Как оператору персональных данных работать с ГосСОПКА

С сентября 2022 года операторы персональных данных обязаны сообщать о всех компьютерных инцидентах, которые привели или могли привести к утечке личных данных граждан, в Роскомнадзор и ГосСОПКА. Но далеко не все компании и ИП выполняют эту обязанность, несмотря на увеличение количества компьютерных атак на российский бизнес и рост числа утечек личной информации. И законодатели ужесточили ответственность в этой сфере. С 30 мая 2025 года штраф за неуведомление об утечках ПД составит до 3 млн рублей. Разбираемся в статье, как информировать Роскомнадзор и работать с ГосСОПКА, чтобы избежать критических рисков для бизнеса.

Что такое ГосСОПКА

ГосСОПКА — государственная система обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Элементы этой системы:

• Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — подразделение ФСБ России;
• ведомственные, территориальные и корпоративные центры ГосСОПКА;
• программно-технические средства.

ГосСОПКА создана, в первую очередь, для защиты критической информационной инфраструктуры (КИИ) в России и российских дипломатических представительствах. В ней собираются данные обо всех компьютерных атаках на КИИ и сетевых утечках данных, участники обмениваются информацией по этому направлению.

Кому обязательно интегрироваться с ГосСОПКА

По закону взаимодействовать с этой системой должны субъекты КИИ и операторы персональных данных. На практике часто это одна и та же компания или ИП, просто требования к каждому статусу определяются своим Федеральным законом.

При этом интеграция с ГосСОПКА не подразумевает обязательное подключение к системе в физическом плане. В ряде случаев достаточно организовать канал передачи информации.

К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие между ними (ст. 2 187-ФЗ). КИИ образуют информационные и информационно-телекоммуникационные сети, автоматизированные системы управления (АСУ):

• здравоохранения;
• науки;
• транспорта; 
• связи;
• энергетики и ТЭК;
• банковского сектора и финансового рынка;
• атомной энергии;
• оборонной и ракетно-космической отраслей;
• горнодобывающей, металлургической и химической промышленности.

Субъект КИИ информирует обо всех компьютерных инцидентах на своих сетях НКЦКИ, а также Центробанк, если относится к банковской сфере (ст. 9 187-ФЗ). 

Если он владеет значимыми объектами из Реестра ФСТЭК, у него появляются дополнительные обязанности, например создать систему безопасности объекта. В том числе установить программно-технические средства защиты информации. Если субъект КИИ использует у себя ресурсы ГосСОПКА, то ему нужно обеспечить их сохранность и бесперебойную работу.

Не все субъекты КИИ подключены к ГосСОПКА. Они интегрированы с системой в виде обмена сведениями. ФСБ России определила регламент взаимодействия с ГосСОПКА: перечень информации, которую нужно передавать, и порядок передачи (Приказ ФСБ России от 24.07.2018 № 367).

ГосСОПКА — открытая система. С ней могут взаимодействовать не только субъекты КИИ, но и не относящиеся к ним ИП, организации (ч. 5 ст. 5 187-ФЗ).

Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне

Попробовать

Как оператору взаимодействовать с ГосСОПКА

С 1 марта 2023 года действует Приказ ФСБ от 13.02.2023 № 77. В нем определен отдельный порядок взаимодействия операторов персональных данных (ОПД) с НКЦКИ при компьютерных инцидентах.

Вариант 1. ОПД имеет соглашение с НКЦКИ

Этот вариант используют субъекты КИИ и прочие организации, которые добровольно подключились к ГосСопка (п. 2 Порядка № 77). Для них алгоритм действий при компьютерных атаках выглядит так:

1. В течение 24-х часов после обнаружения компьютерной атаки или другого инцидента передать информацию о ней в НКЦКИ по организованным каналам информационного взаимодействия. Формы и порядок сообщения определяются в соглашении.
2. Получить от НКЦКИ идентификатор компьютерного инцидента. Центр направит его в течение 24-х часов по тем же каналам связи, по которым получил информацию от оператора.
3. При необходимости запросить у НКЦКИ помощь в реагировании на компьютерную атаку.
4. Если от Центра поступит запрос на проведение проверки инцидента, провести проверку и сообщить о ее результатах в течение 24-х часов. Для этого использовать те же каналы информационного взаимодействия, по которым поступил запрос.

Вариант 2. ОПД не заключил соглашение с НКЦКИ

Для таких операторов применяется другой алгоритм действий при утечках персональных данных:

1. Не позднее 24-х часов с момента обнаружения компьютерного инцидента сообщить о нем в Роскомнадзор путем подачи уведомления на сайте ведомства. Для этого нужна учетная запись Госуслуг, привязанная к организации. Роскомнадзор сам сообщит в НКЦКИ.
2. Получить в течение 24-х часов ключ и номер уведомления. Они придут в информационном письме по тому же каналу связи, по которому было направлено уведомление.
3. В течение 72-х часов с даты обнаружения инцидента провести проверку по утечке данных. В эти же сроки сообщить о результатах в Роскомнадзор. В письме нужно будет указать ключ и номер уведомления, полученные ранее.
4. При получении запроса от НКЦКИ о проведении проверки сообщить о ее результатах в течение 24-х часов.

Операторы персональных данных вправе попросить Центр помочь в реагировании на компьютерную атаку даже без соглашения с НКЦКИ.

Операторам-юрлицам нужно внести изменения в свои локальные акты в части взаимодействия с НКЦКИ (п. 2 ч. 1 ст. 18.1 152-ФЗ). Они могут разработать отдельный регламент или издать приказ. В документе определить ответственного за передачу информации и порядок информирования о компьютерных инцидентах.

Отчитайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет.

Сдать отчеты бесплатно

Куда еще сообщать о компьютерных инцидентах

Дополнительно оператор обязан сообщать в Роскомнадзор об утечках персональных данных (ч. 3.1 ст. 21 152-ФЗ). В течение 24 часов после происшествия он информирует об инциденте, предполагаемом вреде субъекту ПД, а также о должностном лице, уполномоченном на взаимодействие с Роскомнадзором по данному инциденту. Через 72 часа оператор сообщает о результатах расследования утечки данных.

Оператору нужна подтвержденная учетная запись на Госуслугах, привязанная к личному кабинету организации, для информирования Роскомнадзора.

Как подключиться к ГосСОПКА

Субъекты КИИ обязаны работать с ГосСОПКА. Операторы персональных данных, у которых такого статуса нет, работают с этой системой добровольно. Далее приведем алгоритм подключения к ГосСОПКА.

Вариант 1. У оператора есть статус субъекта КИИ

Здесь возможно два варианта действий — работать с НКЦКИ напрямую или заключить соглашение с действующим Центром ГосСОПКА. Смотрите последовательность действий по каждому варианту.

Прямое взаимодействие с НКЦКИ — направьте обращение на адрес info@cert.gov.ru и запросите Регламент взаимодействия, затем заключите с НКЦКИ соглашение о взаимодействии или подпишите Регламент.

Соглашение с Центром ГосСОПКА — выберите Центр из Перечня и заключите с ним соглашение. Далее направьте в адрес руководителя НКЦКИ письмо о принятом решении информировать НКЦКИ через Центр ГосСОПКА. В обращении укажите реквизиты выбранного Центра и контактную информацию по самому субъекту КИИ. Последний шаг — убедитесь, что Центр ГосСОПКА также сообщил в НКЦКИ, что обмен информацией о компьютерных инцидентах в данной организации будет вестись через него

Субъект КИИ может создать свой Центр ГосСОПКА. Для этого ему понадобятся одна или несколько лицензий ФСБ России. Например, на осуществление работ с использованием сведений, составляющих государственную тайну.

Получить методические материалы по созданию Центра ГосСОПКА можно по запросу в НКЦКИ.

Вариант 2. У оператора нет статуса субъекта КИИ

Здесь есть такие же варианты взаимодействия, как и субъекта КИИ:

• заключить соглашение с Центром ГосСОПКА из Перечня;

• работать с НКЦКИ напрямую.

Разница будет только в технических мероприятиях. Для прямого взаимодействия с НКЦКИ и подключения к ГосСОПКА оператору не нужно создавать свой Центр — он организует защищенный канал связи.

Как накажут за неуведомление об утечке персональных данных

30 мая 2025 года вступают в силу поправки в ст. 13.11 КоАП РФ (Федеральный закон от 30.11.2024 № 420-ФЗ). В числе прочих изменений вводится новый штраф за неуведомление об утечке персональных данных, которая привела к нарушению прав субъекта персональных данных:

• 50 000 — 100 000 рублей — на граждан;

• 400 000 — 800 000 рублей — на должностных лиц;

• 1 000 000 — 3 000 000 рублей — на организации и ИП.

Учитывайте, что за такие правонарушения ИП будут нести ответственность как юридические лица.

Новые штрафы переводят работу с персональными данными в разряд критических рисков для бизнеса. И, скорее всего, это то направление, которое будет в фокусе внимания надзорных органов в 2025 году.

У операторов остается несколько месяцев, чтобы наладить работу по взаимодействию с Роскомнадзором и ГосСОПКА. Рекомендуем обязательно назначить ответственных лиц, которые будут непосредственно сообщать информацию о компьютерных инцидентах и нести за это ответственность. В отсутствие таких должностных лиц штраф выпишут директору, и ему, скорее всего, это очень не понравится.

Главное о взаимодействии с ГосСОПКА

Операторы обязаны сообщать о компьютерных инцидентах, которые повлекли или могли повлечь утечку персональных данных, в течение 24 часов:

• в Роскомнадзор;

• в НКЦКИ ФСБ России (система «ГосСОПКА»).

Порядок информирования описан в Приказе ФСБ от 13.02.2023 № 77 и Приказе Роскомнадзора от 14.11.2022 № 187.

Субъекты КИИ взаимодействуют с системой «ГосСОПКА» в обязательном порядке. У них есть два варианта, как это делать — заключить договор с Центром ГосСОПКА из Перечня и передавать информацию через его каналы или заключить с НКЦКИ соглашение о взаимодействии или подписать Регламент о взаимодействии. Во втором варианте субъекту КИИ могут понадобиться лицензии ФСБ России.

Операторы без статуса КИИ обязательно сообщают о компьютерных инцидентах в Роскомнадзор. В НКЦКИ они направляют информацию, если получат соответствующий запрос. Ответить нужно в течение 24-х часов.

Но операторы без статуса КИИ могут работать с ГосСОПКА добровольно. Вариантов подключения два: или через Центр из Перечня, или через собственные защищенные каналы связи.

Для организации процесса взаимодействия с Роскомнадзором и НКЦКИ операторы назначают ответственного работника и определяют в локальных документах порядок информирования о компьютерных инцидентах.

30 мая 2025 года вступают в силу поправки в ст. 13.11 КоАП РФ (Федеральный закон от 30.11.2024 № 420-ФЗ). В числе прочих изменений вводится новый штраф за неуведомление об утечке персональных данных, которая привела к нарушению прав субъекта персональных данных:

• 50 000 — 100 000 рублей — на граждан;

• 400 000 — 800 000 рублей — на должностных лиц;

• 1 000 000 — 3 000 000 рублей — на организации и ИП.

За такие правонарушения ИП будут нести ответственность как юридические лица.