Блог Ovodov CyberSecurity

При каких компьютерных инцидентах можно ждать внеплановую проверку ФСТЭК и ФСБ

Специально для  www.itweek.ru
Оригинал статьи https://www.itweek.ru/security/article/detail.php?ID=215964
Все чаще в СМИ появляются громкие заголовки об утечках данных, взломах информационных систем и систем АСУ ТП (автоматизированных систем управления технологическим процессом) предприятий. При этом общей особенностью таких статей является обхождение вопросов, связанных с реакцией регуляторов в сфере информационной безопасности на такие инциденты.
В данной статье мы подробно расскажем, в результате каких компьютерных инцидентов организациям и индивидуальным предпринимателям стоит готовиться к внеплановой проверке, кто и что будет проверять.
Есть четыре основных типа компьютерных инцидентов, которые могут стать основанием для проведения внеплановой проверки:
  1. инцидент, связанный с персональными данными;
  2. инцидент в органе власти или бюджетном учреждении;
  3. инцидент в организации, подпадающей под действие 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  4. инцидент, связанный с компьютерными атаками на информационную инфраструктуру компании.
Важно понимать, что регуляторами в сфере информационной безопасности в РФ являются ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ, за исключением двух сфер, где добавляется третий регулятор:
  • финансовая сфера — добавляется Центральный Банк России;
  • сфера связи — добавляется Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.
Роскомнадзор же не является регулятором в сфере защиты информации в целом и персональных данных в частности.
В свыше 80% случаев внеплановые проверки выездные и только в 20% в формате «запрос-ответ».

Персональные данные

Внеплановая проверка может прийти в результате следующих компьютерных инцидентов:
  1. использование персональных данных против людей, вследствие получения доступа злоумышленниками к базам данных ресурсов, где они хранятся;
  2. случайно или умышленно сотрудник отправил персональные данные себе на почту, ее взломали, и данные выложили в общий доступ или использовали против владельцев персональных данных;
  3. случайно или умышленно сотрудник отправил данные третьим лицам;
  4. утечка персональных данных в результате действий вредоносного ПО или взлома серверов или ПК организации;
  5. персональные данные собираются и обрабатываются с нарушениями требований 152-ФЗ «О персональных данных» (сбор без согласия, сбор сканов документов, содержащих персональные данные через мессенджеры, сайт, соцсети, онлайн-чаты);
  6. персональные данные были переданы третьим лицам без получения корректного согласия их владельца, или владелец считает, что такое согласие не было им дано (передача в компании-партнеры).
Кто может внепланового прийти проверять:
  1. Прокуратура;
  2. Роскомнадзор;
  3. ФСБ;
  4. Центральный банк России.
Основание для проверки — публикации в СМИ, обращения от общественных организаций и органов власти, заявления субъектов персональных данных.
Роскомнадзор не может проверять техническую часть, поскольку это не входит в его полномочия. При этом регулятор имеет право привлечь к проведению проверки ФСТЭК или ФСБ по своему усмотрению.
Аналогичная ситуация и у прокуратуры.
Вероятность привлечения Роскомнадзором и прокуратурой ФСТЭК значительно ниже, чем ФСБ, по трем причинам:
  1. ФСТЭК более сфокусирована на госсекторе и сфере 187-ФЗ;
  2. Управления ФСТЭК есть только в федеральных округах. Следовательно, чтобы Роскомнадзору в Самаре привлечь ФСТЭК, потребуется, чтобы его представители приехали из Нижнего Новгорода;
  3. количество служащих в Управлениях ФСТЭК, которые могут осуществлять проверки, незначительное. Бóльшую часть рабочего времени они заняты плановыми проверками.
С ФСБ картина немного другая. Управления ФСБ есть в каждом регионе, количество специалистов больше и скорость их реакции соответственно выше. Также ФСБ регулярно проводит проверки самостоятельно по обращениям граждан, органов власти, общественных организаций и публикациям в СМИ.
Результатом внеплановой проверки с участием ФСТЭК и ФСБ может явиться:
  1. выдача предписаний на устранение выявленных нарушений. Обычно на устранение дается 30 дней;
  2. административная ответственности согласно статей 13.11, 13.12 КоАП РФ. Сумма штрафа может доходить до 75 тыс. руб. за каждого человека, чьи права были нарушены, а значит, если вы нарушили права 10 человек, то потенциально можете получить штраф до 750 тыс. руб.;
  3. возбуждение уголовного дела по статьям 137, 138, 272, 274 УК РФ. Максимальная сумма штрафа — 500 тыс. руб. или же лишение свободы на срок до двух лет.

Компьютерный инцидент в органе власти или бюджетном учреждении

В отношении органов власти и бюджетных учреждений ФСТЭК и ФСБ не требуются какие-то дополнительные основания для проверки. Достаточно фиксации факта компьютерного инцидента или его последствий.
В каких случаях к ним могут прийти с внеплановой проверкой:
  1. компьютерные инциденты в отношении персональных данных;
  2. нарушение работоспособности государственных информационных систем;
  3. несанкционированное опубликование данных, содержащихся в государственных информационных системах (в результате взлома или «слива» информации служащим).
Основными последствиями внеплановой проверки будут:
  1. выдача предписаний на устранение выявленных нарушений;
  2. привлечение к административной ответственности должностных лиц по статье 13.12 КоАП.

Инцидент произошел в организации, подпадающей под действие 187-ФЗ (безопасность КИИ)

Главной целью принятого в июле 2017 года 187-ФЗ является устойчивое функционирование информационных систем и систем управления в организации, нарушение которых может привести к значительным негативным последствия в социальной, политической, экономической сферах, для экологии и обороны страны, безопасности государства и правопорядка.
Здесь внеплановой проверки можно ожидать от пяти органов надзора и уполномоченных организаций:
  1. Прокуратура;
  2. ФСТЭК;
  3. ФСБ;
  4. НКЦКИ (Национальный координационный центр по компьютерным инцидентам, созданный ФСБ);
  5. Центральный Банк России (для организаций финансовой сферы).
Основания для проведения проверок:
  • невыполнение организациями требований 187-ФЗ. Проверки от прокуратуры проводятся на основании поступивших материалов и обращений;
  • прокуратура имеет право самостоятельно проверить либо же привлечь к проведению проверки ФСТЭК, ФСБ или НКЦКИ.
ФСТЭК может внепланово проверять только в трех случаях:
  1. невыполнение предписания;
  2. компьютерный инцидент, повлекший негативные последствия;
  3. по поступившим от прокуратуры материалам и обращениям.
ФСБ может внепланово прийти с подачи прокуратуры либо самостоятельно по тем же основаниям — поступившим материалам и обращениям.
НКЦКИ же взаимодействует с организациями, оказывая помощь в ликвидации последствий инцидента и выявлении его причин.
За компьютерный инцидент, повлекший значительные негативные последствия, предусмотрена уголовная ответственность — до 8 лет лишения свободы, согласно статье 274.1 УК РФ.
Перечень негативных последствий, которые могут наступить в результате компьютерного инцидента, обширен и указан в Постановлении Правительства РФ от 08.02.2018 № 127.
ФСТЭК и ФСБ могут прийти, если произойдут следующие типы компьютерных инцидентов:
  • отказ в обслуживании;
  • несанкционированный доступ к информации и объекту критической информационной инфраструктуры;
  • утечка данных;
  • модификация (подмена) данных;
  • нарушение функционирования технических средств объекта критической информационной инфраструктуры;
  • несанкционированное использование вычислительных ресурсов объекта критической информационной инфраструктуры.
Результатом внеплановой проверки с участием ФСТЭК и ФСБ в области требований 187-ФЗ может явиться:
  1. выдача предписаний на устранение выявленных нарушений;
  2. возбуждение уголовного дела по статье 274.1 УК РФ.

Компьютерные атаки на информационную инфраструктуру компании

Основные типы компьютерных инцидентов, которые могут привести к внеплановой проверке:
  • с вашей информационной инфраструктуры произошла компьютерная атака на орган власти или бюджетное учреждение;
  • в результате компьютерного инцидента компания обратилась в МВД или ФСБ, и они в ходе расследования выявили, что компьютерная атака шла с вашей информационной инфраструктуры;
  • от лица вашей компании произошла рассылка электронных писем, сообщений в мессенджерах, соцсетях с вредоносным ПО или ссылками на фишинговые сайты.
Во всех перечисленных случаях можно ожидать проверки со стороны ФСБ.
Последствия такой проверки будут следующие:
  1. выдача предписания. На исполнение обычно дается 30 дней;
  2. штраф по статье 13.12 КоАП;
  3. уголовное дело по статье 274 УК РФ в случае, если есть подозрение, что ваша организация могла знать об атаке или своими действиями или бездействием способствовала ее совершению.
Под данный тип компьютерных инцидентов может попасть как любая организация любой формы собственности, так и обычный гражданин.

Выводы

В любом случае, каким бы не было основание для проведения внеплановой проверки, она не несет спокойствия и нарушает режим работы организации, не говоря уже о возможных штрафах, приостановлении деятельности организации или привлечения руководителя и других сотрудников к уголовной ответственности.
Выполнение требований законодательства по защите информации и следование лучшим практикам обеспечения информационной безопасности позволит организациям значительно снизить вероятность возникновения компьютерных инцидентов, а значит и негативных последствий для бизнеса.
ИБ Экспертное мнение Проверки регуляторов Статьи