Как оператору персональных данных работать с ГосСОПКА

13 сентября 2022

С 1 сентября 2022 года в Законе о защите персональных данных появилась обязанность оператора обеспечивать взаимодействие с ГосСОПКА. Это государственная система обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Разбираемся, как оператору выполнять эту обязанность.

Наталья Пискарева Наталья Пискарева Эксперт по трудовому законодательству и кадровому делопроизводству

Что такое ГосСОПКА

Элементы этой системы:

  • Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — подразделение ФСБ России;
  • ведомственные, территориальные и корпоративные центры ГосСОПКА;
  • программно-технические средства.

ГосСОПКА создана, в первую очередь, для защиты критической информационной инфраструктуры (КИИ) в России и российских дипломатических представительствах. В ней собираются данные обо всех компьютерных атаках на КИИ и сетевых утечках данных, участники обмениваются информацией по этому направлению.

ГосСОПКА не имеет отдельного владельца. Государство через ФСБ России регулирует и координирует ее деятельность. Собственники у центров ГосСОПКА — те, кто их создал: ведомства, операторы связи, лицензированные организации, коммерческие компании (ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ, ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ).

Кому обязательно интегрироваться с ГосСОПКА

По закону взаимодействовать с этой системой должны субъекты КИИ и операторы персональных данных. На практике часто это одна и та же компания или ИП, просто требования к каждому статусу определяются своим Федеральным законом.

При этом интеграция с ГосСОПКА не подразумевает обязательное подключение к системе в физическом плане. В ряде случаев достаточно организовать канал передачи информации.

К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие между ними (ст. 2 187-ФЗ). КИИ образуют информационные и информационно-телекоммуникационные сети, автоматизированные системы управления (АСУ):

  • здравоохранения;
  • науки;
  • транспорта; 
  • связи;
  • энергетики и ТЭК;
  • банковского сектора и финансового рынка;
  • атомной энергии;
  • оборонной и ракетно-космической отраслей;
  • горнодобывающей, металлургической и химической промышленности.

Субъект КИИ информирует обо всех компьютерных инцидентах на своих сетях НКЦКИ, а также Центробанк, если относится к банковской сфере (ст. 9 187-ФЗ). 

Если он владеет значимыми объектами из Реестра ФСТЭК, у него появляются дополнительные обязанности, например создать систему безопасности объекта. В том числе установить программно-технические средства защиты информации. Если субъект КИИ использует у себя ресурсы ГосСОПКА, то ему нужно обеспечить их сохранность и бесперебойную работу.

Какие объекты КИИ значимые?

Объекты КИИ по степени значимости делятся в порядке убывания на значимые объекты: 1, 2, 3 категории, и объекты без категории (ст. 7 187-ФЗ). Владелец должен их классифицировать и сообщить результаты в Федеральную службу по техническому и экспортному контролю. В свою очередь, ФСТЭК ведет Реестр значимых объектов КИИ (ст. 8 187-ФЗ, Приказ ФСТЭК от 06.12.2017 № 227).

Не все субъекты КИИ подключены к ГосСОПКА. Они интегрированы с системой в виде обмена сведениями. ФСБ России определила регламент взаимодействия с ГосСОПКА: перечень информации, которую нужно передавать, и порядок передачи (Приказ ФСБ России от 24.07.2018 № 367). В нем нет упоминания об операторах персональных данных (ОПД), но они тоже могут руководствоваться этим документом, пока не поступит других разъяснений от ФСБ России.

ГосСОПКА — открытая система. С ней могут взаимодействовать не только субъекты КИИ, но и не относящиеся к ним ИП, организации (ч. 5 ст. 5 187-ФЗ).

extern

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

Как оператору взаимодействовать с ГосСОПКА

ОПД, которые уже имели статус субъекта КИИ, продолжают работать с системой так же, как работали до 1 сентября 2022 года. Этот раздел будет полезен тем, кто с ГосСОПКА раньше не сталкивался.

Интеграция с системой для ИП и юрлиц по Приказу № 367 означает передачу в НКЦКИ информации о компьютерных инцидентах на своих сетях:

  • даты, времени, места происшествия;
  • наличие связи между инцидентом и компьютерной атакой;
  • связь с другими происшествиями — при наличии;
  • технические параметры компьютерного инцидента;
  • последствия.

Операторы, которые технически не подключены к ГосСОПКА, направляют информацию по E-mail, телефону, факсу на контакты НКЦКИ, указанные на сайте http://cert.gov.ru. Срок передачи информации — 24 часа с момента происшествия (п. 4, 5 приложения 2 к Приказу № 367).

Контакты, по которым оператор может информировать НКЦКИ

ИП и организации, подключенные к ГосСОПКА, сообщают о компьютерных инцидентах через ее инфраструктуру.

Операторам-юрлицам нужно внести изменения в свои локальные акты в сфере защиты персональных данных в части взаимодействия с НКЦКИ (п. 2 ч. 1 ст. 18.1 152-ФЗ). Они могут разработать отдельный регламент или издать приказ. В документе определить ответственного за передачу информации и порядок информирования о компьютерных инцидентах.

extern

Отчитывайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

Куда еще сообщать о компьютерных инцидентах

Дополнительно оператор обязан сообщать в Роскомнадзор об утечках персональных данных (ч. 3.1 ст. 21 152-ФЗ). В течение 24 часов после происшествия он информирует об инциденте, предполагаемом вреде субъекту ПД, а также о должностном лице, уполномоченном на взаимодействие с Роскомнадзором по данному инциденту. Через 72 часа оператор сообщает о результатах расследования утечки данных.

Взаимодействие с Роскомнадзором осуществляется через портал Госуслуг

Оператору нужна подтвержденная учетная запись на Госуслугах, привязанная к личному кабинету организации, для информирования Роскомнадзора.

Как подключиться к ГосСОПКА

В сентябре 2022 года у оператора персональных данных нет обязанности технически интегрироваться в систему по 187-ФЗ. Но компания или ИП могут подключиться к ГосСОПКА добровольно.

Здесь возможно два варианта:

  1. Заключить договор с существующим центром ГосСОПКА.
  2. Создать свою точку.

Подключение участника должно быть согласовано с ФСБ России. Оператор, который захочет создать свой корпоративный центр ГосСОПКА, обращается в НКЦКИ для заключения соглашения о сотрудничестве (п. 5.6 Положения о НКЦКИ в редакции Приказа ФСБ России от 24.07.2018 № 366).

Также он должен выполнить организационно-технические требования к своей инфраструктуре (Приказ ФСБ России от 06.05.2019 № 196), в том числе к средствам:

  • обнаружения;
  • предупреждения;
  • ликвидации последствий;
  • средства расшифровки;
  • обмена и криптографическим средствам защиты информации.

Оператор может разобраться с подключением к ГосСОПКА самостоятельно или обратиться за помощью к специализированной организации с лицензией. 

Ему самому лицензия для работы с ГосСОПКА не нужна, если он не будет подключать к своему центру других участников (ст. 12 № 99-ФЗ).

Наталья Пискарева Наталья Пискарева Эксперт по трудовому законодательству и кадровому делопроизводству
Получайте новости от наших экспертов дважды в месяц
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.
#Риски #Бизнес #Персональные данные
Написать комментарий
Получайте новости от наших экспертов дважды в месяц
Посмотреть пример письма →
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
Написать комментарий