Кибероснова152-ФЗ
187-ФЗ / КИИ
152-ФЗ20265 мин

План реагирования на компьютерные инциденты КИИ

План реагирования на компьютерные инциденты КИИ: правовая основа, структура, порядок взаимодействия с НКЦКИ и ГосСОПКА, сроки уведомления и образец 2026 года.

Скачать образец .docxСоздать в конструкторе

* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.

Что такое план реагирования на инциденты КИИ

План реагирования на компьютерные инциденты — это документ, определяющий порядок действий субъекта КИИ при обнаружении компьютерного инцидента: от выявления до устранения последствий и уведомления уполномоченных органов.

Обязанность реагирования на компьютерные инциденты установлена ст. 9 и 10 Федерального закона от 26.07.2017 № 187-ФЗ. Порядок информирования и реагирования определён Приказом ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах...»

Зачем нужен план реагирования

  • Минимизация ущерба — заранее определённый порядок действий сокращает время реагирования;
  • Выполнение требований закона — 187-ФЗ обязывает субъектов КИИ незамедлительно информировать о компьютерных инцидентах;
  • Взаимодействие с ГосСОПКА — план определяет каналы и порядок передачи информации в НКЦКИ;
  • Сохранение доказательств — для расследования и привлечения виновных;
  • Восстановление работоспособности — план содержит порядок восстановления объекта КИИ.

Компьютерный инцидент (определение 187-ФЗ)

Факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации.

Правовая основа и ГосСОПКА

Нормативная база

  • 187-ФЗ (ст. 9, 10) — обязанности субъектов КИИ по реагированию и информированию;
  • Приказ ФСБ № 282 от 19.06.2019 — порядок информирования ФСБ о компьютерных инцидентах;
  • Приказ ФСБ № 367 от 24.07.2018 — перечень информации, передаваемой в ГосСОПКА;
  • Приказ ФСТЭК № 235 — требования к созданию системы безопасности значимых объектов КИИ;
  • Приказ ФСТЭК № 239 — требования к обеспечению безопасности значимых объектов КИИ.

ГосСОПКА и НКЦКИ

ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) — единая государственная система, созданная для защиты КИИ России.

НКЦКИ (Национальный координационный центр по компьютерным инцидентам) — структурное подразделение ФСБ, координирующее деятельность субъектов КИИ по обнаружению и реагированию на инциденты. Субъекты КИИ обязаны направлять уведомления об инцидентах именно в НКЦКИ.

Сроки уведомления НКЦКИ об инцидентах

Для значимых объектов КИИ (имеющих присвоенную категорию 1, 2 или 3) установлены следующие сроки:

  • Не позднее 3 часов с момента обнаружения компьютерного инцидента — направить уведомление в НКЦКИ (п. 4 Приказа ФСБ № 282);
  • Не позднее 48 часов — направить результаты мероприятий по реагированию на инцидент;
  • Способы направления: через техническую инфраструктуру НКЦКИ, по электронной почте, по телефону (с последующим письменным подтверждением).

Неисполнение обязанности по информированию влечёт ответственность по ст. 19.7.15 КоАП РФ.

Структура плана реагирования

Типовой план реагирования на компьютерные инциденты включает следующие разделы:

1

Общие положения

Цель документа, область применения, нормативная база, определения (компьютерный инцидент, компьютерная атака).

2

Классификация инцидентов

Типы инцидентов (вредоносное ПО, DDoS, несанкционированный доступ, утечка данных, нарушение работоспособности), уровни критичности (критический, высокий, средний, низкий).

3

Организационная структура реагирования

Роли и ответственность: руководитель группы реагирования, аналитик ИБ, системный администратор, ответственный за взаимодействие с НКЦКИ.

4

Порядок обнаружения и регистрации

Источники информации об инцидентах (SIEM, IDS/IPS, антивирус, обращения сотрудников), порядок регистрации в журнале инцидентов.

5

Порядок реагирования

  • Локализация — изоляция затронутого объекта;
  • Сбор доказательств — фиксация логов, дампов памяти, сетевого трафика;
  • Устранение причины — удаление вредоносного ПО, закрытие уязвимости;
  • Восстановление — возврат объекта в штатный режим;
  • Анализ причин — определение вектора атаки, оценка ущерба.
6

Порядок информирования НКЦКИ

Сроки, каналы, форматы уведомлений, ответственные за направление информации.

7

Порядок привлечения ФСБ к расследованию

Когда и как запрашивается содействие для расследования компьютерных атак.

8

Мероприятия по предотвращению повторения

Доработка системы защиты, обновление модели угроз, обучение персонала.

Образец плана реагирования на компьютерные инциденты КИИ

УТВЕРЖДАЮ Генеральный директор ООО «_________» _________________ / ________________ «» __________ 2026 г.

ПЛАН реагирования на компьютерные инциденты на объектах критической информационной инфраструктуры

  1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящий План разработан в соответствии с 187-ФЗ, Приказом ФСБ № 282. 1.2. Область применения: все объекты КИИ согласно утверждённому перечню.

  2. КЛАССИФИКАЦИЯ ИНЦИДЕНТОВ Уровень критичности | Описание | Пример | Срок информирования НКЦКИ Критический | Прекращение функционирования объекта КИИ | DDoS с полной недоступностью | 3 часа Высокий | Частичное нарушение функционирования | Компрометация учётных записей | 3 часа Средний | Угроза без реализованного ущерба | Обнаружение ВПО | 24 часа

  3. ГРУППА РЕАГИРОВАНИЯ Руководитель: _________________ (должность, контакт) Аналитик ИБ: _________________ (должность, контакт) Сисадмин: _________________ (должность, контакт) Ответственный за НКЦКИ: _________________ (контакт)

  4. ПОРЯДОК ДЕЙСТВИЙ ПРИ ИНЦИДЕНТЕ 4.1. Обнаружение → Регистрация → Классификация 4.2. Локализация → Сбор доказательств 4.3. Уведомление НКЦКИ (в установленные сроки) 4.4. Устранение → Восстановление → Анализ причин 4.5. Направление результатов в НКЦКИ (48 часов)

Ответственный за исполнение: _________________

Скачать образец

Актуальный бланк 2026 года в формате DOCX

Чек-лист: план реагирования на инциденты КИИ

  • Определены типы и классификация компьютерных инцидентов
  • Назначена группа реагирования с конкретными ролями и контактами
  • Описан порядок обнаружения и регистрации инцидентов
  • Определены средства обнаружения (SIEM, IDS/IPS, антивирус)
  • Прописан порядок локализации и сбора доказательств
  • Указаны сроки уведомления НКЦКИ (3 часа / 24 часа)
  • Определены каналы связи с НКЦКИ (портал, email, телефон)
  • Прописан порядок восстановления работоспособности объекта КИИ
  • Определён порядок анализа причин и предотвращения повторения
  • План утверждён руководителем и доведён до сотрудников
  • Запланированы регулярные учебные тренировки по реагированию

Сроки уведомления строго регламентированы

Для значимых объектов КИИ срок уведомления НКЦКИ — **не позднее 3 часов** с момента обнаружения инцидента. Нарушение сроков информирования влечёт ответственность по **ст. 19.7.15 КоАП РФ** (штраф до 500 000 руб.). За неправомерное воздействие на КИИ предусмотрена уголовная ответственность по **ст. 274.1 УК РФ** — до 10 лет лишения свободы.

Сформируйте план реагирования на инциденты КИИ

Конструктор Кибероснова поможет подготовить план реагирования с классификацией инцидентов, порядком действий и формулировками по Приказу ФСБ №282.

Открыть конструктор

Часто задаваемые вопросы

187-ФЗ обязывает всех субъектов КИИ (не только владельцев значимых объектов) незамедлительно информировать НКЦКИ о компьютерных инцидентах (ст. 9). Однако детализированные требования к системе безопасности (Приказы ФСТЭК № 235 и № 239) распространяются только на значимые объекты. На практике план реагирования необходим даже для объектов без категории — без него невозможно обеспечить своевременное уведомление в срок 24 часа.

Нужна помощь с этим документом?

«План реагирования на компьютерные инциденты КИИ» — сложный документ, который требует экспертизы. Обратитесь к специалистам Кибероснова — мы подготовим его под вашу организацию.

* Укажите телефон или email — хотя бы одно обязательно

Нажимая кнопку, вы даёте согласие на обработку персональных данных

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно

Связанные материалы

Акт категорирования объекта КИИАкт категорирования объекта КИИ по 187-ФЗ: образец 2026, критерии значимости, порядок направления во ФСТЭК.Перечень объектов КИИПеречень объектов критической информационной инфраструктуры: образец 2026, как составить по ПП РФ №127.Модель угроз объекта КИИМодель угроз безопасности значимого объекта КИИ по методике ФСТЭК: образец 2026, структура, отличия от ПДн.