Как подготовиться к реформе закона о персональных данных. Часть 2. Утечки

1 сентября в силу вступят самые масштабные с 2011 года поправки в российский закон о персональных данных. Их обсуждают на самых разных уровнях, но никто не говорит, как подготовить к этому бизнес-процессы компаний. Команда экспертов «Б-152» подготовила серию статей:

▪ Уведомление об инцидентах и взаимодействие с ГосСОПКА: что нужно знать

▪ Какие изменения несут наибольшие риски, и как их минимизировать

Это вторая статья из серии. Остальные публикуются на нашем подсайте — подпишитесь, чтобы не пропустить.

Уведомление об утечках и взаимодействие с ГосСОПКА

Что меняется с 1 сентября 2022 года:

1. Операторам персональных данных необходимо передавать данные об утечках в ГосСОПКА (ФСБ)*

2. Операторы персональных данных должны уведомлять об утечках в Роскомнадзор (2 уведомления)

*ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. За ее функционирование отвечает ФСБ России.

Схема работы с утечками с 1 сентября 2022. 
Схема работы с утечками с 1 сентября 2022. 

В случае утечки схема действий компании выглядит так:

  1. Компания должна уведомить об этом ГосСОПКА

  2. ГосСОПКА должна в ответ дать информацию о других инцидентах

  3. В течение 24 часов с момента выявления утечки компания должна уведомить РКН.

  4. В течение 72 часов с момента выявления компания должна уведомить о результатах расследования утечки.

Сервисы, которые позволят взаимодействовать с ГосСОПКА и РКН по вопросу утечек, сейчас формируются.

При этом, если внимательно посмотреть на требования, то Роскомнадзор нужно уведомлять о любых утечках, в том числе на бумажных носителях, а ГосСОПКА — только о компьютерных.

Что понимать под утечкой?

«Утечка персональных данных» — термин не из закона, однако он означает инцидент, повлекший неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, а именно:

  • Разглашение конфиденциальной информации

  • Несанкционированный доступ к информации

  • Превышение полномочий сотрудников

  • Вредоносное программное обеспечение

  • Компрометация учетных записей

Итак, нам надо уведомлять РКН об утечках.

Как подготовиться?

1. Ждем методику оценки вреда

Практически точно вред будет зависеть от:

  • категории субъектов (дети, пожилые)

  • количества субъектов, чьи данные обрабатываются,
  • состава и категорий ПДн (утечка чувствительных данных, скорее всего, будет караться жестче),
  • наличии трансграничной передачи (стоит смотреть на аналогию с уровнями риска для проверок бизнеса).

2. Ведем реестр процессов и систем

В случае утечки у вас не будет времени собирать информацию о системе и обо всем остальном, когда вы выявите утечку, поэтому в описании каждого процесса или системы должны быть заранее собраны все данные, указанные выше.

3. Мониторим утечки

РКН не уведомит вас о том, что он или кто-то еще выявил у вас утечку — только по факту направит запрос, если вы не уведомите его в течение 24 часов с момента обнаружения. Именно поэтому вам нужны инструменты выявления утечек внутри и снаружи: мониторинг Darknet, мониторинг СМИ и соцсетей, мониторинг групп в телеграме, SIEM.

4. Расследование

Для расследования инцидентов в течение 72 часов будут необходимы специалисты ИБ внутри компании или аутсорсинг таких услуг (Security Operation Center — SOC).

5. Штрафы

Будут зависеть от того, чьи данные, какие данные и в каком объеме утекли + будут показательные штрафы.

Сейчас штрафы не более 300 тыс. рублей за неправомерную обработку данных, но это очень малые суммы.

6. Data Mapping

Для минимизации последствий утечек нужно сделать data mapping, удалить лишние данные, разнести ПДн по базам и взять на себя риск «обезличивания», чтобы утекшие данные не нанесли сильного вреда субъектам. Все это надо сделать до утечки — в таком случае инцидент нанесет минимальный вред.

Пока еще в законе нет определения вреда, нанесенного утечкой ПДн, но скорее всего такое определение появится и будет зависеть от соответствующих показателей. Это наиболее логичный сценарий для РКН .

7. Для взаимодействия с ГосСОПКА в рамках законодательства о критической информационной инфраструктуре (КИИ) нужно много денег, времени и нервов, и ГосСОПКА просто не справится, если подключить к ней всех операторов. Поэтому, по мнению экспертов Б-152, для операторов ПДн будет очень упрощенная процедура, либо заставят подключаться к ГосСОПКА только определенные категории бизнеса с высоким риском.

А теперь к вопросу о том, как проверить готовность к реагированию на утечки.

Как подготовиться к реформе закона о персональных данных. Часть 2. Утечки

Чек-лист подготовки к требованиям взаимодействия с ГосСОПКА и уведомлениям об инцидентах

В порядке значимости:

1. Ведем реестр процессов обработки персональных данных и ИСПДн.

2. В описании каждого процесса обработки ПДн и ИСПДн в реестре есть следующая информация:

  • категории субъектов

  • количество субъектов, чьи данные обрабатываются

  • состав персональных данных
  • категории персональных данных
  • наличие трансграничной передачи

3. Есть сотрудник, отдел или кто-то, кто обладает компетенциями для выявления инцидентов и их расследования или может найти поставщика услуг SOC.

4. Описана процедура уведомления РКН о выявлении утечки и ее расследовании.

5. Описана процедура взаимодействия с ГосСОПКА.

6. Закуплены инструменты или услуги по выявлению утечек в СМИ, социальных сетях, группах в телеграм и Darknet.

7. Есть понимание, как заполнять формы Роскомнадзора об утечках.

8. Есть канал(ы) коммуникации с субъектами ПДн, чтобы сообщить им об утечке и о том, как вы минимизируете риск для них.

9. Есть Data Mapping.

10. Удалены избыточные ПДн.

11. Описана процедура реагирования на утечки, их расследования и минимизации последствий для субъектов данных с точки зрения ИБ и комплаенса.

12. Во все поручения на обработку внесены требования об уведомлении об инциденте в течение времени, не превышающем 12 часов (чтобы оставалось время на уведомление РКН).

Если вы хотите разобраться во всех процессах подробнее — 19 сентября стартует курс «Data Protection Officer» от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса "Data Protection Officer", ведущий эксперт по защите персональных данных.

99
5 комментариев

Пока с одной стороны ужесточается контроль ПД. Федеральная пробирная палата втихаря, в нарушение требований 152 ФЗ о ПД, "заставляет" ювелирные скупки/комиссионки/ломбарды передавать персональные данные клиентов в систему ГИИС ДМДК.

Система ГИИС ДМДК вводится в эксплуатацию с 01.01.2022 в соответствии с 41-ФЗ "о Драгоценных металлах и камнях".
В законе 41-ФЗ (с учетом его последней редакции), в нарушении требований 152-ФЗ, не указаны цели и перечень персональных данных подлежащих передаче в систему ГИИС ДМДК.
Так что посетители ювелирных скупок/комиссионок/ломбардов будьте готовы к тому что информация о ваших сделках станет доступна ФПП и смежным ведомств (судя по всему именно в интересах этих смежных ведомств такой сбор ПД и производится, самими ФПП эти данные особо не к чему).

ГосСОПКА 😂💪

Типа нужно уведомить ведомство самостоятельно, чтобы получить штраф 300т. Интересно как много людей будут это делать.

РКН опубликовал формы:

▫️Уведомления об осуществлении трансграничной передачи ПДн: https://pd.rkn.gov.ru/cross-border-transmission/form/

▫️Уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных: https://pd.rkn.gov.ru/incidents/form/

Также РКН поделился, что станет с уведомлением об обработке ПДн: https://pd.rkn.gov.ru/operators-registry/notification/

нигде не могу найти, как передавать инфу в НКЦИ и/или ГоСОПКУ? Неужели только тут https://cert.gov.ru/?