Реагирование на компьютерные инциденты: порядок, этапы и план реагирования

С 30 января 2026 года реагирование на компьютерные инциденты регулируется новым пакетом приказов ФСБ России, который заменил документы, действовавшие с 2018-2019 годов. Сроки уведомления НКЦКИ [Национальный координационный центр по компьютерным инцидентам], требования к плану реагирования, обязательные ежегодные тренировки закреплены теперь в приказе ФСБ России от 25.12.2025 № 547, а круг организаций, обязанных сообщать об инцидентах, заметно расширился ещё весной 2025 года. При этом многие публикации в сети всё ещё пересказывают отменённые приказы. В этой статье разбираем, что такое реагирование на инциденты и чем оно отличается от расследования, кто и в какие сроки уведомляет регуляторов, как составить план реагирования и из каких этапов состоит сам процесс по ГОСТ Р 59712-2022. Материал рассчитан на руководителей и специалистов служб ИБ, владельцев объектов критической информационной инфраструктуры (КИИ) и тех, кто выстраивает процесс реагирования с нуля.

Содержание

1. Что такое реагирование на компьютерные инциденты
2. Нормативная база. Что действует в 2026 году
3. Обязанности по 187-ФЗ. Кто и что должен
4. Сроки уведомлений. 3 часа, 24 часа, 48 часов
5. План реагирования на компьютерные инциденты
6. Этапы реагирования по ГОСТ Р 59712-2022
7. Кто реагирует. Рабочие группы, SOC и центры ГосСОПКА
8. Регламент реагирования внутри организации
9. Инструменты реагирования
10. Реагирование вне КИИ. Персональные данные и другие случаи
11. Ответственность за нарушение порядка реагирования
12. Типичные ошибки при реагировании
13. Частые вопросы
14. Что в итоге

Что такое реагирование на компьютерные инциденты

Реагирование на компьютерные инциденты входит в обязанности организаций наряду с информированием ФСБ России и ликвидацией последствий компьютерных атак. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» употребляет все три понятия вместе, и на практике они образуют единый процесс. Организация обнаруживает инцидент, сообщает о нём в установленные сроки, локализует, устраняет последствия и восстанавливает работу систем.

Компьютерный инцидент и компьютерная атака по 187-ФЗ

187-ФЗ разводит два понятия уже на уровне определений. Компьютерный инцидент по пункту 5 статьи 2 187-ФЗ определяется как «факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».

Компьютерная атака по пункту 4 той же статьи представляет собой «целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации».

Принципиальная разница в том, что атака описывает действия нападающей стороны, а инцидент фиксирует наступившие последствия. Атака может закончиться ничем, если её отбили средства защиты, и тогда инцидента нет, хотя сообщить об атаке всё равно придётся. Инцидент при этом не всегда связан с атакой, ведь сбой возможен и из-за ошибки администратора или отказа оборудования. Формулировка «в том числе произошедший в результате компьютерной атаки» прямо допускает инциденты без злого умысла. Что считается инцидентом ИБ в более широком смысле и какие у него признаки, мы разбирали в статье «Инцидент ИБ: что это, как реагировать и кого уведомлять по закону».

Чем реагирование отличается от расследования

Реагирование отвечает на вопрос «что делать прямо сейчас». Его цель остановить развитие инцидента, минимизировать ущерб и вернуть системы в работу. Расследование отвечает на вопрос «как это произошло и кто виноват». Оно начинается, когда острая фаза позади, опирается на собранные в ходе реагирования материалы и может длиться недели. Путать эти процессы не стоит, у них разные цели, сроки и исполнители, хотя этап фиксации материалов их связывает. О практике расследований эксперты рассказывали в материале «Расследование инцидентов в ИБ».

Кого касаются требования

Строже всего требования к субъектам КИИ. Это государственные органы, государственные учреждения и российские юридические лица, которым принадлежат информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления в одной из 14 сфер, перечисленных в статье 2 187-ФЗ, от здравоохранения и транспорта до банковской сферы и химической промышленности. Подробный разбор того, кто относится к субъектам и объектам КИИ, есть в статье «Критическая информационная инфраструктура: что это, 187-ФЗ, субъекты и объекты».

С 07.04.2025 круг обязанных лиц заметно расширился. Федеральный закон от 07.04.2025 № 58-ФЗ дополнил статью 9 187-ФЗ частью 4, которая распространила обязанности по информированию об атаках и инцидентах на руководителей государственных органов, государственных унитарных предприятий, учреждений, фондов, госкорпораций и иных российских юридических лиц под контролем государства, даже если их информационные ресурсы не относятся к КИИ. Контроль здесь понимается как право распоряжаться более чем половиной голосующих акций или долей. Проще говоря, дочерняя компания госкорпорации теперь информирует НКЦКИ о компьютерных инцидентах со своими информационными ресурсами, и наличие объектов КИИ для этого не требуется.

Остальным организациям реагирование тоже нужно, просто требования к ним мягче. Операторы персональных данных уведомляют Роскомнадзор об утечках, финансовые организации отчитываются перед Банком России, а обычная коммерческая компания выстраивает процесс добровольно, чтобы сократить простой и убытки. Этим случаям посвящён отдельный раздел ниже.

Нормативная база. Что действует в 2026 году

С 30 января 2026 года порядок взаимодействия с регулятором серьёзно обновился. ФСБ России в конце декабря 2025 года выпустила пакет приказов, который заменил документы 2018-2019 годов, действовавшие с момента запуска ГосСОПКА [Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации]. Публикации, написанные до 2026 года, опираются на прежние приказы, поэтому при подготовке внутренних документов сверяйтесь с актуальным перечнем.

Пакет приказов ФСБ России от декабря 2025 года

Центральный документ для темы реагирования теперь приказ ФСБ России от 25.12.2025 № 547. Он утвердил порядок информирования ФСБ России о компьютерных атаках и инцидентах, реагирования на них и принятия мер по ликвидации последствий атак, а заодно признал утратившими силу приказ ФСБ России от 19.06.2019 № 282 и изменявший его приказ от 07.07.2022 № 348. Именно в приказе ФСБ России № 547 закреплены сроки уведомлений, требования к плану реагирования и обязательные тренировки, о которых пойдёт речь дальше.

Вместе с ним с 30 января 2026 года заработали приказ ФСБ России от 25.12.2025 № 548 о непрерывном взаимодействии с ГосСОПКА через личный кабинет в инфраструктуре НКЦКИ, приказ от 25.12.2025 № 546 о порядке обмена информацией об инцидентах между организациями, в том числе с уполномоченными органами иностранных государств и международными организациями, заменивший приказ ФСБ России № 368, и приказ от 23.12.2025 № 539 о размещении информации в системе. С 10 февраля 2026 года действуют приказы от 26.12.2025 № 553 и № 554 об установке и требованиях к средствам ГосСОПКА, заменившие приказы ФСБ России № 281 и № 196. Положение о НКЦКИ из приказа ФСБ России от 24.07.2018 № 366 продолжает действовать с изменениями, внесёнными приказом от 24.12.2025 № 540.

Новый приказ ФСБ России	Что регулирует	Что заменил	Действует с
№ 547 от 25.12.2025	Информирование об атаках и инцидентах, реагирование, ликвидация последствий, план реагирования	№ 282 (2019), № 348 (2022)	30.01.2026
№ 548 от 25.12.2025	Непрерывное взаимодействие значимых объектов КИИ с ГосСОПКА, личный кабинет	новый документ	30.01.2026
№ 546 от 25.12.2025	Обмен информацией об инцидентах между субъектами КИИ и иными организациями	№ 368 (2018)	30.01.2026
№ 539 от 23.12.2025	Размещение информации в ГосСОПКА и её получение	новый документ	30.01.2026
№ 540 от 24.12.2025	Изменения в Положение о НКЦКИ (приказ ФСБ России № 366 действует)	—	30.01.2026
№ 553 от 26.12.2025	Порядок и техусловия установки и эксплуатации средств ГосСОПКА	№ 281 (2019)	10.02.2026
№ 554 от 26.12.2025	Требования к средствам ГосСОПКА	№ 196 (2019)	10.02.2026

Серия ГОСТ Р по управлению компьютерными инцидентами

Методологическую основу процесса задаёт серия национальных стандартов «Защита информации. Управление компьютерными инцидентами». В неё входят ГОСТ Р 59709-2022 с терминами и определениями, ГОСТ Р 59710-2022 с общими положениями, ГОСТ Р 59711-2022 об организации деятельности и ГОСТ Р 59712-2022 с руководством по реагированию. К ним примыкает ГОСТ Р 59547-2021 о мониторинге информационной безопасности, на данные которого опирается обнаружение инцидентов. Стандарты добровольные, но именно по ним удобно выстраивать внутренние процессы, и этапы реагирования дальше в статье приведены по ГОСТ Р 59712-2022.

Методические документы НКЦКИ

На сайте ГосСОПКА опубликованы методические рекомендации НКЦКИ, которые закрывают практические вопросы. Для нашей темы главные из них три. Методические рекомендации по разработке плана реагирования на компьютерные инциденты для значимых объектов КИИ изданы в 2020 году и описывают структуру плана по разделам. Регламент взаимодействия НКЦКИ и владельцев информационных ресурсов определяет порядок работы с центром для организаций, которые субъектами КИИ не являются. Методические рекомендации по организации прямого взаимодействия с НКЦКИ описывают подключение методом присоединения. Существует и документ по установлению причин и ликвидации последствий инцидентов, но он имеет ограниченный доступ.

Из зарубежных НПА стоит отметить NIST SP 800-61. В апреле 2025 года вышла третья редакция, которая отказалась от привычного жёсткого жизненного цикла реагирования и встроила его в структуру функций CSF 2.0. Для российских организаций документ носит справочный характер, нормативной силы у него нет, а требования регуляторов в РФ первичны. Международный стандарт ISO/IEC 27035 по управлению инцидентами также применяется в основном как источник идей для внутренних методик.

Обязанности по 187-ФЗ. Кто и что должен

Статья 9 187-ФЗ после поправок 58-ФЗ выстраивает обязанности по нарастающей. Чем выше статус организации в системе КИИ, тем больше требований.

Все субъекты КИИ. Информировать незамедлительно

Базовая обязанность касается каждого субъекта КИИ независимо от того, есть ли у него значимые объекты. Пункт 1 части 2 статьи 9 187-ФЗ требует «незамедлительно информировать о компьютерных атаках и компьютерных инцидентах» уполномоченный орган, то есть ФСБ России в лице НКЦКИ, а для банковской сферы и иных сфер финансового рынка ещё и Банк России. Конкретные сроки, в которые укладывается это «незамедлительно», установлены приказом ФСБ России № 547 и разобраны в следующем разделе. Дополнительно субъекты обязаны содействовать должностным лицам ФСБ России в обнаружении и предупреждении атак и установлении причин инцидентов, а при установке на объектах средств ГосСОПКА обеспечивать их сохранность и порядок эксплуатации.

Владельцы значимых объектов. Реагировать по порядку ФСБ России

Субъектам, которым принадлежат значимые объекты КИИ, часть 3 статьи 9 187-ФЗ добавляет обязанность «реагировать на компьютерные инциденты в порядке, утвержденном» уполномоченным федеральным органом, и принимать меры по ликвидации последствий атак. Этот порядок и есть приказ ФСБ России № 547. Сюда же относится непрерывное взаимодействие с ГосСОПКА по правилам приказа ФСБ России № 548, появившееся в законе с поправками 58-ФЗ. Напомню, что категорию значимости объекту присваивают по результатам категорирования, его процедуру мы разбирали в статье «Категорирование объектов КИИ: порядок и сроки в 2026 году».

Требования к самой защите значимых объектов установлены приказом ФСТЭК России от 25.12.2017 № 239, и реагирование там присутствует как отдельная группа мер XII «Реагирование на компьютерные инциденты» (ИНЦ) в составе требований к подсистеме безопасности. Подробно эти требования разобраны в статье «Безопасность значимых объектов КИИ: требования приказа ФСТЭК №239».

Госорганы и компании под контролем государства

Часть 4 статьи 9 187-ФЗ распространила обязанности по информированию и непрерывному взаимодействию с ГосСОПКА на руководителей государственных органов, государственных унитарных предприятий, учреждений, фондов, госкорпораций и компаний под контролем Российской Федерации или её субъектов. Речь идёт об их информационных ресурсах, а не только об объектах КИИ. Исключение сделано для органов внешней разведки, госохраны, мобилизационной подготовки и самих ФСБ России и ФСТЭК России. Порядок информирования для этой категории установлен тем же приказом ФСБ России № 547, и сроки там отдельные, мы свели их в таблицу ниже.

Сроки уведомлений. 3 часа, 24 часа, 48 часов

Сроки информирования о компьютерных атаках и компьютерных инцидентах установлены приказом ФСБ России от 25.12.2025 № 547 и считаются с момента обнаружения. Не с момента, когда служба ИБ разобралась в причинах, а с момента, когда инцидент зафиксирован. Разница существенная, ведь полное расследование за три часа провести нереально, и регулятор его на этом этапе не ждёт. НКЦКИ достаточно первичного уведомления по установленному формату, а детали направляются позже, когда появятся результаты реагирования.

Информирование НКЦКИ об инциденте и атаке

Жёстче всего регулятор обходится со значимыми объектами КИИ. Информация о компьютерном инциденте в значимом объекте направляется в НКЦКИ в срок не позднее 3 часов с момента обнаружения (пункт 3 приказа ФСБ России № 547). Для инцидентов на остальных объектах КИИ, не отнесённых к значимым, срок составляет 24 часа. Столько же отводится руководителям государственных органов и организаций из части 4 статьи 9 Федерального закона от 26.07.2017 № 187-ФЗ на уведомление об инцидентах с их информационными ресурсами.

К компьютерным атакам подход мягче, о них сообщают в течение 24 часов с момента обнаружения независимо от того, какой объект атакован, значимый или нет. Логика здесь прозрачная, ведь атака может и не привести к инциденту, если средства защиты информации отработали штатно, поэтому трёхчасовой норматив к атакам не применяется.

Сведения передаются через техническую инфраструктуру НКЦКИ, предназначенную для отправки, получения и обработки уведомлений в установленных форматах (пункт 2 приказа ФСБ России № 547). Если подключения к ней нет, информация направляется почтовой или электронной связью по адресам, опубликованным на официальном сайте центра cert.gov.ru. Как устроено само подключение и личный кабинет, мы разбирали в статье «ГосСОПКА: что это, как подключиться и взаимодействовать с НКЦКИ в 2026 году».

Отчёт о результатах реагирования

Первичным уведомлением обязанности субъекта не заканчиваются. После завершения мероприятий по реагированию и ликвидации последствий атак субъект КИИ со значимыми объектами обязан в срок не позднее 48 часов направить в НКЦКИ информацию о результатах (пункт 14 приказа ФСБ России № 547). Этот срок легко упустить, когда организация отчиталась об инциденте, закрыла его и считает историю законченной, а время на итоговые сведения уже идёт.

Для государственных органов и организаций из части 4 статьи 9 187-ФЗ правила немного другие. Результаты реагирования они направляют в НКЦКИ в течение 24 часов с момента окончания мероприятий, и ещё 24 часа отводится на сообщение о том, что функционирование информационного ресурса восстановлено и его работоспособность проверена (пункты 15 и 17 приказа ФСБ России № 547).

Финансовый сектор. Дубль в Банк России

Банки и другие организации финансового рынка уведомляют двух адресатов. Если атака или инцидент связаны с объектом КИИ финансовой организации, информация в те же сроки направляется ещё и в Банк России через его автоматизированную систему, а при её технической недоступности резервным способом (пункт 4 приказа ФСБ России № 547). Сведения о результатах реагирования финансовые организации также дублируют в Банк России в срок не позднее 48 часов после завершения мероприятий. Помимо контура ГосСОПКА, у Банка России есть собственные требования к учёту инцидентов операционной надёжности с отдельной отчётностью, этот режим работает параллельно и в настоящей статье не рассматривается.

Что произошло	Кто сообщает	Куда	Срок
Компьютерный инцидент в значимом объекте КИИ	Субъект КИИ	НКЦКИ (финсектор также в Банк России)	Не позднее 3 часов с момента обнаружения
Компьютерный инцидент в ином объекте КИИ	Субъект КИИ	НКЦКИ (финсектор также в Банк России)	Не позднее 24 часов с момента обнаружения
Компьютерный инцидент на информационном ресурсе госоргана или организации	Руководитель органа (организации)	НКЦКИ	Не позднее 24 часов с момента обнаружения
Компьютерная атака на объект КИИ или информационный ресурс	Субъект КИИ, руководитель органа (организации)	НКЦКИ (финсектор также в Банк России)	Не позднее 24 часов с момента обнаружения
Результаты реагирования и ликвидации последствий	Субъект КИИ со значимыми объектами	НКЦКИ (финсектор также в Банк России)	Не позднее 48 часов после завершения мероприятий
Результаты реагирования по информационным ресурсам	Орган (организация)	НКЦКИ	В течение 24 часов с момента окончания мероприятий
Восстановление работы информационного ресурса	Орган (организация)	НКЦКИ	В течение 24 часов с момента завершения мер

План реагирования на компьютерные инциденты

План реагирования отвечает на вопрос, кто и что делает, когда инцидент уже случился. В разгар атаки времени на выяснение зон ответственности нет, поэтому регулятор требует продумать всё заранее и зафиксировать на бумаге. Для владельцев значимых объектов КИИ документ обязателен, остальным он пригодится и без требования закона.

Кто обязан и в какой срок

Субъект КИИ, которому принадлежит значимый объект, разрабатывает план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак в срок не более 90 календарных дней со дня включения объекта в реестр значимых объектов КИИ (пункт 5 приказа ФСБ России № 547). План утверждает руководитель субъекта КИИ, а копию утверждённого документа нужно направить в НКЦКИ в течение 7 календарных дней со дня утверждения (пункт 6 того же приказа). Сам реестр значимых объектов ведёт ФСТЭК России, и отсчёт идёт именно от даты включения в него, а не от даты утверждения акта категорирования.

Из чего состоит план

Минимальный состав плана задан пунктом 5 приказа ФСБ России № 547. Документ должен содержать:

• технические характеристики и состав значимых объектов КИИ;
• события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;
• мероприятия по реагированию на инциденты и ликвидации последствий атак, а также время, отводимое на их реализацию;
• описание состава подразделений и должностных лиц, ответственных за проведение этих мероприятий.

Развёрнутую структуру дают методические рекомендации НКЦКИ по разработке плана реагирования, изданные в 2020 году и описывающие шесть разделов документа. Первый посвящён техническим характеристикам и составу значимых объектов, второй событиям-триггерам, с которых начинается отработка плана, третий ответственным подразделениям и должностным лицам, четвёртый мероприятиям и времени на их реализацию, пятый условиям привлечения подразделений ФСБ России, шестой порядку совместных с ними действий. Методичка писалась ещё под приказ ФСБ России № 282, который с 30 января 2026 года заменён приказом ФСБ России № 547, но сама структура плана осталась рабочей, поскольку новый порядок сохранил требования к содержанию документа.

Раздел плана	Что в нём фиксируется
1. Технические характеристики и состав значимых объектов КИИ	Перечень объектов, их архитектура, категории значимости
2. События (условия) запуска плана	При каких признаках инцидента начинается отработка мероприятий
3. Ответственные подразделения и должностные лица	Кто руководит реагированием, кто исполняет, контакты и роли
4. Мероприятия и время на их реализацию	Конкретные действия по реагированию и ликвидации последствий с нормативами времени
5. Условия привлечения ФСБ России	Когда субъект обращается за помощью к регулятору (раздел опциональный)
6. Порядок совместных мероприятий с ФСБ России	Как организуется работа с привлечёнными подразделениями (раздел опциональный)

Согласование с ФСБ России и Банком России

Согласование плана требуется не всем организациям. Если субъект КИИ хочет предусмотреть в плане привлечение подразделений и должностных лиц ФСБ России к реагированию, такие положения включаются в документ по пункту 7 приказа ФСБ России № 547, а проект плана до утверждения направляется в Центр защиты информации и специальной связи ФСБ России. Там его рассматривают в срок до 30 календарных дней и либо согласовывают, либо возвращают на доработку (пункт 8 приказа). План без этих положений согласования с ФСБ России не требует, его достаточно утвердить и направить копию в НКЦКИ.

У финансовых организаций к этой схеме добавляется своя надстройка. Субъекты КИИ из банковской сферы и иных сфер финансового рынка могут включать в план условия привлечения подразделений Банка России, и тогда проект плана до утверждения направляется на согласование в Банк России, который рассматривает его также до 30 календарных дней (пункт 9 приказа ФСБ России № 547). Если в плане есть и положения о привлечении ФСБ России, сначала документ проходит согласование там и только потом уходит в Банк России.

Тренировки не реже раза в год

План, который ни разу не отрабатывали, имеет привычку разваливаться при первом реальном инциденте. Пункт 10 приказа ФСБ России № 547 обязывает субъектов КИИ со значимыми объектами не реже одного раза в год организовывать и проводить тренировки по отработке мероприятий плана реагирования. Объём и содержание тренировки организация определяет сама исходя из мероприятий плана, а проведение возлагается на те же подразделения, что отвечают за реагирование. Если тренировка выявила недостатки, в план вносятся изменения. Это требование закреплено в самом приказе, так что пропущенная годовая тренировка формально становится нарушением порядка реагирования.

Этапы реагирования по ГОСТ Р 59712-2022

Приказы ФСБ России отвечают на вопросы «кому сообщать и в какие сроки», а вот как именно действовать внутри организации, описывает ГОСТ Р 59712-2022. Реагирование на инциденты по стандарту складывается из последовательных этапов, у каждого своя цель и свой результат. Последовательность ниже приведена по разделам 4-8 стандарта.

Обнаружение и регистрация инцидента

Всё начинается с мониторинга событий безопасности, который ведётся по ГОСТ Р 59547-2021. Признак возможного инцидента регистрируется либо автоматически средствами управления событиями на основе правил корреляции, либо вручную специалистами, в том числе по сообщениям работников. Дальше зарегистрированный признак нужно подтвердить проверкой. Специалист, ответственный за реагирование, анализирует карточку признака, при необходимости опрашивает пользователей и проверяет журналы, после чего принимает решение о регистрации компьютерного инцидента, его приоритете и уровне влияния. Если выяснилось, что это была атака, не приведшая к инциденту, формируется карточка компьютерной атаки. Подходы к определению уровней влияния и приоритетов приведены в приложениях А и Б ГОСТ Р 59711-2022.

Определение вовлечённых элементов и локализация

После подтверждения инцидента рабочая группа выясняет, какие элементы информационной инфраструктуры в него вовлечены. Для этого изучается состояние систем через журналы ОС и средств защиты информации, сканирование файловой системы, инвентаризацию, анализ уязвимостей и сетевого трафика (раздел 6.2 ГОСТ Р 59712-2022). Затем инцидент локализуется, то есть ограничивается функционирование затронутых элементов, чтобы он не расползался дальше. Стандарт называет среди возможных действий блокировки на межсетевом экране, изоляцию заражённого элемента от сети, выключение, изменение маршрутизации, отключение процессов и учётных записей, которые мог использовать злоумышленник.

Тонкий момент состоит в том, что любые изменения в системах могут уничтожить цифровые свидетельства, поэтому ГОСТ Р 59712-2022 прямо требует убедиться, что вся информация, необходимая для установления причин инцидента, собрана в полном объёме до внесения каких-либо системных изменений. Выключить заражённый сервер до снятия дампа памяти означает потерять часть картины происшедшего.

Выявление и ликвидация последствий

Когда распространение остановлено, рабочая группа проводит детальный анализ и выявляет признаки негативного воздействия. Это нештатная сетевая активность, изменённые или удалённые файлы и настройки, отклонения от эталонной конфигурации ОС и средств защиты, потенциально вредоносные команды в оперативной памяти, сбои в штатной работе систем (раздел 6.4 ГОСТ Р 59712-2022). Затем рабочая группа переходит к ликвидации последствий. На уровне сети это правка настроек и правил фильтрации, отключение уязвимых сервисов, смена аутентификационных данных скомпрометированных учётных записей, подключение резервных каналов и оборудования. На уровне прикладного ПО и ОС стандарт описывает восстановление из актуальных резервных копий, удаление вредоносного ПО с отменой внесённых им изменений, настройку безопасной конфигурации, а в тяжёлых случаях переустановку ОС с актуальными обновлениями безопасности.

Закрытие, фиксация материалов и установление причин

Решение о закрытии инцидента принимает руководитель рабочей группы по результатам проверки полноты выполненных и запротоколированных действий на каждом этапе. Карточки закрытых инцидентов не удаляются, они превращаются в типовые шаблоны действий и базу знаний для будущих случаев (раздел 6.6 ГОСТ Р 59712-2022). Параллельно с основными этапами, а иногда и после закрытия, идут фиксация материалов и установление причин. По разделу 7.1 ГОСТ Р 59712-2022 фиксации подлежат:

• электронные образы машинных носителей информации;
• содержимое рабочей памяти процессов, ядра или ОС в целом (дампы);
• сетевой трафик между вовлечёнными элементами инфраструктуры;
• образцы вредоносного ПО;
• журналы регистрации событий безопасности, файлы реестра ОС, системные и пользовательские файлы;
• сообщения электронной почты;
• снимки состояния виртуальных машин.

Эти материалы лягут в основу установления причин и условий возникновения инцидента, а затем и расследования. Какие журналы для этого нужно собирать заранее, разобрано в материале «Минимально достаточный набор журналов для расследований: что собирать, где хранить и как проверять доступность».

Анализ результатов и метрики

Финальную стадию по ГОСТ Р 59712-2022 составляет анализ результатов деятельности. Организация накапливает опыт, дорабатывает политику управления инцидентами и план реагирования, разрабатывает рекомендации по устранению причин и условий возникновения инцидентов, оценивает эффективность предпринятых действий. Стандарт советует проводить такую оценку прежде всего для инцидентов со средним, высоким и критическим уровнями влияния и устраивать рабочие совещания со всеми участвовавшими подразделениями. На практике сюда же относится контроль времени реагирования. Чем дольше инцидент остаётся незамеченным, тем больше времени у злоумышленника на развитие атаки, поэтому зрелые команды отслеживают интервалы от возникновения до обнаружения и от обнаружения до закрытия по собственным карточкам инцидентов.

Кто реагирует. Рабочие группы, SOC и центры ГосСОПКА

Технические шаги из предыдущего раздела кто-то должен выполнять, причём быстро и слаженно. Оргмоделей несколько, и они не исключают друг друга.

Рабочая группа реагирования внутри организации

ГОСТ Р 59712-2022 оперирует понятием рабочей группы реагирования на компьютерный инцидент. Это специалисты, которых руководитель группы назначает на конкретный инцидент, и для разных типов инцидентов составы могут отличаться. В международной практике похожую роль выполняет CSIRT [Computer Security Incident Response Team, группа реагирования на инциденты компьютерной безопасности]. Кадровую основу задаёт и Указ Президента РФ от 01.05.2022 № 250, по которому в организациях, на которые он распространяется, за обеспечение ИБ отвечает заместитель руководителя, а функции защиты возлагаются на профильное подразделение. Состав подразделений и должностных лиц, ответственных за реагирование, для значимых объектов КИИ фиксируется прямо в плане реагирования, об этом говорилось выше.

Свой SOC или внешний сервис

Для круглосуточного мониторинга и первичного реагирования организации выделяют SOC. Собственный центр даёт полный контроль над процессом и знанием инфраструктуры, но требует штата минимум в несколько смен аналитиков, что доступно далеко не каждой организации. Коммерческие SOC-провайдеры закрывают мониторинг и уведомления по подписке, а гибридная модель делит работу, когда внешний центр отвечает за первую линию и обнаружение, внутренняя команда за локализацию и ликвидацию последствий. Выбор зависит от масштаба инфраструктуры, требований регуляторов и бюджета, единственно верной схемы здесь нет.

Модель	Сильные стороны	Ограничения
Собственный SOC	Полный контроль, знание инфраструктуры, накопление экспертизы внутри	Штат в несколько смен, длительное построение, высокая стоимость
Внешний SOC-провайдер	Быстрый старт, круглосуточное покрытие по подписке	Меньше контекста об инфраструктуре, реагирование на стороне клиента всё равно остаётся
Гибридная модель	Первая линия и мониторинг снаружи, локализация и ликвидация внутри	Требует чёткого разграничения зон ответственности в договоре и регламентах

НКЦКИ и центры ГосСОПКА

Над уровнем отдельных организаций работает ГосСОПКА. Координирует систему НКЦКИ, созданный приказом ФСБ России от 24.07.2018 № 366. Центр принимает уведомления об атаках и инцидентах, присваивает им идентификаторы, рассылает бюллетени об угрозах и при необходимости подключает к реагированию подразделения ФСБ России. Субъекты со значимыми объектами КИИ взаимодействуют с НКЦКИ непрерывно через личный кабинет в его технической инфраструктуре по приказу ФСБ России № 548. Помимо самого центра, в системе действуют корпоративные и ведомственные центры ГосСОПКА, которые берут на себя функции мониторинга и реагирования для своей зоны ответственности по соглашениям с НКЦКИ. Устройство системы и порядок подключения мы подробно разбирали в статье про ГосСОПКА, ссылка была выше.

Регламент реагирования внутри организации

Требования регуляторов и этапы ГОСТ нужно переложить на собственную инфраструктуру и команду, чтобы реагирование на инциденты заработало как процесс, а не как набор благих намерений. Для этого выстраивается иерархия внутренних документов, и у каждого уровня своя задача.

Политика, регламент, инструкции

Верхний уровень занимает политика управления инцидентами. Она закрепляет цели, область действия, роли и полномочия, термины и классификацию инцидентов. Уровнем ниже находится регламент реагирования, который описывает процесс от обнаружения до закрытия, порядок эскалации, сроки уведомления НКЦКИ и других адресатов, правила протоколирования действий. Самый нижний уровень составляют рабочие инструкции для конкретных ролей и типовых ситуаций, написанные так, чтобы дежурный аналитик мог действовать по шагам без долгих раздумий. Практические советы по их составлению есть в материале «Разработка инструкций по реагированию на инциденты: практические рекомендации». Подготовительный контур дополняет модель угроз, из которой понятно, от чего вообще защищаемся, мы разбирали её в статье «Модель угроз безопасности информации: методика ФСТЭК России».

Сценарии реагирования

Отдельный класс документов составляют сценарии реагирования, в зарубежной литературе playbook. Сценарий описывает действия для конкретного типа инцидента, заражения шифровальщиком, компрометации учётной записи, DDoS-атаки, утечки данных. Хороший сценарий укладывается в одну-две страницы и содержит критерии срабатывания, последовательность шагов, ответственных и критерии завершения. Карточки закрытых инцидентов, которые ГОСТ Р 59712-2022 запрещает удалять, как раз и служат сырьём для таких шаблонов. Со временем накопленный набор сценариев превращается в библиотеку, по которой команда отрабатывает большинство типовых ситуаций, а нетиповые случаи остаются на ручной разбор.

Инструменты реагирования

Вручную отследить поток событий безопасности в современной инфраструктуре нельзя, поэтому процесс опирается на средства автоматизации. Перечислим основные классы без привязки к конкретным продуктам.

SIEM, SOAR, EDR и другие классы решений

Основу обнаружения составляет SIEM, система управления событиями и информацией о безопасности, которая собирает журналы из инфраструктуры и коррелирует их по правилам, превращая поток событий в подозрения на инциденты. SOAR [Security Orchestration, Automation and Response, система организации безопасности, автоматизации и реагирования] автоматизирует сами действия по сценариям, от обогащения карточки инцидента данными до блокировки учётной записи. Насколько реально SOAR экономит время аналитиков и почему написать сценарии сложнее, чем развернуть платформу, эксперты обсуждали в материале «SOAR: автоматизация реагирования на инциденты». На конечных точках работает EDR [Endpoint Detection and Response, обнаружение и реагирование на конечных точках], который видит процессы и действия на хостах и умеет изолировать заражённую машину. К этим классам примыкают NDR и NTA для анализа сетевого трафика, межсетевые экраны, средства обнаружения вторжений, сканеры уязвимостей, DLP и другие средства защиты информации, список далеко не полный.

Класс решений	Роль в реагировании	На каком этапе работает
SIEM	Сбор и корреляция событий, регистрация признаков инцидентов	Обнаружение и регистрация
SOAR	Автоматизация действий по сценариям реагирования	Локализация, ликвидация последствий
EDR	Видимость процессов на конечных точках, изоляция хостов	Обнаружение, локализация, фиксация материалов
NDR / NTA	Анализ сетевого трафика, выявление аномалий и следов атаки	Обнаружение, выявление последствий
Межсетевые экраны, средства обнаружения вторжений	Блокировки адресов и потоков при локализации	Локализация
Сканеры уязвимостей	Анализ защищённости вовлечённых элементов	Установление причин, анализ результатов
Средства резервного копирования	Восстановление систем и данных	Ликвидация последствий

Журналы событий как фундамент

Никакая автоматизация не спасёт, если журналировать нечего. И обнаружение, и установление причин, и последующее расследование опираются на журналы регистрации событий, собранные до инцидента. Если журналы не собирались, хранились слишком коротко или доступны только на скомпрометированном хосте, восстановить картину инцидента будет затруднительно. Почему журналирование критично для разбора инцидентов и как его организовать, подробно описано в статье «Журналирование событий: зачем оно нужно и почему без него невозможно нормальное расследование инцидентов».

Реагирование вне КИИ. Персональные данные и другие случаи

Требования к реагированию существуют не только в контуре 187-ФЗ. У операторов персональных данных и организаций без объектов КИИ свои правила, и о них нередко вспоминают уже после инцидента.

Утечка персональных данных. Роскомнадзор за 24 и 72 часа

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» термином «компьютерный инцидент» не пользуется. Часть 3.1 статьи 21 говорит о факте «неправомерной или случайной передачи (предоставления, распространения, доступа)» персональных данных, повлекшей нарушение прав их субъектов. При установлении такого факта оператор обязан уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте, предполагаемых причинах и вреде, принятых мерах, а также сообщить контактное лицо. В течение 72 часов направляются результаты внутреннего расследования и сведения о виновных, если они установлены.

Здесь есть деталь, которую легко не заметить. Отсчёт идёт с момента выявления инцидента не только самим оператором, но и Роскомнадзором или иным заинтересованным лицом. Если регулятор узнал об утечке раньше компании, например из объявления о продаже базы, сроки уже пошли. Требование введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с сентября 2022 года. С 30 мая 2025 года молчание стало отдельным составом. За невыполнение или несвоевременное выполнение обязанности уведомить Роскомнадзор часть 11 статьи 13.11 КоАП РФ предусматривает штраф для должностных лиц от 400 до 800 тысяч рублей, для юридических лиц от 1 до 3 миллионов рублей. За сами утечки с того же дня действуют оборотные штрафы, так что цена молчания выросла многократно.

Когда обязательных требований нет

Коммерческая компания без объектов КИИ, госконтроля и обрабатываемых персональных данных встречается редко, но допустим, что прямых обязанностей по уведомлениям у организации нет. Реагирование от этого не теряет смысла, просто его цель смещается с комплаенса на сокращение простоя и убытков. Процесс строится по тем же этапам ГОСТ Р 59712-2022, благо стандарт добровольный и универсальный. Взаимодействие с НКЦКИ для таких организаций тоже возможно. На сайте ГосСОПКА опубликован регламент взаимодействия НКЦКИ с владельцами информационных ресурсов, который позволяет сообщать об инцидентах и получать сведения об угрозах без статуса субъекта КИИ. Атакующим всё равно, есть ли у цели категория значимости, поэтому добровольный обмен информацией с государственной системой работает на пользу обеим сторонам.

Ответственность за нарушение порядка реагирования

Невыполнение требований, о которых шла речь выше, наказуемо, и в 2026 году санкций стало больше.

Административная. Статьи 13.12.1 и 13.12.2 КоАП РФ

Профильной нормой для нашей темы служит часть 2 статьи 13.12.1 КоАП РФ. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий атак на значимые объекты КИИ влечёт штраф для должностных лиц от 10 до 50 тысяч рублей, для юридических лиц от 100 до 500 тысяч рублей. Часть 3 той же статьи за нарушение порядка обмена информацией об инцидентах предусматривает для должностных лиц от 20 до 50 тысяч рублей, для юридических лиц те же 100-500 тысяч. Пропущенный трёхчасовой срок уведомления НКЦКИ или ненаправленная копия плана реагирования формально подпадает именно сюда.

С 20 апреля 2026 года действует и новая статья 13.12.2 КоАП РФ, введённая Федеральным законом от 09.04.2026 № 77-ФЗ. Она охватывает нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации в КИИ и правил доступа к ним, когда деяние не дотягивает до уголовного. Штраф для граждан составляет от 5 до 10 тысяч рублей, для должностных лиц от 10 до 50 тысяч, для юридических лиц от 100 до 500 тысяч рублей.

Уголовная. Статья 274.1 УК РФ

Когда последствия серьёзные, в дело вступает статья 274.1 УК РФ о неправомерном воздействии на КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи информации КИИ, повлёкшее вред, наказывается лишением свободы на срок до 6 лет, а при тяжких последствиях санкции доходят до 10 лет. Федеральный закон от 09.04.2026 № 76-ФЗ добавил в статью примечание об освобождении от ответственности за нарушение правил эксплуатации для тех, кто активно содействовал раскрытию преступления и принял меры по сохранению следов, если в действиях нет иного состава. Для ИБ-специалистов это значимое изменение, оно снижает риск уголовного преследования за добросовестные ошибки при условии честного разбора инцидента.

Норма	За что	Санкция
ч. 1 ст. 13.12.1 КоАП РФ	Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования	Должностные лица 10-50 тыс. руб., юрлица 50-100 тыс. руб.
ч. 2 ст. 13.12.1 КоАП РФ	Нарушение порядка информирования об инцидентах, реагирования, ликвидации последствий атак на значимые объекты КИИ	Должностные лица 10-50 тыс. руб., юрлица 100-500 тыс. руб.
ч. 3 ст. 13.12.1 КоАП РФ	Нарушение порядка обмена информацией об инцидентах	Должностные лица 20-50 тыс. руб., юрлица 100-500 тыс. руб.
ст. 13.12.2 КоАП РФ (с 20.04.2026)	Нарушение правил эксплуатации средств хранения, обработки, передачи информации КИИ и правил доступа без признаков преступления	Граждане 5-10 тыс. руб., должностные лица 10-50 тыс. руб., юрлица 100-500 тыс. руб.
ч. 2 ст. 19.7.15 КоАП РФ	Непредставление либо нарушение порядка или сроков представления информации в ГосСОПКА	Должностные лица 10-50 тыс. руб., юрлица 100-500 тыс. руб.
ст. 274.1 УК РФ	Неправомерное воздействие на КИИ, в том числе нарушение правил эксплуатации с причинением вреда	До 6 лет лишения свободы, при тяжких последствиях до 10 лет

Типичные ошибки при реагировании

Разберём ошибки, которые встречаются в построении процесса и дорого обходятся при реальном инциденте.

• Уничтожение цифровых свидетельств при локализации. Заражённый сервер перезагружают или выключают до снятия дампа памяти и образов дисков. ГОСТ Р 59712-2022 прямо требует собрать материалы до внесения системных изменений, иначе установить причины будет не на чем.
• Забытое уведомление о результатах. Про первичные 3 или 24 часа помнят, а про отчёт о результатах реагирования в 48 часов после завершения мероприятий нет. Формально это такое же нарушение порядка.
• План реагирования ради галочки. Документ написан под копирку, без привязки к реальной инфраструктуре, ответственные в нём давно уволились. На тренировке это вскрывается за час, на реальном инциденте стоит дней простоя.
• Тренировки не проводятся. Требование пункта 10 приказа ФСБ России № 547 о ежегодных тренировках игнорируется, и команда впервые отрабатывает взаимодействие на боевом инциденте.
• Журналы не собираются заранее. Логи хранятся неделю на самих хостах, и после компрометации хоста им нельзя доверять, реагирование в итоге слепнет.
• Никто не решает. В документах не закреплено, кто вправе изолировать сегмент сети или остановить бизнес-сервис. Пока согласовывают на уровне руководства, шифровальщик доходит до резервных копий.
• Старые реквизиты в регламентах. Внутренние документы ссылаются на приказ ФСБ России № 282 и другие приказы 2018-2019 годов, отменённые с 30 января 2026 года. Часть сроков не поменялась, но ссылки на утратившие силу акты аудитор или проверяющий обязательно отметит.

Частые вопросы

Чем отличаются 3 часа от 24 часов при уведомлении НКЦКИ?

Не позднее 3 часов с момента обнаружения сообщается об инциденте в значимом объекте КИИ. Для инцидентов на остальных объектах КИИ, на информационных ресурсах госорганов и организаций из части 4 статьи 9 187-ФЗ, а также для любых компьютерных атак действует срок 24 часа. Так установлено пунктом 3 приказа ФСБ России от 25.12.2025 № 547.

Нужен ли план реагирования организации без значимых объектов КИИ?

Обязанность разрабатывать план по приказу ФСБ России № 547 касается только субъектов КИИ со значимыми объектами. Остальным он формально не нужен, но на практике документ с ролями, сценариями и порядком действий сокращает время реагирования любой организации, поэтому его стоит иметь независимо от статуса.

Как часто проводить тренировки по плану реагирования?

Для субъектов КИИ со значимыми объектами тренировки обязательны не реже одного раза в год, объём и содержание организация определяет сама (пункт 10 приказа ФСБ России № 547). По результатам тренировки в план вносятся изменения, если выявлены недостатки.

Кто согласовывает план реагирования?

Если в плане нет положений о привлечении ФСБ России, согласование не требуется, план утверждает руководитель субъекта КИИ, а копия направляется в НКЦКИ за 7 календарных дней. Положения о привлечении ФСБ России согласуются с Центром защиты информации и специальной связи ФСБ России, финансовые организации дополнительно согласуют план с Банком России. На рассмотрение в каждом случае отводится до 30 календарных дней.

Кого уведомлять, если организация не субъект КИИ?

Адресат зависит от характера инцидента и статуса организации. При утечке персональных данных оператор уведомляет Роскомнадзор в течение 24 часов (часть 3.1 статьи 21 152-ФЗ). Госорганы и компании под контролем государства информируют НКЦКИ по части 4 статьи 9 187-ФЗ. Остальные организации жёстких обязанностей не имеют, но могут добровольно сообщать об инцидентах в НКЦКИ по регламенту взаимодействия с владельцами информационных ресурсов.

Реагирование и расследование одно и то же?

Нет, перед нами два связанных, но разных процесса. Реагирование останавливает инцидент и восстанавливает работу систем, его сроки измеряются часами. Расследование устанавливает причины, виновных и полную картину, оно опирается на материалы, зафиксированные при реагировании, и может занимать недели.

Что в итоге

Реагирование на компьютерные инциденты в 2026 году регулируется новым пакетом приказов ФСБ России, действующим с 30 января, и от организации требуется привести внутренние документы в соответствие с ним. Субъекты КИИ информируют НКЦКИ об инцидентах за 3 или 24 часа в зависимости от значимости объекта, отчитываются о результатах за 48 часов, владельцы значимых объектов разрабатывают план реагирования за 90 календарных дней с включения объекта в реестр и ежегодно его отрабатывают на тренировках. Госорганы и компании под контролем государства информируют НКЦКИ о происшествиях со своими информационными ресурсами, операторы персональных данных держат в голове 24 и 72 часа на уведомление Роскомнадзора.

Сам процесс удобно строить по серии ГОСТ Р 59709-59712, от регистрации признаков до анализа результатов, с рабочими группами, сценариями реагирования и базой знаний из закрытых карточек. Технологическую основу дают SIEM, SOAR, EDR и другие средства защиты информации, но никакие платформы не заменят отлаженный процесс и собранные заранее журналы. Штраф за нарушение порядка реагирования для юридического лица доходит до 500 тысяч рублей, молчание об утечке персональных данных обходится до 3 миллионов, а репутационные и операционные потери от затянутого реагирования обычно ещё выше. Дешевле подготовиться до того, как инцидент случится, тем более что случится он рано или поздно почти наверняка.