Какими бывают ИТ-инциденты по российским и европейским законам
Правовые аспекты
Персональные данные (ПД) — это любые сведения, на основании которых можно идентифицировать физическое лицо.
В соответствии с российским законодательством (152-ФЗ) с 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор и ГосСОПКА (ФСБ) о фактах неправомерной или случайной передачи ПД с целью защиты прав и интересов граждан. Такая формулировка не соответствует европейскому Генеральному регламенту о защите данных (GDPR), где нарушение безопасности ПД (personal data breach) охватывает уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к ПД. Таким образом, условно теряется 30% инцидентов, которые негативно влияют на конфиденциальность, целостность и доступность ПД.
Европейские регуляторы рассматривают намного больше инцидентов по сравнению с Роскомнадзором, при этом дают подробные рекомендации по уведомлениям, а также техническим и организационным мерам.
Скорее всего, российские государственные структуры со временем будут перенимать западный опыт. Поэтому целесообразно уже сейчас задуматься об оптимизации внутренних систем, алгоритмов обработки и удаления собранных сведений.