Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1364 подписчика

«24 часа на спасение»: как мы помогли клинике подать уведомление об инциденте

18
3 мин
⚠️ Кейс обезличен: название, даты и отдельные детали изменены. Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Вводная Условная небольшая клиника «Альфа» — оператор персональных данных. В пятницу вечером, около 20:00, системный администратор заметил подозрительную активность: кто-то получил несанкционированный доступ к базе пациентов. В открытый доступ попали ФИО, телефоны и даты рождения — предварительно около 200 записей. Дальше — пошаговый алгоритм, по которому мы действовали вместе с клиникой. Именно так удалось уложиться в сроки. Правовая рамка (кратко): Кто за что отвечал в кейсе Команда SynLawTech: ИТ-служба клиники: Без готового регламента в пятницу вечером обычно начинается паника: нет УКЭП руководителя, нет шаблонов, подрядчик «вернётся в понедельник». Здесь сработала заранее подготовленная схема взаимодействия. Шаг 1. Обнаружение и фиксация (первые минуты) Первое, что сделала ИТ-служба клиники, — зафик

⚠️ Кейс обезличен: название, даты и отдельные детали изменены. Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности.

Вводная

Условная небольшая клиника «Альфа» — оператор персональных данных. В пятницу вечером, около 20:00, системный администратор заметил подозрительную активность: кто-то получил несанкционированный доступ к базе пациентов. В открытый доступ попали ФИО, телефоны и даты рождения — предварительно около 200 записей.

Дальше — пошаговый алгоритм, по которому мы действовали вместе с клиникой. Именно так удалось уложиться в сроки.

Правовая рамка (кратко):

  • ст. 21 ч. 3.1 152-ФЗ — уведомить Роскомнадзор в течение 24 часов и направить отчёт о расследовании в течение 72 часов;
  • Приказ Роскомнадзора № 187 от 14.11.2022 — порядок подачи через Портал персональных данных;
  • при статусе субъекта КИИ — отдельный контур по 187-ФЗ и правилам взаимодействия с НКЦКИ.

Кто за что отвечал в кейсе

Команда SynLawTech:

  • собрала всех участников — руководство, юриста, ответственного за ПДн, ИТ-службу;
  • подготовила пакет документов: первичное уведомление, шаблоны для извещения субъектов ПДн, структуру отчёта о расследовании;
  • согласовала формулировки «причин», «вреда» и «принятых мер»;
  • вела таймлайн сроков 24 и 72 часа.

ИТ-служба клиники:

  • зафиксировала инцидент и сохранила логи;
  • изолировала угрозу — отключила учётную запись, ограничила доступ, сменила пароли;
  • провела технический анализ и установила точный объём утечки.
  • проверила доступ к порталу pd.rkn.gov.ru, ЕСИА и УКЭП;

Без готового регламента в пятницу вечером обычно начинается паника: нет УКЭП руководителя, нет шаблонов, подрядчик «вернётся в понедельник». Здесь сработала заранее подготовленная схема взаимодействия.

Шаг 1. Обнаружение и фиксация (первые минуты)

Первое, что сделала ИТ-служба клиники, — зафиксировала инцидент.

Что зафиксировали:

  • точную дату и время обнаружения (20:00, пятница);
  • источник сигнала — сработала система обнаружения вторжений;
  • характер — несанкционированный доступ к БД с ПДн;
  • предварительный объём — около 200 записей.

Сохранили логи и скриншоты.

Важно! Момент обнаружения — точка отсчёта всех сроков. Выходные и праздники сроки не переносят.

Шаг 2. Локализация угрозы (первые 30 минут)

ИТ-служба изолировала угрозу:

  • отключила скомпрометированную учётную запись;
  • заблокировала внешний доступ к базе;
  • сменила пароли на критичных системах.

Шаг 3. Рабочая группа (в течение часа)

Мы собрали рабочую группу: ответственного за ИБ, IT-специалист клиники, юрист, руководитель. Закон требует провести расследование и направить отчёт — рабочая группа помогает сделать это в срок.

Шаг 4. Уведомление Роскомнадзора: «24 часа»

Главный шаг. Оператор обязан уведомить Роскомнадзор в течение 24 часов (ст. 21 ч. 3.1 152-ФЗ). Мы подали уведомление через 2 часа.

Как подать:

  • авторизация через ЕСИА (Госуслуги);
  • подпись УКЭП.

Что указать в первичном уведомлении — см. инфографику:

-2

В первичном уведомлении указали «предварительно около 200 записей, уточняется». Точное число (217) зафиксировали в расследовании.

Шаг 5. Уведомление субъектов ПДн

Если утечка создаёт угрозу правам субъектов — оператор обязан уведомить пострадавших (ст. 21 ч. 3.1 152-ФЗ). Мы уведомили всех затронутых пациентов по телефону и e-mail.

Шаг 6. Внутреннее расследование: «72 часа»

ИТ-служба вела техническое расследование, мы готовили отчёт.

Установили:

  • причина — фишинг, скомпрометированная учётная запись;
  • объём — 217 записей, без диагнозов;
  • меры — подключена 2FA, проведено обучение персонала (внеплановый инструктаж).

Шаг 7. ФСБ / НКЦКИ

Для субъектов КИИ — отдельные сроки (24 ч / 3 ч для значимых). Для обычного оператора ПДн достаточно уведомить Роскомнадзор.

В нашей ситуации клиника не была значимым объектом КИИ. Для клиник использующих МИС/ГИС статус КИИ нужно проверять отдельно.

Шаг 8. Прокуратура

Мы не направляли. Прямой обязанности в 152-ФЗ нет. При крупных утечках или медданных особой категории — нужно рассматривать отдельно.

Шаг 9. Документирование

Все документы будут хранить не менее 3 лет.

Итоговый график

-3

Выводы

  • 24 часа — очень мало; готовый регламент нужно иметь заранее.
  • Документируйте всё.
  • Своевременное уведомление снижает риски, но не отменяет ответственность автоматически.
  • Оператор отвечает за подрядчика.
  • Разделяйте роли: ИТ — техника, юристы — документы, руководитель — решения.

Бонус для медицинских организаций

Чтобы не начинать с нуля в пятницу в 20:00 — пройдите экспресс-тест: https://synlawtech.ru/security/pd-test

12 вопросов · 3 минуты · результат сразу.

Тест даёт типовую картину для медорганизации — не заменяет юридическую экспертизу.

Подписывайтесь на канал «Синтез закона и технологий». Вопросы — в комментариях. Переходим от хаоса к системе. Вместе.

7