Зарегистрировано в Минюсте России 20 февраля 2023 г. № 72404
В соответствии с частью 12 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и пунктом 1 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации", приказываю:
1. Утвердить прилагаемый порядок взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
2. Настоящий приказ вступает в силу с 1 марта 2023 г.
Директор
А.БОРТНИКОВ
Утвержден
приказом ФСБ России
от 13 февраля 2023 г. N 77
ПОРЯДОК
ВЗАИМОДЕЙСТВИЯ ОПЕРАТОРОВ С ГОСУДАРСТВЕННОЙ СИСТЕМОЙ
ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ
КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ РОССИЙСКОЙ
ФЕДЕРАЦИИ, ВКЛЮЧАЯ ИНФОРМИРОВАНИЕ ФСБ РОССИИ О КОМПЬЮТЕРНЫХ
ИНЦИДЕНТАХ, ПОВЛЕКШИХ НЕПРАВОМЕРНУЮ ПЕРЕДАЧУ
(ПРЕДОСТАВЛЕНИЕ, РАСПРОСТРАНЕНИЕ, ДОСТУП)
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Взаимодействие государственных органов, муниципальных органов, юридических или физических лиц, самостоятельно или совместно с другими лицами организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее - операторы), с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, осуществляется через Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ).
2. Операторы, с которыми взаимодействие по получению информации организовано в соответствии с подпунктом 4.8 пункта 4 Положения о НКЦКИ, направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием каналов информационного взаимодействия, в том числе посредством электронной почтовой связи и технической инфраструктуры НКЦКИ, предназначенных для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными (далее - каналы информационного взаимодействия), в течение 24 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3. Операторы, не указанные в пункте 2 настоящего Порядка, направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, путем заполнения уведомления о факте неправомерной передачи (предоставления, распространения, доступа) персональных данных, содержащегося на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети "Интернет", - в срок не позднее 24 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, а также путем заполнения уведомления о результатах внутреннего расследования, содержащегося на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети "Интернет", - в срок не позднее 72 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Передача указанной информации Роскомнадзором в НКЦКИ регламентируется порядком, устанавливаемым ФСБ России и Роскомнадзором в соответствии с частью 11 статьи 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
4. Подтверждением передачи операторами в НКЦКИ информации о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, является присвоение НКЦКИ компьютерным инцидентам, повлекшим неправомерную передачу (предоставление, распространение, доступ) персональных данных, идентификаторов.
Идентификаторы направляются НКЦКИ операторам в течение 24 часов с момента их присвоения по тем же каналам, по которым указанная информация была направлена.
5. Операторы, указанные в пункте 2 настоящего Порядка, вправе обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА с использованием каналов информационного взаимодействия.
Операторы, не указанные в пункте 2 настоящего Порядка, вправе обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА с использованием почтовой или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на его официальном сайте в информационно-телекоммуникационной сети "Интернет".
6. В случае необходимости проверки сведений о компьютерном инциденте, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, НКЦКИ направляет запросы о проведении такой проверки:
операторам, указанным в пункте 2 настоящего Порядка, - с использованием каналов информационного взаимодействия;
операторам, не указанным в пункте 2 настоящего Порядка, - с использованием электронной связи на адреса (телефонные номера) физических или юридических лиц, ответственных за организацию обработки персональных данных, сведения о которых внесены в реестр операторов в соответствии с частью 4 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
Операторы обязаны информировать НКЦКИ о результатах проверки в течение 24 часов с момента получения указанных запросов по тем же каналам, по которым они были направлены.