С 1 января 2025 года вступают в силу обновленные требования законодательства Республики Беларусь по защите персональных данных. Изменения затрагивают как технические, так и организационные меры безопасности. Компании должны провести ревизию своих систем обработки персональных данных и привести их в соответствие с новыми стандартами.

🔒 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 2025 До 2025 • Базовая защита • Простое хранение • Минимальный контроль • Редкие проверки • Низкие штрафы С 2025 • Усиленное шифрование • DLP системы • Регулярный аудит • Уведомления об утечках • Значительные штрафы 01.01.2025

Основные изменения в законодательстве

1. Усиленные требования к шифрованию

Новые стандарты требуют обязательного использования современных алгоритмов шифрования для защиты персональных данных:

  • Шифрование данных при хранении (encryption at rest) с использованием алгоритмов не ниже AES-256
  • Шифрование данных при передаче (encryption in transit) с использованием TLS 1.3 или выше
  • Обязательное шифрование резервных копий, содержащих персональные данные
  • Использование аппаратных модулей безопасности (HSM) для хранения ключей шифрования в критичных системах
  • Регулярная ротация ключей шифрования (не реже одного раза в год)

2. Обязательное внедрение DLP-систем

Организации, обрабатывающие персональные данные более 10 000 субъектов, обязаны внедрить системы предотвращения утечек данных (Data Loss Prevention):

  • Мониторинг передачи данных по сетевым каналам
  • Контроль использования съемных носителей
  • Анализ исходящей почтовой корреспонденции
  • Блокировка несанкционированной передачи данных
  • Ведение журнала всех операций с персональными данными

3. Право на удаление данных (Right to be Forgotten)

Субъекты данных получают расширенные права:

  • Запрос на полное удаление своих персональных данных из всех систем компании
  • Обязательный срок исполнения запроса — 30 календарных дней
  • Подтверждение удаления должно быть предоставлено субъекту в письменном виде
  • Удаление должно охватывать все копии данных, включая резервные

4. Обязательное уведомление об утечках

При обнаружении утечки или несанкционированного доступа к персональным данным:

  • Уведомление регулятора в течение 72 часов с момента обнаружения
  • Уведомление пострадавших субъектов в течение 7 дней, если инцидент создает высокий риск для их прав
  • Предоставление детальной информации об инциденте, пострадавших данных и принятых мерах
  • Публикация информации об инциденте на сайте компании (для крупных утечек)

5. Регулярные аудиты безопасности

Введена обязательная периодичность проверок:

  • Внутренний аудит систем защиты персональных данных — ежегодно
  • Внешний независимый аудит — каждые 2 года (для операторов, обрабатывающих данные более 50 000 субъектов)
  • Пентестинг систем, содержащих персональные данные — ежегодно
  • Документирование всех проведенных проверок и устранение выявленных недостатков

Увеличение штрафов за нарушения

Значительно ужесточена ответственность за нарушение требований по защите персональных данных:

Тип нарушения Штраф (до 2025) Штраф (с 2025)
Отсутствие согласия на обработку до 100 БВ до 500 БВ
Утечка персональных данных до 300 БВ до 1500 БВ
Непредоставление доступа к данным до 50 БВ до 200 БВ
Отсутствие уведомления об утечке до 1000 БВ

БВ — базовая величина (на 2025 год = 37 руб.)

Технические требования к системам защиты

Категоризация персональных данных

Все персональные данные должны быть классифицированы по уровням критичности:

  • Категория 1 (общедоступные): ФИО, должность, контактная информация
  • Категория 2 (конфиденциальные): паспортные данные, адрес проживания, финансовая информация
  • Категория 3 (специальные): биометрические данные, медицинская информация, данные о судимости

Требования по уровням категорий

Для категории 1:

  • Логический контроль доступа на уровне приложений
  • Журналирование доступа к данным
  • Резервное копирование с хранением копий не менее 30 дней

Для категории 2:

  • Обязательное шифрование при хранении и передаче
  • Двухфакторная аутентификация для доступа
  • DLP-системы для предотвращения утечек
  • Мониторинг доступа в режиме реального времени
  • Псевдонимизация или анонимизация для неоперационного использования

Для категории 3:

  • Усиленное шифрование (минимум AES-256)
  • Хранение ключей в HSM
  • Строгое ролевое разграничение доступа
  • Обязательный аудит всех операций
  • Физическая изоляция серверов или использование выделенных сегментов сети
  • Ежеквартальный пентестинг систем хранения

Организационные меры

Назначение ответственных лиц

Каждая организация обязана назначить:

  • Ответственного за защиту персональных данных — с правом принятия решений по вопросам безопасности
  • Контактное лицо по вопросам персональных данных — для взаимодействия с субъектами и регуляторами
  • Данные о назначенных лицах должны быть опубликованы на сайте организации

Политики и процедуры

Обязательная разработка и утверждение:

  • Политика защиты персональных данных
  • Политика управления доступом
  • Процедура реагирования на инциденты безопасности
  • Процедура удаления персональных данных по запросу
  • Регламент проведения аудитов безопасности
  • Политика резервного копирования и восстановления

Обучение персонала

Регулярное обучение сотрудников:

  • Вводное обучение для всех новых сотрудников
  • Ежегодное обучение по защите персональных данных
  • Специализированные тренинги для администраторов систем
  • Тестирование знаний после обучения
  • Документирование всех обучающих мероприятий

Этапы приведения в соответствие

Этап 1: Инвентаризация (1-2 недели)

  • Выявление всех систем, обрабатывающих персональные данные
  • Определение типов и объемов обрабатываемых данных
  • Документирование процессов обработки
  • Выявление потоков передачи данных

Этап 2: Гэп-анализ (1-2 недели)

  • Сравнение текущего состояния с новыми требованиями
  • Выявление несоответствий и уязвимостей
  • Оценка рисков для каждого несоответствия
  • Приоритизация необходимых изменений

Этап 3: Планирование (1 неделя)

  • Разработка плана мероприятий по устранению несоответствий
  • Оценка бюджета и необходимых ресурсов
  • Определение сроков реализации
  • Назначение ответственных

Этап 4: Реализация (2-3 месяца)

  • Внедрение технических средств защиты
  • Разработка и утверждение документации
  • Обучение персонала
  • Настройка систем мониторинга и аудита

Этап 5: Тестирование и аудит (2-3 недели)

  • Проведение внутреннего аудита
  • Пентестинг систем защиты
  • Устранение выявленных недостатков
  • Подготовка отчетной документации

Рекомендации для бизнеса

Не откладывайте на последний момент

Приведение систем в соответствие требует времени. Начните подготовку заранее, чтобы избежать спешки и ошибок.

Привлекайте профессионалов

Самостоятельная реализация всех требований может быть сложной и рискованной. Профессиональные консультанты помогут избежать ошибок и оптимизировать затраты.

Автоматизируйте процессы

Используйте специализированные решения для управления персональными данными, автоматизации аудита и мониторинга соответствия.

Документируйте всё

Ведите подробную документацию всех процессов, решений и изменений. Это поможет при проверках регулятора.

Заключение

Новые требования по защите персональных данных в 2025 году значительно ужесточают ответственность компаний. Несоблюдение может повлечь существенные штрафы и репутационные риски.

Важно не рассматривать это только как обязательство. Качественная защита персональных данных — это инвестиция в доверие клиентов и конкурентное преимущество на рынке.

Нужна помощь в приведении систем в соответствие?

Команда CYBERITI проведет гэп-анализ вашей инфраструктуры и поможет выполнить все требования законодательства.