ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 13 февраля 2023 г. N 77
ОБ УТВЕРЖДЕНИИ ПОРЯДКА
ВЗАИМОДЕЙСТВИЯ ОПЕРАТОРОВ С ГОСУДАРСТВЕННОЙ СИСТЕМОЙ
ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ
КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ РОССИЙСКОЙ
ФЕДЕРАЦИИ, ВКЛЮЧАЯ ИНФОРМИРОВАНИЕ ФСБ РОССИИ О КОМПЬЮТЕРНЫХ
ИНЦИДЕНТАХ, ПОВЛЕКШИХ НЕПРАВОМЕРНУЮ ПЕРЕДАЧУ
(ПРЕДОСТАВЛЕНИЕ, РАСПРОСТРАНЕНИЕ, ДОСТУП)
ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с частью 12 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1> и пунктом 1 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации" <2>, приказываю:
--------------------------------
<1> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2022, N 29, ст. 5233.
<2> Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2007, N 1, ст. 205.
1. Утвердить прилагаемый порядок взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
2. Настоящий приказ вступает в силу с 1 марта 2023 г.
Директор
А.БОРТНИКОВ
Утвержден
приказом ФСБ России
от 13 февраля 2023 г. N 77
ПОРЯДОК
ВЗАИМОДЕЙСТВИЯ ОПЕРАТОРОВ С ГОСУДАРСТВЕННОЙ СИСТЕМОЙ
ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ
КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ РОССИЙСКОЙ
ФЕДЕРАЦИИ, ВКЛЮЧАЯ ИНФОРМИРОВАНИЕ ФСБ РОССИИ О КОМПЬЮТЕРНЫХ
ИНЦИДЕНТАХ, ПОВЛЕКШИХ НЕПРАВОМЕРНУЮ ПЕРЕДАЧУ
(ПРЕДОСТАВЛЕНИЕ, РАСПРОСТРАНЕНИЕ, ДОСТУП)
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Взаимодействие государственных органов, муниципальных органов, юридических или физических лиц, самостоятельно или совместно с другими лицами организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее - операторы) <1>, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, осуществляется через Национальный координационный центр по компьютерным инцидентам <2> (далее - НКЦКИ).
--------------------------------
<1> Пункт 2 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 1, ст. 58.).
<2> Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. N 366 (зарегистрирован Минюстом России 6 сентября 2018 г., регистрационный N 52109) (далее - Положение о НКЦКИ).
2. Операторы, с которыми взаимодействие по получению информации организовано в соответствии с подпунктом 4.8 пункта 4 Положения о НКЦКИ, направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА <1> с использованием каналов информационного взаимодействия, в том числе посредством электронной почтовой связи и технической инфраструктуры НКЦКИ, предназначенных для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными (далее - каналы информационного взаимодействия), в течение 24 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных.
--------------------------------
<1> Подпункт 4.9 пункта 4 Положения о НКЦКИ.
3. Операторы, не указанные в пункте 2 настоящего Порядка, направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, путем заполнения уведомления о факте неправомерной передачи (предоставления, распространения, доступа) персональных данных, содержащегося на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети "Интернет", - в срок не позднее 24 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, а также путем заполнения уведомления о результатах внутреннего расследования, содержащегося на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети "Интернет", - в срок не позднее 72 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Передача указанной информации Роскомнадзором в НКЦКИ регламентируется порядком, устанавливаемым ФСБ России и Роскомнадзором в соответствии с частью 11 статьи 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1>.
--------------------------------
<1> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2022, N 29, ст. 5233.
4. Подтверждением передачи операторами в НКЦКИ информации о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, является присвоение НКЦКИ компьютерным инцидентам, повлекшим неправомерную передачу (предоставление, распространение, доступ) персональных данных, идентификаторов.
Идентификаторы направляются НКЦКИ операторам в течение 24 часов с момента их присвоения по тем же каналам, по которым указанная информация была направлена.
5. Операторы, указанные в пункте 2 настоящего Порядка, вправе обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА с использованием каналов информационного взаимодействия.
Операторы, не указанные в пункте 2 настоящего Порядка, вправе обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА с использованием почтовой или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на его официальном сайте в информационно-телекоммуникационной сети "Интернет".
6. В случае необходимости проверки сведений о компьютерном инциденте, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, НКЦКИ направляет запросы о проведении такой проверки:
операторам, указанным в пункте 2 настоящего Порядка, - с использованием каналов информационного взаимодействия;
операторам, не указанным в пункте 2 настоящего Порядка, - с использованием электронной связи на адреса (телефонные номера) физических или юридических лиц, ответственных за организацию обработки персональных данных, сведения о которых внесены в реестр операторов в соответствии с частью 4 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1>.
--------------------------------
<1> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2022, N 29, ст. 5233.
Операторы обязаны информировать НКЦКИ о результатах проверки в течение 24 часов с момента получения указанных запросов по тем же каналам, по которым они были направлены.