Инцидент ИБ: что это, как реагировать и кого уведомлять по закону

Изображение: OpenAI
Число компьютерных инцидентов на объектах КИИ [критической информационной инфраструктуры] растёт, а значительную часть обращений в НКЦКИ [Национальный координационный центр по компьютерным инцидентам] по-прежнему вызывают атаки вирусов-вымогателей. С 30 мая 2025 года действуют оборотные штрафы за утечки персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ), а с 1 марта 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117, изменивший требования к защите информации в государственных информационных системах. Для организаций, которые ещё не выстроили процесс реагирования на инциденты, риски продолжают расти.
Подробнее о том, кто такой оператор персональных данных и как он уведомляет об утечке данных, читайте в статье «Оператор персональных данных: кто это, обязанности и уведомление Роскомнадзора».
Ниже разберём, что российское законодательство и ГОСТы понимают под инцидентом ИБ, кто обязан реагировать и в какие сроки уведомлять НКЦКИ, Роскомнадзор и ФинЦЕРТ, какие штрафы грозят за нарушение (до 500 миллионов рублей), как выстроить процесс реагирования по ГОСТ Р 59710-2022 и что подготовить заранее.
Содержание
- Что считается инцидентом ИБ
- Кто обязан реагировать
- Порядок реагирования по ГОСТ Р 59710-2022
- Сроки и порядок уведомления регуляторов
- Что подготовить заранее
- Ошибки при реагировании
- Итоги
Что считается инцидентом ИБ
Событие, инцидент, компьютерная атака
В российском законодательстве и стандартах по защите информации используется несколько связанных терминов, которые следует различать. От правильной классификации зависит, нужно ли уведомлять регуляторов, в какие сроки и какие санкции грозят за нарушение.
Событие ИБ, согласно ГОСТ Р 59547-2021 (п. 3.13) — это «зафиксированное состояние информационной (автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного прикладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное нарушение безопасности информации, сбой средств защиты информации, или ситуацию, которая может быть значимой для безопасности информации». На практике это любая зафиксированная активность, например неудачная попытка входа, сработавшее правило межсетевого экрана или подозрительный DNS-запрос. Поток таких событий в крупной организации может исчисляться тысячами и миллионами в сутки, поэтому вручную их не разобрать.
Инцидент ИБ, согласно ГОСТ Р 59709-2022 (термин 26) — это «непредвиденное или нежелательное событие (группа событий) ИБ, которое привело (могут привести) к нарушению функционирования информационного ресурса или возникновению угроз безопасности информации или нарушению требований по защите информации». Инцидент отличается от события тем, что он причинил реальный вред или создал реальную угрозу.
Компьютерный инцидент, согласно п. 5 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — это «факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки». ГОСТ Р 59709-2022 (примечание к термину 27) уточняет, что компьютерные инциденты являются подмножеством инцидентов ИБ.
Компьютерная атака, согласно п. 4 ст. 2 того же 187-ФЗ — это «целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации». Атака может не привести к инциденту, если средства защиты сработали. Инцидент может произойти без атаки, например из-за ошибки администратора или отказа оборудования.
Кто решает, что произошёл инцидент
На практике граница между событием и инцидентом проходит через процедуру классификации. Пять неудачных попыток входа за час с одного IP-адреса, вероятнее всего, событие. Пятьдесят тысяч попыток за час с разных IP-адресов — это атака методом перебора. Даже если ни одна попытка не была успешной, такая активность, как правило, классифицируется как инцидент, после чего запускается процедура реагирования.
Для субъектов КИИ Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» обязывает возложить функции обеспечения информационной безопасности на заместителя руководителя либо на специальное структурное подразделение. На этом уровне и принимаются решения по инцидентам в организации. В компаниях с SOC [Security Operations Center, центр мониторинга информационной безопасности] первичную классификацию выполняет аналитик первой линии, а эскалацию на вторую линию или руководителю определяет внутренний регламент. В организациях без SOC решение принимает ответственный за ИБ или лицо, назначенное в соответствии с Указом № 250.
В каждой организации должна быть утверждённая матрица классификации инцидентов с пороговыми значениями. Инциденты обычно ранжируют по двум осям. Учитывают, какие свойства информации затронуты (конфиденциальность, целостность, доступность по ГОСТ Р 50922-2006) и насколько критичны последствия для ключевых процессов. Конкретные пороги для каждого уровня критичности организация задаёт сама. Без такой матрицы решение о том, событие это или инцидент, принимается субъективно, что приводит к двум крайностям. Либо всё подряд объявляется инцидентом, и команда перегружена ложными тревогами. Либо реальные инциденты остаются незамеченными, потому что никто не взял на себя ответственность за классификацию.
Для целей 187-ФЗ используется термин «компьютерный инцидент», а в контексте Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» используется формулировка «неправомерная или случайная передача (предоставление, распространение, доступ)» персональных данных (ч. 3.1 ст. 21 152-ФЗ). 152-ФЗ не оперирует понятием «инцидент ИБ». Если организация является субъектом КИИ и одновременно оператором персональных данных, при утечке уведомлять придётся и НКЦКИ по 187-ФЗ, и Роскомнадзор по 152-ФЗ. Подробнее о сроках и порядке в разделе «Уведомления».
Кто обязан реагировать
Обязанности по реагированию на инциденты закреплены в нескольких федеральных законах и подзаконных актах. Конкретный набор требований зависит от того, к какой категории относится организация. Субъекты КИИ, операторы персональных данных, кредитные организации и операторы ГИС подчиняются разным нормам, а в ряде случаев нескольким одновременно.
Субъекты КИИ и 187-ФЗ
Субъекты КИИ определены в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ. Это государственные органы, государственные учреждения и российские юридические лица, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в 14 сферах деятельности. Среди них здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность, а также государственная регистрация прав на недвижимое имущество и сделок с ним.
Статья 9 187-ФЗ устанавливает обязанность субъектов КИИ незамедлительно информировать ФСБ России о компьютерных инцидентах через НКЦКИ. Сроки конкретизированы в приказе ФСБ России от 25.12.2025 № 547, который вступил в силу 30.01.2026 и заменил ранее действовавший приказ ФСБ от 19.06.2019 № 282. Срок зависит от категории значимости объекта. Категорию (от первой, высшей, до третьей либо её отсутствие) субъект присваивает каждому своему объекту КИИ в ходе категорирования по правилам постановления Правительства РФ от 08.02.2018 № 127. Для значимых объектов КИИ (ЗОКИИ) информация передаётся не позднее 3 часов с момента обнаружения инцидента. Для объектов КИИ без присвоенной категории значимости срок составляет 24 часа. Как устроено подключение и взаимодействие с ГосСОПКА, читайте в материале «ГосСОПКА: что это, как подключиться и взаимодействовать с НКЦКИ в 2026 году».
Перечень сведений, передаваемых в ГосСОПКА [государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации], установлен приказом ФСБ России от 24.07.2018 № 367. Порядок обмена информацией между субъектами КИИ и НКЦКИ регулируется приказом ФСБ России от 25.12.2025 № 546, который заменил ранее действовавший приказ от 24.07.2018 № 368.
Нарушение порядка информирования о компьютерных инцидентах в отношении значимых объектов КИИ влечёт административную ответственность по ч. 2 ст. 13.12.1 КоАП РФ (статья введена Федеральным законом от 26.05.2021 № 141-ФЗ). Штраф для должностных лиц составляет от 10 000 до 50 000 рублей, для юридических лиц от 100 000 до 500 000 рублей. Эта же статья наказывает нарушение требований к системам безопасности значимых объектов (ч. 1) и порядка обмена информацией об инцидентах (ч. 3), а с 20 апреля 2026 года в кодексе появился отдельный состав за нарушение правил эксплуатации объектов КИИ (ст. 13.12.2). Невыполнение в срок законного предписания регулятора влечёт ответственность по ст. 19.5 КоАП РФ. За неправомерное воздействие на КИИ предусмотрена уголовная ответственность по ст. 274.1 УК РФ, вплоть до 10 лет лишения свободы (ч. 5). Судебная практика по этой статье уже формируется, и чаще всего к ответственности привлекают сотрудников самих организаций, получивших неправомерный доступ к информации в КИИ. Все требования к защите значимых объектов КИИ, за нарушение которых наступает эта ответственность, разбираем в статье «Безопасность значимых объектов КИИ: требования приказа ФСТЭК № 239».
Операторы ПДн и 152-ФЗ
Любая организация, которая обрабатывает персональные данные, подпадает под Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». С 1 сентября 2022 года (Федеральный закон от 14.07.2022 № 266-ФЗ) закон обязывает оператора уведомлять Роскомнадзор о фактах неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным (ч. 3.1 ст. 21 152-ФЗ).
Закон отводит на уведомление два срока. Первичное сообщение о факте утечки подаётся через портал pd.rkn.gov.ru в течение 24 часов. Результаты внутреннего расследования с указанием причин, оценкой вреда субъектам ПДн и описанием принятых мер направляются в течение 72 часов.
С 30 мая 2025 года (Федеральный закон от 30.11.2024 № 420-ФЗ) штрафы за нарушения в области персональных данных существенно ужесточены. Размер зависит от масштаба утечки и повторности нарушения.
| Состав нарушения | Статья КоАП | Штраф для юрлиц |
|---|---|---|
| Неуведомление об утечке | ч. 11 ст. 13.11 | 1 000 000 — 3 000 000 руб. |
| Утечка от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов | ч. 12 ст. 13.11 | 3 000 000 — 5 000 000 руб. |
| Утечка от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов | ч. 13 ст. 13.11 | 5 000 000 — 10 000 000 руб. |
| Утечка более 100 000 субъектов или более 1 000 000 идентификаторов | ч. 14 ст. 13.11 | 10 000 000 — 15 000 000 руб. |
| Утечка специальных категорий ПДн | ч. 16 ст. 13.11 | 10 000 000 — 15 000 000 руб. |
| Утечка биометрических ПДн | ч. 17 ст. 13.11 | 15 000 000 — 20 000 000 руб. |
| Утечка по ч. 12—14 лицом, ранее наказанным за такие нарушения (оборотный штраф) | ч. 15 ст. 13.11 | от 1 до 3 % выручки, не менее 20 000 000, не более 500 000 000 руб. |
| Утечка спецкатегорий или биометрии лицом, ранее наказанным (оборотный штраф) | ч. 18 ст. 13.11 | от 1 до 3 % выручки, не менее 25 000 000, не более 500 000 000 руб. |
Банки и НФО
Для кредитных организаций с 29 марта 2025 года действует Положение Банка России от 30.01.2025 № 851-П, которое заменило ранее действовавшее Положение № 683-П. Для некредитных финансовых организаций (НФО) действует Положение Банка России от 20.04.2021 № 757-П.
Банки передают информацию об инцидентах в ГосСОПКА через инфраструктуру ФинЦЕРТ [Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России]. Срок передачи информации об инциденте защиты информации составляет 3 часа с момента обнаружения (851-П). На расследование и предоставление результатов отводится 30 дней.
Крупные банки, как правило, также являются субъектами КИИ. В этом случае при инциденте нужно параллельно уведомить НКЦКИ в соответствии с 187-ФЗ и ФинЦЕРТ в соответствии с 851-П. Формы отчётности и каналы передачи различаются, а сроки при этом совпадают. У банка должна быть отработанная процедура двойного уведомления.
ГИС и приказ ФСТЭК России № 117
С 1 марта 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117, заменивший действовавший с 2013 года приказ ФСТЭК России № 17. Требования распространяются на государственные информационные системы (ГИС), а также на информационные системы государственных органов, государственных унитарных предприятий и учреждений.
Приказ вводит модель непрерывного мониторинга защищённости с регулярной оценкой состояния ИБ и передачей результатов регулятору. Операторы ГИС обязаны обеспечить обнаружение, регистрацию и реагирование на инциденты ИБ, а также взаимодействие с ГосСОПКА.
Приказ также впервые на нормативном уровне устанавливает требования к защите информации при использовании систем искусственного интеллекта в ГИС.
Если в ГИС обрабатываются персональные данные, дополнительно применяется приказ ФСТЭК России от 18.02.2013 № 21. При использовании СКЗИ [средства криптографической защиты информации] дополнительно применяются требования приказа ФСБ России от 18.03.2025 № 117 (вступил в силу 06.04.2025, заменил приказ ФСБ от 24.10.2022 № 524). Два одноимённых документа с номером 117 от ФСТЭК и ФСБ регулируют разные вопросы, их не следует путать. Полный разбор нового приказа ФСТЭК России, от показателей Кзи и Пзи до плана перехода, читайте в статье «Приказ ФСТЭК России № 117: новые требования о защите информации в государственных информационных системах».
Порядок реагирования по ГОСТ Р 59710-2022
ГОСТ Р 59709-2022 определяет терминологию управления компьютерными инцидентами, а ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения» описывает сам процесс. Стандарт выделяет последовательность этапов, каждый из которых имеет формализованное определение (термины 40-51 ГОСТ Р 59709-2022). На практике порядок действий выглядит следующим образом.

Обнаружение и регистрация
Обнаружение компьютерных атак (ГОСТ Р 59709-2022, термин 40) представляет собой «комплекс мероприятий по выявлению и анализу признаков компьютерных атак и определению их типа». Источником информации служит один из элементов комплексной системы обеспечения ИБ. В этой роли выступают средства мониторинга и корреляции событий безопасности (SIEM), средства обнаружения вторжений (IDS/IPS), антивирусное ПО, средства защиты конечных точек (EDR), межсетевые экраны нового поколения (NGFW), системы предотвращения утечек (DLP), средства анализа сетевого трафика (NTA), сканеры уязвимостей и другие средства защиты информации, а также обращения пользователей и внешние уведомления от НКЦКИ, ФинЦЕРТ или партнёров.
После обнаружения аналитик проводит верификацию и устанавливает, действительно ли зафиксированная активность указывает на инцидент или это ложное срабатывание, какие системы и данные затронуты, есть ли признаки целенаправленной атаки. По результатам верификации принимается решение о регистрации.
Регистрация компьютерного инцидента (ГОСТ Р 59709-2022, термин 41) — это «процесс (процедура, функция) фиксации сведений о компьютерном инциденте по установленной форме». На этом этапе инциденту присваивается идентификатор, уровень критичности и тип. Начинает идти время для уведомления регуляторов. Для субъектов КИИ с ЗОКИИ это 3 часа с момента обнаружения (приказ ФСБ № 547). Подробнее о платформах автоматизации регистрации и реагирования читайте в статье «SOAR: автоматизация реагирования на инциденты».
Локализация и сбор доказательств
Локализация компьютерного инцидента (ГОСТ Р 59709-2022, термин 46) — это «совокупность действий, направленных на определение и ограничение функционирования информационных ресурсов, на которых обнаружены признаки зарегистрированного компьютерного инцидента, с целью предотвращения его дальнейшего распространения». На практике это означает изоляцию скомпрометированного хоста от сети, блокировку учётной записи, отключение поражённого сервиса. При этом сам сервер не следует выключать и не следует переустанавливать ОС до завершения сбора доказательств.
Параллельно с локализацией начинается выявление последствий (ГОСТ Р 59709-2022, термин 47), то есть «определение фактов несанкционированного раскрытия, модификации, уничтожения информации или блокирования доступа к ней». Снимки оперативной памяти, копии журналов событий, образы дисков фиксируются с указанием времени и хэш-сумм. Если по инциденту последует проверка регулятора или судебное разбирательство, доказательства, собранные без документирования, могут быть признаны недопустимыми. Ранее действовавший приказ ФСБ России от 19.06.2019 № 282 устанавливал срок хранения информации о компьютерных инцидентах не менее трёх лет (п. 6). Аналогичное требование предусмотрено в приказе ФСБ № 547.
Устранение и восстановление
Ликвидация последствий компьютерного инцидента (ГОСТ Р 59709-2022, термин 48) — это «совокупность действий, направленных на восстановление штатного режима функционирования информационных ресурсов после компьютерного инцидента и удаление изменений, внесённых нарушителем ИБ в информационный ресурс». Когда причиной стало вредоносное ПО, его удаляют со всех затронутых систем и проверяют отсутствие бэкдоров. При эксплуатации уязвимости устанавливают закрывающее её обновление. Скомпрометированные учётные данные требуют сброса паролей и отзыва активных сессий.
Перед возвратом системы в эксплуатацию нужно убедиться, что причина устранена. Восстановление из резервной копии не всегда безопасно, если копия была создана уже после компрометации. Установление причин компьютерного инцидента (ГОСТ Р 59709-2022, термин 49) включает «определение факторов, обусловивших возможность возникновения компьютерного инцидента и (или) способствовавших его возникновению».
Разбор и предотвращение повторения
Закрытие компьютерного инцидента (ГОСТ Р 59709-2022, термин 50) — это «совокупность действий, направленных на проверку результатов выполнения мероприятий (этапов) реагирования на компьютерный инцидент для принятия решения о его закрытии или о необходимости проведения дополнительных действий по реагированию». После закрытия команда разбирает, как инцидент был обнаружен, сколько времени прошло с момента компрометации до обнаружения (dwell time, время присутствия злоумышленника), какие меры сработали, а какие нет, были ли нарушены сроки уведомления регуляторов.
На этом этапе процесс получает измеримую оценку. Среднее время обнаружения инцидента (MTTD) и среднее время реагирования (MTTR) показывают, насколько быстро команда замечает угрозу и устраняет её. Чем ниже эти показатели, тем меньше успевает сделать злоумышленник и тем меньше ущерб. Динамика метрик от инцидента к инциденту говорит о зрелости процесса лучше, чем число отражённых атак.
Принятие мер по предотвращению повторного возникновения компьютерных инцидентов (ГОСТ Р 59709-2022, термин 51) — это «реализация мер защиты информации, обеспечивающих противодействие (снижение вероятности вплоть до недопущения) повторному возникновению компьютерных инцидентов». Приказ ФСБ России № 547 прямо предусматривает этот этап как обязательный. Результаты анализа фиксируются в отчёте и используются для обновления плана реагирования, правил корреляции в SIEM и сценариев реагирования в IRP/SOAR [платформах реагирования на инциденты и системах организации, автоматизации и реагирования]. Подробнее о построении процесса мониторинга читайте в статье «Практика внедрения и эксплуатации SIEM».
Сроки и порядок уведомления регуляторов
При инциденте организация может быть обязана уведомить одного или нескольких регуляторов. Ниже сводная таблица с актуальными сроками, основаниями и санкциями.
| Тип организации | Куда уведомлять | Основание | Срок уведомления | Санкции |
|---|---|---|---|---|
| Субъект КИИ (ЗОКИИ) | НКЦКИ | 187-ФЗ ст. 9, ФСБ № 547 | 3 часа | Ч. 2 ст. 13.12.1 КоАП (до 500 000 руб.), ст. 274.1 УК |
| Субъект КИИ (без категории) | НКЦКИ | 187-ФЗ ст. 9, ФСБ № 547 | 24 часа | Состав ч. 2 ст. 13.12.1 КоАП касается только значимых объектов |
| Оператор ПДн (утечка) | Роскомнадзор | 152-ФЗ ч. 3.1 ст. 21 | 24 ч. + 72 ч. (расследование) | Ч. 11-18 ст. 13.11 КоАП (до 500 млн руб.) |
| Банк | ФинЦЕРТ | 851-П | 3 часа | Меры Банка России |
| НФО | ФинЦЕРТ | 757-П | По 757-П | Меры Банка России |
| Оператор ГИС | ФСТЭК России + НКЦКИ | приказ ФСТЭК России № 117 | по приказу ФСТЭК России № 117 | ч. 6 ст. 13.12 КоАП |
НКЦКИ и ГосСОПКА
Субъекты КИИ уведомляют НКЦКИ через техническую инфраструктуру ГосСОПКА. Если организация подключена к ГосСОПКА напрямую, информация передаётся через защищённый канал. Если не подключена, допускается отправка через личный кабинет на сайте cert.gov.ru или по электронной почте НКЦКИ.
Уведомление должно содержать дату и время обнаружения, описание инцидента, его категорию и тип, затронутые ресурсы и предпринятые меры. Полный перечень сведений определён приказом ФСБ России от 24.07.2018 № 367. Порядок обмена информацией между субъектами КИИ и НКЦКИ регулируется приказом ФСБ России от 25.12.2025 № 546.
Роскомнадзор при утечке ПДн
Оператор персональных данных обязан уведомить Роскомнадзор через портал pd.rkn.gov.ru. Первое уведомление подаётся в течение 24 часов после обнаружения утечки и содержит информацию о факте утечки, предположительных причинах и предполагаемом количестве затронутых записей. Второе уведомление подаётся в течение 72 часов и содержит результаты внутреннего расследования с указанием установленных причин, оценкой вреда субъектам ПДн и описанием принятых мер (ч. 3.1 ст. 21 152-ФЗ).
Штрафы дифференцированы по масштабу утечки (ч. 11-18 ст. 13.11 КоАП РФ). За неуведомление об утечке юридическому лицу грозит от 1 до 3 миллионов рублей (ч. 11). За утечку данных более 100 000 субъектов ПДн штраф составляет от 10 до 15 миллионов рублей (ч. 14), а за утечку биометрических данных доходит до 20 миллионов рублей (ч. 17). За повторную утечку, совершённую лицом, которое уже привлекалось к ответственности за подобные нарушения, применяется оборотный штраф от 1 до 3 процентов совокупной выручки за предшествующий год, но не менее 20 миллионов и не более 500 миллионов рублей (ч. 15). До 30 мая 2025 года отдельного состава за утечку персональных данных в КоАП не было. Такие нарушения квалифицировались по общим частям статьи 13.11, и штраф для юридического лица не превышал 300 000 рублей (ч. 1.1).
ФинЦЕРТ
Кредитные организации уведомляют Банк России через ФинЦЕРТ. Технически информация передаётся в автоматизированную систему обработки инцидентов (АСОИ). Срок передачи информации об инциденте защиты информации составляет 3 часа с момента обнаружения (Положение 851-П). На расследование и предоставление результатов отводится 30 дней. НФО взаимодействуют с ФинЦЕРТ по Положению 757-П.
Если банк или НФО одновременно подпадает под 187-ФЗ как субъект КИИ, уведомления направляются параллельно в НКЦКИ и ФинЦЕРТ (подробнее в разделе «Банки и НФО»). Подробнее о построении SOC смотрите в видео «Точки отказа. Что нам стоит SOC построить?».
Что подготовить заранее
План реагирования
План реагирования на компьютерные инциденты (ГОСТ Р 59709-2022, термин 44) — это «набор документированных процедур и инструкций, определяющих порядок реализации мероприятий по реагированию на компьютерные инциденты». Документ должен содержать несколько обязательных элементов.
- Матрица классификации инцидентов с пороговыми значениями для каждого уровня критичности.
- Контактная информация для уведомлений (НКЦКИ, Роскомнадзор, ФинЦЕРТ) и внутренних заинтересованных лиц (руководство, юристы, специалисты по связям с общественностью).
- Шаблоны уведомлений для каждого регулятора.
- Порядок эскалации с указанием полномочий на каждом уровне.
- Процедура сохранения доказательств.
- Порядок восстановления систем.
Как составить такой план и в какие сроки отчитываться перед НКЦКИ, разбираем в статье «Реагирование на компьютерные инциденты: порядок, этапы и план реагирования».
Любой план реагирования нужно регулярно тестировать. Киберучения проводятся не реже раза в год. Команда собирается, зачитывается сценарий инцидента, каждый участник проходит свою часть плана. Такие учения выявляют пробелы до того, как случится реальный инцидент.
Команда и роли
ГОСТ Р 59709-2022 определяет 10 ролей специалистов центра ГосСОПКА (термины 7-16). В коммерческих организациях состав команды реагирования адаптируется под размер и зрелость компании, а минимальный набор ролей выглядит так.
- Координатор реагирования (incident manager), который управляет процессом.
- Технические специалисты для расследования (аналитики первой и второй линии, специалист по компьютерной криминалистике).
- Ответственный за подготовку уведомлений регуляторам.
- Представитель руководства для принятия решений по эскалации.
- Юрист для оценки правовых последствий.
- Специалист по коммуникациям, если инцидент стал публичным.
Тот же Указ Президента РФ № 250 требует от субъектов КИИ создать структурное подразделение по ИБ либо возложить эти функции на уже существующее подразделение. Полномочия каждого участника команды реагирования закрепляются в плане до инцидента, а не определяются в процессе.
Инструменты
Для обнаружения инцидентов организации, подпадающей под 187-ФЗ, необходим набор средств защиты информации.
- SIEM для сбора и корреляции событий безопасности.
- Средства обнаружения и предотвращения вторжений (IDS/IPS).
- Антивирусная защита на конечных точках.
- Средства анализа сетевого трафика (NTA).
- EDR для мониторинга конечных точек.
- IRP/SOAR для автоматизации реагирования.
- DLP для предотвращения утечек.
- Сканеры уязвимостей для превентивного контроля.
Перечень не исчерпывающий, состав определяется моделью угроз, категорией значимости объекта КИИ (для субъектов КИИ), классом защищённости (для ГИС) или уровнем защищённости (для информационных систем персональных данных, ИСПДн).
Для расследования нужны средства форензики (снятие образов дисков, анализ оперативной памяти), средства анализа вредоносного ПО, доступ к платформам киберразведки (Threat Intelligence) и система тикетов для отслеживания хода расследования. Подробнее об инструментарии SOC смотрите в видео «Точки отказа. SOC: когда работает, а когда нет?».
Ошибки при реагировании
На профильных конференциях (SOC Forum, PHDays, форум ГосСОПКА) и в отчётах команд реагирования (F6, Solar JSOC, «Лаборатория Касперского») регулярно описываются типовые ошибки, которые усугубляют последствия инцидентов.
Нет матрицы классификации. Организация фиксирует события в SIEM, но не имеет формализованных критериев эскалации. Без чёткой границы между событием и инцидентом (см. раздел «Что считается инцидентом») команда либо тонет в ложных тревогах, либо пропускает реальные угрозы. Решением служит документированная матрица с пороговыми значениями для каждого типа и уровня критичности.
Уничтожение доказательств. Администратор обнаруживает скомпрометированный сервер и переустанавливает ОС, перезагружает его с потерей содержимого оперативной памяти или очищает журналы. В результате расследовать нечего, причина инцидента неизвестна, регулятору нечего показать. При подозрении на инцидент ничего нельзя удалять, переустанавливать или перезагружать до консультации со специалистом по расследованию.
Нарушение сроков уведомления. Закон даёт 3 часа для ЗОКИИ, 24 часа для прочих субъектов КИИ и 24 плюс 72 часа для операторов персональных данных. Причины срыва этих сроков типичны: долгая верификация, внутренние согласования с юристами и руководством, отсутствие у дежурной смены контактов НКЦКИ и готового шаблона уведомления. Каждая из них устраняется на этапе подготовки, до инцидента.
Нет плана реагирования. При отсутствии плана каждое решение приходится принимать на ходу. Кто изолирует систему, кто уведомляет НКЦКИ, кто готовит уведомление в Роскомнадзор, кто общается со СМИ — все эти вопросы должны быть решены заранее, а не в первые часы инцидента, когда счёт идёт на минуты.
Восстановление без проверки. Система восстановлена из резервной копии, но копия уже содержала вредоносный код, внедрённый за недели до обнаружения. Без установления причин инцидента (ГОСТ Р 59709-2022, термин 49) и проверки целостности резервных копий возврат системы в работу может привести к повторной компрометации.
Итоги
Событие, инцидент ИБ и компьютерный инцидент — юридически разные понятия с разными правовыми последствиями. Субъекты КИИ со значимыми объектами уведомляют НКЦКИ в течение 3 часов (приказ ФСБ от 25.12.2025 № 547), без присвоенной категории значимости в течение 24 часов. Операторы ПДн уведомляют Роскомнадзор в течение 24 часов с последующим отчётом за 72 часа (ч. 3.1 ст. 21 152-ФЗ). Кредитные организации передают данные в ФинЦЕРТ в течение 3 часов (Положение 851-П). Организация может подпадать под несколько режимов регулирования, и тогда уведомлять нужно каждого регулятора отдельно.
Оборотные штрафы за повторные утечки ПДн составляют от 1% до 3% совокупной выручки, но не менее 20 миллионов рублей (ч. 15 ст. 13.11 КоАП РФ). За неправомерное воздействие на КИИ предусмотрена уголовная ответственность вплоть до 10 лет лишения свободы (ст. 274.1 УК РФ).
Организация, которая подготовилась заранее — с утверждённым планом реагирования, распределёнными ролями, протестированными сценариями и настроенными средствами мониторинга — проходит инцидент быстрее и с меньшими потерями. Для тех, кто начинает выстраивать процесс, серия ГОСТ Р 59709–59712-2022 даёт терминологическую базу и структуру, а приказы ФСБ и ФСТЭК определяют конкретные требования и сроки.



