Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Новое о реестре инцидентов в области персональных данных
Роскомнадзор внес проект приказа о взаимодействии с компаниями-операторами в рамках ведения реестра учета инцидентов в области персональных данных. Версия приказа о персональных данных размещена на федеральном портале проектов. Проект подготовлен во исполнение 266-ФЗ от 14.07.2022.
Проект приказа предусматривает направление в Роскомнадзор уведомлений об инцидентах с персональными данными. В реестре планируют фиксировать сведения о фактах незаконной передачи данных, нарушившей права субъекта.
Компании будут обязаны уведомлять об инциденте и об итогах внутреннего расследования.
Уведомление с информацией об инциденте будет содержать:
- дату и время обнаружения инцидента ИБ;
- содержание скомпрометированной базы и ее актуальность;
- количество утекших записей;
- предполагаемые причины возникновения инцидента;
- предварительная оценка вреда для субъекта персональных данных;
- меры по устранению инцидента и его последствий (и материалы, это подтверждающие);
- сведения о лице компании, взаимодействующем с Роскомнадзором по возникшему инциденту.
После проведения внутреннего расследования инцидента компания будет обязана направить дополнительное уведомление, содержащее информацию:
- об итоговых причинах возникшего инцидента ИБ;
- о вреде для субъектов персональных данных;
- о дополнительных мерах для ликвидации последствий инцидента ИБ;
- о лицах, чьи действия повлекли за собой инцидент (при их наличии).
Если на момент первичного уведомления компания уже располагает результатами расследования, информацию о нем можно будет предоставить в одном уведомлении.
Уведомление можно будет отправить либо в электронном виде через специальную форму на Портале персональных данных, либо на бумажном носителе.
В случае, если Роскомнадзор установит факт незаконного распространения баз персональных данных определенной компании, в таком случае Роскомнадзор направит требование к данной компании, и в течение 24 часов она будет обязана предоставить уведомление со сведениями о произошедшем инциденте.
Проект находится на стадии публичного обсуждения, которое закончится 10 ноября 2022.