Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Какими бывают инциденты по 152-ФЗ и GDPR и как действовать
13.01.2023
По всей видимости, государственные структуры РФ будут перенимать западный опыт, поэтому необходимо заранее подумать об оптимизации внутренних систем, процедуре обработки и удаления собранных ПД.
Когда говорят про нарушение безопасности персональных данных, чаще всего подразумевают именно утечки. Но есть еще физический, материальный и нематериальный ущерб, нанесенный субъекту ПД вследствие несоблюдения требований ИБ: ограничение прав физических лиц, дискриминация, репутационный вред, мошенничество и другие проблемы.
Когда говорят про нарушение безопасности персональных данных, чаще всего подразумевают именно утечки. Но есть еще физический, материальный и нематериальный ущерб, нанесенный субъекту ПД вследствие несоблюдения требований ИБ: ограничение прав физических лиц, дискриминация, репутационный вред, мошенничество и другие проблемы.
09/01/23
Элина Муханова
Эксперт Б-152
Правовые аспекты
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Персональные данные (ПД) — это информация, позволяющая идентифицировать конкретного человека.
В соответствии с поправками к ФЗ № 152, с 1 сентября 2022 года в случае установления факта неправомерной или случайной передачи персональных данных компании обязаны уведомить Роскомнадзор и ГосСОПКА (ФСБ). В европейском генеральном регламенте о защите данных (GDPR) другая формулировка: нарушение безопасности ПД (personal data breach) охватывает ликвидацию, потерю, изменение, несанкционированное раскрытие или доступ к личной информации. Следовательно, в РФ может теряться около 30% инцидентов, нарушающих конфиденциальность и целостность ПД.
Контролирующими органами в Европе рассматриваются больше инцидентов в сравнении с Роскомнадзором, при этом европейские регуляторы дают детальные рекомендации по уведомлениям, техническим и организационным мерам.
По всей видимости, государственные структуры РФ будут перенимать западный опыт, поэтому необходимо заранее подумать об оптимизации внутренних систем, процедуре обработки и удаления собранных ПД.
В соответствии с поправками к ФЗ № 152, с 1 сентября 2022 года в случае установления факта неправомерной или случайной передачи персональных данных компании обязаны уведомить Роскомнадзор и ГосСОПКА (ФСБ). В европейском генеральном регламенте о защите данных (GDPR) другая формулировка: нарушение безопасности ПД (personal data breach) охватывает ликвидацию, потерю, изменение, несанкционированное раскрытие или доступ к личной информации. Следовательно, в РФ может теряться около 30% инцидентов, нарушающих конфиденциальность и целостность ПД.
Контролирующими органами в Европе рассматриваются больше инцидентов в сравнении с Роскомнадзором, при этом европейские регуляторы дают детальные рекомендации по уведомлениям, техническим и организационным мерам.
По всей видимости, государственные структуры РФ будут перенимать западный опыт, поэтому необходимо заранее подумать об оптимизации внутренних систем, процедуре обработки и удаления собранных ПД.
Примеры инцидентов информационной безопасности
Основной причиной нарушения безопасности персональных данных является утечка информации. Такого термина нет в законе, поэтому предлагаются следующие примеры инцидентов информационной безопасности:
В таких случаях организации могут получить штраф на сумму до 100 тысяч рублей согласно ст. 13.11 КоАП РФ. Минцифры Р Ф в скором времени подготовит законопроект о введении оборотных штрафов за утечку персональных данных пользователей, и тогда сумма может увеличиться. Также планируется создание фонда материальных компенсаций пострадавшим от утечки данных.
Помимо этого, в России предусмотрены штрафы за несоблюдение сроков ликвидирования ПД и игнорирования обращений субъектов ПД или требований законодательства. К примеру, гражданин обратился в организацию с требованием прекратить обрабатывать его персональные данные, но его заявление проигнорировали. Или компания продолжила использовать ПД после достижения целей их обработки. В данном случае предусмотрен штраф до 100 тыс. рублей, при повторном нарушении правил — до 300 тыс. рублей.
Другие типы инцидентов ― потеря ключа на зашифрованном USB-носителе, после чего данные оказались недоступными. Или отсутствие доступа к сервисам в течение длительного промежутка времени, в том числе из-за перебоев с электроснабжением, атаки хакеров или других непредвиденных обстоятельств. Но для таких случаев наказания не предусмотрено.
- Несанкционированный доступ к личной информации.
- Использование вредоносного программного обеспечения.
- Превышение полномочий работников компании.
- Разглашение конфиденциальных сведений.
- Компрометация учетных данных.
В таких случаях организации могут получить штраф на сумму до 100 тысяч рублей согласно ст. 13.11 КоАП РФ. Минцифры Р Ф в скором времени подготовит законопроект о введении оборотных штрафов за утечку персональных данных пользователей, и тогда сумма может увеличиться. Также планируется создание фонда материальных компенсаций пострадавшим от утечки данных.
Помимо этого, в России предусмотрены штрафы за несоблюдение сроков ликвидирования ПД и игнорирования обращений субъектов ПД или требований законодательства. К примеру, гражданин обратился в организацию с требованием прекратить обрабатывать его персональные данные, но его заявление проигнорировали. Или компания продолжила использовать ПД после достижения целей их обработки. В данном случае предусмотрен штраф до 100 тыс. рублей, при повторном нарушении правил — до 300 тыс. рублей.
Другие типы инцидентов ― потеря ключа на зашифрованном USB-носителе, после чего данные оказались недоступными. Или отсутствие доступа к сервисам в течение длительного промежутка времени, в том числе из-за перебоев с электроснабжением, атаки хакеров или других непредвиденных обстоятельств. Но для таких случаев наказания не предусмотрено.
Схема уведомления об инцидентах с персональными данными
Существуют следующие типы инцидентов с ПД.
Первый — это неправомерная или случайная передача ПД, которая приводит к нарушению прав субъектов ПД и требует уведомить Роскомнадзор. Это определение вытекает из ст. 21 152-ФЗ. Оператор обязан в течение 24 часов поставить в известность Роскомнадзор о произошедшем инциденте, в течение 72 часов — о результатах внутреннего расследования выявленного инцидента. Роскомнадзор обменивается сведениями с реестром учета инцидентов.
Второй вид согласно ст. 19 152-ФЗ предполагает только незаконную передачу личных данных вследствие кибератаки и требующую непременного уведомления госструктур. В таком случае организация должна сообщить о происшествии в центр ГосСОПКА, который в свою очередь направляет информацию в реестр учета инцидентов.
На данный момент, не совсем понятно, когда нужно уведомлять центр ГосСОПКА, и это является проблемой. Чтобы обратиться в госструктуру, организация должна иметь определенное количество сотрудников, обладающих знаниями и опытом в области ИБ, а также сертифицированные средства защиты информации, лицензии ФСБ. Помимо этого, слишком большой объем информации, поступающей в государственные структуры со всей страны, может привести к повышенной нагрузке. Вероятно, появится фильтр с параметрами инцидентов, где можно будет выбирать специфику деятельности компании, типы данных и др.
Важно сообщать Роскомнадзору не только те типы инцидентов, которые выявила компания, но и те, о которых сотрудники узнали через средства массовой информации, телеграм-каналы, даркнет и т. д.
Первый — это неправомерная или случайная передача ПД, которая приводит к нарушению прав субъектов ПД и требует уведомить Роскомнадзор. Это определение вытекает из ст. 21 152-ФЗ. Оператор обязан в течение 24 часов поставить в известность Роскомнадзор о произошедшем инциденте, в течение 72 часов — о результатах внутреннего расследования выявленного инцидента. Роскомнадзор обменивается сведениями с реестром учета инцидентов.
Второй вид согласно ст. 19 152-ФЗ предполагает только незаконную передачу личных данных вследствие кибератаки и требующую непременного уведомления госструктур. В таком случае организация должна сообщить о происшествии в центр ГосСОПКА, который в свою очередь направляет информацию в реестр учета инцидентов.
На данный момент, не совсем понятно, когда нужно уведомлять центр ГосСОПКА, и это является проблемой. Чтобы обратиться в госструктуру, организация должна иметь определенное количество сотрудников, обладающих знаниями и опытом в области ИБ, а также сертифицированные средства защиты информации, лицензии ФСБ. Помимо этого, слишком большой объем информации, поступающей в государственные структуры со всей страны, может привести к повышенной нагрузке. Вероятно, появится фильтр с параметрами инцидентов, где можно будет выбирать специфику деятельности компании, типы данных и др.
Важно сообщать Роскомнадзору не только те типы инцидентов, которые выявила компания, но и те, о которых сотрудники узнали через средства массовой информации, телеграм-каналы, даркнет и т. д.
Как сократить риски возникновения инцидентов с персональными данными
10 основных задач для минимизации ущерба от инцидентов по 152-ФЗ и GDPR:
• Определение простой методики оценки рисков в отношении владельцев персональных данных, которая может быть частью DPIA.
• Определение политики и алгоритмов реагирования на инциденты, так как их часто запрашивают контролирующие органы.
• Создание эффективных информационных каналов для осведомления об инцидентах, поддержание культуры доверия.
• Разработка и планирование мероприятий по обучению персонала работе с ПД.
• Создание стандартного документа, содержащего описание мер по обеспечению безопасности ПД. Он может являться частью политики конфиденциальности.
• Улучшение взаимодействия между разными отделами организации, так как они вместе работают с собранной информацией, но цели их отличаются.
• Ведение документации всех инцидентов, реестров и записей. Контролирующие органы часто запрашивают анализ причин.
• Организовать связь DPO и остальных сторон: субъектов персональных данных, специалистов компании, надзорного органа.
• Совершенствование мер по обеспечению информационной безопасности: антивирусы, резервное копирование, контроль доступа к данным сотрудников оператора, использование шифрования при передаче персональных данных и др.
• Изучение актуальных рекомендаций и шаблонов контролирующих органов. Такой шаблон представлен в виде анкеты у Роскомнадзора. Так как необходимо оперативно сообщать в госорганы об инциденте, важно располагать сведениями о категории субъектов, их количестве, категории и составе ПД, предполагать возможный ущерб. Оставшуюся информацию можно добавить по итогам расследования и принятия мер.
• Определение политики и алгоритмов реагирования на инциденты, так как их часто запрашивают контролирующие органы.
• Создание эффективных информационных каналов для осведомления об инцидентах, поддержание культуры доверия.
• Разработка и планирование мероприятий по обучению персонала работе с ПД.
• Создание стандартного документа, содержащего описание мер по обеспечению безопасности ПД. Он может являться частью политики конфиденциальности.
• Улучшение взаимодействия между разными отделами организации, так как они вместе работают с собранной информацией, но цели их отличаются.
• Ведение документации всех инцидентов, реестров и записей. Контролирующие органы часто запрашивают анализ причин.
• Организовать связь DPO и остальных сторон: субъектов персональных данных, специалистов компании, надзорного органа.
• Совершенствование мер по обеспечению информационной безопасности: антивирусы, резервное копирование, контроль доступа к данным сотрудников оператора, использование шифрования при передаче персональных данных и др.
• Изучение актуальных рекомендаций и шаблонов контролирующих органов. Такой шаблон представлен в виде анкеты у Роскомнадзора. Так как необходимо оперативно сообщать в госорганы об инциденте, важно располагать сведениями о категории субъектов, их количестве, категории и составе ПД, предполагать возможный ущерб. Оставшуюся информацию можно добавить по итогам расследования и принятия мер.
Выводы
Профессия Data Protection Officer набирает популярность в связи с ужесточением законодательства. Специалисты по защите персональных данных должны не только обеспечивать информационную безопасность, но и коммуницировать с другими отделами, госструктурами, готовить документацию. Необходимо уже сейчас ознакомиться с актуальными рекомендациями и формами Роскомнадзора, провести внутренний аудит компании и наладить процессы, чтобы ущерб от инцидентов по 152-ФЗ и GDPR был минимальным.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Материалы по теме