Аттестация по ИБ | 2 октября 2025

Обязательная аттестация СЗИ по указу ОАЦ РБ в 2025 году: что важно знать

Обязательная аттестация СЗИ по указу ОАЦ РБ в 2025 году: что важно знать

В 2025 году требования к аттестации систем защиты информации (СЗИ) в Республике Беларусь претерпевают изменения. Для любого сайта, посвящённого кибербезопасности, крайне важно разъяснить, что именно должно соблюдаться организациям, обрабатывающим персональные данные или информацию с ограниченным доступом. Цель этой статьи — дать читателю четкое понимание новых норм, обязанностей и рисков, а также практические рекомендации по прохождению аттестации с учётом обновлённого регулирования.

Законодательная база: что изменилось с 1 марта 2025 года

Приказ ОАЦ № 259 от 10 декабря 2024 г.
С 1 марта 2025 года вступают в силу изменения, вносимые этим приказом, касающиеся:

  • порядка технической и криптографической защиты информации;
  • порядка аттестации систем защиты информации ИС, обрабатывающих информацию с ограниченным доступом;
  • порядка представления сведений в ОАЦ о событиях информационной безопасности и состоянии защиты информации.
    Эти изменения вносят корректировки к ранее действовавшим приказам ОАЦ № 26 и № 66.

Обновлённые положения
Новые редакции:

  • Положения о порядке технической и криптографической защиты информации;
  • Положения о порядке аттестации систем защиты информации;
  • Положения о представлении сведений о событиях ИБ и состоянии защиты.

Таким образом, организации, подлежащие аттестации, обязаны соответствовать новым редакциям этих документов.

Переходные положения
Договоры, заключённые до 1 марта 2025 года, могут выполняться по старой нормативной базе, если иное не предусмотрено.
Однако владельцы систем могут на своё усмотрение применить новые требования и для таких систем.

Для кого обязательна аттестация СЗИ в 2025 году

Системы, подлежащие аттестации

  • Информационные системы, обрабатывающие персональные данные (ПДн) — поскольку персональные данные по закону относятся к информации с ограниченным доступом.
  • Системы, работающие с другой информацией с ограниченным распространением.
  • Государственные информационные системы и критически важные объекты информатизации.
  • Системы классов 3-бг и 3-дсп — нововведение: требование по обеспечению обнаружения и реагирования на угрозы конечных узлов становится обязательным для данных классов.

Важно: расположение системы (на своей инфраструктуре или в облаке) не освобождает от необходимости аттестации — ответственность лежит на владельце ИС.

Срок действия аттестата и повторная аттестация

  • Аттестат соответствия действует максимум 5 лет, при условии отсутствия изменений в технологии обработки или инфраструктуре.
  • При изменении (модернизации, расширении, изменении конфигурации) системы — требуется повторная аттестация.

Процедура аттестации: этапы и документы

Ниже — общий алгоритм прохождения аттестации системы защиты информации (СЗИ) ИС.

ЭтапОсновные действия / задачи
ПредварительныйПолучение заявки, сбор исходных данных, анализ, составление программы аттестации
ОсновнойОзнакомление с ИС, аудит документации, обследование, испытания средств защиты в реальных условиях
ЗаключительныйАнализ результатов, принятие решения, выдача аттестата соответствия или отказ

Основной комплект документов (исходные данные)

При подаче заявки на аттестацию необходимо предоставить, в том числе:

  • Наименование ИС, её назначение, структура, модель угроз
  • Перечень обрабатываемой информации с ограниченным доступом
  • Сведения о программном и аппаратном обеспечении, информационные потоки
  • Проект системы защиты: состав СЗИ, архитектура, технические средства
  • Документы о подразделении по защите информации или ответственном лице
  • Задание по безопасности, проект и эксплуатационную документацию
  • Протоколы испытаний, акты приёмки, методики тестирования
  • Локальные акты — политики, инструкции, регламенты по информационной безопасности

Если система создаётся для государственных нужд и у владельца есть подразделение по ТЗИ (технической защите информации), заявка оформлять не обязательно — аттестационная комиссия назначается приказом руководителя.

Новые требования и ключевые изменения 2025 года

Обнаружение и реагирование на угрозы конечных узлов (EDR / XDR)

Одна из важных новаций — пункт 7.18 в техническом задании: обязанность обеспечить функции обнаружения и реагирования на угрозы на «точках» (конечных узлах).
Это особенно критично для систем классов 3-бг и 3-дсп, где данное требование становится обязательным.

Ужесточение требований к отчетности

Организации обязаны предоставлять сведения о событиях информационной безопасности и состоянии защитных мер в ОАЦ.

Гибкость при переходе к новым правилам

Системы, проектируемые или создающиеся по договору до 1 марта 2025 года, могут оставаться по старым правилам.
Но организация вправе добровольно применить новые нормы и для таких систем.

Практические рекомендации для организаций

  1. Оцените, нужно ли вам аттестация
    Если ваша ИС обрабатывает персональные данные или ограниченную информацию — почти наверняка вы подлежите аттестации.
  2. Проведите «предаттестационный аудит»
    • Проверьте соответствие текущей системы требованиям.
    • Особое внимание уделите мерам обнаружения/реагирования на конечных узлах.
  3. Обновите техническое задание (ТЗ) на безопасность
    Убедитесь, что в ТЗ включён пункт о EDR/XDR-механизмах, как требует новая редакция.
  4. Подготовьте документацию и регламенты ИБ
    Разработайте необходимые политики, инструкции, регламенты, распределите ответственность.
  5. Проведите испытания СЗИ в реальных условиях
    Это ключевой этап: испытания, проверка устойчивости, нагрузочные сценарии и т.д.
  6. Контролируйте изменения системы после аттестации
    Если вносите изменения — готовьтесь к повторной аттестации.
  7. Своевременно подавайте сведения в ОАЦ
    После получения аттестата организация (или исполнители) обязаны передать сведения в ОАЦ в течение установленного срока (до 30 дней)

Риски несоблюдения и ответственность

  • Отказ в выдаче аттестата при существенных несоответствиях
  • Приостановка эксплуатации ИС до устранения нарушений
  • Административные санкции со стороны регуляторов
  • Ухудшение репутации, утрата доверия клиентов
  • Уязвимость к киберинцидентам

Обязательная аттестация СЗИ по обновлённым нормам ОАЦ в 2025 году — не формальность, а шаг, который обеспечивает правовую защиту и снижает риски в сфере кибербезопасности. Для организаций, особенно работающих с персональными данными или конфиденциальной информацией, важно заранее подготовиться: пересмотреть ТЗ, внедрить средства обнаружения угроз, скорректировать регламенты и обеспечить плавный переход к новым требованиям.

ОАЦ аттестация

Как вам статья?

По теме
Создание SOC в Республике Беларусь в 2026 году: Стратегический путеводитель и архитектура будущего
Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси
Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Как подготовиться к прохождению аттестации СЗИ в 2025 году

Как подготовиться к аттестации СЗИ в 2025 году: ключевые этапы, список необходимых документов и практические советы для успешного прохождения

3 октября 2025