ФСБ упростит процедуру информирования об утечках персональных данных

ФСБ работает над проектом приказа, по которому у операторов персональных данных (ПД) появится выбор, как именно уведомлять регулятора о произошедшем взломе или утечке информации. Об этом 15 ноября на SOC-форуме (форум Security Operation Center посвящен мониторингу информационной безопасности, его организаторы – ФСБ и ФСТЭК) заявил представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) при ФСБ Андрей Раевский.

Новый документ разрабатывается в соответствии с изменениями в законе «О персональных данных», которые вступили в силу 1 сентября 2022 г., уточнил Раевский. В соответствии с ними все операторы ПД должны сообщать о компьютерных инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Раньше взаимодействовать с ГосСОПКА должны были только субъекты критической информационной инфраструктуры (КИИ), т. е. банки, операторы связи, компании ТЭК и т. д.

Проект приказа, в котором прописан порядок взаимодействия операторов с Роскомнадзором (РКН), был опубликован на портале проектов нормативных правовых актов в середине октября. В РКН оператор должен направить два документа: первичное уведомление об инциденте в течение 24 часов и дополнительное уведомление с результатами внутреннего расследования в течение 72 часов.

Теперь аналогичный документ разрабатывает ФСБ. Отдельные приказы со стороны РКН и ФСБ нужны для того, чтобы на законодательном уровне установить способы передачи информации, ее состав, сроки и проч., объяснил руководитель направления «ГосСОПКА» «Ростелеком-Солара» Павел Гончаров. «В законе прописано обязательство передавать данные, а подзаконные акты регламентируют порядок передачи», – сказал он.

По словам Раевского, сейчас рассматривается вариант, при котором у операторов ПД появится альтернатива. Первый вариант подразумевает, что операторы будут заключать соглашение с ФСБ или НКЦКИ, в котором будет прописан способ и формат передачи информации. Подтверждением того, что НКЦКИ получил информацию об инциденте, станет идентификатор, который будет присваиваться НКЦКИ и направляться оператору по тем же каналам взаимодействия, которые прописаны в соглашении, объяснил Раевский.

Второй способ подразумевает, что у оператора нет соглашения с ФСБ или НКЦКИ и он будет сообщать об утечке через форму на сайте РКН, а информация из РКН будет поступать в НКЦКИ, сказал Раевский. «Аналогично и мы будем информировать РКН об информации, поступившей в наш адрес в рамках соглашений», – добавил он. Но, по словам Раевского, у НКЦКИ останется право направлять запросы операторам, в случае если у центра появятся связанные с инцидентом вопросы.

В НКЦКИ на запрос «Ведомостей» не ответили. Представитель РКН сказал, что пока указанный проект приказа в ведомство не поступал. «Роскомнадзор готов обеспечить получение информации об инцидентах от операторов персональных данных и передачу необходимой информации в ФСБ», – уточнил он. «Ведомости» направили запрос в ФСБ.

Если проект приказа ФСБ будет принят в таком виде, операторам ПД можно будет сообщать об утечках либо в НКЦКИ при наличии у них ранее заключенного соглашения о взаимодействии, например, в рамках законодательства о критической инфраструктуре, либо такое уведомление будет направляться через Роскомнадзор, разъясняет перспективу бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий. «Это один из вариантов, которые обсуждаются, финально это не определено», — отмечает он.

До настоящего времени соглашения о взаимодействии с ФСБ были у субъектов КИИ и коммерческих центров ГосСОПКА, которые оказывали услуги по мониторингу и отправке уведомлений заказчиков в НКЦКИ, объясняет Гончаров. Это, например, «Ростелеком-Солар», BI.Zone или «Код безопасности». После принятия приказа по этой схеме смогут работать и операторы ПД, продолжил эксперт. Аналогичная процедура, по его словам, уже существует для банков, которые передают информацию об инцидентах в ФинЦЕРТ, а ФинЦЕРТ, в свою очередь, в НКЦКИ.

По словам заместителя директора Российской ассоциации электронных коммуникаций (РАЭК) Сергея Гребенникова, организация поддерживает инициативу предоставить операторам ПД выбор способа передачи данных об утечках. Такая схема работы не требует от бизнеса отдельных сотрудников, специального оборудования или ПО для передачи информации в НКЦКИ, объяснил он. В мае РАЭК выступала против принятия поправок к закону «О персональных данных», опасаясь, что подключение к ГосСОПКА станет обязательным, писал «Коммерсантъ».

В России с начала 2022 г. произошло более 40 крупных утечек баз ПД, заявлял в августе замглавы РКН Милош Вагнер. В частности, в сеть попали данные пользователей «Яндекс.Еды», СДЭК, «Гемотеста», «Туту.ру» и других компаний. Вагнер говорил, что поправки в закон нужны для решения этой проблемы и обеспечения гарантии сохранности данных россиян.

С весны Минцифры обсуждает и новый закон об оборотных штрафах за утечки. Сейчас КоАП предусматривает штрафы за утечку данных только для юрлиц – от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. В итоге министерство согласовало законопроект, предполагающий штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в РКН. А в начале октября стало известно, что Минцифры доработало законопроект. В новой версии предусмотрены штрафы не только для компаний, но и для их должностных лиц. Для руководителей компании, допустившей утечку данных от 10 000 до 100 000 субъектов, штраф составит 200 000–400 000 руб. Для ИП и юрлиц штраф за такое же происшествие составит 0,02% от оборота, но не менее 1 млн руб.