38 lines
2.5 KiB
Markdown
38 lines
2.5 KiB
Markdown
# Регламент реагирования на инциденты безопасности ПДн
|
||
|
||
**Оператор:** {{ организация }} · **Утверждено:** {{ дата }} · **Ответственный:** {{ ... }}
|
||
|
||
## 1. Определения
|
||
Инцидент — событие, повлёкшее или способное повлечь нарушение
|
||
конфиденциальности, целостности или доступности ПДн (НСД, утечка, подмена
|
||
журналов, компрометация ключей и т.п.).
|
||
|
||
## 2. Обнаружение (ИНЦ.1)
|
||
Источники: журнал аудита, алерты SIEM, команда `audit:verify` (контроль
|
||
целостности журнала), мониторинг диска, обращения пользователей.
|
||
|
||
## 3. Классификация и эскалация
|
||
| Уровень | Пример | Срок реакции |
|
||
|---|---|---|
|
||
| Критический | Утечка ПДн, компрометация ключей | немедленно |
|
||
| Высокий | Множественный НСД, нарушение целостности журнала | {{ 1 ч }} |
|
||
| Средний | Подбор паролей, аномалии | {{ 4 ч }} |
|
||
|
||
## 4. Реагирование
|
||
1. Локализация (блокировка учётных записей/IP, изоляция сегмента).
|
||
2. Сбор доказательств (выгрузка журнала аудита, образ системы).
|
||
3. Устранение причины.
|
||
4. Восстановление из доверенной резервной копии.
|
||
|
||
## 5. Уведомление Роскомнадзора (ИНЦ.3)
|
||
При утечке ПДн — уведомление в течение **24 часов** о факте и в течение
|
||
**72 часов** о результатах внутреннего расследования (152-ФЗ ст. 21 ч. 3.1).
|
||
Контакты и форма: {{ ... }}.
|
||
|
||
## 6. Взаимодействие с ГосСОПКА / НКЦКИ
|
||
{{ при отнесении к субъектам КИИ — порядок и сроки уведомления }}
|
||
|
||
## 7. Анализ и предупреждение (ИНЦ.5)
|
||
Post-mortem, корректирующие меры, обновление модели угроз. Журнал инцидентов
|
||
ведётся ответственным за безопасность ПДн.
|