Урок 3.3.
Порядок работы с инцидентами

Инцидент информационной безопасности — это событие, которое привело или может привести к нарушению конфиденциальности, целостности или доступности персональных данных. К инцидентам относятся утечки, несанкционированный доступ, уничтожение или изменение данных, а также сбои в работе систем.

План реагирования

Если заранее продумать, что делать при утечке или взломе, можно быстро устранить проблему и снизить ущерб. Без плана люди теряются, а время играет против вас: чем дольше реакция — тем больше потери. Рассмотрим процесс пошагово.

Шаг 1. Назначить ответственных. Нужно заранее определить, кто будет заниматься решением проблемы.

Пример:

• Иван (админ) — отвечает за отключение зараженного сервера.
• Мария (юрист) — готовит уведомление для регулятора.
• Сергей (менеджер) — связывается с клиентами.

Шаг 2. Четкие инструкции. Нужно прописать простые шаги для сотрудников, чтобы они знали, что делать.

Пример:

• Если увидел подозрительное письмо — не открывай, сообщи администратору.
• Если система работает странно — отключи ее от сети и позвони ответственному.

Шаг 3. Изоляция зараженных систем. Важно быстро отключить пострадавший компьютер или сервер от сети, чтобы проблема не распространилась.

Шаг 4. Сбор доказательств. Нужно сохранить все, что поможет понять, что случилось.

Пример:

• Скопировать логи (записи действий в системе).
• Сделать скриншоты сообщений об ошибках.
• Сохранить подозрительные файлы для анализа.

Шаг 5. Восстановление работы. Необходимо вернуть системы в нормальное состояние и проверить, что данные целы.

Пример:

• Перезалить резервную копию сайта.
• Проверить, что у клиентов сохранились все данные и нет ошибок.

Шаг 6. Разбор полетов. Важно после инцидента разобрать, что пошло не так, и как избежать повторения ситуации. При необходимости, внести изменения в процессы.

Уведомление регуляторов и клиентов

В случае утечки или нарушения защиты персональных данных оператор обязан уведомить соответствующие органы и, при необходимости, пострадавших субъектов данных.

Что нужно сделать:

• Отправить уведомление в Роскомнадзор в сроки, установленные внутренним регламентом (лучше — не позднее 72 часов после обнаружения инцидента).
• Описать характер инцидента, объем пострадавших данных и принятых мер.
• При необходимости — уведомить субъектов персональных данных (клиентов) простым и понятным языком с указанием рекомендуемых действий для защиты.
• Задокументировать все уведомления и ответы регуляторов.

Также добавим, что в вопросах защиты персональных данных желательно консультироваться с юристом. Если у вас нет штатного юриста, то можно обратиться за бесплатной помощью в Сбер. Так, клиенты этого банка при открытии расчетного счета получают доступ к сервису «Юрист для бизнеса». В течение месяца можно бесплатно получать, например, такие услуги:

• подготовка одного локального акта (это может быть политика обработки ПДн);
• три устных консультации по правовым вопросам и др.