Аттестация по ИБ | 28 января 2026

Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси

Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси

В первой части мы выяснили, что без лицензии ОАЦ продавать услуги пентеста и аудита ИБ в Беларуси — это путь к конфискации дохода. Теперь переходим к практике. Как превратить компанию из «просто IT» в лицензиата, допущенного к государственным и банковским тайнам?

Процесс получения лицензии ОАЦ овеян мифами. Кто-то говорит, что это нереально для малого бизнеса, кто-то уверен, что достаточно просто заплатить пошлину. Истина посередине: это строгий, бюрократический, но вполне проходимый алгоритм, если знать правила игры.

В этой статье мы пройдем путь от аудита собственной компании до получения заветного бланка. Без воды, только требования регулятора и чек-листы.

Часть 1. Входной билет: Требования к соискателю

Прежде чем заполнять заявление, убедитесь, что вы проходите по формальным критериям. ОАЦ не делает исключений.

1.1. Организационная форма

  • Юрлицо (ООО, ЗАО, УП): Оптимальный вариант.
  • ИП: Теоретически возможно, но на практике крайне сложно. Требования к помещениям, оборудованию и, главное, персоналу (см. ниже) делают лицензирование ИП экономически бессмысленным для ТЗИ.

1.2. «Святая троица» персонала

Это самый сложный пункт. Согласно законодательству, у вас в штате должно быть минимум 3 специалиста по основному месту работы.

Требования к каждому из них (одно из двух):

  • Высшее образование по специальности «Защита информации», «Криптография» или смежным (математика, радиофизика, электроника).
  • Высшее/Среднее специальное образование + Переподготовка. Если у сотрудника диплом экономиста или программиста, он должен пройти переподготовку (не просто курсы повышения квалификации!) по профилю ТЗИ в аккредитованном вузе (БГУИР, Институт технологий информатизации и управления БГУ и др.).

Важный нюанс: Стаж работы. ОАЦ часто запрашивает подтверждение опыта. Если вы набрали вчерашних студентов, могут возникнуть вопросы к их способности проводить качественный аудит. Идеальная схема: 1 опытный «Руководитель работ» + 2 специалиста.

1.3. Материально-техническая база (МТБ)

Лицензиат не может работать «на коленке» в коворкинге.

  • Помещение: Должно быть в собственности или аренде. Юридический адрес должен совпадать с фактическим местом проведения работ (или быть филиалом). Помещение должно соответствовать требованиям по защите (контроль доступа, решетки/роллеты на первых этажах, охранная сигнализация).
  • Оборудование: Рабочие станции, серверы, сейфы для хранения конфиденциальных документов.
  • Софт: Лицензионное ПО для аудита (сканеры уязвимостей, средства анализа). Использование пиратского Metasploit Pro — это мгновенный отказ и пятно на репутации.

Часть 2. Пакет документов: Собираем пазл

ОАЦ любит порядок. Одна ошибка в реквизитах или просроченная справка — и вы начинаете всё сначала.

2.1. Документы для подачи

  • Заявление: Строго по установленной форме. Подписывает руководитель.
  • Сведения о персонале: Таблица с ФИО, образованием, стажем, должностью. Прикладываем заверенные копии дипломов и свидетельств о переподготовке.
  • Сведения об МТБ: Список оборудования (с инвентарными номерами) и ПО (с номерами лицензий).
  • Копия документа об уплате пошлины: Сумма привязана к базовой величине, проверяйте актуальный размер на день оплаты.

2.2. Внутренние регламенты (Самое важное!)

Это то, что реально читают эксперты ОАЦ. Вы должны доказать, что у вас выстроены процессы.

Вам нужно разработать и утвердить:

  • Положение о порядке проведения работ: Ваша «Библия». Как вы проводите пентест? Какую методологию используете (OWASP, NIST)? Как оформляете отчет?
  • Политика конфиденциальности: Как вы гарантируете, что данные банка, которые вы нашли при аудите, не утекут в сеть?
  • Порядок хранения результатов: Где лежат отчеты? (В сейфе? В зашифрованном контейнере?). Кто имеет доступ? Когда они уничтожаются?
  • Система контроля качества: Кто проверяет работу пентестера перед сдачей отчета клиенту?

Совет: Не качайте шаблоны из интернета. ОАЦ видит «рыбу» за версту. Пишите регламенты под свои реальные бизнес-процессы.

Часть 3. Алгоритм действий: Step-by-Step

Этап 0: Самоаудит (2 недели)

Не подавайтесь «на удачу». Проведите внутреннюю проверку.

  • Есть ли 3 дипломированных спеца?
  • Действует ли договор аренды офиса еще хотя бы год?
  • Куплены ли лицензии на софт?

Этап 1: Подача (1 день)

Подавать документы можно:

  • Самостоятельно (в Минске).
  • По почте (заказным с уведомлением).
  • Через портал Е-Паслуга (требуется ЭЦП руководителя). Рекомендуемый вариант.

Этап 2: Экспертиза (15–30 дней)

После регистрации заявления ОАЦ начинает проверку.

  • Камеральная проверка: Смотрят бумаги. Если есть ошибки — пришлют запрос на уточнение.
  • Выездная проверка (возможно): Эксперты могут приехать к вам в офис. Проверят, сидят ли там заявленные сотрудники, стоят ли компьютеры, работает ли сигнализация. Могут провести собеседование с персоналом, чтобы проверить их компетентность.

Этап 3: Решение

  • Лицензия выдана: Поздравляем! Данные вносятся в Единый реестр лицензий (ЕРЛ). Бумажный бланк сейчас не обязателен, достаточно записи в реестре, но можно запросить выписку.
  • Отказ: Вы получите мотивированное письмо. Исправляйте недочеты и подавайтесь снова (сроков ожидания нет, можно хоть на следующий день, но лучше реально исправить ошибки).

Часть 4. Жизнь после лицензии: Права и Обязанности

Получение лицензии — это не финал, а начало контроля.

4.1. Лицензионные требования

Вы обязаны соблюдать их всегда, а не только в момент получения.

  • Уволился один из трех ключевых спецов? У вас есть месяц (обычно), чтобы найти замену и уведомить ОАЦ. Иначе — приостановка лицензии.
  • Переехали в новый офис? Уведомление в ОАЦ в течение 3 дней.

4.2. Ежегодная отчетность

До 30 (иногда до 20) января следующего года вы обязаны подать в ОАЦ отчет о деятельности.

  • Кому оказывали услуги?
  • Какие работы проводили?
  • Какие объемы?

4.3. Обязанности при работах

Теперь, когда вы «белый» аудитор, вы не имеете права работать «по-черному».

  • Только письменный договор.
  • Строгое соблюдение ТЗ.
  • Запрет на использование найденных уязвимостей во вред.
  • Обязательное уничтожение данных клиента после завершения работ (согласно вашему же регламенту).

Лицензия ОАЦ — это знак качества. Для заказчика (банка, завода, министерства) это гарантия того, что вашу компанию проверило государство, у вас работают не школьники, и данные аудита не будут проданы в даркнете.

Да, процесс получения требует инвестиций (найм штата, аренда, софт, пошлина). Но это входной билет в высшую лигу ИБ Беларуси, где чеки за один аудит могут превышать годовой оборот небольшой веб-студии.

Чек-лист готовности к подаче:

Юрлицо зарегистрировано в РБ.

В штате 3 специалиста с профильным образованием/переподготовкой (основное место работы).

Офис соответствует требованиям (сигнализация, доступ).

Закуплено лицензионное ПО для аудита.

Разработан пакет внутренних регламентов (Положение, Политика и др.).

Оплачена госпошлина.

ОАЦ

Как вам статья?

По теме
Создание SOC в Республике Беларусь в 2026 году: Стратегический путеводитель и архитектура будущего
Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Политики информационной безопасности, которые выдерживают удар Red Team: от «бумажной безопасности» к живым контролям
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Чемоданчик ИБ-специалиста: Физические инструменты, без которых аудит и пентест — это фикция

Полное руководство по физическим инструментам для специалистов по кибербезопасности. Обзор наборов EDC, Forensic и Pentest: от консольных кабелей и отверток

28 января 2026