20 февраля 2023 г. официально опубликован приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» [1]. Документ вступит в силу с 1 марта 2023 г. Рассмотрим суть этого документа и составим краткий чек-лист для операторов персональных данных в случае выявления инцидента.

Автор: Татьяна Никонорова, ведущий консультант по ИБ компании Innostage

Зачем нужен отдельный порядок взаимодействия операторов ПДн с ГосСОПКА?

Изменения в 152-ФЗ «О персональных данных», принятые в июле 2022 г., обязали операторов ПДн обеспечивать взаимодействие с ГосСОПКА, включая информирование федерального органа исполнительной власти, уполномоченным в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Согласно ч. 12 ст. 19 152-ФЗ порядок взаимодействия и информирования должен быть установлен определенным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, то есть Федеральной службой безопасности Российской Федерации. Информирование ФСБ РФ осуществляется через Национальный координационный центр ‎по компьютерным инцидентам (НКЦКИ).

Опасения операторов ПДн

Поскольку роль оператора ПДн сегодня касается каждого - от ИП до холдингов, – принятие поправок в 152-ФЗ вызвало ряд вопросов:

• Всем ли нужно присоединяться к ГосСОПКА?
• Что представляет собой ГосСОПКА, и как к ней подключиться?
• Откуда малому и среднему бизнесу взять средства для подключения?
• Смогут ли НКЦКИ и ГосСОПКА обработать подключение огромного количества операторов ПДн?

Вопросов было больше, чем ответов, все замерли в ожидании позиции регулятора. В соответствии с новыми частями 10 и 11 ст. 23 ФЗ-152 можно было ожидать участия в этом процессе ФСБ РФ и Роскомнадзора.

Как планировалось взаимодействие

Концепция взаимодействия с ГосСОПКА и информирования ФСБ России операторами о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, обсуждались еще с момента вступления изменений в федеральный закон как на крупных конференциях по безопасности, так и внутри профильных чатов.

В рамках SOC-форум 2022 [2] представитель НКЦКИ Андрей Раевский подтвердил, что документ находится в разработке ведомства и предполагается два варианта взаимодействия:

1. Первый вариант аналогичен существующему порядку взаимодействия субъектов КИИ с ГосСОПКА, чего и опасались операторы ПДн.
2. Во втором случае информирование предполагается осуществлять через сайт Роскомнадзора, то есть без заключения соглашения о взаимодействии с НКЦКИ и подключения к ГосСОПКА.

Если говорить о порядке и условиях взаимодействия с операторами в рамках ведения реестра учета инцидентов в области ПДн, то 28 декабря 2022 г. был опубликован приказ Роскомнадзора от 14.11.2022 № 187 [3] «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных» (вступает в силу с 01.03.2023).

Проект документа и его финальная редакция

30 декабря 2022 г. был опубликован проект документа по взаимодействию с ГосСОПКА и информированию НКЦКИ для обсуждения на Федеральном портале проектов нормативных правовых актов [4].

Фактически, в проекте детализированы ранее представленные варианты взаимодействия. Итоговая версия документа после обсуждений не получила глобальных изменений.

Операторы ПДн обязаны информировать ФСБ России через НКЦКИ и направлять информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных одним из вариантов, представленных на рис. 1.

Рис. 1. Порядок уведомления об инцидентах с персональными данными

Что делать операторам: чек-лист

Поскольку в случае инцидента нужно действовать  быстро, приводим краткий чек-лист, которым можно воспользоваться в случае необходимости. Вот что нужно делать, если выявлен компьютерный инцидент, повлекший неправомерную передачу персональных данных.

Вариант 1. Вы — субъект КИИ. Вы подключились к ГосСОПКА и подписали соглашение о сотрудничестве с НКЦКИ

1. В течение 24 часов с момента обнаружения направьте информацию об инциденте в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием каналов информационного взаимодействия.
2. Получите от НКЦКИ подтверждение передачи информации и присвоение компьютерному инциденту идентификатора в течение 24 часов с момента их присвоения (по тем же каналам, по которым вы направили информацию).
3. Вы вправе обратиться в НКЦКИ для оказания содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА с использованием каналов информационного взаимодействия.
4. В случае необходимости проверки сведений о компьютерном инциденте, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, НКЦКИ направьте запрос о проведении такой проверки.
5. Проинформируйте НКЦКИ о результатах проверки ‎в течение 24 часов с момента получения указанных запросов.

Вариант 2. У вас не организовано взаимодействие с НКЦКИ, и вы не подключены к ГосСОПКА

1. В течение 24 часов с момента обнаружения направьте информацию об инциденте путем заполнения уведомления о факте неправомерной передачи (предоставления, распространения, доступа) персональных данных на официальном сайте Роскомнадзора
2. Получите в течение 24 часов от НКЦКИ подтверждение передачи информации и присвоение компьютерному инциденту идентификатора.
3. В течение 72 часов проведите внутреннее расследование инцидента и заполните уведомление о результатах внутреннего расследования на официальном сайте Роскомнадзора.
4. Вы вправе обратиться в НКЦКИ для оказания содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА через контакты НКЦКИ, указанные на официальном сайте.
5. В случае необходимости проверки НКЦКИ направьте запрос о проведении такой проверки с использованием электронной связи на адреса (телефонные номера) физических или юридических лиц, ответственных за организацию обработки персональных данных, сведения о которых внесены в реестр операторов. Поэтому важно поддерживать в актуальности сведения об ответственных и вовремя вносить изменения в Уведомление об обработке ПДн.
6. Проинформируйте НКЦКИ о результатах проверки в течение 24 часов с момента получения запроса.

1. http://publication.pravo.gov.ru/Document/View/0001202302200021
2. https://ib-bank.ru/soc-forum/partners
3. http://publication.pravo.gov.ru/Document/View/0001202212280052
4. https://regulation.gov.ru/projects