Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест

В белорусском IT-сообществе существует опасное заблуждение: "Я крутой специалист, я прошел курсы, у меня есть сертификат CEH/OSCP и аттестат НЦЗПД. Значит, я могу открыть ИП и продавать услуги по взлому и защите".

Это заблуждение стоит дорого. В буквальном смысле — ценой конфискации 100% дохода за весь период деятельности плюс внушительный штраф.

Проблема не в вашей квалификации. Проблема в том, что Республика Беларусь регулирует рынок информационной безопасности жестче, чем рынок оружия. Здесь лицензируются не только «коробки» с софтом, но и сами услуги. И если вы назвали свой OSINT-отчет «Аудитом безопасности» без бумажки от ОАЦ (Порядок осуществления лицензирования) — вы совершили экономическое преступление.

В этой статье разберем, как работает Закон № 213-З «О лицензировании», почему ваше свидетельство о повышении квалификации — это не лицензия, и как продавать услуги легально.

Часть 1. Кто здесь главный: ОАЦ и Закон № 213-З

В отличие от западного мира, где пентестером может быть любой талантливый энтузиаст, в РБ этот рынок закрыт на замок. Ключи — у Оперативно-аналитического центра при Президенте РБ (ОАЦ).

Согласно ст. 204 Закона № 213-З, лицензированию подлежит:

«Деятельность по технической и (или) криптографической защите информации».

Это не только производство шифраторов или продажа фаерволов. Под лицензию попадают работы и услуги:

• Проектирование и создание систем защиты информации (СЗИ).
• Аттестация систем защиты.

В чем подвох для Пентестера?

Закон не содержит слов «Пентест» или «Red Teaming». Но регулятор (ОАЦ) и контролирующие органы (ДФР КГК) используют простую логику:

• Вы проводите пентест (тестирование на проникновение).
• Вы выявляете дыры в защите и даете рекомендации по их закрытию.
• Значит, вы оцениваете эффективность мер защиты и участвуете в проектировании/создании правильной системы защиты.
• Вывод: Это лицензируемая деятельность.

Если вы делаете это без лицензии — это незаконная предпринимательская деятельность (ст. 13.3 КоАП).

Часть 2. Миф об Аттестате НЦЗПД

Очень частый вопрос от специалистов:

"Я прошел обязательные курсы повышения квалификации в НЦЗПД (Национальный центр защиты персональных данных), получил свидетельство государственного образца. Могу ли я теперь оказывать услуги пентеста?"

Короткий ответ: НЕТ.

Здесь происходит подмена понятий. Давайте разделим мух и котлет.

Образование vs Разрешение

• Свидетельство НЦЗПД: Это документ об ОБРАЗОВАНИИ. Он подтверждает вашу квалификацию. Он говорит государству: "Этот человек умный, он знает Закон № 99-З и умеет защищать данные".
• Лицензия ОАЦ: Это документ о ПРАВЕ НА БИЗНЕС. Он говорит: "Этой компании разрешено оказывать услуги третьим лицам, потому что у неё есть оборудование, помещение, процессы и... обученные люди".

Аналогия: Диплом врача (Свидетельство НЦЗПД) подтверждает, что вы умеете лечить. Но он не дает вам права открыть частную клинику и проводить операции (Лицензия Минздрава). Если вы начнете резать людей на кухне за деньги, имея только диплом — вас посадят.

Зачем тогда нужен аттестат НЦЗПД?

Он не бесполезен. Он необходим в двух случаях:

• Для работы «на дядю» (In-house): Вы защищаете свою организацию, где работаете по трудовому договору. Лицензия для защиты самого себя не нужна. Аттестат нужен, чтобы выполнить требования закона о наличии ответственного лица.
• Для получения Лицензии (в будущем): Если вы решите открыть ООО и получить лицензию ОАЦ, вы обязаны предъявить штатных сотрудников с профильным образованием. Вот тут ваш аттестат станет «золотым билетом» для получения лицензии компанией.

Часть 3. Словарь выживания: Как не попасть на штрафы

Если у вас нет лицензии ОАЦ, но вы хотите работать в сфере OSINT и анализа безопасности, ваша безопасность зависит от формулировок в договоре.

Грань тонка:

• Если вы оцениваете защиту — нужна лицензия.
• Если вы предоставляете информацию — лицензия не нужна.

Таблица безопасных формулировок

Практический пример

• Сценарий А (Провал): Вы пишете в акте: "Проведен аудит безопасности сервера, выявлена уязвимость CVE-2025-XXXX, система не соответствует требованиям защиты".
  • Регулятор: "Вы оценили меры защиты без лицензии. Штраф + конфискация".
• Сценарий Б (Успех): Вы пишете в отчете: "В ходе мониторинга открытых источников (Google, Shodan) обнаружено, что IP-адрес заказчика находится в списках уязвимых хостов. Найдена информация о версиях ПО в открытом доступе".
  • Регулятор: "Это справочная информация. Лицензия не требуется".

Часть 4. Кому лицензия не нужна? (Исключения)

Есть ситуации, когда можно выдохнуть.

• Защита самого себя (Self-Assessment).
  Лицензия нужна только для оказания услуг третьим лицам. Если вы — штатный сотрудник банка или завода, вы можете проводить пентесты своей инфраструктуры с утра до ночи. Никаких разрешений от ОАЦ на это не нужно (кроме работы с госсекретами).
• Чистый OSINT / Разведка.
  Поиск информации о конкурентах, мониторинг утечек, проверка контрагентов — это аналитика, а не техническая защита. Пока вы не лезете «внутрь» периметра и не настраиваете средства защиты, вы в безопасности.
• Образовательная деятельность.
  Обучение сотрудников клиента основам кибергигиены (Security Awareness) не лицензируется ОАЦ (но может требовать лицензии Минобразования, если это курсы с выдачей дипломов).

Белорусский рынок ИБ — это игра с высоким порогом входа. Аттестат НЦЗПД делает вас квалифицированным специалистом, но не делает вас легальным бизнесменом в сфере ТЗИ.

Если вы хотите продавать настоящий, хардкорный Pentest и Compliance — открывайте юрлицо и идите в ОАЦ за лицензией. Это долго, дорого, но дает доступ к госзаказам и крупным бюджетам.

Если вы фрилансер или небольшая команда — оставайтесь в нише OSINT и Консалтинга. Правильно называйте свои услуги, не выдавайте «Аттестаты» и не обещайте «Защитить под ключ». Продавайте информацию, а не безопасность.