Раньше сфера защиты информации в Беларуси регулировалась законами «Об информации, информатизации и защите информации», «О защите персональных данных». После вступления в силу Указа «О кибербезопасности» у бизнеса стало появляться все больше вопросов.
Эксперт по защите данных компании ActiveCloud Антон Грецкий ответил на наиболее актуальные вопросы.
1. Что изменяется с вступлением в силу нового указа?
Указ «О кибербезопасности» — это долгожданный шаг к созданию единой системы кибербезопасности в Беларуси. В последние годы отмечается рост инцидентов ИБ, связанных с утечкой конфиденциальной информации.
Ранее каждая организация самостоятельно отслеживала и расследовала инциденты в сфере информационной безопасности. Это затрудняло регулятору получение полной информации о происходящем, что не позволяло эффективно реагировать на инциденты и осуществлять контроль за ними.
Новый указ предполагает создание создание государственного и отраслевых центров кибербезопасности, в которые организации будут передавать информацию о своих инцидентах ИБ. Это позволит регулятору получить полную картину происходящего и принимать эффективные меры по обеспечению кибербезопасности.
2. Кому необходимо создавать центры кибербезопасности?
Новые требования кибербезопасности не распространяются на все юридические лица. Регулятор разрабатывает критерии, которые позволят определить, кто обязан будет создавать собственные центры кибербезопасности, а кто сможет подключиться к уже существующим отраслевым центрам.
По всей видимости, центры кибербезопасности понадобятся крупным организациям, которые обрабатывают персональные данные или иную информацию ограниченного распространения. К ним относятся банки, страховые компании, медицинские учреждения, облачные и интернет-провайдеры.
Мелкие организации, такие как небольшой белорусский интернет-магазин с месячным доходом в 2-3 тысячи рублей, скорее всего, смогут подключиться к отраслевым центрам. Самостоятельное создание центра кибербезопасности для них будет экономически нецелесообразным.
Важно, чтобы критерии отнесения к организациям, обязанным создавать центры кибербезопасности, были четкими и однозначными. Это позволит эффективно реализовать новые требования и избежать их неоднозначного толкования.
3. Надо ли что-то менять компаниям, у которых все чисто с информационной безопасностью?
Многие компании считают, что у них все в порядке с кибербезопасностью, потому что никогда не сталкивались с атаками или утечками данных. Однако это заблуждение. Практика показывает, что даже у самых надежных компаний случаются инциденты.
Яркий пример — история компании, которая предоставляла сервис записи на прием в медцентры Беларуси. Однажды она обнаружила, что ее база данных с 75 тысячами персональных данных продается в Telegram. Это привело к проверке со стороны регуляторов, судебным искам от клиентов и потере доверия к компании.
Этот случай показывает, что даже если компания считает себя защищенной, бездействовать — значит рисковать. Информационная безопасность — это комплекс мер, направленных на защиту информационных активов компании от угроз. Для каждой компании эти меры должны быть индивидуальными, основанными на ее специфике и рисках.
Например, для букмекеров критической угрозой является недоступность данных. Если игроки не могут делать ставки, они уходят к конкурентам. Чтобы избежать этого, букмекер должен внедрить систему мониторинга и систему противодействия DDoS-атакам.
В общем, для обеспечения информационной безопасности компании необходимо:
-
Понимать риски. Необходимо оценить, какие угрозы могут возникнуть для компании и какие информационные активы необходимо защищать.
-
Выбрать меры защиты. Исходя из рисков, необходимо выбрать и внедрить меры защиты, которые будут наиболее эффективными.
-
Контролировать эффективность мер защиты. Необходимо регулярно проверять, насколько эффективно работают меры защиты.
4. Есть ли возможность отдать кибербезопасность на аутсорсинг?
Регулятор информационной безопасности согласен с тем, что компании должны заниматься своим делом, в том числе и в области кибербезопасности. Однако специалисты в этой сфере встречаются редко, а настоящих экспертов — еще реже. Поэтому многие компании предпочитают заказывать услуги информационной безопасности у аутсорсеров.
Среди клиентов компании ActiveCloud, например, есть компании, состоящие из нескольких человек. Для них содержание собственного отдела информационной безопасности нецелесообразно. Привлечение аутсорсера позволяет таким компаниям получать услуги по защите информации по доступной цене.
Конечно, аутсорсинг информационной безопасности не подходит для всех компаний. Например, для организаций, которые обрабатывают закрытую информацию, доступ к которой не должен быть предоставлен посторонним организациям.
При выборе аутсорсера информационной безопасности необходимо обращать внимание на его репутацию. Рынок кибербезопасности в Беларуси невелик, поэтому рекомендации от знакомых и коллег помогут сделать правильный выбор. Также важно, чтобы аутсорсер имел опыт работы в вашей отрасли и знал специфику вашей работы.
5. За какие нарушения компании несут ответственность?
Нарушение кибербезопасности компании считается доказанным, если нарушены конфиденциальность, целостность или доступность ее информационной системы, в которой обрабатываются персональные данные, юридическая или медицинская тайна и другая информация, распространение и предоставление которой ограничено.
Даже если эта информация является открытой, нарушение кибербезопасности все равно может быть признано, если оно привело к существенным убыткам для компании. Например, если в результате кибератаки сайт железной дороги стал недоступным, люди не смогли купить билеты, а значит, предприятие потеряло прибыль.
Регулятор принимает решение о наличии нарушения кибербезопасности на основе анализа соответствия работы компании с информацией перечисленным трем критериям. При этом он опирается на требования законодательства Республики Беларусь в области информационной безопасности.
Если инцидент произошел в информационной системе, система защиты информации которой была аттестована и у компании реализованы процессы обеспечения ИБ, то компания получит предписания, которые должна будет устранить.
Если же компания не проходила аттестацию, у нее нет специалиста по информационной безопасности, а за ИБ формально отвечает администратор без соответствующих компетенций, то наказание будет суровым, вплоть до уголовной ответственности.
6. Кто несет ответственность при работе с аутсорсинг-компанией?
Если компания обратилась к подрядчику с собственным центром кибербезопасности, а через некоторое время произошла утечка данных, то ответственность за инцидент может нести как компания, так и подрядчик. Решение об этом принимается на основании условий договора между сторонами.
Если в договоре указано, что подрядчик обеспечивает целостность, конфиденциальность и доступность информации с помощью определенных средств, то есть оказывает услугу «информационная безопасность как сервис», и несмотря на это произошла утечка данных, то подрядчик может быть привлечен к ответственности за некачественно оказанную услугу.
Если же в договоре говорится только об IT-консалтинге без предоставления конкретных мер и средств по ИБ, и безопасность клиенту не обещалась и не гарантировалась, то подрядчик не несет ответственности за киберинцидент, так как он не оказывал конкретных услуг по организации информационной безопасности.
7. Ожидаются ли проверки бизнеса?
В указе говорится, что он создает условия для обеспечения информационной безопасности на постоянной основе, а не только после киберинцидента. Это означает, что органы власти могут проводить плановые проверки компаний, даже если у них не было инцидентов. Однако не стоит беспокоиться о том, что к вам придут с проверкой без предупреждения. План проверок публикуется заранее, и он ограничен количеством специалистов, которые их проводят. Поэтому чаще всего проверки проводятся в крупных компаниях с большим объемом критических данных. Средним и малым предприятиям не стоит ожидать проверок, если у них не было инцидентов.
Однако важно понимать, что кибербезопасность должна быть построена не из-за страха проверок, а из понимания того, что она является неотъемлемой частью бизнеса. Если вы хотите, чтобы ваш бизнес был успешным, вам необходимо уделять внимание информационной безопасности.
Простые решения от ActiveCloud для информационной безопасности
Новые законопроекты часто вызывают у бизнеса вопросы и опасения о том, как обеспечить соответствие обновленным требованиям. Сотрудничество с аутсорсером может помочь снять часть вопросов и ответственности. ActiveCloud — это надежный партнер, который предлагает широкий спектр услуг по кибербезопасности, в том числе:
Защищенное облако ActiveCloud — это безопасная среда для ваших информационных систем, которая обеспечивает конфиденциальность, целостность и доступность данных.
Платформа BYTIS SP — это набор средств защиты информации, который позволяет выполнить 95% требований приказа № 66.
Security Consulting — это услуга по поддержке компаний, не имеющих профильных специалистов и подразделений по ИБ. ActiveCloud проведет аудит, тестирование на проникновение и сканирование на уязвимости, чтобы оценить текущее состояние информационной безопасности в компании и дать рекомендации по ее совершенствованию.
Проектирование, создание и аттестация систем защиты информации — это услуга по созданию и документальному подтверждению того, что система защиты информации вашей информационной системы соответствует требованиям законодательства Республики Беларусь в области информационной безопасности.
Посещение специализированных вебинаров и семинаров — это возможность узнать больше о персональных данных и информационной безопасности. Эксперты ActiveCloud регулярно проводят открытые мероприятия и ведут канал в Telegram.
Мы предлагаем комплекс услуг для обеспечения информационной безопасности вашей инфраструктуры, информационных систем и обрабатываемых данных. Для консультации по вопросам безопасности оставьте заявку и наши специалисты обязательно с Вами свяжутся.
