С 1 сентября 2022 года в Законе о защите персональных данных появилась обязанность оператора обеспечивать взаимодействие с ГосСОПКА. Это государственная система обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Разбираемся, как оператору выполнять эту обязанность.
Что такое ГосСОПКА
Элементы этой системы:
- Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — подразделение ФСБ России;
- ведомственные, территориальные и корпоративные центры ГосСОПКА;
- программно-технические средства.
ГосСОПКА создана, в первую очередь, для защиты критической информационной инфраструктуры (КИИ) в России и российских дипломатических представительствах. В ней собираются данные обо всех компьютерных атаках на КИИ и сетевых утечках данных, участники обмениваются информацией по этому направлению.
ГосСОПКА не имеет отдельного владельца. Государство через ФСБ России регулирует и координирует ее деятельность. Собственники у центров ГосСОПКА — те, кто их создал: ведомства, операторы связи, лицензированные организации, коммерческие компании (ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ, ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ).
Кому обязательно интегрироваться с ГосСОПКА
По закону взаимодействовать с этой системой должны субъекты КИИ и операторы персональных данных. На практике часто это одна и та же компания или ИП, просто требования к каждому статусу определяются своим Федеральным законом.
При этом интеграция с ГосСОПКА не подразумевает обязательное подключение к системе в физическом плане. В ряде случаев достаточно организовать канал передачи информации.
К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие между ними (ст. 2 187-ФЗ). КИИ образуют информационные и информационно-телекоммуникационные сети, автоматизированные системы управления (АСУ):
- здравоохранения;
- науки;
- транспорта;
- связи;
- энергетики и ТЭК;
- банковского сектора и финансового рынка;
- атомной энергии;
- оборонной и ракетно-космической отраслей;
- горнодобывающей, металлургической и химической промышленности.
Субъект КИИ информирует обо всех компьютерных инцидентах на своих сетях НКЦКИ, а также Центробанк, если относится к банковской сфере (ст. 9 187-ФЗ).
Если он владеет значимыми объектами из Реестра ФСТЭК, у него появляются дополнительные обязанности, например создать систему безопасности объекта. В том числе установить программно-технические средства защиты информации. Если субъект КИИ использует у себя ресурсы ГосСОПКА, то ему нужно обеспечить их сохранность и бесперебойную работу.
Какие объекты КИИ значимые?
Объекты КИИ по степени значимости делятся в порядке убывания на значимые объекты: 1, 2, 3 категории, и объекты без категории (ст. 7 187-ФЗ). Владелец должен их классифицировать и сообщить результаты в Федеральную службу по техническому и экспортному контролю. В свою очередь, ФСТЭК ведет Реестр значимых объектов КИИ (ст. 8 187-ФЗ, Приказ ФСТЭК от 06.12.2017 № 227).
Не все субъекты КИИ подключены к ГосСОПКА. Они интегрированы с системой в виде обмена сведениями. ФСБ России определила регламент взаимодействия с ГосСОПКА: перечень информации, которую нужно передавать, и порядок передачи (Приказ ФСБ России от 24.07.2018 № 367). В нем нет упоминания об операторах персональных данных (ОПД), но они тоже могут руководствоваться этим документом, пока не поступит других разъяснений от ФСБ России.
ГосСОПКА — открытая система. С ней могут взаимодействовать не только субъекты КИИ, но и не относящиеся к ним ИП, организации (ч. 5 ст. 5 187-ФЗ).
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Как оператору взаимодействовать с ГосСОПКА
ОПД, которые уже имели статус субъекта КИИ, продолжают работать с системой так же, как работали до 1 сентября 2022 года. Этот раздел будет полезен тем, кто с ГосСОПКА раньше не сталкивался.
Интеграция с системой для ИП и юрлиц по Приказу № 367 означает передачу в НКЦКИ информации о компьютерных инцидентах на своих сетях:
- даты, времени, места происшествия;
- наличие связи между инцидентом и компьютерной атакой;
- связь с другими происшествиями — при наличии;
- технические параметры компьютерного инцидента;
- последствия.
Операторы, которые технически не подключены к ГосСОПКА, направляют информацию по E-mail, телефону, факсу на контакты НКЦКИ, указанные на сайте http://cert.gov.ru. Срок передачи информации — 24 часа с момента происшествия (п. 4, 5 приложения 2 к Приказу № 367).
Контакты, по которым оператор может информировать НКЦКИ
ИП и организации, подключенные к ГосСОПКА, сообщают о компьютерных инцидентах через ее инфраструктуру.
Операторам-юрлицам нужно внести изменения в свои локальные акты в сфере защиты персональных данных в части взаимодействия с НКЦКИ (п. 2 ч. 1 ст. 18.1 152-ФЗ). Они могут разработать отдельный регламент или издать приказ. В документе определить ответственного за передачу информации и порядок информирования о компьютерных инцидентах.

Отчитывайтесь легко и без ошибок
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Куда еще сообщать о компьютерных инцидентах
Дополнительно оператор обязан сообщать в Роскомнадзор об утечках персональных данных (ч. 3.1 ст. 21 152-ФЗ). В течение 24 часов после происшествия он информирует об инциденте, предполагаемом вреде субъекту ПД, а также о должностном лице, уполномоченном на взаимодействие с Роскомнадзором по данному инциденту. Через 72 часа оператор сообщает о результатах расследования утечки данных.
Взаимодействие с Роскомнадзором осуществляется через портал Госуслуг
Оператору нужна подтвержденная учетная запись на Госуслугах, привязанная к личному кабинету организации, для информирования Роскомнадзора.
Как подключиться к ГосСОПКА
В сентябре 2022 года у оператора персональных данных нет обязанности технически интегрироваться в систему по 187-ФЗ. Но компания или ИП могут подключиться к ГосСОПКА добровольно.
Здесь возможно два варианта:
- Заключить договор с существующим центром ГосСОПКА.
- Создать свою точку.
Подключение участника должно быть согласовано с ФСБ России. Оператор, который захочет создать свой корпоративный центр ГосСОПКА, обращается в НКЦКИ для заключения соглашения о сотрудничестве (п. 5.6 Положения о НКЦКИ в редакции Приказа ФСБ России от 24.07.2018 № 366).
Также он должен выполнить организационно-технические требования к своей инфраструктуре (Приказ ФСБ России от 06.05.2019 № 196), в том числе к средствам:
- обнаружения;
- предупреждения;
- ликвидации последствий;
- средства расшифровки;
- обмена и криптографическим средствам защиты информации.
Оператор может разобраться с подключением к ГосСОПКА самостоятельно или обратиться за помощью к специализированной организации с лицензией.
Ему самому лицензия для работы с ГосСОПКА не нужна, если он не будет подключать к своему центру других участников (ст. 12 № 99-ФЗ).