👋 Взаимодействие с Роскомнадзором при инцидентах ПДн

Друзья, ежедневно нам приходят десятки вопросов о том, как сообщить в РКН об утечке ПДн. Размещаем подробную инструкцию в серии постов.

🔍 При возникновении инцидентов, связанных с конфиденциальностью, в частности, при утечке данных и попадании в открытый доступ или к третьим лицам, с с 01.03.2023 вступил в силу Приказ Роскомнадзора от 14.11.2022 № 187.

Ведомство необходимо уведомлять (ч. 3.1 ст. 21 Закона № 152-ФЗ):
✔️ в течение 24 часов – о произошедшем инциденте (первичное уведомление);
✔️ в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).

1️⃣ В первичном уведомлении указываются сведения:
🔵 о произошедшем инциденте - дата и время выявления, характеристики ПДн, которые стали доступны третьим лицам, количество записей в скомпрометированной базе данных;

*дополнительно можно сообщить об актуальности базы данных, а также о периоде, в течение которого были собраны персональные данные;

🔵 о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;

🔵 о предполагаемом вреде, нанесенном правам субъектов ПДн;

🔵 о принятых мерах по устранению последствий инцидента;

🔵 о лице, уполномоченном оператором ПДн на взаимодействие с РКН;

🔵 иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).

❗️ В уведомлении приводятся данные направившего его оператора:
🟡 ФИО гражданина или ИП;
🟡 полное и сокращенное наименование организации;
🟡 ИНН организации, ИП или физлица;
🟡 адрес регистрации по месту жительства (пребывания) физлица или ИП;
🟡 адрес организации в пределах его местанахождения;
🟡 адрес электронной почты для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).

🔽 Далее расскажем всё о дополнительном (в течение 72 часов) уведомлении.

📍 Получив первичное уведомление, РКН направляет на указанный адрес электронной почты письмо с датой и временем передачи уведомления, а также его ключ и номер.

Номер и ключ первичного уведомления нужно указать при подаче дополнительного уведомления.

2️⃣ В дополнительном уведомлении указываются сведения:

🔴 о результатах внутреннего расследования выявленного инцидента (о причинах и нанесенном вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), о решении оператора о проведении внутреннего расследования с указанием его реквизитов);

🔴 о лицах, действия которых стали причиной инцидента (ФИО. физлица или ИП, наименование юрлица, IP-адрес компьютера или устройства и их предполагаемое местонахождение, иные сведения).

📱 Уведомления можно направить на бумажном носителе или в форме электронного документа:
🟢 на бумаге направляется по адресу места нахождения РКН;
🟢 в электронном виде направляется путем заполнения формы на портале ПДн РКН (после прохождения идентификации и аутентификации через ЕСИА) и подписывается электронной подписью.

⚖️ Ответственность за утечку ПДн (обработку без согласия субъектов) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:

- на граждан – от 6 000 до 10 000 рублей;
- на должностных лиц и ИП – от 20 000 до 40 000 рублей;
- на организации – от 30 000 до 150 000 рублей.

Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):
- на граждан – от 10 000 до 20 000 рублей;
- на должностных лиц – от 40 000 до 100 000 рублей;
- на предпринимателей – от 100 000 до 300 000 рублей;
- на организации – от 300 000 до 500 000 рублей.

📃 5 "ЕСЛИ" Роскомнадзора

1️⃣ Если в уведомлении РКН обнаружит неполные или некорректные сведения, то в течение 3 рабочих дней направит по адресу электронной почты запрос о предоставлении недостающих сведений или пояснений. Предоставить их нужно в течение 3 рабочих дней после получения запроса.

2️⃣ Если оператор не предоставил дополнительное уведомление в установленные сроки, РКН вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ нужно предоставить в течение 1 рабочего дня после получения.

3️⃣ Если РКН самостоятельно выявит факт утечки базы ПДн, содержание которой указывает на принадлежность к конкретному оператору, ему направляется требование о предоставлении первичного или дополнительного уведомления. Предоставить их нужно в обычные сроки - 24 и 72 часа.

4️⃣ Если оператор, получив требование РКН, выяснит, что скомпрометированная база ПДн ему не принадлежит, то направляет дополнительное уведомление, к которому прикладывает акт о внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения ПДн.

5️⃣ Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в РКН, то направляет уведомление с датой и номером ранее направленного.

🧪 Перечень типовых ОКИИ в области химической промышленности

Минпромторг представил Перечень типовых объектов критической информационной инфраструктуры Российской Федерации, функционирующих в области химической промышленности.

🩺 Перечень типовых ОКИИ в здравоохранении

В чате «КИИ 187-ФЗ» засветился Перечень типовых объектов критической информационной инфраструктуры Российской Федерации, функционирующих в сфере здравоохранения.

🔊 Инструкция по выполнению 187-ФЗ организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности

Для сведения: на сайте Минпромторга можно ознакомиться с Инструкцией по выполнению требований
законодательства Российской Федерации о защите критической информационной инфраструктуры организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности.

💡👁 Privacy Advocates подготовили для вас чек-лист из 98 основных контролей обработки и защиты персональных данных в организации, структурированный в следующие разделы:
⚖️ 1 Целенаправленность и пропорциональность обработки ПД
📒 2 Основания обработки ПД
📑 3 Передача ПД и соглашения с третьими лицами
💽 4 Сбор, использование, хранение и уничтожение ПД
📢 5 Коммуникация и взаимодействие с субъектами ПД
📨 6 Коммуникация и взаимодействие с уполномоченными органами
🪧 7 Осведомленность и обучение персонала, допущенного к ПД
🔦 8 Контроль и реагирование на нарушения/инциденты с ПД
🔒 9 Конфиденциальность и безопасность обработки ПД
🚧 10 Роли, процедуры и учет в области ПД

​​🔔 ТБ-Форум 2024 | Конференция «Актуальные вопросы защиты информации»

ФСТЭК России призывает посетить XIV конференцию «Актуальные вопросы защиты информации», запланированную к проведению 14.02.2024 в рамках XXIX Международного форума «Технологии и безопасность».
Для участия в Конференции необходимо оформить бесплатную регистрацию на сайте мероприятия.

Источник: информационное сообщение ФСТЭК России от 23.01.2024 № 240/22/242 «О подготовке и проведении XXIX Международного форума «Технологии и безопасность».

📕 Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ.

​​📌 ПНСТ «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения»

Опубликован ПНСТ 905-2023 «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения», который вводится в действие 01.04.2024.

​​ ❌ Проекты НПА по обеспечению госконтроля за защитой ГТ

ФСТЭК России представила для общественного обсуждения проекты ведомственных приказов:

• «Об определении территориальных органов и структурных подразделений ФСТЭК России, должностных лиц ФСТЭК России и её территориальных органов, уполномоченных на осуществление федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России, а также должностных лиц ФСТЭК России и её территориальных органов, уполномоченных совершать действия (принимать решения) при осуществлении федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России».

• «Об определении перечня подлежащих проверке вопросов при осуществлении ФСТЭК России и её территориальными органами федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России».

• «Об утверждении порядка подготовки планов проведения ФСТЭК России и её территориальными органами плановых проверок при осуществлении федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России и оформления результатов проверки (в том числе требований к содержанию акта проверки)».

• «Об утверждении форм документов, используемых ФСТЭК России и ее территориальными органами при осуществлении и по результатам федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России».

​​ ⚙ ГОСТы по разработке безопасного ПО

Утверждены национальные стандарты:

— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».

📈 Анализ работы технического комитета по стандартизации «Защита информации» (ТК 362)

Также опубликованы результаты анализа работы технического комитета по стандартизации «Защита информации» (ТК 362) и активности организаций-членов ТК 362 в 4 квартале 2023 года.

📈 Отчет о результатах деятельности технического комитета по стандартизации «Защита информации» (ТК 362) за 2023 год

Ну и куда же без запоздавшего отчета о результатах деятельности технического комитета по стандартизации «Защита информации» (ТК 362) за 2023 год.