Files
laravel-gost-template/docs/org/reglament-incidenty.md
2026-06-24 17:20:43 +09:00

2.5 KiB
Raw Permalink Blame History

Регламент реагирования на инциденты безопасности ПДн

Оператор: {{ организация }} · Утверждено: {{ дата }} · Ответственный: {{ ... }}

1. Определения

Инцидент — событие, повлёкшее или способное повлечь нарушение конфиденциальности, целостности или доступности ПДн (НСД, утечка, подмена журналов, компрометация ключей и т.п.).

2. Обнаружение (ИНЦ.1)

Источники: журнал аудита, алерты SIEM, команда audit:verify (контроль целостности журнала), мониторинг диска, обращения пользователей.

3. Классификация и эскалация

Уровень Пример Срок реакции
Критический Утечка ПДн, компрометация ключей немедленно
Высокий Множественный НСД, нарушение целостности журнала {{ 1 ч }}
Средний Подбор паролей, аномалии {{ 4 ч }}

4. Реагирование

  1. Локализация (блокировка учётных записей/IP, изоляция сегмента).
  2. Сбор доказательств (выгрузка журнала аудита, образ системы).
  3. Устранение причины.
  4. Восстановление из доверенной резервной копии.

5. Уведомление Роскомнадзора (ИНЦ.3)

При утечке ПДн — уведомление в течение 24 часов о факте и в течение 72 часов о результатах внутреннего расследования (152-ФЗ ст. 21 ч. 3.1). Контакты и форма: {{ ... }}.

6. Взаимодействие с ГосСОПКА / НКЦКИ

{{ при отнесении к субъектам КИИ — порядок и сроки уведомления }}

7. Анализ и предупреждение (ИНЦ.5)

Post-mortem, корректирующие меры, обновление модели угроз. Журнал инцидентов ведётся ответственным за безопасность ПДн.