Какими бывают инциденты по 152-ФЗ и GDPR и как действовать

Логотип компании
Какими бывают инциденты по 152-ФЗ и GDPR и как действовать
Скорее всего, российские государственные структуры со временем будут перенимать западный опыт. Поэтому целесообразно уже сейчас задуматься об оптимизации внутренних систем, алгоритмов обработки и удаления собранных сведений.

Нарушение безопасности персональных данных — это не только утечки. Несоблюдение требований информационной безопасности может привести к физическому, материальному и нематериальному ущербу для физических лиц. Это может быть ограничение их прав, дискриминация, мошенничество, репутационный вред и другие проблемы.

Правовые аспекты

Персональные данные (ПД) — это любые сведения, на основании которых можно идентифицировать физическое лицо.

В соответствии с российским законодательством, с 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор и ГосСОПКА (ФСБ) о фактах неправомерной или случайной передачи ПД с целью защиты прав и интересов граждан. Такая формулировка не соответствует европейскому генеральному регламенту о защите данных (GDPR), где нарушение безопасности ПД (personal data breach) охватывает уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к ПД. Таким образом, условно теряется 30% инцидентов, которые негативно влияют на конфиденциальность, целостность и доступность ПД.

Европейские регуляторы рассматривают намного больше инцидентов по сравнению с Роскомнадзором, при этом дают подробные рекомендации по уведомлениям, а также техническим и организационным мерам.

Скорее всего, российские государственные структуры со временем будут перенимать западный опыт. Поэтому целесообразно уже сейчас задуматься об оптимизации внутренних систем, алгоритмов обработки и удаления собранных сведений.

Примеры инцидентов

Главной проблемой по-прежнему остается риск утечки ПД. Этот термин не из закона, поэтому предполагает пять инцидентов:

  • Разглашение конфиденциальной информации.

  • Несанкционированный доступ к сведениям.

  • Превышение полномочий сотрудников.

  • Вредоносное программное обеспечение.

  • Компрометация учетных записей.

Согласно ст. 13.11 КоАП РФ, в подобных ситуациях компании могут оштрафовать на сумму до 100 тыс. рублей. Однако в ближайшее время она может увеличиться, поскольку Минцифры разрабатывает законопроект, предусматривающий оборотные штрафы. Дополнительно планируется введение фонда компенсации физическим лицам.

Кроме того, в России наказывается несоблюдение сроков удаления ПД и игнорирование обращений субъектов ПД или требований законодательства. Например, гражданин написал заявление об уничтожении сведений о нем из баз данных юридического лица, но компания этого не сделала. Или организация продолжила использовать собранную информацию о клиентах и подписчиках после достижения целей обработки данных. В этом случае штраф может достигать 100 тыс. рублей при первом нарушении и 300 тыс. руб. при повторном.

К инцидентам можно отнести ситуации, когда сотрудники организации потеряли ключ на зашифрованном USB-носителе, в результате чего данные перестали быть доступны. Или недоступность сервисов в течении продолжительного времени, в том числе в связи с отключением электричества, в результате компьютерной атаки или другими нештатными ситуациями. Но для подобных случаев наказания не предусмотрено.

Схема уведомления об инцидентах с персональными данными

Существует два вида инцидентов с ПД.

Определение первого вытекает из ст. 21 152-ФЗ. Это неправомерная или случайная передача ПД, повлекшая нарушение прав субъектов ПД и требующая поставить в известность Роскомнадзор. В течение 24 часов необходимо уведомить Роскомнадзор об инциденте, а в течение 72 часов — о результатах расследования. Роскомнадзор обменивается информацией с реестром учета инцидентов.

Второй вид предусмотрен ст. 19 152-ФЗ. Он предполагает только неправомерную передачу ПД в результате компьютерной атаки и требующую обязательного уведомления госструктур. В этом случае оператор уведомляет центр ГосСОПКА, который направляет информацию в реестр учета инцидентов.

Проблема в том, что сейчас непонятно, в каких именно случаях нужно уведомлять центр ГосСОПКА. Чтобы это делать, в компании должно быть определенное количество специалистов, имеющих компетенции в области информационной безопасности, а также сертифицированные средства защиты информации, лицензии ФСБ. Кроме того, госструктура может не справиться с объемом поступающей информации от всех компаний в стране. Скорее всего, появится фильтр с параметрами инцидентов, включая типы данных, специфику деятельности организаций и т.д.

Роскомнадзору важны не только выявленные компанией инциденты, но и те, о которых ее сотрудники узнали. То есть дополнительно необходимо мониторить СМИ, Телеграм-каналы и даркнет, чтобы понять, была ли утечка, и успеть уведомить контролирующие органы.

Как сократить риски возникновения инцидентов с персональными данными

Комплекс работ по минимизации ущерба от инцидентов по 152-ФЗ и GDPR включает 10 основных задач:

  • Определение простой методики оценку рисков в отношении субъектов ПД, которая может являться частью DPIA.

  • Определение политики и процедуры реагирования на инциденты, поскольку их часто запрашивают надзорные органы.

  • Создание удобных каналов информирования об инцидентах и укрепление культуры доверия.

  • Обучение сотрудников в рамках работы с персональными данными.

  • Налаживание взаимодействия между всеми отделами компании, так как все они работают с собранными сведениями, но преследуют разные цели.

  • Подготовка типового текста с описанием мер по защите ПД. Он может быть частью общедоступной политики.

  • Документирование всех инцидентов, ведение реестров и записей. Надзорные органы часто запрашивают анализ причин.

  • Представление DPO в качестве точки контакта для всех сторон: субъектов ПД, внутренних специалистов, внешнего надзорного органа.

  • Повышение уровня информационной безопасности. Сюда относится шифрование при передаче ПД, разграничение прав доступа, резервное копирование, антивирусная защита и другое.

  • Изучение рекомендаций и шаблонов государственных регуляторов. Такой есть у Роскомнадзора. Он достаточно простой, имеет формат анкеты. Поскольку уведомлять госорганы необходимо в течение суток, важно располагать информацией о категории субъектов, их количестве, категории и составе ПД, заранее просчитать вред. Остальные сведения добавляются по итогам сбора информации и принятия мер.

Выводы

В связи с изменениями в законодательстве профессия Data Protection Officer становится все более востребованной. Причем специалисты должны не только обеспечивать информационную безопасность в компании, но и взаимодействовать с другими отделами, контролирующими органами, готовить документацию. Уже сейчас следует ознакомиться с актуальными формами Роскомнадзора, структурировать информацию и провести аудит внутренних процессов с целью минимизации ущерба от инцидентов по 152-ФЗ и GDPR.

Читайте также
Для удобства восприятия и передачи информации можно пользоваться схемами и диаграммами, благодаря чему удается красиво и лаконично отразить связность объектов и их свойства. Для создания подобных визуализаций существуют специальные программные приложения, о которых рассказывает IT-World.

Читайте также
Производство, которое смогло пережить 90-е, российский бренд микрофонов, горячо любимый U2, Sting, Iron Maiden, Мэрилином Мэнсоном, Radiohead. IT-World посчастливилось познакомиться с генеральным директором R&D-центра «Октава Дизайн и Маркетинг» Любовью Стальновой и задать ей несколько вопросов.

Опубликовано 09.01.2023

Похожие статьи