img
img09 декабря 2020 в 09:53

Операторов персональных данных обяжут сообщать о киберинцидентах в систему ФСБ

Операторов персональных данных, в том числе из малого и среднего бизнеса, могут обязать сообщать о киберинцидентах в Государственную систему предупреждения, обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА) ФСБ. Эта мера предусмотрена законопроектом о конфиденциальности данных сотрудников правоохранительных органов, внесенным в Госдуму группой депутатов во главе с председателем комитета по безопасности Василием Пискаревым.

Операторов персональных данных, в том числе из малого и среднего бизнеса, могут обязать сообщать о киберинцидентах в Государственную систему предупреждения, обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА) ФСБ. Эта мера предусмотрена законопроектом о конфиденциальности данных сотрудников правоохранительных органов, внесенным в Госдуму группой депутатов во главе с председателем комитета по безопасности Василием Пискаревым.

Предложенная депутатами мера станет дополнительной «гарантией обеспечения безопасности персональных данных защищаемых лиц», ссылается «Коммерсант» на пояснительную записку к законопроекту.

Согласно закону, вступившему в силу в январе 2018 года, центры ГосСОПКА должны создаваться организациями, относящимися к критической информационной инфраструктуре (КИИ), включая органы власти, госкорпорации и др. Они должны предоставлять информацию главному центру системы на базе восьмого центра ФСБ.

По словам заместителя гендиректора по правовым вопросам Института развития интернета Бориса Едидина, в настоящее время реестр операторов персональных данных ведет Роскомнадзор, в него включены 416 тыс. организаций. Заместитель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Савельев подчеркивает, что законопроект не содержит ограничений по кругу операторов, на которых возлагается обязанность на подключение к ГосСОПКА. Эти подключения требуют больших организационных и технических усилий, что может повлечь существенные сложности и затраты для малого и среднего бизнеса, а также иностранных компаний. «При этом не ясно, как дополнительные затраты будут способствовать защите персональных данных от рисков утечек, исходящих не от хакерских атак извне, а от самих сотрудников компаний, имеющих легитимный доступ к этой информации», - говорит Савельев.

Со своей стороны, директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович высказывает мнение, что меры в соответствии с законопроектом потребуют расширения возможностей самой системы ГосСОПКА.

По словам бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, если власти обяжут операторов персональных данных передавать информацию в ГосСОПКА, это грозит бизнесу затратами на приобретение софта и наем сотрудников либо на услуги коммерческих центров мониторинга киберугроз. Эти услуги в РФ предоставляют «Ростелеком-Solar», «Информзащита», «Инфосистемы Джет», Positive Technologies, Kaspersky Lab, Orange Business Services. Лукацкий признает, что даже объекты КИИ испытывают сейчас сложности с подключением к ГосСОПКА: для этого нужна поддержка софта с шифрованием данным по требованиям ФСБ, автоматизация круглосуточной передачи данных, а в ряде случаев и допуск к закрытой информации.

Подписка на рассылку

Подпишитесь на рассылку, чтобы одним из первых быть в курсе новых событий