Центр защиты персональных данных обозначил самые распространенные нарушения среди операторов
Национальный центр защиты персональных данных в 2023 году провел 13 плановых, 7 внеплановых и 18 камеральных проверок, связанных с соблюдением законодательства о защите персональный данных. Об этом рассказал начальник управления контроля и аудита центра Владимир Кузуро во время пресс-конференции, передает корреспондент БЕЛТА.
«В 2023 году проведено 13 плановых, 7 внеплановых, а также 18 камеральных проверок без выезда работников центра к самим операторам или уполномоченным лицам. В 10 случаях камеральных проверок поводом для их проведения стали жалобы субъектов персональных данных, в 6 – поступившие от операторов уведомления о нарушении системы защиты информации», – сказал Владимир Кузуро.
Он отметил, что в законодательстве установлен ряд обязательных мер по обеспечению защиты персональных данных, которые должны быть организованы и осуществлены всеми операторами без исключения. Типичные нарушения, которые выявляются в ходе проведения проверок, связаны непосредственно с нереализацией либо недостаточно эффективной реализацией этих обязательных мер, предусмотренных статьей 17 Закона Республики Беларусь «О защите персональных данных».
По словам Владимира Кузуро, большая роль в успешной реализации этих мер связана с назначением лица или подразделения, ответственного за контроль за обработкой персональных данных. В большинстве проверенных организаций, даже при условии назначения этих должностных лиц, контроль за обработкой персональных данных не осуществлялся. Кроме того, во многих организациях отсутствует план и результат контрольных мероприятий.
Также в числе недостатков – формальное возложение обязанности по контролю на одного из работников, который не имеет объективной возможности выполнять контрольные функции, ведь у него уже есть другие важные обязанности, а также формальный подход к изданию документов, определяющих политику операторов в отношении обработки персональных данных. Часто организации заимствуют эти документы из доступных источников без учета специфики работы конкретной организации.
Владимир Кузуро подчеркнул, что все документы должны быть написаны простым, понятным для клиентов или пользователей языком, а также отметил, что многие операторы используют неэффективный способ ознакомления работников с законодательством и документами, которые определяют политику оператора в отношении обработки персональных данных.
Среди других нарушений – отсутствие обучения для специалистов, предоставление работникам доступа к персональным данным, которые не являются необходимыми для его деятельности, распространение данных без согласия физических лиц, куда входят звонки и рассылка рекламных уведомлений, несоблюдение требования законодательства при передаче операторами персональных данных уполномоченным лицам и несоблюдение свободного характера получения согласия на обработку этих данных.
По информации БЕЛТА
В Беларуси пересмотрели правила функционирования национальной системы кибербезопасности. Соответствующий приказ Оперативно-аналитического центра при Президенте Республики Беларусь опубликован на Национальном правовом интернет-портале. Изменения вступают в силу с 1 июля 2026 года и носят не революционный, а планомерный эволюционный характер. Как пояснили в Национальном центре кибербезопасности, изменения подготовлены с учетом практики применения действующего законодательства в области кибербезопасности, накопленного с 2023 года опыта функционирования центров кибербезопасности, а также многочисленных предложений государственных органов и иных организаций, участвующих в национальной системе, сообщает БЕЛТА.
Почему изменения касаются каждой организации в Беларуси
В соответствии с Указом № 40 «О кибербезопасности», элементами национальной системы обеспечения кибербезопасности признаются не только специализированные центры, но и объекты информационной инфраструктуры всех организаций страны. Это означает, что с 2023 года в нашей стране требования по кибербезопасности в той или иной степени распространяются на каждую организацию. Специализированные правила не распространяются только на физических лиц, включая индивидуальных предпринимателей.
Можно провести аналогию с правилами дорожного движения. Есть повышенные требования к водителям транспортных средств, которые допускаются к дорожному движению только с водительским удостоверением, но сами правила дорожного движения обязаны соблюдать все: от водителей до пешеходов. Повсеместное внедрение современных технологий во все сферы жизнедеятельности человека обязывают: даже если объект информационной инфраструктуры отдельной организации сам по себе не представляет интереса для злоумышленника с точки зрения важности бизнес-процессов, которые он автоматизирует, или обрабатываемой информации, это не означает, что такой объект находится вне зоны риска. Современные кибератаки строятся по принципу цепочки компрометации: злоумышленник ищет слабейшее звено в экосистеме.
После получения контроля над таким «неинтересным» объектом злоумышленник может использовать его для проведения распределенных атак типа «отказ в обслуживании» (DDoS) на порталы государственных органов, банковскую систему или критически важные объекты информатизации, для распространения вредоносного программного обеспечения и фишинговых рассылок внутри страны, а также организации скрытых командных центров для управления ботнетами и т.д.
Таким образом, даже компрометация рядового объекта превращает его в инструмент атаки на объекты, относящиеся к национальной информационной инфраструктуре, – банки, энергосети, транспортные узлы, системы государственного управления. Именно поэтому базовая кибербезопасность всех организаций, чьи системы имеют выход в Интернет, – это не чья-то прихоть, а элемент коллективной обороноспособности национального киберпространства.
При разработке изменений ключевым ориентиром выступал принцип, согласно которому законодательство о кибербезопасности должно быть фактически выполнимым для всех участников национальной системы – от крупных центров кибербезопасности до небольших организаций, имеющих выход в сеть Интернет. Избыточные или заведомо неисполнимые требования не повышают защищенность, а напротив, могут порождать практику формального его выполнения и создают иллюзию безопасности. Новая редакция приказа № 130 оттачивает баланс интересов: государства, заинтересованного в устойчивости национальной информационной инфраструктуры; организаций, стремящихся к предсказуемости и разумным затратам; и добросовестных участников рынка услуг кибербезопасности, получающих прозрачные правила игры.
В качестве завершения предисловия также важно отметить: значительная часть изменений направлена не на формирование новых правил, к которым участникам рынка придется заново привыкать, а на легитимизацию устоявшихся общественных отношений в рассматриваемой сфере. Регулятор, наблюдая за правоприменительной практикой на протяжении трех лет, приводит нормативную базу в соответствие с фактически сложившимися моделями поведения и ожиданиями участников.
Что изменилось?
Усовершенствована терминологическая база. Для единообразного применения правовых норм приказ ОАЦ № 130 дополнен перечнем терминов и их определений. Формирование терминологического аппарата позволяет устранить неоднозначность толкования и создает прочную основу для дальнейшего нормотворчества и правоприменения.
Совершенствование классификации киберинцидентов: от технической плоскости к масштабу последствий
Изменение уровней киберинцидентов (введение трех уровней вместо двух) направлено на продолжение вывода сферы кибербезопасности из чисто технической плоскости.
Кибербезопасность не существует сама по себе, в отрыве от защищаемых процессов организаций в сферах государственного управления, промышленности, социальной и многих других. Кибербезопасность – это элемент, влияющий на любую сферу национальной безопасности: от экономической и экологической до политической и социальной. Это не просто техническая работа инженеров и техников, а системная деятельность, обеспечивающая устойчивость критически важных процессов.
Новый подход сформирован по принципу определения критичности, исходя из масштаба последствий. Один и тот же по технической природе киберинцидент в небольшой организации, не оказывающий существенного негативного воздействия, и у владельца критически важной инфраструктуры не могут признаваться киберинцидентами одного уровня. Так, например, к высокому уровню отнесены инциденты, способные повлечь нарушение функционирования критически важных объектов информатизации на срок более трех часов; нарушение конфиденциальности биометрических, генетических персональных данных либо данных более 100 тыс. физических лиц; распространение недостоверной общественно значимой информации.
Данное изменение имеет не только концептуальное, но и практическое правовое значение. 19 июня 2026 года вступают в силу статьи 23.11 и 23.12 КоАП, устанавливающие ответственность в области обеспечения кибербезопасности. Указанная административная ответственность наступает только в случае возникновения киберинцидента высокого уровня. Таким образом, новая классификация создает необходимую юридическую основу для дифференцированного применения мер государственного принуждения, соразмерного степени общественной опасности деяния.
Переориентация внутренней документации: регламенты и планы – для себя и клиентов, а не для регулятора
Одним из изменений является отмена обязанности центров кибербезопасности направлять в ОАЦ регламенты обеспечения кибербезопасности и планы мероприятий по реагированию на киберинциденты.
Эти документы разрабатываются и поддерживаются в актуальном состоянии не для регулятора, а для внутреннего использования – самим центром кибербезопасности, а также, в рамках договорных отношений, для его клиентов. Именно регламент определяет порядок взаимодействия с объектом информационной инфраструктуры, а план – алгоритм действий при возникновении инцидента. Эти документы являются рабочими инструментами, обеспечивающими прозрачность и предсказуемость деятельности центров кибербезопасности.
Такой подход исключает избыточный документооборот с ОАЦ. Тем более, что эти документы требуют частой актуализации. Теперь регламенты и планы могут быть запрошены ОАЦ при наличии необходимости – в ходе реагирования на киберинциденты или при проведении контрольных мероприятий.
Одновременно с этим для обеспечения системного мониторинга состояния кибербезопасности в стране введена отчетность дважды в год (за первое полугодие – до 5 июля, за год – до 5 января). Отчеты содержат обобщенные сведения о результатах работы ЦКБ, проведенных аудитах и оценках защищенности, что позволяет ОАЦ отслеживать динамику и выявлять системные проблемы без избыточного вмешательства в текущую деятельность центров.
Таким образом, достигается баланс: центры кибербезопасности освобождаются от большей части отчетности, но сохраняют дисциплину внутреннего планирования и прозрачность для регулятора на условиях «разумной достаточности».
Развитие кадрового потенциала
Типовая структура центров кибербезопасности претерпела редакционные изменения, направленные на изложение сложившихся отношений в более доступной и понятной для правоприменителя форме. Общее количество ролей осталось неизменным.
Исключение составляют специалисты по анализу вредоносного программного обеспечения и специалисты по оценке эффективности защищенности. Для центров кибербезопасности, оказывающих услуги по обеспечению кибербезопасности другим организациям, наличие указанных специалистов в штате становится обязательным.
Данное требование направлено на развитие критически важных компетенций внутри национальной системы. Концентрация экспертов по реверс-инжинирингу и моделированию кибератак в штате организаций позволит нарастить потенциал национальной системы кибербезопасности в целом, что особенно важно в условиях роста сложности киберугроз. Аутсорсинг данных функций не запрещается, однако он может использоваться только как дополнительный ресурс, а не как замена штатным единицам.
Корректировка существенных условий договоров на приобретение услуг по обеспечению кибербезопасности
Новой редакцией приказа № 130 скорректированы существенные условия договоров на приобретение услуг по обеспечению кибербезопасности. Это сделано для формирования понятных и прозрачных правил на данном рынке.
Государство на протяжении трех лет пристально наблюдало за тем, какие ожидания от этих услуг существуют у заказчиков и что им готовы предложить центры кибербезопасности. Важно отметить, что строгое регулирование существенных условий осуществляется в связи с тем, что именно государство определяет значительную часть организаций, которые обязаны приобретать такие услуги (либо создавать собственные центры кибербезопасности). 14 мая текущего года по предложению ОАЦ принято очередное постановление Совета Министров № 246 от 14 мая 2026 года. В этой ситуации государство несет ответственность за то, чтобы обязательные закупки осуществлялись по понятным и единообразным правилам, исключающим недобросовестное исполнение.
Унификация аудита кибербезопасности и оценки защищенности
Наиболее значимые в плане содержательного наполнения изменения затронули порядки проведения аудита кибербезопасности и оценки эффективности защищенности объектов информационной инфраструктуры от кибератак.
Ранее такие сущности в законодательстве не были детализированы, что создавало риски для заказчиков услуг, которые, не обладая достаточными специальными компетенциями, фактически могли приобретать услуги «в виде кота в мешке» и не могли объективно оценить их качество. Это создавало условия для появления недобросовестных участников рынка, применявших демпинговые стратегии и ограничивавшихся формальным сканированием с выдачей автоматически сгенерированных отчетов.
Новая редакция приказа ОАЦ № 130 детально регламентирует эти процессы, что выгодно всем участникам национальной системы: организациям – позволяют точно понимать объем и содержание подлежащих выполнению работ, а также контролировать их качество; добросовестным центрам кибербезопасности - создают равные конкурентные условия, отсекая недобросовестных исполнителей, не способных выполнить работу в соответствии с установленными требованиями.
Изменение порядка информационного взаимодействия
Положение о порядке информационного взаимодействия элементов национальной системы кибербезопасности изложено в новой редакции, которая четко разграничивает каналы связи между всеми ее элементами. Здесь принципиально важно обратить внимание на то, что взаимодействие Национального центра кибербезопасности с государственными органами и иными организациями Республики Беларусь возможно через электронную почту и телефонную связь. В условиях важности оперативного реагирования на киберинциденты критически необходимо максимально быстро начать соответствующие мероприятия. Только таким образом негативные последствия кибератак могут быть сведены к минимуму.
Использование электронной почты и телефонной связи в качестве допустимых каналов взаимодействия с Национальным центром кибербезопасности обусловлено несколькими практическими факторами.
Во-первых, не все организации на этапе возникновения киберинцидента могут иметь доступ к специализированным защищенным системам информационного взаимодействия (например в случае компрометации учетных записей или выхода из строя сегмента сети). Телефонная связь и электронная почта в национальном сегменте сети Интернет остаются наиболее доступными и отказоустойчивыми каналами, которые работают даже в условиях развивающейся атаки.
Во-вторых, скорость начала реагирования напрямую влияет на возможность сохранения доказательной базы (индикаторов компрометации), локализации атаки и предотвращения ее распространения на смежные объекты информационной инфраструктуры. Ожидание восстановления штатных каналов связи может привести к безвозвратной потере улик и расширению зоны поражения.
В-третьих, предусмотрена возможность использования иных способов взаимодействия, не запрещенных законодательством, что делает систему гибкой и адаптируемой к любой нештатной ситуации.
Также этим положением определена необходимость согласования с ОАЦ предоставления информации о событиях кибербезопасности и киберинцидентах в иностранные или международные организации. При этом до внесения изменений такая передача в целом могла осуществляться только ОАЦ, который выступал «единым окном» передачи таких сведений. Такой подход обеспечивает баланс между государственным контролем, сохраняя государственный суверенитет в вопросах трансграничной передачи данных о кибербезопасности, и оперативностью реагирования, делая регулирование более сбалансированным.
Изменение порядка функционирования команд реагирования
Положение о порядке функционирования национальной команды реагирования на киберинциденты и команд реагирования центров кибербезопасности также претерпело существенные изменения, направленные на повышение эффективности и стандартизацию действий при ликвидации последствий кибератак.
Вот ключевые нововведения. Во-первых, ход реализации мероприятий по реагированию на киберинциденты подлежит обязательной фиксации в системе обработки сведений о киберинцидентах, что обеспечивает прозрачность, документированность и возможность последующего анализа эффективности принятых мер. Во-вторых, принципиально важным нововведением является норма, согласно которой меры по обеспечению сохранности сведений, необходимых для выявления индикаторов компрометации, принимаются в соответствии с рекомендациями, размещаемыми на официальном интернет-сайте Оперативно-аналитического центра при Президенте Республики Беларусь (oac.gov.by). Они будут опубликованы до вступления в силу изменений (до 1 июля) и могут быть использованы не только командами реагирования, но любыми организациями.
Сохранность индикаторов компрометации - критически важный этап реагирования на любой киберинцидент. Уничтожение или изменение цифровых следов в результате неправильных действий персонала может сделать невозможным установление причин атаки, выявление злоумышленников и предотвращение аналогичных инцидентов в будущем.
Изменение требований по кибербезопасности к объектам информационной инфраструктуры
Требования по кибербезопасности к объектам информационной инфраструктуры (Приложение 4) также претерпели изменения, направленные на их прагматизацию и адаптацию к реальным условиям функционирования. Это один из важнейших структурных элементов всего документа, поскольку, как уже было сказано, распространяется на все организации в Республике Беларусь.
Требования в новой редакции не только изложены более понятным для применения языком, но и, например, предусматривают возможность привлечения любых сторонних белорусских организаций или индивидуальных предпринимателей в случае невозможности выполнения работ по реализации требований собственными силами. При этом такая деятельность не лицензируется. В целом, изменения позволяют организациям выстраивать систему кибербезопасности с учетом собственных потребностей и ресурсов, не снижая при этом обязательного минимального уровня защищенности.
Таким образом, принятые изменения представляют собой закономерный этап эволюции национальной системы обеспечения кибербезопасности, учитывающий опыт, накопленный с момента принятия Указа № 40 в 2023 году. Регулятор последовательно движется от формирования базовой архитектуры системы к ее содержательному наполнению: легитимизируются сложившиеся общественные отношения, снимается избыточная административная нагрузка, вводятся четкие профессиональные стандарты, развивается терминологическая база и совершенствуются механизмы взаимодействия. Особое внимание уделяется переходу от чисто технического понимания кибербезопасности к риск-ориентированному подходу, учитывающему масштаб последствий киберинцидентов для всех сфер национальной безопасности.
Организациям, имеющим центры кибербезопасности или планирующим их создание, рекомендуется провести анализ соответствия своей деятельности новым требованиям, обратив особое внимание на кадровое обеспечение (штатные аналитики ВПО и пентестеры для оказывающих услуги центров кибербезопасности) и готовность к проведению ежегодных аудитов и оценок защищенности по единой методологии. Всем иным организациям рекомендуется пересмотреть свои подходы к базовой кибербезопасности, поскольку даже незначительный, на первый взгляд, объект может стать уязвимым звеном в общенациональной системе. Это тем более актуально с учетом уже описанных изменений в законодательстве об административной ответственности.
По информации БЕЛТА
Какие данные пользователей цифровых платформ требуют защиты, рассказал директор Национального центра защиты персональных данных Андрей Гаев, передает корреспондент БЕЛТА.
По словам Андрея Гаева, жизнь современного человека связана с цифровизацией. «Молодежь не представляет себе жизнь без интернета и получения услуг с его помощью, старшее поколение тоже к этому подтягивается. В этом есть масса преимуществ, но вместе с тем появляются и новые вызовы, – пояснил он. – Многие действия на цифровых платформах влекут за собой обработку личных данных, и эта категория информации нуждается во внимании и защите со знанием этих платформ и их функционирования. Цифровая торговля находится в поле зрения Министерства антимонопольного регулирования и торговли, которое занимается установкой понятных и прозрачных правил в этой сфере».
Национальный центр защиты персональных данных, являясь участником рабочей группы по вопросам регулирования платформенной экономики, видит необходимым решать ряд вопросов, связанных с обработкой личной информации. «Речь идет о трансграничной передаче личных данных, о взаимодействии с привлекаемыми для ведения бизнеса лицами. Возникают проблемы, связанные с партнерами, которые привлекаются бизнес-организациями для выполнения тех или иных задач и через которых может произойти утечка персональных данных. Этот аспект также нуждается в должном регулировании, чему мы будем способствовать», – добавил директор центра.
По словам Андрея Гаева, персональными данными являются не только имя, фамилия, отчество и адрес проживания, но и предпочтения, геолокация, данные, связанные с покупками и поиском в интернете. «Это та информация, которая характеризует человека, и злоумышленникам хватает ее, чтобы воздействовать на жертву и получить желаемое. Поэтому эти данные также нуждаются в должной степени защиты», – подчеркнул он.
Как отметил директор Национального центра защиты персональных данных, практика применения Закона «О защите персональных данных» показывает, что его положения достаточно универсальны. «Они восприняты гражданами и бизнесом и позволяют обеспечивать защиту прав. Сейчас речь идет о плановой корректировке закона, собраны предложения от госорганов, бизнес-ассоциаций, которые показывают необходимость уточнения тех или иных моментов. Однако ужесточения в подходах, связанных с обработкой персональных данных, не планируются», – заключил он.
По информации БЕЛТА
Что изменится в Законе Беларуси «О защите персональных данных» в отношении искусственного интеллекта, рассказала начальник управления методологии защиты персональных данных Национального центра защиты персональных данных Ирина Пырко, передает корреспондент БЕЛТА.
По словам Ирины Пырко, в этом году в планах внесение на рассмотрение в правительство законопроекта о внесении изменений в Закон «О защите персональных данных». «Мы предлагаем внести в закон статью, которая будет касаться автоматизированной работы с персональными данными и автоматизированного принятия решений», – сказала она.
Статья будет содержать информацию о том, что организация, использующая технологии ИИ для принятия юридически важных решений, например о приеме на работу, должна обязательно информировать об этом граждан. Эти решения будут приниматься только тогда, когда граждане станут давать свое согласие.
На данный момент закон распространяется на обработку персональных данных с использованием средств автоматизации. «Требования Закона «О защите персональных данных», в том числе обеспечение прозрачности характера обработки персональных данных, наличие правового основания для такой обработки и другие распространяются и на те случаи, когда персональные данные обрабатываются с использованием технологии искусственного интеллекта», – добавила начальник управления.
«Закон «О защите персональных данных» стоит рассматривать как инструмент достижения определенного баланса между развитием новых технологий и защитой общества и конкретного гражданина», – подчеркнула Ирина Пырко.
По информации БЕЛТА
Заместитель Председателя Правления Национального банка Андрей Картун рассказал, как новые стандарты, которые белорусские банки внедрят с 1 июля, помогут бороться с кибермошенничеством, передает корреспондент БЕЛТА.
(фото – БЕЛТА)
«Уже с 1 июля у нас заработают новые стандарты финансовых услуг. Что они подразумевают? Теперь у всех банков должна быть антифрод-система. Это определенный набор правил, при которых в автоматическом режиме происходит анализ информации и операций. В случае наличия подозрений система сама блокирует операцию на определенный срок, а дальше специалисты службы безопасности начинают разбираться в ситуации. У всех банков должны быть транзакционные и операционные антифроды. Банки будут отслеживать, с какого места вы заходите в мобильный банкинг и какими операциями пользуетесь. Если вы, например, всегда заходили в систему из Минска со своего мобильного устройства и вдруг начали входить параллельно из-за рубежа через 5 минут, это операция, которая вызывает подозрение. Кроме того, в систему вводится так называемый цифровой отпечаток», – подчеркнул Андрей Картун. По оценке Нацбанка, внедрение с 1 июля 2026 года единых требований к антифрод-системам банков и обязательное использование цифрового отпечатка устройства приведут к снижению количества инцидентов в сфере кибермошенничества.
Также выработаны единые подходы к реализации механизма контроля вывода средств на криптобиржи. «Мы подвели все банки и крипторезидентов под условие «один клиент – один аккаунт – одна карточка». То есть, соответственно, вы не можете совершить P2P-перевод (прямой перевод денежных средств с карты одного физического лица на карту другого. – Прим. БЕЛТА) не на свою карту. Поэтому, если хотите играть на крипторынке, то исключительно с вашей карты заводите и только на вашу карту выводите деньги», – отметил заместитель Председателя Правления Нацбанка.
Кроме того, в части выдачи кредитов был создан «период охлаждения». Подписание кредитного договора не может состояться в день визита клиента в банк, а должно быть перенесено минимум на один рабочий день. Также и выдача одобренных денежных средств не может быть произведена немедленно после заключения договора, а только на следующий рабочий день.
По информации БЕЛТА
Президент Беларуси Александр Лукашенко одобрил в качестве основы для проведения переговоров проект соглашения между Республикой Беларусь и Королевством Саудовская Аравия о взаимной защите секретной информации. Соответствующий Указ № 90 Глава государства подписал 16 марта.
На проведение переговоров по проекту соглашения и его подписание уполномочен Комитет государственной безопасности.