках и Национальном банке в виде систематизированного изложения целей, задач, особенностей текущей ситуации и возможных способов достижения требуемого уровня обеспечения кибербезопасности в банковской сфере.
- Концепция информационной безопасности Союзного государства (утверждена 22.02.2023 Высшего Государственного совета Союзного государства). Концепция определяет основы для формирования согласованной государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также выработки мер по совершенствованию систем обеспечения информационной безопасности государств — участников Договора о создании Союзного государства.
ЗАКОНЫ
Законы — нормативные акты высшего уровня, регулирующие определённый круг вопросов. Основными законами в области ИБ являются:
- Закон Республики Беларусь от 10.11.2008 № 455-3 «Об информации, информатизации и защите информации». Настоящим Законом регулируются общественные отношения, возникающие: при поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией; создании и использовании информационных технологий, информационных систем и информационных сетей, формировании информационных ресурсов; организации и обеспечении защиты информации.
- Закон Республики Беларусь от 28.12.2009 № 113-З «Об электронном документе и электронной цифровой подписи». Настоящий Закон направлен на установление правовых основ применения электронных документов, определение основных требований, предъявляемых к электронным документам, а также правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе.
УКАЗЫ ПРЕЗИДЕНТА РБ
Указы, декреты Президента РБ — акты, имеющие силу закона, издаваемые главой государства в соответствии с действующим законодательством. Наивысший юридический статус имеют декреты, затем следуют указы. Основными указами в области ИБ являются:
- Указ Президента РБ № 40 от 14.02.2023 «О кибербезопасности (центры обеспечения кибербезопасности и реагирования на киберинциденты». Данный указ создаёт национальную систему обеспечения кибербезопасности и их задачи, элементами которой являются: Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ); Национальный центр обеспечения кибербезопасности и реагирования на киберинциденты (Национальный центр кибербезопасности); центры кибербезопасности; авторизованный оператор электросвязи; объекты информационной инфраструктуры.
- Указ Президента РБ № 196 от 16.04.2013 «О некоторых мерах по совершенствованию защиты информации». Данный указ утверждает: Положение о технической и криптографической защите информации; Положение о порядке отнесения объектов информатизации к критически важным объектам информатизации.
- Указ Президента РБ № 60 от 01.02.2010 «О мерах по совершенствованию использования национального сегмента сети Интернет».
- Указ Президента РБ № 449 от 09.12.2019 «О совершенствовании государственного регулирования в области защиты информации». Данный указ утверждает: Положение о технической и криптографической защите информации; Положение о порядке отнесения объектов информатизации к критически важным объектам информатизации; Положение о технической и криптографической защите информации в Республике Беларусь, утверждённое Указом, изложено в новой редакции; дополнение Указа Положением о порядке отнесения объектов информатизации к критически важным объектам информатизации.
- Указ Президента РБ № 515 от 30.09.2010 «О некоторых мерах по развитию сети передачи данных в Республике Беларусь». Данный указ постановляет создать единую республиканскую сеть передачи данных (ЕРСПД), включив в её состав сети передачи данных республиканских органов государственного управления, местных исполнительных и распорядительных органов, иных государственных органов и других государственных организаций, а также хозяйственных обществ.
- Указ Президента РБ № 461 от 16.12.2019 «Об использовании государственными органами и иными государственными организациями телекоммуникационных технологий». Вводит понятие республиканский центр обработки данных (РЦОД), предназначенный для размещения программно-технических средств республиканской платформы и других программно-технических средств, информационных систем (ресурсов) государственных органов и иных государственных организаций, хозяйственных обществ, в которых Республика Беларусь либо административно-территориальная единица обладает акциями (долями в уставных фондах) в размере более 50 процентов.
- Указ Президента РБ № 49 от 28.02.2017 «О государственном регулировании в области экспортного контроля». Данный указ утверждает: Положение о порядке предоставления юридическим лицам права на осуществление внешнеторговой либо посреднической деятельности в отношении специфических товаров (работ, услуг); Положение о порядке государственного регулирования ввоза специфических товаров (работ, услуг), вывоза объектов экспортного контроля, осуществления посреднической деятельности в отношении объектов экспортного контроля; Положение о порядке проведения идентификации; Положение о порядке оформления обязательств по использованию импортированных специфических товаров (работ, услуг); Положение о порядке организации государственного контроля за выполнением обязательств по использованию импортированных (экспортированных) специфических товаров (работ, услуг) в заявленных целях.
- Указ Президента РБ № 188 от 31.05.2022 «О расширении использования государственными организациями информационно-коммуникационных технологий». Устанавливает, что при оказании электронных услуг и осуществлении административных процедур в электронной форме государственными организациями идентификация и аутентификация физических и юридических лиц для совершения ими юридически значимых действий в электронном виде проводятся с использованием Единой системы идентификации физических и юридических лиц (Единая система идентификации).
- Указ Президента РБ № 187 от 25.05.2017 «О республиканской системе мониторинга общественной безопасности». Данный Указ постанавливает создание республиканской системы мониторинга общественной безопасности.
- Указ Президента РБ № 350 от 18.09.2019 «Об особенностях использования национального сегмента сети Интернет».
- Указ Президента РБ № 422 от 28.10.2021 «О мерах по совершенствованию защиты персональных данных». Данный Указ постанавливает создание Национального центра защиты персональных данных Республики Беларусь (Национальный центр защиты персональных данных).
ОАЦ
Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ) обычно выпускает подзаконные акты, регламентирующие конкретные направления и процедуры обеспечения защиты информации. Документы можно найти и ознакомиться с ними на портале ОАЦ. В частности, там представлены тематические подборки:
- законы Республики Беларусь;
- указы Президента Республики Беларусь;
- постановления Совета министров Республики Беларусь;
- постановления Оперативно-аналитического центра при Президенте Республики Беларусь;
- приказы Оперативно-аналитического центра при Президенте Республики Беларусь.
В частности, ОАЦ издаёт приказы, которые детализируют требования, процедуры в области защиты информации и являются подзаконными актами. Например, в отношении Указа Президента РБ № 40 от 14.02.2023 «О кибербезопасности» подзаконным актом является Приказ ОАЦ № 130 от 25.07.2023, детализирующий работу центра обеспечения кибербезопасности и реагирования на киберинциденты. А Приказ ОАЦ № 65 от 20.02.2020 «О показателях уровня вероятного ущерба национальным интересам Республики Беларусь» является продолжением Положения о порядке отнесения объектов информатизации к критически важным объектам информатизации по Указу Президента РБ № 449 от 09.12.2019.
ПОСТАНОВЛЕНИЕ СОВЕТА МИНИСТРОВ РБ
Важным для реализации технических мер, соответствующих требованиям законодательства РБ, является:
- Постановление Совета Министров Республики Беларусь 15.05.2013 № 375. «Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Настоящим техническим регламентом устанавливаются требования к средствам защиты информации в целях обеспечения национальной безопасности, а также предупреждения действий, вводящих в заблуждение потребителей относительно назначения и качества средств защиты информации.
ПРИКАЗЫ НАЦИОНАЛЬНОГО ЦЕНТРА ЗАЩИТЫ ПД РБ
Свод документов регулятора по ПД — Национальный центр защиты персональных данных Республики Беларусь:
- Приказ Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 12 «О классификации информационных ресурсов (систем)». Устанавливает следующие классификации: общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); биометрические и генетические персональные данные; персональные данные, не являющиеся общедоступными или специальными.
- Приказ Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 13 «Об уведомлении о нарушениях систем защиты персональных данных».
- Приказ Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 14 «О трансграничной передаче персональных данных».
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ НАЦИОНАЛЬНОГО БАНКА РБ
Национальный Банк Республики Беларусь издал ряд технических требований и правил по ИБ (ТТП ИБ) [2]:
- ТТП ИБ 1.1-2020 «Общие положения и терминология»;
- ТТП ИБ 2.1-2020 «Требования к системам менеджмента информационной безопасности»;
- ТТП ИБ 3.1-2020 «Требования по обеспечению информационной безопасности при использовании технологий виртуализации»;
- ТТП ИБ 4.1-2020 «Менеджмент рисков информационной безопасности»;
- ТТП ИБ 5.1-2020 «Оценка соответствия информационной безопасности банков Республики Беларусь требованиям ТТП ИБ 1.1 — 2020 и ТТП ИБ 2.1 — 2020»;
- ТТП ИБ 6.1-2020 «Рекомендации по документационному обеспечению деятельности в области обеспечения информационной безопасности в соответствии с требованиями ТТП ИБ 1.1 — 2020»;
- ТТП ИБ 7.1-2020 «Рекомендации по менеджменту инцидентов информационной безопасности»;
- ТТП ИБ 8.1-2020 «Технические требования и правила информационной безопасности. Требования по защите программного обеспечения банковских мобильных приложений».
СТАНДАРТЫ
ТТП ИБ разработаны в развитие пяти государственных стандартов серии «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь», действующих с 2013 года:
- СТБ 34.101.41 «Общие положения»;
- СТБ 34.101.42 «Аудит информационной безопасности»;
- СТБ 34.101.61 «Методика оценки рисков нарушения информационной безопасности»;
- СТБ 34.101.62 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТБ 34.101.41»;
- СТБ 34.101.68 «Методика оценки соответствия информационной безопасности банков Республики Беларусь требованиям СТБ 34.101.41».
Ресурс Национального фонда технических нормативных правовых актов содержит перечни и описание Стандартов Беларуси, в том числе и по ИБ.
РИСК-МЕНЕДЖМЕНТ
В заключение перечень официальных документов РБ по тематике риск-менеджмента:
- СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах»;
- СТБ 34.101.61-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методика оценки рисков нарушения информационной безопасности»;
- Постановление правления НБРБ 29.10.2012 № 550 «Об утверждении Инструкции об организации системы управления рисками в банках, небанковских кредитно-финансовых организациях, банковских группах и банковских холдингах»;
- Постановление Правления НБ РБ 08.01.2020 № 1 «Инструкция об управлении рисками при аутсорсинге»;
- ТТП ИБ 4.1 — 2020. «Требования к системам менеджмента ИБ»;
- ТТП ИБ 2.1 — 2020. «Менеджмент рисков ИБ».
Надеемся, что данная статья поможет «не заблудиться» в Законодательстве Республики Беларусь. Мы постарались облегчить путь изучения и применения на практике нормативных законов и подзаконных актов в области ИБ. В следующем номере мы продолжим обзор законодательства в области информационной безопасности других стран.
[1] Более подробно про обработку персональных данных в странах наших ближайших соседей можно прочитать в статье «Но есть нюансы… Национальные особенности обработки персональных данных в странах ОДКБ». Виноградов А., Меньшиков С., Ситнов А., BIS Journal № 3(46)/2023, а также на сайте журнала.
[2] Более подробно описание и сравнение комплекса ТТП и СТО БР были опубликованы в статье «Россия — Беларусь: диалог друзей. Как СТО БР возродился в ТТП ИБ». Виноградов А., Меньшиков С., BIS Journal № 4(47)/2022.
Авторы:
Александр Виноградов, ФГУП «ЦНИИХМ»
Сергей Меньшиков, Belarusian InfoSecurity Community
Андрей Ситнов, Независимый эксперт
https://ib-bank.ru/bisjournal/post/2179