Главная / Кибербезопасность и Digital Reputation

Инциденты на объектах КИИ: алгоритм реагирования и уведомления

Алгоритм действий при компьютерных инцидентах на объектах КИИ. Сроки уведомления НКЦКИ (ГосСОПКА). Ответственность за сокрытие инцидента. Разграничение понятий атака и инцидент. Юридическая помощь в кризисной ситуации.
Консультация юриста Примеры из практики

Любой сбой, атака или аномалия в работе критической информационной инфраструктуры (КИИ) требует немедленной реакции. Инциденты на объектах КИИ находятся под особым контролем государства. Субъекты КИИ обязаны не только устранять последствия атак, но и оперативно информировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ/ГосСОПКА). Несоблюдение сроков уведомления или попытка скрыть инцидент влечет административную ответственность и может стать основанием для уголовного преследования, если последствия окажутся тяжелыми.

Компьютерный инцидент — это факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой информации. Важно различать «компьютерную атаку» (целенаправленное воздействие) и «инцидент» (уже свершившийся факт нарушения работы). ГосСОПКА требует информации и о том, и о другом.

Обязанности субъекта при выявлении инцидента

Федеральный закон № 187-ФЗ и подзаконные акты ФСБ устанавливают жесткий тайминг действий:

  1. Обнаружение и фиксация. Системы мониторинга (SIEM, IDS) или персонал фиксируют аномалию. Необходимо задокументировать время обнаружения — от него пойдет отсчет сроков.
  2. Информирование НКЦКИ.
    • О значимых инцидентах (для ЗОКИИ) — не позднее **3 часов** с момента обнаружения.
    • Об иных инцидентах — не позднее **24 часов**.
  3. Реагирование и ликвидация. Принятие технических мер по локализации угрозы и восстановлению штатной работы.
  4. Анализ и отчетность. В течение 48 часов после ликвидации последствий необходимо направить в НКЦКИ итоговый отчет о причинах и результатах инцидента.

Взаимодействие с ГосСОПКА

Передача данных осуществляется через техническую инфраструктуру ГосСОПКА или по определенным каналам связи (email с шифрованием, личный кабинет).
В сообщении об инциденте указываются:

  • Дата и время возникновения и обнаружения.
  • Описание инцидента и его последствий.
  • Связь с компьютерной атакой (если есть).
  • Характеристики затронутого объекта КИИ.

Если у субъекта нет своего центра мониторинга, он может заключить договор с корпоративным центром ГосСОПКА (лицензиатом), который возьмет на себя обязанность по информированию.

Ответственность за неуведомление

Статья 13.12.1 КоАП РФ предусматривает штрафы за непредоставление или несвоевременное предоставление сведений в ГосСОПКА:
* Для юридических лиц — от 100 000 до 500 000 рублей.
* Для должностных лиц — от 10 000 до 50 000 рублей.
Кроме того, сокрытие информации об инциденте, который повлек тяжкие последствия, может рассматриваться как нарушение правил эксплуатации (ст. 274.1 УК РФ).

Правовая помощь при инцидентах

Мы помогаем клиентам в стрессовой ситуации:

  • Квалифицировать событие: является ли сбой инцидентом, подлежащим уведомлению?
  • Подготовить корректный текст уведомления, чтобы не признать лишнюю вину.
  • Оформить результаты внутреннего расследования.
  • Защитить интересы компании при проверке регулятора по факту инцидента.

Инциденты на объектах КИИ неизбежны. Задача юристов и безопасников — сделать так, чтобы неизбежное событие не стало катастрофой для бизнеса и свободы руководства.

VFS Consulting Юридические решения нового поколения
Инциденты на объектах КИИ: алгоритм реагирования и уведомления
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    Получить консультацию

    Другие услуги в направлении кибербезопасность и digital reputation

    КИИ и Регуляторный комплаенс (187-ФЗ, ФСТЭК): защита критической инфраструктуры
    Как избежать штрафа за утечку: минимизация ответственности
    Лингвистическая экспертиза отзыва: факт или мнение?
    Помощь при проверке Роскомнадзора: защита интересов оператора
    Защита от коллективного иска по утечке данных: судебная стратегия
    Киберпреступления и Расследования: юридическая помощь пострадавшим
    Юрист по защите информации Москва: охрана коммерческой тайны и ноу-хау

    Кейсы из практики

    cs

    Блокировка аккаунтов за реверс-инжиниринг игры

    Разработчик мобильной MMO-игры забанил группу пользователей, использовавших ботов. Пользователи обратились в суд с требованием восстановить доступ и компенсировать моральный вред, утверждая, что они вложили реальные деньги (in-app purchases). Мы опирались на разработанное нами EULA, которое содержало прямой запрет на Reverse Engineering и использование стороннего ПО, а также квалифицировало игровые предметы как неактивированные данные команды, права на которые принадлежат студии.

    Результат

    Суд встал на сторону разработчика, баны признаны законными, компенсации не присуждены.

    cs

    Прохождение модерации AppStore со сложным приложением

    Приложение для трекинга здоровья с функцией платной подписки трижды отклонялось модераторами Apple из-за несоответствия лицензионного соглашения гайдлайнам (Apple Review Guidelines). Проблема была в некорректном описании условий автопродления и отсутствии обязательных дисклеймеров о медицинской ответственности. Мы переработали EULA, добавили необходимые оговорки и гармонизировали текст с интерфейсом приложения.

    Результат

    Приложение прошло проверку и опубликовано в сторе без дополнительных вопросов.

    Часто задаваемые вопросы

    Ответы на вопросы о процедуре уведомления спецслужб.

    Нужно ли уведомлять об инциденте, если атака была успешно отражена?
    Если атака не привела к нарушению функционирования объекта или нарушению безопасности информации, она квалифицируется как «компьютерная атака», а не «инцидент». Однако субъекты КИИ обязаны информировать ГосСОПКА и об атаках, и об инцидентах. Разница может быть в срочности уведомления.
    Считается ли сбой из-за ошибки сотрудника инцидентом КИИ?
    Да, если этот сбой привел к нарушению функционирования объекта КИИ. Определение инцидента включает в себя не только внешние злонамеренные воздействия, но и внутренние ошибки, техногенные факторы и сбои ПО, влияющие на безопасность и работоспособность.
    Что делать, если у нас нет канала связи с ГосСОПКА?
    Субъекты КИИ обязаны организовать такое взаимодействие. Это можно сделать, подключив собственную инфраструктуру к технической инфраструктуре НКЦКИ, либо заключив договор с лицензиатом (центром ГосСОПКА), который будет передавать данные за вас. Отсутствие канала связи не освобождает от ответственности.

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности