20 февраля 2023 г. официально опубликован приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» [1]. Документ вступит в силу с 1 марта 2023 г. Рассмотрим суть этого документа и составим краткий чек-лист для операторов персональных данных в случае выявления инцидента.
Автор: Татьяна Никонорова, ведущий консультант по ИБ компании Innostage
Изменения в 152-ФЗ «О персональных данных», принятые в июле 2022 г., обязали операторов ПДн обеспечивать взаимодействие с ГосСОПКА, включая информирование федерального органа исполнительной власти, уполномоченным в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Согласно ч. 12 ст. 19 152-ФЗ порядок взаимодействия и информирования должен быть установлен определенным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, то есть Федеральной службой безопасности Российской Федерации. Информирование ФСБ РФ осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Поскольку роль оператора ПДн сегодня касается каждого - от ИП до холдингов, – принятие поправок в 152-ФЗ вызвало ряд вопросов:
Вопросов было больше, чем ответов, все замерли в ожидании позиции регулятора. В соответствии с новыми частями 10 и 11 ст. 23 ФЗ-152 можно было ожидать участия в этом процессе ФСБ РФ и Роскомнадзора.
Концепция взаимодействия с ГосСОПКА и информирования ФСБ России операторами о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, обсуждались еще с момента вступления изменений в федеральный закон как на крупных конференциях по безопасности, так и внутри профильных чатов.
В рамках SOC-форум 2022 [2] представитель НКЦКИ Андрей Раевский подтвердил, что документ находится в разработке ведомства и предполагается два варианта взаимодействия:
Если говорить о порядке и условиях взаимодействия с операторами в рамках ведения реестра учета инцидентов в области ПДн, то 28 декабря 2022 г. был опубликован приказ Роскомнадзора от 14.11.2022 № 187 [3] «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных» (вступает в силу с 01.03.2023).
30 декабря 2022 г. был опубликован проект документа по взаимодействию с ГосСОПКА и информированию НКЦКИ для обсуждения на Федеральном портале проектов нормативных правовых актов [4].
Фактически, в проекте детализированы ранее представленные варианты взаимодействия. Итоговая версия документа после обсуждений не получила глобальных изменений.
Операторы ПДн обязаны информировать ФСБ России через НКЦКИ и направлять информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных одним из вариантов, представленных на рис. 1.
Рис. 1. Порядок уведомления об инцидентах с персональными данными
Поскольку в случае инцидента нужно действовать быстро, приводим краткий чек-лист, которым можно воспользоваться в случае необходимости. Вот что нужно делать, если выявлен компьютерный инцидент, повлекший неправомерную передачу персональных данных.