Вот и случилось то, что ещё недавно слабо можно было предоставить. С лёгкой руки законодателя, и на волне защиты персональных данных представителей спецслужб, обусловленной, как мне кажется, недавними громкими расследованиями Российской политической оппозиции, в сжатые сроки был принят Федеральный закон от 30.12.2020 № 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». На ряду с прочим, данным законом были внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которыми всех операторов персональных данных, имеющих информационные системы персональных данных, обязали реализовывать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них. Хорошо, конечно, что на этапе думских чтений законопроекта из него была исключена норма, в явном виде предусматривающая осуществлять взаимодействие с ГосСОПКА. Но позволяет ли эта корректировка расслабиться операторам ПДн, имеющих ИСПДн? На мой взгляд, даже такая формулировка несёт в себе определённые последствия в перспективе.
Вспомним недавний проект ГОСТ Р «Защита информации. Обнаружение, предупреждение и ликвидационный последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения» (я понимаю, что это проект, но цитировать действующие Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, изданные ФСБ России в 2018 г., я не могу, так как документ имеет ограничительную пометку «Для служебного пользования», но в нем необходимая терминология схожа с приведённым проектом ГОСТа). В соотвествии с этим проектом ГОСТа вводится понятие сущности «Субъект ГосСОПКА», которая очень знакома субъектам КИИ. Субъектам ГосСОПКА являются государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных соглашений, осуществляющие обнаружение компьютерных атак, предупреждение компьютерных атак, ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Как видно, рассматриваемые изменения в Федеральный закон от «О персональных данных» привели к тому, что операторы ПДн, имеющие ИСПДн, теперь являются субъектами ГосСОПКА, что, несомненно, добавит им головной боли.
Скорее всего, стоит ожидать, что в ближайшее время ФСБ России, как федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, вскоре модернизирует свои нормативные правовые акты, учитывающие прирост субъектов ГосСОПКА, не являющихся субъектами КИИ. К сожалению, нельзя однозначно сказать, что отсутсвие в Федеральном законе от «О персональных данных» явного указания на необходимость взаимодействия с ГосСОПКА, означает что субъекты ГосСОПКА, являющиеся операторами ПДн, не должны с ней взаимодействовать. Уже сейчас можно посоветовать операторам ПДн, имеющих ИСПДн, ознакомиться с данной статьей не ресурсе safe-surf.ru, подумать о формате своей структурной единице ГосСОПКА (не забывая профессиональный стандарт «Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», утверждённый приказом Минтруда от 29.12.2015 № 1179н).
—————————————————————
Но во что же действительно выльются эти поправки для операторов ПДн?
@bureaucraticsecurity