.PNG)
1Когда нужно уведомлять Роскомнадзор
С 1 сентября 2022 года каждый оператор персональных данных обязан уведомлять Роскомнадзор об утечке. Это требование Федерального закона №152-ФЗ «О персональных данных» (ст. 21.1) распространяется на всех — от ИП до публичных компаний. Размер бизнеса значения не имеет.
Два дедлайна — не один
2Что указать в уведомлении
Уведомление подаётся через портал pd.rkn.gov.ru в электронной форме. Для каждого этапа предусмотрен свой набор сведений.
| Поле уведомления | Этап 1 (24 часа) | Этап 2 (72 часа) |
|---|---|---|
| Описание инцидента | Краткое описание произошедшего | Детальное описание с хронологией |
| Категории ПДн | Какие данные затронуты (ФИО, email, паспорт и др.) | Уточнённый перечень |
| Количество субъектов | Предварительная оценка | Точное количество |
| Причины инцидента | Предварительная версия | Результаты расследования |
| Принятые меры | Меры по локализации | Полный перечень мер + план предотвращения |
| Ответственное лицо | ФИО и контакты DPO / ответственного | ФИО и контакты DPO / ответственного |
3Как подать уведомление через pd.rkn.gov.ru
Портал pd.rkn.gov.ru — единственный официальный канал подачи уведомлений об утечке персональных данных. Заполнение формы занимает 15-30 минут, если все сведения подготовлены заранее.
1. Авторизуйтесь через ЕСИА (Госуслуги)
Вход через учётную запись организации. Убедитесь, что у уполномоченного сотрудника есть доступ к профилю организации на Госуслугах
2. Выберите раздел «Уведомление об инциденте»
На главной странице портала перейдите в раздел подачи уведомлений и выберите тип: первичное или дополнительное
3. Заполните форму уведомления
Укажите все обязательные поля: описание инцидента, категории данных, количество затронутых субъектов, принятые меры
4. Приложите материалы расследования (этап 2)
На втором этапе прикрепите результаты внутреннего расследования, акт о локализации и план мероприятий по предотвращению
5. Сохраните подтверждение подачи
После отправки сохраните номер уведомления и скриншот подтверждения — это доказательство соблюдения сроков
Совет
4Штрафы за неуведомление
С 2024 года штрафы за нарушения в сфере персональных данных существенно выросли. Неуведомление Роскомнадзора об утечке — отдельный состав правонарушения.
| Нарушение | Штраф (юрлица) | Штраф (должностные лица) | Основание |
|---|---|---|---|
| Неуведомление РКН об утечке | До 3 000 000 ₽ | До 400 000 ₽ | КоАП, ст. 13.11 (в ред. 2024) |
| Нарушение сроков уведомления | До 3 000 000 ₽ | До 400 000 ₽ | КоАП, ст. 13.11 (в ред. 2024) |
| Утечка ПДн (1 000 — 10 000 субъектов) | До 5 000 000 ₽ | До 800 000 ₽ | КоАП, ст. 13.11 (в ред. 2024) |
| Утечка ПДн (10 000 — 100 000 субъектов) | До 10 000 000 ₽ | До 1 000 000 ₽ | КоАП, ст. 13.11 (в ред. 2024) |
| Повторная утечка ПДн | Оборотный штраф до 3% выручки | До 2 000 000 ₽ | КоАП, ст. 13.11 (в ред. 2024) |
Оборотные штрафы с 2025 года
До 3% годовой выручки
За повторную утечку персональных данных. Для компании с выручкой 1 млрд ₽ это до 30 000 000 ₽
5Как SOC помогает обнаружить утечку вовремя
Ключевая проблема — большинство утечек обнаруживают слишком поздно. По данным IBM, среднее время обнаружения утечки данных — 204 дня. 24-часовой дедлайн начинает тикать не с момента взлома, а с момента обнаружения. SOC-мониторинг сокращает это время до часов.
Мониторинг DLP-систем
Отслеживание аномальных выгрузок данных, копирования на внешние носители, отправки по email
Анализ сетевого трафика
Обнаружение передачи больших объёмов данных на внешние серверы, туннелирование через DNS
Контроль доступа к БД
Мониторинг SQL-запросов к базам с ПДн, выявление нетипичных выборок и массовых экспортов
Мониторинг даркнета
Отслеживание появления данных вашей компании на теневых форумах и маркетплейсах
204 дня
Без мониторинга
среднее время обнаружения
<24ч
С SOC-мониторингом
время обнаружения утечки
24ч
Дедлайн
на уведомление РКН
72ч
Дедлайн
на результаты расследования
Подготовьтесь заранее
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Елисеев
Специалист по информационной безопасности
С 2024 года специализируется на комплексных аудитах ИБ. Реализованные проекты: защита персональных данных в МФЦ МО, безопасность в банковской сфере, соответствие требованиям 152-ФЗ.