ФСБ работает над проектом приказа, по которому у операторов персональных данных появится выбор, как именно уведомлять регулятора о произошедшем взломе или утечке информации, сообщают «Ведомости» со ссылкой на представителя Национального координационного центра по компьютерным инцидентам при ФСБ (НКЦКИ) Андрея Раевского.
Компаниям предлагается два варианта действий.
- Оператор заключает соглашение с ФСБ или НКЦКИ, в котором указывается способ и формат передачи информации. Подтверждением, что НКЦКИ получил информацию об инциденте, станет идентификатор, который будет присваиваться и направляться оператору.
- Оператор сообщает об утечке через форму на сайте РКН, а информация из РКН поступает в НКЦКИ.
Раевский отметил, что ФСБ разрабатывает проект приказа в соответствии с изменениями закона «О персональных данных», которые вступили в силу 1 сентября 2022 года. В частности, все операторы должны сообщать о компьютерных инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Ранее Минцифры предложило страховать риски утечки персональных данных для компенсации пострадавшим. Брать на себя затраты по страхованию должны будут операторы данных. Еще ведомство обсуждает с некоторыми IT-компаниями возможность создания фонда материальной компенсации для граждан, чьи персональные данные утекли из баз данных. Как предполагается, средства для фонда будут поступать от оборотных штрафов, которые будут выплачивать компании.
Такое активное развитие законодательства в этой области связано с большим количеством утечек данных в 2022 году. Так, за нарушения к СДЭК подали иск на 2,2 млн руб., а с сервисом «Яндекс. Еда» стали судиться жители Петербурга.