Альянс Медиа
AllMedia.Ru – Российский деловой медиапортал
Размещение новостей, пресс-релизов, мероприятий в изображениях

Новая обязанность для операторов ПДн: уведомление об инцидентах

11.03.2023 08:46

В последнее время тема инцидентов находится в фокусе внимания Роскомнадзора на волне частых утечек ПДн у таких крупных компаний, как Яндекс, Delivery Club и т.д.

Инцидент безопасности — это факт неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов персональных данных.

Категории инцидентов безопасности:

  • разглашение конфиденциальной информации;
  • несанкционированный доступ к информации;
  • превышение полномочий сотрудников;
  • воздействие вредоносного ПО;
  • компрометация учетных записей.

Если инцидент произошел, на этот случай в законопроекте есть состав уведомления об инцидентах.

Уведомление включает информацию о:

  • причинах возникновения инцидента;
  • предполагаемом вреде, нанесенном правам субъектов;
  • лицах, предоставивших неправомерный доступ;
  • принятых мерах для устранения последствий.

❗️ Информировать об инцидентах необходимо будет не позднее, чем через 24 часа после того, как компания узнала об инциденте.

Что нужно помнить при выполнении данного требования?

  • Обнаружение инцидента.

Не всегда пользователь или администратор может заметить инцидент. Часто для обнаружения требуются дополнительные средства мониторинга.

  • Проведение внутреннего расследования.

Требуется в крайне сжатые сроки проанализировать факт инцидента.

  • Принятие мер по устранение последствий.

Для этого нужно определить границы инцидента и спланировать меры для предотвращения подобных случаев.

  • Обучение сотрудников.

Самое слабое звено в безопасности системы — человек, поэтому основное внимание должно уделяться повышению осведомленности персонала в области информационной безопасности.

Задачка для специалистов по защите ПДн:

С момента, когда произошел инцидент, есть 72 часа, чтобы его расследовать. За это время нужно подготовить следующие данные:

  • Причины утечки
  • Информацию о нанесенном правам субъекта ПДн вреде
  • Название информационной системы, откуда была утечка
  • Какие были предприняты меры для минимизации последствий
  • Документ о проведении внутреннего расследования
  • Сведения о внутреннем или внешнем нарушителе

Дано: Мы поручили работать с ПДн обработчику.

Вопрос: Нужно ли в поручении для обработчика прописывать о необходимости уведомить нас об инциденте? Если да – в течение какого времени обработчик должен это сделать?

Ответ от специалиста Б-152:

В поручении для обработчика нужно прописывать о необходимости уведомлять об инциденте. Также нужно обратить внимание, что аналогичное требование должно распространяться и на субобработчиков, если они есть. Срок желательно устанавливать не позднее 12 часов с момента утечки, чтобы оставалось достаточно времени на реагирование.

Ценный лайфхак: для уведомления об утечках выделить отдельный e-mail и указать его в поручении. Это поможет быстрее среагировать в случае инцидента.

Б-152 — лидер в области защиты персональных данных с 2011 года, наши эксперты приводят бизнес-процессы компаний в соответствие GDPR и закону 152-ФЗ уже 11 лет. Ежегодно мы проводим опрос среди сотен специалистов по защите ПДн крупных и средних компаний для выявления зрелости рынка Privacy и основных тенденций.