Как подготовиться к реформе закона о персональных данных. Часть 2. Утечки

1 сентября в силу вступят самые масштабные с 2011 года поправки в российский закон о персональных данных. Их обсуждают на самых разных уровнях, но никто не говорит, как подготовить к этому бизнес-процессы компаний. Команда экспертов «Б-152» подготовила серию статей:

▪ Трансграничная передача персональных данных: новый порядок

▪ Уведомление об инцидентах и взаимодействие с ГосСОПКА: что нужно знать

▪ Какие изменения несут наибольшие риски, и как их минимизировать

Это вторая статья из серии. Остальные публикуются на нашем подсайте — подпишитесь, чтобы не пропустить.

Что меняется с 1 сентября 2022 года:

1. Операторам персональных данных необходимо передавать данные об утечках в ГосСОПКА (ФСБ)*

2. Операторы персональных данных должны уведомлять об утечках в Роскомнадзор (2 уведомления)

*ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. За ее функционирование отвечает ФСБ России.

В случае утечки схема действий компании выглядит так:

Сервисы, которые позволят взаимодействовать с ГосСОПКА и РКН по вопросу утечек, сейчас формируются.

При этом, если внимательно посмотреть на требования, то Роскомнадзор нужно уведомлять о любых утечках, в том числе на бумажных носителях, а ГосСОПКА — только о компьютерных.

«Утечка персональных данных» — термин не из закона, однако он означает инцидент, повлекший неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, а именно:

1. Ждем методику оценки вреда

Практически точно вред будет зависеть от:

2. Ведем реестр процессов и систем

В случае утечки у вас не будет времени собирать информацию о системе и обо всем остальном, когда вы выявите утечку, поэтому в описании каждого процесса или системы должны быть заранее собраны все данные, указанные выше.

3. Мониторим утечки

РКН не уведомит вас о том, что он или кто-то еще выявил у вас утечку — только по факту направит запрос, если вы не уведомите его в течение 24 часов с момента обнаружения. Именно поэтому вам нужны инструменты выявления утечек внутри и снаружи: мониторинг Darknet, мониторинг СМИ и соцсетей, мониторинг групп в телеграме, SIEM.

4. Расследование

Для расследования инцидентов в течение 72 часов будут необходимы специалисты ИБ внутри компании или аутсорсинг таких услуг (Security Operation Center — SOC).

5. Штрафы

Будут зависеть от того, чьи данные, какие данные и в каком объеме утекли + будут показательные штрафы.

Сейчас штрафы не более 300 тыс. рублей за неправомерную обработку данных, но это очень малые суммы.

6. Data Mapping

Для минимизации последствий утечек нужно сделать data mapping, удалить лишние данные, разнести ПДн по базам и взять на себя риск «обезличивания», чтобы утекшие данные не нанесли сильного вреда субъектам. Все это надо сделать до утечки — в таком случае инцидент нанесет минимальный вред.

Пока еще в законе нет определения вреда, нанесенного утечкой ПДн, но скорее всего такое определение появится и будет зависеть от соответствующих показателей. Это наиболее логичный сценарий для РКН .

7. Для взаимодействия с ГосСОПКА в рамках законодательства о критической информационной инфраструктуре (КИИ) нужно много денег, времени и нервов, и ГосСОПКА просто не справится, если подключить к ней всех операторов. Поэтому, по мнению экспертов Б-152, для операторов ПДн будет очень упрощенная процедура, либо заставят подключаться к ГосСОПКА только определенные категории бизнеса с высоким риском.

А теперь к вопросу о том, как проверить готовность к реагированию на утечки.

В порядке значимости:

1. Ведем реестр процессов обработки персональных данных и ИСПДн.

2. В описании каждого процесса обработки ПДн и ИСПДн в реестре есть следующая информация:

3. Есть сотрудник, отдел или кто-то, кто обладает компетенциями для выявления инцидентов и их расследования или может найти поставщика услуг SOC.

4. Описана процедура уведомления РКН о выявлении утечки и ее расследовании.

5. Описана процедура взаимодействия с ГосСОПКА.

6. Закуплены инструменты или услуги по выявлению утечек в СМИ, социальных сетях, группах в телеграм и Darknet.

7. Есть понимание, как заполнять формы Роскомнадзора об утечках.

8. Есть канал(ы) коммуникации с субъектами ПДн, чтобы сообщить им об утечке и о том, как вы минимизируете риск для них.

9. Есть Data Mapping.

10. Удалены избыточные ПДн.

11. Описана процедура реагирования на утечки, их расследования и минимизации последствий для субъектов данных с точки зрения ИБ и комплаенса.

12. Во все поручения на обработку внесены требования об уведомлении об инциденте в течение времени, не превышающем 12 часов (чтобы оставалось время на уведомление РКН).

Если вы хотите разобраться во всех процессах подробнее — 19 сентября стартует курс «Data Protection Officer» от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса "Data Protection Officer", ведущий эксперт по защите персональных данных.