Контакты
Подписка 2024

Чек-лист взаимодействия операторов персональных данных с ГосСОПКА

Татьяна Никонорова, 22/02/23

20 февраля 2023 г. официально опубликован приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» [1]. Документ вступит в силу с 1 марта 2023 г. Рассмотрим суть этого документа и составим краткий чек-лист для операторов персональных данных в случае выявления инцидента.

Автор: Татьяна Никонорова, ведущий консультант по ИБ компании Innostage

Зачем нужен отдельный порядок взаимодействия операторов ПДн с ГосСОПКА?

Изменения в 152-ФЗ «О персональных данных», принятые в июле 2022 г., обязали операторов ПДн обеспечивать взаимодействие с ГосСОПКА, включая информирование федерального органа исполнительной власти, уполномоченным в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Согласно ч. 12 ст. 19 152-ФЗ порядок взаимодействия и информирования должен быть установлен определенным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, то есть Федеральной службой безопасности Российской Федерации. Информирование ФСБ РФ осуществляется через Национальный координационный центр ‎по компьютерным инцидентам (НКЦКИ).

Опасения операторов ПДн

Поскольку роль оператора ПДн сегодня касается каждого - от ИП до холдингов, – принятие поправок в 152-ФЗ вызвало ряд вопросов:

  • Всем ли нужно присоединяться к ГосСОПКА?
  • Что представляет собой ГосСОПКА, и как к ней подключиться?
  • Откуда малому и среднему бизнесу взять средства для подключения?
  • Смогут ли НКЦКИ и ГосСОПКА обработать подключение огромного количества операторов ПДн?

Вопросов было больше, чем ответов, все замерли в ожидании позиции регулятора. В соответствии с новыми частями 10 и 11 ст. 23 ФЗ-152 можно было ожидать участия в этом процессе ФСБ РФ и Роскомнадзора.

Как планировалось взаимодействие

Концепция взаимодействия с ГосСОПКА и информирования ФСБ России операторами о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, обсуждались еще с момента вступления изменений в федеральный закон как на крупных конференциях по безопасности, так и внутри профильных чатов.

В рамках SOC-форум 2022 [2] представитель НКЦКИ Андрей Раевский подтвердил, что документ находится в разработке ведомства и предполагается два варианта взаимодействия:

  1. Первый вариант аналогичен существующему порядку взаимодействия субъектов КИИ с ГосСОПКА, чего и опасались операторы ПДн.
  2. Во втором случае информирование предполагается осуществлять через сайт Роскомнадзора, то есть без заключения соглашения о взаимодействии с НКЦКИ и подключения к ГосСОПКА.

Если говорить о порядке и условиях взаимодействия с операторами в рамках ведения реестра учета инцидентов в области ПДн, то 28 декабря 2022 г. был опубликован приказ Роскомнадзора от 14.11.2022 № 187 [3] «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных» (вступает в силу с 01.03.2023).

Проект документа и его финальная редакция

30 декабря 2022 г. был опубликован проект документа по взаимодействию с ГосСОПКА и информированию НКЦКИ для обсуждения на Федеральном портале проектов нормативных правовых актов [4].

Фактически, в проекте детализированы ранее представленные варианты взаимодействия. Итоговая версия документа после обсуждений не получила глобальных изменений.

Операторы ПДн обязаны информировать ФСБ России через НКЦКИ и направлять информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных одним из вариантов, представленных на рис. 1.


Рис. 1. Порядок уведомления об инцидентах с персональными данными

Что делать операторам: чек-лист

Поскольку в случае инцидента нужно действовать  быстро, приводим краткий чек-лист, которым можно воспользоваться в случае необходимости. Вот что нужно делать, если выявлен компьютерный инцидент, повлекший неправомерную передачу персональных данных.

Вариант 1. Вы — субъект КИИ. Вы подключились к ГосСОПКА и подписали соглашение о сотрудничестве с НКЦКИ

  1. В течение 24 часов с момента обнаружения направьте информацию об инциденте в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием каналов информационного взаимодействия.
  2. Получите от НКЦКИ подтверждение передачи информации и присвоение компьютерному инциденту идентификатора в течение 24 часов с момента их присвоения (по тем же каналам, по которым вы направили информацию).
  3. Вы вправе обратиться в НКЦКИ для оказания содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА с использованием каналов информационного взаимодействия.
  4. В случае необходимости проверки сведений о компьютерном инциденте, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, НКЦКИ направьте запрос о проведении такой проверки.
  5. Проинформируйте НКЦКИ о результатах проверки ‎в течение 24 часов с момента получения указанных запросов.

Вариант 2. У вас не организовано взаимодействие с НКЦКИ, и вы не подключены к ГосСОПКА

  1. В течение 24 часов с момента обнаружения направьте информацию об инциденте путем заполнения уведомления о факте неправомерной передачи (предоставления, распространения, доступа) персональных данных на официальном сайте Роскомнадзора
  2. Получите в течение 24 часов от НКЦКИ подтверждение передачи информации и присвоение компьютерному инциденту идентификатора.
  3. В течение 72 часов проведите внутреннее расследование инцидента и заполните уведомление о результатах внутреннего расследования на официальном сайте Роскомнадзора.
  4. Вы вправе обратиться в НКЦКИ для оказания содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА через контакты НКЦКИ, указанные на официальном сайте.
  5. В случае необходимости проверки НКЦКИ направьте запрос о проведении такой проверки с использованием электронной связи на адреса (телефонные номера) физических или юридических лиц, ответственных за организацию обработки персональных данных, сведения о которых внесены в реестр операторов. Поэтому важно поддерживать в актуальности сведения об ответственных и вовремя вносить изменения в Уведомление об обработке ПДн.
  6. Проинформируйте НКЦКИ о результатах проверки в течение 24 часов с момента получения запроса.


  1. http://publication.pravo.gov.ru/Document/View/0001202302200021
  2. https://ib-bank.ru/soc-forum/partners
  3. http://publication.pravo.gov.ru/Document/View/0001202212280052
  4. https://regulation.gov.ru/projects 
Темы:РоскомнадзорПерсональные данныеФСБГосСОПКАКИИНКЦКИ

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать