# Регламент реагирования на инциденты безопасности ПДн **Оператор:** {{ организация }} · **Утверждено:** {{ дата }} · **Ответственный:** {{ ... }} ## 1. Определения Инцидент — событие, повлёкшее или способное повлечь нарушение конфиденциальности, целостности или доступности ПДн (НСД, утечка, подмена журналов, компрометация ключей и т.п.). ## 2. Обнаружение (ИНЦ.1) Источники: журнал аудита, алерты SIEM, команда `audit:verify` (контроль целостности журнала), мониторинг диска, обращения пользователей. ## 3. Классификация и эскалация | Уровень | Пример | Срок реакции | |---|---|---| | Критический | Утечка ПДн, компрометация ключей | немедленно | | Высокий | Множественный НСД, нарушение целостности журнала | {{ 1 ч }} | | Средний | Подбор паролей, аномалии | {{ 4 ч }} | ## 4. Реагирование 1. Локализация (блокировка учётных записей/IP, изоляция сегмента). 2. Сбор доказательств (выгрузка журнала аудита, образ системы). 3. Устранение причины. 4. Восстановление из доверенной резервной копии. ## 5. Уведомление Роскомнадзора (ИНЦ.3) При утечке ПДн — уведомление в течение **24 часов** о факте и в течение **72 часов** о результатах внутреннего расследования (152-ФЗ ст. 21 ч. 3.1). Контакты и форма: {{ ... }}. ## 6. Взаимодействие с ГосСОПКА / НКЦКИ {{ при отнесении к субъектам КИИ — порядок и сроки уведомления }} ## 7. Анализ и предупреждение (ИНЦ.5) Post-mortem, корректирующие меры, обновление модели угроз. Журнал инцидентов ведётся ответственным за безопасность ПДн.