Инцидент информационной безопасности может произойти в любой компании, независимо от бюджета на защиту. Когда это случается, счет идет на часы. Хаос, паника и попытки «замести следы» — худшие враги бизнеса в этой ситуации. Четкий, заранее разработанный алгоритм действий при утечке данных позволяет минимизировать ущерб, избежать оборотных штрафов и сохранить лицо перед клиентами. В соответствии с поправками в 152-ФЗ, этот алгоритм теперь жестко регламентирован государством.
С 1 сентября 2022 года операторы персональных данных обязаны действовать в рамках жестких временных рамок: 24 часа на первичное уведомление и 72 часа на расследование. Несоблюдение этих сроков автоматически ставит компанию в позицию нарушителя, даже если сама утечка была незначительной. Наш алгоритм основан на требованиях регулятора и лучшей практике Incident Response.
Шаг 1: Локализация и фиксация (0–4 часа)
Как только стало известно об инциденте (от сотрудников, DLP-системы или из Telegram-каналов), необходимо:
- Изолировать систему. Отключить скомпрометированные серверы от сети, сменить доступы администраторов, остановить уязвимые сервисы.
- Зафиксировать время. Составить Акт об обнаружении инцидента. Это время станет точкой отсчета для 24-часового срока уведомления РКН.
- Собрать кризисный штаб. Юристы, IT-директор, PR-служба и DPO (ответственный за обработку данных) должны работать синхронно.
Шаг 2: Уведомление Роскомнадзора (до 24 часов)
Это императивное требование закона. Оператор обязан направить в Роскомнадзор первичное уведомление.
В документе указываются:
- Дата и время инцидента.
- Предполагаемые причины (взлом, инсайд, ошибка).
- Предполагаемый вред правам субъектов.
- Принятые меры по устранению последствий.
- Контактное лицо.
Уведомление подается через форму на сайте РКН или через Госуслуги. Важно: лучше подать уведомление с неполными данными и потом уточнить, чем пропустить срок.
Шаг 3: Внутреннее расследование (до 72 часов)
В течение трех суток компания должна провести расследование и направить в РКН дополнительное уведомление с результатами.
Что нужно сделать:
- Установить точный вектор атаки и закрыть уязвимость.
- Определить виновных лиц (если это внутренний нарушитель).
- Определить точный перечень скомпрометированных данных.
Шаг 4: Коммуникация с субъектами
Закон не всегда прямо обязывает уведомлять каждого пострадавшего лично, но это критически важно для защиты от исков. Мы рекомендуем проактивно сообщить клиентам об инциденте, объяснить, что именно утекло (например: «Пароли не утекли, только почты»), и дать рекомендации по безопасности. Честность снижает вероятность подачи жалоб в прокуратуру.
Алгоритм действий при утечке данных должен быть оформлен в виде локального нормативного акта и доведен до сотрудников. В критической ситуации люди должны действовать по инструкции, а не импровизировать.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов