Вы думаете: «У нас всё под контролем — инцидент не произошёл»?
Нет.
Киберинцидент начинается не с взлома.
Сначала — подозрительное письмо.
Потом — сбой в CRM.
Затем — молчание в ИБ, паника в PR, юристы в ожидании, руководство — в шоке.
Что такое киберинцидент? (4 типа — и чем они опасны)
Тип инцидента | Пример | Риск
Утечка данных | Взлом базы клиентов, утечка ПДн, компрометация учёток | Штраф до 3 млн ₽ (ст.13.11 КоАП), репутационный крах
DDoS-атака | Парализован сайт, не работает онлайн-заказ | Потеря дохода, срыв контрактов
Вредоносное ПО | Вымогатель (ransomware), троян, закладка | Шифрование данных, уничтожение систем
Человеческий фактор | Фишинг, слабый пароль, ошибка сотрудника | 80% всех инцидентов — именно так начинаются
Почему план коммуникаций — не «для галочки»
Без него:
- PR пишет «всё в порядке», а ИБ — «система взломана» → контролирующие органы видят ложь
- Юристы не знают, что произошло → не успевают уведомить Роскомнадзор
- Руководство не понимает масштаб → не принимает решений, пока не поздно
С планом — вы получаете:
→ Единые правила для всех отделов
→ Скорость реакции — не часы, а минуты
→ Документированную цепочку действий — для проверок
→ Защиту от штрафов и судебных исков
Это не «документ». Это — ваша страховка от краха.
Законодательство: что обязывает вас иметь план
- ФЗ-152 «О ПДн»:
→ Уведомление Роскомнадзора — в течение 24 часов после выявления инцидента
→ Отчёт о расследовании — в течение 72 часов (п. 3.1 ст. 21)
→ Без плана — вы не сможете соблюсти сроки
- ФЗ-187 «О КИИ»:
→ Уведомление НКЦКИ — в течение 3 часов (для значимых объектов)
→ Нарушение — штраф до 5 млн ₽
- ГОСТ Р ИСО/МЭК ТО 18044-2007:
→ Требует процедур реагирования и взаимодействия между подразделениями
- ФЗ-98 «О коммерческой тайне»:
→ Обязывает вести учёт доступа и документировать инциденты
Нет плана — нет доказательств, что вы действовали правильно. А значит — вы виновны.
Что должно быть в плане?
1. Классификация инцидентов — по типу, масштабу, уровню угрозы (от «незначительный» до «кризисный»)
2. Команда реагирования — кто отвечает за что:
- ИБ — техническое расследование
- Юристы — правовая оценка и уведомления
- PR — публичные коммуникации
- Руководство — стратегические решения
3. Сценарии действий — по каждому типу инцидента: что делать в первые 15, 60, 240 минут
4. Контакты всех участников — телефоны, мессенджеры, резервные лица
5. Шаблоны уведомлений — для Роскомнадзора, НКЦКИ, клиентов, СМИ
6. Журнал инцидента — обязательный лог: кто, что, когда, почему
7. Правила публичных заявлений — только проверенная информация, без технических деталей
8. План тестирования — минимум 1 раз в год: симуляция инцидента + оценка реакции
Как реагировать — пошагово (всё, что нужно сделать в первые 48 часов)
1. Зафиксировать инцидент — дата, время, система, признаки (логи, скриншоты, сообщения)
2. Ограничить ущерб — изолировать сегменты, отключить учётки, остановить сервисы
3. Оценить масштаб — какие данные затронуты? ПДн? Коммерческая тайна? КИИ?
4. Проверить: продолжается ли атака? — если да — не переходить к коммуникациям!
5. Запустить расследование — вести журнал инцидента с момента первого сигнала
6. Подключить юристов — до любого публичного заявления!
7. Отправить уведомления:
- Роскомнадзор — в течение 24 часов
- НКЦКИ — в течение 3 часов (если КИИ)
8. Опубликовать заявление — только по согласованному шаблону:
→ «Мы выявили техническую аномалию, работаем над её устранением»
→ Никаких «мы не пострадали», «всё в порядке», «это не наша вина»
9. Провести постинцидентный анализ — почему произошло? Как исправить? Обновить план?
Ошибка: PR говорит до того, как юристы одобрили текст — это признание вины.
5 самых дорогих ошибок (и как их избежать)
Ошибка | Последствия | Как избежать
Замалчивание инцидента | Штраф до 3 млн ₽, блокировка сайта | Уведомляйте в 24 часа — даже если «не уверены»
PR без юристов | Признание вины, иски клиентов | Все заявления — только после подписи юриста
Нет единого центра | Противоречивые сообщения, паника | Назначьте координатора инцидента — один человек, ответственный за синхронизацию
Не ведётся журнал | Невозможно доказать, что вы действовали правильно | Журнал — обязательный документ. Формат — Excel или система ИБ
Игнорирование тестирования | План — на бумаге, а на деле — хаос | Проводите симуляции раз в квартал — как пожарные учения
Штраф за несвоевременное уведомление Роскомнадзора — от 1 до 3 млн ₽ (ч.11 ст.13.11 КоАП).
Руководитель — лично ответственен.