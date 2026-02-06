Как реагировать при киберинциденте

Эффективное реагирование на киберинциденты строится по строгой последовательности. Нарушение порядка действий почти всегда приводит к потере доказательств, ошибкам в уведомлениях и росту юридических рисков.

Что нужно сделать:

1. Зафиксировать факт инцидента и ограничить распространение. Сразу после обнаружения необходимо зафиксировать событие: дату, время, систему-источник, признаки атаки. Параллельно ИБ принимает первичные меры по сдерживанию — изоляция затронутых сегментов, отключение скомпрометированных учетных записей, временная приостановка сервисов. Эти действия важны не только технически, но и для последующего расследования.

2. Оценить масштаб и характер инцидента. Определите, какие системы и данные затронуты, есть ли доступ к персональным данным, коммерческой тайне или критическим процессам. На этом этапе важно понять, является ли инцидент результатом внешней атаки, внутреннего нарушения или технического сбоя. От этого зависит дальнейший сценарий действий.

3. Проверить, продолжается ли атака. Если есть признаки активного воздействия, приоритет — полное прекращение атаки. Необходимо установить, находятся ли злоумышленники в инфраструктуре, какие каналы доступа используются и какие данные уже могли быть скомпрометированы. Частая ошибка — переход к коммуникациям до фактической стабилизации ситуации.

4. Инициировать внутреннее расследование. Запускается расследование киберинцидентов с фиксацией всех действий: кто принимал решения, какие меры применялись, какие данные анализировались. Ведение журнала инцидента обязательно — он потребуется при проверках регуляторов и возможных спорах с контрагентами.

5. Подключить юридический блок до внешних коммуникаций. Юристы оценивают правовые последствия: необходимость уведомлений, риски ответственности, допустимые формулировки. Без этого этапа любые заявления могут быть расценены как признание нарушений или ввод регуляторов в заблуждение.

6. Отправить уведомления. Если инцидент затрагивает персональные данные, оператор обязан направить первичное уведомление в Роскомнадзор в течение 24 часов с момента выявления и отчет о результатах расследования — в течение 72 часов (п. 3.1 ст. 21 закона № 152-ФЗ).

7. При инциденте на объекте КИИ необходимо уведомить НКЦКИ через ГосСОПКА:

в течение 3 часов — для значимых объектов КИИ;

в течение 24 часов — для иных объектов (закон № 187-ФЗ).

8. Организовать внешние коммуникации по утвержденным сценариям. PR действует строго в рамках согласованных шаблонов. Сообщается только подтвержденная информация, без технических деталей и оценочных суждений. Любые публичные комментарии синхронизируются с ИБ и юридическим блоком.

9. Провести постинцидентный анализ. После устранения последствий оцениваются причины инцидента, уязвимости и эффективность принятых мер. По итогам обновляется план коммуникаций и процедуры реагирования, чтобы снизить риски кибератак в будущем.

Такой порядок позволяет сохранить контроль над ситуацией, выполнить требования закона и минимизировать ущерб даже при серьезной угрозе кибератаки или уже после нее.