План реагирования на утечку ПДн: 24 часа на уведомление РКН – что делать по минутам

Что такое утечка ПДн с точки зрения ФЗ-152

Утечка персональных данных в терминологии ФЗ-152 – это любое неправомерное или случайное нарушение конфиденциальности, целостности или доступности ПДн. Включает:

  • Взлом информационной системы с кражей данных
  • Публикация базы ПДн в открытом доступе (случайная или намеренная)
  • Отправка данных не тому получателю (ошибка email)
  • Кража физического носителя с ПДн (ноутбук, жёсткий диск)
  • Несанкционированный доступ сотрудника к данным, к которым у него нет прав
  • Утечка через сторонний сервис (поручитель обработки)
  • Шифровальная атака (ransomware) с последующей утечкой

С 1 сентября 2022 года действует обязанность оператора уведомить Роскомнадзор об инциденте с персональными данными в срок, установленный законом. Поправки 2024 года и подзаконные акты РКН уточнили сроки и формат уведомления: первичное уведомление – в течение 24 часов с момента обнаружения, окончательное – в течение 72 часов.

Срок «24 часа» звучит жёстко, но по факту многие компании не успевают даже разобраться в случившемся за это время. План реагирования, подготовленный заранее, – это единственный способ уложиться в срок и избежать дополнительных штрафов за неуведомление, которые превышают штрафы за саму утечку.

Структура плана реагирования

План реагирования на инцидент (Incident Response Plan, IRP) – это документ компании, описывающий:

  1. Классификацию инцидентов по тяжести
  2. Состав команды реагирования и её роли
  3. Последовательность действий в первые минуты, часы, сутки
  4. Образцы коммуникаций с регулятором, сотрудниками, клиентами
  5. Список контактных данных ключевых лиц
  6. Инструкции по сохранению доказательств и восстановлению

Команда реагирования

Типовой состав:

  • Руководитель реагирования – обычно CISO, CIO или ответственный за ПДн; принимает ключевые решения
  • Технический лидер – системный администратор или DevOps, ответственный за локализацию и устранение угрозы
  • Юрист – оценивает правовые риски, готовит уведомления и коммуникации
  • PR/коммуникации – готовит внутренние и внешние сообщения
  • HR – уведомляет сотрудников, если утечка затронула их данные
  • Руководство – генеральный директор или уполномоченный заместитель; принимает финансовые и стратегические решения

Контактный список

Каждый член команды должен иметь альтернативные способы связи – мобильный, домашний, личный мессенджер. Инцидент часто случается ночью или в выходные, корпоративные каналы могут быть недоступны (если их затронул сам инцидент).

Классификация инцидентов

Уровень Описание Требование уведомления РКН
Низкий Внутренний инцидент без фактической утечки за пределы организации Документирование, обычно уведомление РКН не требуется
Средний Утечка ПДн небольшого числа субъектов (до 100), без спецкатегорий Уведомление РКН обязательно в 24 часа
Высокий Массовая утечка, или утечка спецкатегорий/биометрии, или публикация в открытом доступе Уведомление РКН + подготовка к оборотным штрафам
Критический Утечка миллионов записей, атака на критическую инфраструктуру, вымогатель Уведомление РКН, ФСБ, при необходимости правоохранительных органов

Минута 0 – первые 60 минут после обнаружения

Что делает дежурный

  1. Фиксирует время и источник обнаружения (кто, во сколько, как заметил)
  2. Оценивает первичные признаки: что именно утекло, масштаб, активна ли утечка сейчас
  3. Сообщает руководителю реагирования любым доступным каналом
  4. Делает снимок текущего состояния системы (скриншоты, логи – до изменений)

Чего нельзя делать

  • Удалять логи, файлы, подозрительное ПО – это уничтожение доказательств
  • Выключать заражённый сервер – пропадут данные оперативной памяти
  • Перезагружать систему без консультации с техлидом
  • Писать в чатах и соцсетях – утечка информации об инциденте – ещё одно нарушение
  • Отвечать журналистам или клиентам до готового заявления

Час 1 – эскалация и стабилизация

Действия техлида

  1. Изоляция скомпрометированных систем от сети (без выключения)
  2. Сохранение образа систем (disk image) для форензики
  3. Блокировка скомпрометированных учётных записей
  4. Усиление мониторинга остальных систем
  5. Оценка масштаба – какие базы, какое количество записей, какой период затронут

Действия юриста

  1. Сбор фактологии: что, когда, как обнаружено, какие данные затронуты
  2. Начало подготовки уведомления в РКН
  3. Оценка правовых рисков и сценариев
  4. Уведомление страховой компании (если есть страхование от кибер-рисков)

Действия руководителя

  1. Решение о привлечении внешних специалистов (форензика, юристы)
  2. Определение объёма внутренней коммуникации (кого из руководства уведомить)
  3. Одобрение внешних коммуникаций (с клиентами, с партнёрами)

Часы 2-12 – расследование и локализация

Расследование

  1. Установление точки входа (как атакующий попал в систему)
  2. Определение объёма компрометации
  3. Установление способа утечки (уход данных через SQL-инъекцию, фишинг, кражу учётных данных)
  4. Проверка всех смежных систем – не скомпрометированы ли
  5. Сбор IoC (indicators of compromise) для будущего предупреждения

Локализация

  • Патчинг уязвимости
  • Ротация всех учётных данных – паролей, API-ключей, сертификатов
  • Включение дополнительных слоёв защиты (WAF, IPS)
  • Блокировка IP-адресов атакующего
  • Проверка бэкапов – не заражены ли они

Часы 12-24 – подготовка уведомления в РКН

Первичное уведомление направляется в Роскомнадзор в течение 24 часов с момента обнаружения. Формат – через портал РКН или Госуслуги (для ЮЛ с ЭП). Содержание первичного уведомления:

  1. Наименование и реквизиты оператора
  2. Дата и время обнаружения инцидента
  3. Предварительная оценка затронутых категорий данных
  4. Примерное количество затронутых субъектов
  5. Известная на момент уведомления информация о причинах
  6. Принятые немедленные меры
  7. Контактное лицо и способ связи для уточнений

Точные цифры в первичном уведомлении не требуются – если через 24 часа ещё не все данные установлены, указываются приблизительные оценки. Главное – уложиться в срок.

Часы 24-72 – окончательное уведомление

Окончательное уведомление направляется в течение 72 часов. Содержит уточнённую информацию:

  1. Подтверждённые причины инцидента
  2. Точное количество затронутых субъектов
  3. Полный перечень затронутых категорий ПДн
  4. Возможные последствия для субъектов
  5. Принятые и планируемые меры по минимизации ущерба
  6. Меры по предупреждению повторных инцидентов
  7. Информация о привлечении правоохранительных органов (если применимо)

Уведомление субъектов

ФЗ-152 не всегда требует уведомления субъектов (обязательно – только при определённых условиях), но на практике при серьёзной утечке уведомление субъектов – это репутационная необходимость. Как уведомлять:

  • Email каждому затронутому субъекту с описанием произошедшего
  • Публичное заявление на сайте и в социальных сетях (только после согласования с юристами и РКН)
  • Конкретные рекомендации пользователю: «Смените пароль», «Будьте внимательны к фишингу», «Мы оплатим мониторинг кредитной истории на 12 месяцев»
  • Прямая линия для ответов на вопросы

Что писать в сообщении субъектам

  1. Факт произошедшего (что случилось, когда обнаружено)
  2. Какие данные затронуты (без технических подробностей, понятно клиенту)
  3. Что клиент должен делать (рекомендации)
  4. Что делает компания (принятые меры, расследование)
  5. Извинения и контакт для вопросов

Важно: сообщение должно быть правдивым, но не вызывать панику. Юрист и PR-специалист должны вычитать текст перед отправкой.

Расследование со стороны РКН

После получения уведомления РКН может:

  • Запросить дополнительную информацию
  • Провести внеплановую проверку
  • Предписать устранить нарушения
  • Вынести постановление о штрафе
  • В тяжёлых случаях – рекомендовать приостановление деятельности

Практика: быстрое уведомление и прозрачное сотрудничество с регулятором часто приводят к меньшим штрафам, чем попытка скрыть инцидент. Утечка, раскрытая «утечкой самой утечки» в СМИ без уведомления РКН, гарантирует максимальные санкции.

Штрафы за утечку в 2026 году

Нарушение Статья КоАП Штраф ЮЛ
Утечка ПДн (первая, до 10 000 субъектов) ч.1 ст.13.11.3 От 3 000 000 до 5 000 000 ₽
Утечка ПДн (10 000–100 000 субъектов) ч.2 ст.13.11.3 От 5 000 000 до 10 000 000 ₽
Утечка ПДн (более 100 000 субъектов) ч.3 ст.13.11.3 От 10 000 000 до 15 000 000 ₽
Повторная утечка ч.4 ст.13.11.3 От 1% до 3% годовой выручки, но не менее 20 000 000 ₽
Неуведомление об инциденте ч.10-11 ст.13.11 От 1 000 000 до 3 000 000 ₽

Минутный тайминг реагирования

Минуты Действия
0-5 Обнаружение. Фиксация факта. Уведомление руководителя реагирования
5-15 Сбор первичной информации. Снимок состояния системы
15-30 Изоляция скомпрометированной системы. Уведомление команды
30-60 Сохранение образа для форензики. Блокировка учётных записей
60-180 Первичное расследование. Оценка масштаба. Решение о внешних специалистах
180-360 Локализация угрозы. Патчинг уязвимости. Начало подготовки уведомления в РКН
360-720 Расширение расследования. Уведомление страховой. Согласование внешних коммуникаций
720-1440 (12-24 часа) Финализация первичного уведомления в РКН. Отправка уведомления
1440-4320 (24-72 часа) Уточнение информации. Окончательное уведомление в РКН. Уведомление субъектов (при необходимости)
После 72 часов Восстановление работоспособности. Анализ причин. Внедрение мер предупреждения

Шаблоны документов

Шаблон уведомления в РКН (краткая версия)

Компания такая-то уведомляет о выявлении инцидента с персональными данными. Дата и время обнаружения: XX.XX.2026, XX:XX МСК. Характер инцидента: (кратко). Предварительное количество затронутых субъектов: (число). Категории ПДн: ФИО, email, телефон (или иное). Принятые меры: изоляция скомпрометированной системы, ротация учётных данных, запуск расследования. Контактное лицо: ФИО, должность, телефон, email.

Шаблон сообщения субъектам

Уважаемый клиент, мы сообщаем вам о инциденте, произошедшем XX.XX.2026. В результате неправомерного доступа третьих лиц к нашей информационной системе могли быть получены следующие ваши данные: (перечень). Мы принимаем все меры по расследованию и минимизации последствий. Рекомендуем: сменить пароль в личном кабинете, быть внимательным к подозрительным письмам и звонкам. По всем вопросам – наша горячая линия: (телефон/email).

Что делать после инцидента

  1. Внутреннее расследование с выводами и рекомендациями
  2. Обновление модели угроз
  3. Внедрение мер предупреждения повторных инцидентов
  4. Повторное обучение персонала
  5. Проверка и обновление плана реагирования
  6. Обновление политики конфиденциальности (если затронуты её положения)
  7. Ревизия договоров с подрядчиками (поручителями обработки)
  8. Проверка страхового покрытия и её увеличение
  9. Пентест после внедрения мер защиты

Тренировки реагирования

Подготовленный план – это только половина дела. Важно регулярно тренировать команду:

  1. Раз в год – полномасштабная симуляция инцидента (tabletop exercise)
  2. Раз в квартал – проверка контактных данных команды, доступности всех членов
  3. После каждого изменения в IT-инфраструктуре – ревизия плана
  4. После реального инцидента – ретроспектива «что пошло хорошо, что плохо»

Чек-лист готовности к инциденту

  1. План реагирования документирован и доступен команде
  2. Сформирована команда реагирования с определёнными ролями
  3. Контактные данные команды регулярно обновляются
  4. Шаблоны уведомлений РКН и субъектов подготовлены и согласованы юристом
  5. Есть доступ к порталу РКН для отправки уведомлений
  6. Настроено логирование критических систем
  7. Бэкапы проверяются на восстанавливаемость
  8. Договор с форензик-подрядчиком или внутренние специалисты готовы
  9. Страхование от кибер-рисков активно и адекватно
  10. Сотрудники обучены: как распознать инцидент и кому сообщить
  11. Горячая линия для клиентов в случае инцидента определена и протестирована
  12. Проведена хотя бы одна симуляция инцидента
  13. Ретроспективы инцидентов (включая «ложные тревоги») документируются
  14. Модель угроз актуальна
  15. Информационные системы прошли пентест в последние 12 месяцев

Не только уведомление

Быстрое уведомление РКН – это минимум. Но реальная репутационная защита строится на:

  • Прозрачности – клиенты узнают правду от компании, а не от СМИ
  • Заботе о клиентах – материальная помощь (оплата мониторинга, скидки)
  • Устранении причин – не просто «починили и забыли», а системное улучшение
  • Публичной отчётности – «разбор инцидента» с реальными выводами спустя 3-6 месяцев

Компании, которые превращают инцидент в урок и показывают это публично, часто выходят из ситуации с меньшим репутационным ущербом, чем те, кто молчит до последнего.

Итог

План реагирования на утечку ПДн – это не теоретический документ «для галочки». В условиях, когда утечка может случиться с любой компанией, грамотное реагирование в первые 24 часа определяет, будет штраф 3 миллиона или 15 миллионов, останется компания в бизнесе или нет. Подготовка занимает месяцы, исполнение – минуты. Те, кто инвестировали в план реагирования до инцидента, проходят его с минимальными потерями. Те, кто не инвестировали, – становятся кейсами в статьях о миллионных штрафах.