Готовый порядок реагирования на инциденты ИБ на 2026 год: классификация инцидентов, этапы реагирования, 72-часовой дедлайн уведомления Роскомнадзора, шаблон плана, состав команды. Скачайте .docx или создайте в конструкторе.
* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.
Порядок реагирования на инциденты информационной безопасности — это документ, определяющий действия организации при обнаружении нарушений безопасности информации, утечек ПДн, кибератак и иных инцидентов.
Без этого документа при реальном инциденте наступает хаос: никто не знает, кого уведомлять, кто принимает решения, как фиксировать доказательства. Время тратится на выяснение ролей вместо локализации угрозы.
Документ обязателен для:
Для эффективного реагирования инциденты необходимо классифицировать по типу и уровню критичности.
Международный стандарт NIST SP 800-61 и российская практика выделяют 6 этапов реагирования:
Фиксация инцидента: срабатывание СЗИ, обращение сотрудника, уведомление от CERT, публикация в даркнете. Регистрация в журнале инцидентов.
Определение типа и критичности. Ответы на вопросы: что произошло, какие данные затронуты, сколько субъектов, продолжается ли атака.
Ограничение масштаба: изоляция скомпрометированных систем, блокировка учётных записей, отключение сегментов сети. Цель — остановить распространение.
Роскомнадзор — в течение 24 часов через портал pd.rkn.gov.ru. ГосСОПКА — для субъектов КИИ. Руководство организации — немедленно.
Сбор и анализ доказательств, определение вектора атаки, оценка ущерба, установление виновных. Результаты — в Роскомнадзор в течение 72 часов.
Восстановление систем из резервных копий, устранение уязвимостей, обновление модели угроз, корректировка мер защиты. Отчёт руководству.
Укажите тип организации, ИСПДн и состав команды реагирования — конструктор сформирует готовый документ с матрицей ответственности, таймлайном и шаблонами уведомлений.
Открыть конструктор| Срок | Действие | Ответственный | Основание |
|---|---|---|---|
| 0–1 час | Регистрация инцидента в журнале, уведомление руководителя | Дежурный администратор / обнаруживший | Внутренний регламент |
| 1–4 часа | Классификация инцидента, оценка масштаба утечки | Руководитель команды реагирования | Внутренний регламент |
| 4–12 часов | Локализация: изоляция систем, блокировка доступов | IT-специалист / ИБ-специалист | Внутренний регламент |
| До 24 часов | Первичное уведомление Роскомнадзора через pd.rkn.gov.ru | Ответственный за ПДн | ч. 3.1 ст. 21 ФЗ-152 |
| До 24 часов | Уведомление ГосСОПКА (для субъектов КИИ) | Ответственный за КИИ | ст. 9 ФЗ-187 |
| 24–72 часа | Внутреннее расследование: вектор атаки, объём ущерба | Команда реагирования | ч. 3.1 ст. 21 ФЗ-152 |
| До 72 часов | Направление результатов расследования в Роскомнадзор | Ответственный за ПДн | ч. 3.1 ст. 21 ФЗ-152 |
| 72+ часов | Восстановление систем, устранение уязвимостей, отчёт | IT-отдел / руководство | Внутренний регламент |
Даже в небольшой организации необходимо заранее определить состав команды реагирования и роли каждого участника:
Руководитель команды — принимает решения об изоляции систем, уведомлении регуляторов, привлечении внешних экспертов. Обычно — ответственный за ИБ или заместитель руководителя.
Ответственный за ПДн (ст. 22.1 ФЗ-152) — направляет уведомления в Роскомнадзор, взаимодействует с субъектами ПДн, контролирует правовые аспекты.
IT-специалист — проводит техническую локализацию: изоляция серверов, анализ логов, восстановление из бэкапов.
Юрист — оценивает правовые последствия, готовит документы для регуляторов, взаимодействует с правоохранительными органами при необходимости.
PR / коммуникации — при крупных утечках готовит публичное уведомление для субъектов ПДн и СМИ.
В малом бизнесе все роли может выполнять один человек (руководитель), но порядок действий всё равно должен быть прописан. Определите ответственных с помощью конструктора.
Критическая инфраструктура, субъект КИИ, требования ГосСОПКА? Наши эксперты разработают порядок реагирования с учётом специфики вашей инфраструктуры и регуляторных требований.
Заказать разработкуПодготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.
