Приложение. Порядок внешнего информационного взаимодействия Департамента культуры города Севастополя по инцидентам в области персональных данных. Приказ Департамента культуры г. Севастополя от 13.09.2023 N 293 "Об утверждении порядка внешнего информационного взаимодействия Департамента культуры города Севастополя по инцидентам в области персональных данных"

Приложение
УТВЕРЖДЕН
приказом Департамента
культуры города Севастополя
от 13.09.2023 г. N 293

Порядок внешнего информационного взаимодействия Департамента культуры города Севастополя по инцидентам в области персональных данных

1. Общие положения

1.1. Настоящий Порядок внешнего информационного взаимодействия Департамента культуры города Севастополя по инцидентам в области персональных данных (далее - Порядок) разработан с учетом:

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.11.2022 N 187 "Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных";

- приказа Федеральной службы безопасности Российской Федерации от 13.02.2023 N 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных".

1.2. Целью разработки данного Порядка является установление порядка, условий и правил внешнего информационного взаимодействия Департамента культуры города Севастополя (далее - Департамент) по инцидентам в области персональных данных с:

- уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзор);

- государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

1.3. Настоящий Порядок предназначен для сотрудника Департамента, назначенного ответственным за организацию обработки персональных данных в Департаменте (далее - Ответственный).

1.4. Настоящий Порядок подлежит анализу и пересмотру (при необходимости) в следующих случаях:

- периодически - не реже чем один раз в год;

- изменения нормативных правовых актов, указанных в пункте 1.1 настоящего Порядка, - не позднее тридцати рабочих дней с момента вступления в силу соответствующих изменений.

1.5. Сокращения, используемые в рамках настоящего Порядка:

1.5.1. Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

1.5.2. Портал персональных данных - портал персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в информационно-телекоммуникационной сети "Интернет" (https://pd.rkn.gov.ru/).

1.5.3. ЕСИА - федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".

1.5.4. Скомпрометированная база данных - база данных, содержание которой стало доступно неограниченному кругу лиц в результате неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных.

1.5.5. Инцидент в области персональных данных (инцидент) - установленный факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей за собой нарушение прав субъектов персональных данных.

1.5.6. Компьютерный инцидент - факт нарушения и (или) прекращения функционирования информационного ресурса, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе информации, в том числе произошедший в результате компьютерной атаки.

1.5.7. ГосСОПКА - государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

1.5.8. НКЦКИ - национальный координационный центр по компьютерным инцидентам.

2. Порядок предоставления сведений в Роскомнадзор

2.1. Предоставление сведений Департаментом в Роскомнадзор об инцидентах в области персональных данных осуществляется в форме направления соответствующих уведомлений. Ответственным должно быть предоставлено в Роскомнадзор:

2.1.1. В течение двадцати четырёх часов (24 часа) с момента выявления инцидента - уведомление с информацией о произошедшем инциденте (далее - Первичное уведомление).

2.1.2. В течение семидесяти двух часов (72 часа) с момента выявления инцидента - уведомление с информацией о результатах внутреннего расследования выявленного инцидента (далее - Дополнительное уведомление).

2.2. Уведомления направляются в виде документа на бумажном носителе или в форме электронного документа. Решение о способе направления уведомлений принимается Ответственным по каждому инциденту индивидуально.

2.3. При принятии решения о направлении уведомления в виде документа на бумажном носителе такое уведомление оформляется и направляется по адресу Роскомнадзора:

- по Первичному уведомлению - по форме, представленной в Приложении N 1 к настоящему Порядку;

- по Дополнительному уведомлению - по форме, представленной в Приложении N 2 к настоящему Порядку.

2.4. При принятии решения о направлении уведомления в форме электронного документа такое уведомление формируется Ответственным посредством заполнения специализированной формы, размещенной на электронной подписью директора Департамента в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".

2.5. Все факты направления уведомлений в Роскомнадзор должны быть зафиксированы в Журнале внешнего информационного взаимодействия Департамента по инцидентам в области персональных данных. Форма журнала представлена в Приложении N 3 к настоящему Порядку.

2.6. Первичное уведомление должно содержать:

2.6.1. Сведения о произошедшем инциденте:

- дата и время выявления инцидента;

- характеристика (характеристики) персональных данных (содержание скомпрометированной базы данных, количество содержащихся в ней записей, информация об актуальности скомпрометированной базы данных, период, в течение которого собраны персональные данные).

2.6.2. Сведения о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных (предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных);

2.6.3. Сведения о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда, который может быть нанесен субъектам персональных данных, в связи с неправомерным распространением персональных данных, а также последствия такого вреда, проведенной в соответствии с пунктом 5 части 1 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Степень возможного вреда, который мог быть причинен субъектам персональных данных в результате инцидента, определяется на основании Акта оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", утвержденного директором Департамента.

2.6.4. Сведения о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых Департаментом организационных и технических мер по устранению последствий инцидента в соответствии со статьями 18.1, 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").

2.6.5. Сведения об Ответственном (лице, уполномоченном Департаментом на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом).

2.6.6. Данные Департамента:

- полное и сокращенное наименование;

- идентификационный номер налогоплательщика;

- юридический адрес;

- адрес электронной почты Ответственного для получения информации о зарегистрированном уведомлении, номера и ключа уведомления.

2.6.7. Иные сведения и материалы, находящиеся в распоряжении Департамента, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).

2.7. Дополнительное уведомление должно содержать:

2.7.1. Сведения о Первичном уведомлении (номер и ключ).

2.7.2. Сведения о результатах внутреннего расследования выявленного инцидента (информация о причинах, повлекших нарушение прав субъектов персональных данных, и вреде, нанесенном правам субъектов персональных данных, о дополнительно принятых мерах по устранению последствий соответствующего инцидента (при наличии), а также о решении Департамента о проведении внутреннего расследования с указанием его реквизитов).

2.7.3. Сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии):

- фамилия, имя, отчество (при наличии) должностного лица Департамента с указанием должности или фамилия, имя, отчество (при наличии) индивидуального предпринимателя или полное наименование юридического лица, чьи действия стали причиной выявленного инцидента;

- IP-адрес компьютера или устройства и его местонахождение (предполагаемое местонахождение, если причиной инцидента стали действия посторонних лиц);

- иные сведения о выявленном инциденте, имеющиеся в распоряжении Департамента.

3. Порядок рассмотрения запросов от Роскомнадзора

3.1. Настоящий порядок регламентирует действия Ответственного при получении следующих запросов от Роскомнадзора:

3.1.1. Запрос на предоставление недостающих сведений и (или) пояснений относительно некорректности в направленных ранее Департаментом уведомлениях по инцидентам сведений (далее - Требование о пояснении).

3.1.2. Запрос с требованием о необходимости предоставления сведений о результатах внутреннего расследования выявленного инцидента (далее - Требование о предоставлении сведений), если такие сведения не были предоставлены Департаментом согласно пункту 2.1.2 настоящего Порядка.

3.1.3. Запрос с требованием о предоставлении сведений по инциденту, сведения о котором не были предоставлены Департаментом (далее - Требование о предоставлении уведомления).

3.2. Требование о пояснении направляются Роскомнадзором на адрес электронный почты, указанный в Первичном уведомлении. При получении Департаментом Требования о пояснении Ответственный должен в течение трех рабочих дней со дня получения такого требования сформировать ответ и направить в Роскомнадзор одним из способов, указанных в пункте 2.2 настоящего Порядка.

3.3. Требование о предоставлении сведений направляется Роскомнадзором в случае нарушения сроков предоставления Дополнительного уведомления. При получении Департаментом Требования о предоставлении сведений Ответственный должен в течение одного рабочего дня со дня получения такого требования сформировать ответ и направить в Роскомнадзор одним из способов, указанных в пункте 2.2 настоящего Порядка.

3.4. Требование о предоставлении уведомления направляется Роскомнадзором в случае выявления им факта неправомерного распространения скомпрометированной базы данных, содержание которой указывает на ее принадлежность Департаменту. При получении Департаментом Требования о предоставлении уведомления Ответственный должен:

3.4.1. В течение 24 часов с момента получения требования направить Первичное уведомление одним из способов, указанных в пункте 2.2 настоящего Порядка.

3.4.2. В течение 72 часов провести внутреннее расследование по Требованию о предоставлении уведомления и оформить результаты расследования в виде акта, подтверждающего факт инцидента или подтверждающего отсутствие факта инцидента. Форма акта о проведении внутреннего расследования представлена в Приложении N 4 к настоящему Порядку.

3.4.3. В течение 72 часов с момента получения Требования о предоставлении уведомления направить Дополнительное уведомление одним из способов, представленных в пункте 2.2 настоящего Порядка. К Дополнительному уведомлению должна быть приложена сканированная копия акта о проведении внутреннего расследования, подписанная директором Департамента.

3.5. Все факты направления уведомлений в ответ на запросы Роскомнадзора должны быть зафиксированы в Журнале внешнего информационного взаимодействия Департамента по инцидентам в области персональных данных.

4. Порядок предоставления сведений в ГосСОПКА

4.1. Взаимодействие Департамента с ГосСОПКА, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, осуществляется через НКЦКИ.

4.2. Департамент направляет информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, путем подачи уведомлений согласно разделу 2 настоящего Порядка. Дальнейшая передача информации о компьютерных инцидентах в НКЦКИ на ответственности Роскомнадзора в соответствии с частью 11 статьи 23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

4.3. Подтверждением передачи Департаментом в НКЦКИ информации о компьютерных инцидентах является присвоение НКЦКИ компьютерным инцидентам идентификаторов. Идентификаторы направляются НКЦКИ Департаменту в течение 24 часов с момента их присвоения по тем же каналам, по которым сведения о компьютерном инциденте были направлены.

5. Рассмотрение запросов от НКЦКИ

При получении от НКЦКИ запроса о проверке сведений о компьютерном инциденте, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, Ответственный должен в течение 24 часов с момента получения запроса подготовить ответ на запрос и направить его в НКЦКИ по тем же каналам, по которым запрос был получен (информировать НКЦКИ о результатах проверки).

6. Ответственность

Ответственный несет персональную ответственность за ненадлежащее исполнение или неисполнение положений, предусмотренных настоящим Порядком.