Утечка персональных данных — это не вопрос «если», а вопрос «когда». Даже самая защищенная система не гарантирует стопроцентной безопасности. Ключевой вопрос для оператора ПДн сегодня звучит так: «Что будет после инцидента?».
Весь процесс реагирования можно разделить на два ключевых блока доказательств: доказательства рутинных процедур (проактивная защита) и доказательства адекватного реагирования (реактивные меры). В этой статье мы детально разберем второй блок, который поможет вам не упустить ни одной важной детали.
1️⃣ Немедленный ответ. Цель — локализовать инцидент и не дать злоумышленнику углубиться в систему.
Что делать? Издать приказ о принятии экстренных мер: отключить или законсервировать скомпрометированные системы, серверы, сбросить пароли, заблокировать подозрительные аккаунты.
Какие доказательства собрать? Приказ или распоряжение о принятии мер. Архив логов со всех системных компонентов за период инцидента. Это золотой фонд для последующего расследования. Отчеты от SIEM, SOC, WAF о срабатывании правил блокировки.
2️⃣ Создание рабочей группы и оценка масштабов. Нельзя управлять тем, что не измерено. Нужно быстро понять, что произошло и кого это коснулось.
Что делать? Зафиксировать точное время обнаружения, создать рабочую группу (ИБ, юристы, DPO, PR), провести оценку инцидента.
Какие доказательства собрать? Служебная записка или email о факте обнаружения. Отчет с оценкой нарушения прав субъектов, причинами и атрибутами утекших данных. «Карта воздействия» — смоделируйте сценарии злоупотребления утекшими данными для оценки реального ущерба.
3️⃣ Мониторинг и «зачистка» данных в открытом доступе. Утекшие данные часто появляются на специализированных форумах и в даркнете. Их нужно найти и попытаться удалить.
Что делать? Организовать мониторинг открытых и закрытых площадок. Направлять владельцам ресурсов официальные требования об удалении информации.
Какие доказательства собрать? Скриншоты и отчеты о найденных данных. Копии отправленных писем-требований. Подтверждение удаления данных с ресурса.
4️⃣ Взаимодействие с регулятором и контрагентами. Промедление или неполная информация могут усугубить ситуацию с регулятором.
Уведомление регулятора (Роскомнадзор) в течение 24–72 часов с момента обнаружения.
Доказательства: Зарегистрированное уведомление. Будьте готовы актуализировать его, если появятся новые данные. Если вина на их стороне контрагентов, то уведомление контрагента, акт о нарушении договора (NDA, SLA), претензия о компенсации убытков, киберфорензик-отчет.
5️⃣ Информирование субъектов ПДн и поддержка. Честность и открытость помогают сохранить репутацию и снизить градус негатива.
Что делать? Уведомить субъектов ПДн, если инцидент создает для них высокий риск. Организовать «горячую линию» для ответов на вопросы.
Какие доказательства собрать? Шаблоны уведомлений и логи рассылки. Публичный пресс-релиз. Скрипты для обработки запросов, журнал обращений.
6️⃣ Преследование нарушителя и внутренние расследования. Нужно установить причину и виновных, будь то внешний злоумышленник или нерадивый сотрудник.
Что делать? Подготовить отчет с версией инцидента. При внутренней халатности — применить дисциплинарное взыскание. При внешней атаке — подать заявление в правоохранительные органы.
Доказательства: Отчет о расследовании, заявление в полицию, постановление о возбуждении уголовного дела, приказ о взыскании.
7️⃣ Исправление и предотвращение рецидивов. Финальный и самый важный этап. Инцидент должен стать уроком.
Что делать? Провести анализ первопричин, разработать и выполнить дорожную карту исправлений.
Какие доказательства собрать? Итоговое досье инцидента — полная хронология, решения, коммуникации. Утвержденный план исправлений. Отчеты о выполнении плана и результаты новых тестов на проникновение (пентестов). Отчеты о дополнительном обучении сотрудников.
Реагирование на утечку — это не хаотичный пожар, а стройный, документированный процесс. Ваш главный актив в споре с регулятором — артефакты, которые доказывают, что каждое действие было своевременным, обоснованным и направленным на защиту прав субъектов.
