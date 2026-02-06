Именно в этот момент план коммуникаций при киберинциденте превращается в инструмент выживания и может упростить работу сразу нескольких отделов.
Виды киберинцидентов
Киберинциденты различаются по характеру воздействия, целям злоумышленников и последствиям для компании. На практике можно выделить несколько основных видов:
Информационные кибератаки, направленные на несанкционированный доступ к данным. Сюда относятся утечки персональных данных, коммерческой тайны, служебной информации, а также компрометация учетных записей сотрудников.
Атаки с нарушением доступности систем. Чаще всего это DDoS-атаки, которые не крадут данные напрямую, но парализуют сервисы и критичные бизнес-процессы.
Инциденты с вредоносным ПО. Вирусы-вымогатели, трояны и закладки могут шифровать данные, уничтожать информацию или использовать инфраструктуру компании в чужих целях.
Инциденты, вызванные человеческим фактором. Ошибки сотрудников, фишинг, использование слабых паролей и действия подрядчиков создают устойчивые риски кибератак, даже без сложных технических сценариев.
Почему так важен план коммуникаций при киберинциденте
Наличие плана коммуникаций дает компании не только порядок, но и время — самый дефицитный ресурс при инциденте.
Снижается вероятность хаотичных и противоречивых действий между ИБ, PR, юристами и руководством.
Формируются единые правила публичных и внутренних коммуникаций, что критично при работе со СМИ и клиентами.
Ускоряется реагирование на киберинциденты, так как роли и зоны ответственности определены заранее.
Обеспечивается корректное документирование событий для последующего расследования киберинцидентов и взаимодействия с регуляторами.
Без такого плана компания часто теряет контроль над информационной повесткой быстрее, чем над самой атакой.
Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных
Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса
Обязательно ли разрабатывать план коммуникаций при киберинциденте
Российское законодательство не обязывает оформлять отдельный план коммуникаций при киберинциденте. При этом требования к защите информации и реагированию закреплены в ГОСТах и законах, что тоже важно учитывать.
Так, ГОСТ Р ИСО/МЭК ТО 18044-2007 описывает менеджмент инцидентов информационной безопасности и рекомендует формировать процедуры реагирования и взаимодействия. ГОСТ Р 50922-2006 раскрывает меры защиты конфиденциальной информации и логику противодействия нарушениям.
Дополнительно применяются нормы закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне». В частности, статья 10 обязывает обладателя информации:
определить перечень сведений, составляющих коммерческую тайну;
ограничить доступ и установить порядок обращения с ними;
вести учет лиц, получивших доступ;
урегулировать использование информации в договорах;
маркировать носители грифом «Коммерческая тайна».
При работе с персональными данными действует закон от 27.07.2006 № 152-ФЗ. Он прямо связывает инциденты с обязанностями по уведомлению и внутреннему расследованию. Без заранее выстроенного плана коммуникаций выполнить эти требования практически невозможно выполнить корректно.
Что должен содержать план коммуникаций
Структура плана должна быть практичной и ориентированной на реальные сценарии. Что нужно включить в план:
Оценку рисков кибератак для всей организации.
Анализ ИТ-инфраструктуры и ключевых уязвимых зон.
Определение команды реагирования с фиксацией ролей ИБ, PR, юридического блока и руководства.
Классификацию инцидентов и критерии их приоритизации, включая сценарии крупных кибератак.
Инвентаризацию активов, бизнес-процессов и ресурсов, задействуемых при инциденте.
Схемы полномочий и последовательности действий на каждом этапе реагирования.
Актуальную базу контактов всех заинтересованных сторон.
Подготовленные шаблоны уведомлений и публичных заявлений.
Порядок ведения журнала инцидента для целей расследования киберинцидентов.
Процедуры тестирования и регулярного обновления плана.
Как реагировать при киберинциденте
Эффективное реагирование на киберинциденты строится по строгой последовательности. Нарушение порядка действий почти всегда приводит к потере доказательств, ошибкам в уведомлениях и росту юридических рисков.
Что нужно сделать:
1. Зафиксировать факт инцидента и ограничить распространение. Сразу после обнаружения необходимо зафиксировать событие: дату, время, систему-источник, признаки атаки. Параллельно ИБ принимает первичные меры по сдерживанию — изоляция затронутых сегментов, отключение скомпрометированных учетных записей, временная приостановка сервисов. Эти действия важны не только технически, но и для последующего расследования.
2. Оценить масштаб и характер инцидента. Определите, какие системы и данные затронуты, есть ли доступ к персональным данным, коммерческой тайне или критическим процессам. На этом этапе важно понять, является ли инцидент результатом внешней атаки, внутреннего нарушения или технического сбоя. От этого зависит дальнейший сценарий действий.
3. Проверить, продолжается ли атака. Если есть признаки активного воздействия, приоритет — полное прекращение атаки. Необходимо установить, находятся ли злоумышленники в инфраструктуре, какие каналы доступа используются и какие данные уже могли быть скомпрометированы. Частая ошибка — переход к коммуникациям до фактической стабилизации ситуации.
4. Инициировать внутреннее расследование. Запускается расследование киберинцидентов с фиксацией всех действий: кто принимал решения, какие меры применялись, какие данные анализировались. Ведение журнала инцидента обязательно — он потребуется при проверках регуляторов и возможных спорах с контрагентами.
5. Подключить юридический блок до внешних коммуникаций. Юристы оценивают правовые последствия: необходимость уведомлений, риски ответственности, допустимые формулировки. Без этого этапа любые заявления могут быть расценены как признание нарушений или ввод регуляторов в заблуждение.
6. Отправить уведомления. Если инцидент затрагивает персональные данные, оператор обязан направить первичное уведомление в Роскомнадзор в течение 24 часов с момента выявления и отчет о результатах расследования — в течение 72 часов (п. 3.1 ст. 21 закона № 152-ФЗ).
7. При инциденте на объекте КИИ необходимо уведомить НКЦКИ через ГосСОПКА:
в течение 3 часов — для значимых объектов КИИ;
в течение 24 часов — для иных объектов (закон № 187-ФЗ).
8. Организовать внешние коммуникации по утвержденным сценариям. PR действует строго в рамках согласованных шаблонов. Сообщается только подтвержденная информация, без технических деталей и оценочных суждений. Любые публичные комментарии синхронизируются с ИБ и юридическим блоком.
9. Провести постинцидентный анализ. После устранения последствий оцениваются причины инцидента, уязвимости и эффективность принятых мер. По итогам обновляется план коммуникаций и процедуры реагирования, чтобы снизить риски кибератак в будущем.
Такой порядок позволяет сохранить контроль над ситуацией, выполнить требования закона и минимизировать ущерб даже при серьезной угрозе кибератаки или уже после нее.
Распространенные ошибки при киберинцидентах
Некоторые компании часто совершают типовые ошибки, усиливающие последствия инцидента:
Замалчивание проблемы и отказ от уведомления регуляторов.
Несогласованные публичные заявления без участия юристов.
Отсутствие единого центра принятия решений.
Преждевременные признания и комментарии до завершения расследования.
Игнорирование документирования и анализа причин инцидента.
Помните: уведомить Роскомнадзор нужно в течение 24 часов с момента выявления инцидента. Если этого не сделать, компанию или ИП могут оштрафовать на сумму от 1 до 3 млн рублей (ч.11 ст.13.11 КоАП).
