2.5 KiB
2.5 KiB
Регламент реагирования на инциденты безопасности ПДн
Оператор: {{ организация }} · Утверждено: {{ дата }} · Ответственный: {{ ... }}
1. Определения
Инцидент — событие, повлёкшее или способное повлечь нарушение конфиденциальности, целостности или доступности ПДн (НСД, утечка, подмена журналов, компрометация ключей и т.п.).
2. Обнаружение (ИНЦ.1)
Источники: журнал аудита, алерты SIEM, команда audit:verify (контроль
целостности журнала), мониторинг диска, обращения пользователей.
3. Классификация и эскалация
| Уровень | Пример | Срок реакции |
|---|---|---|
| Критический | Утечка ПДн, компрометация ключей | немедленно |
| Высокий | Множественный НСД, нарушение целостности журнала | {{ 1 ч }} |
| Средний | Подбор паролей, аномалии | {{ 4 ч }} |
4. Реагирование
- Локализация (блокировка учётных записей/IP, изоляция сегмента).
- Сбор доказательств (выгрузка журнала аудита, образ системы).
- Устранение причины.
- Восстановление из доверенной резервной копии.
5. Уведомление Роскомнадзора (ИНЦ.3)
При утечке ПДн — уведомление в течение 24 часов о факте и в течение 72 часов о результатах внутреннего расследования (152-ФЗ ст. 21 ч. 3.1). Контакты и форма: {{ ... }}.
6. Взаимодействие с ГосСОПКА / НКЦКИ
{{ при отнесении к субъектам КИИ — порядок и сроки уведомления }}
7. Анализ и предупреждение (ИНЦ.5)
Post-mortem, корректирующие меры, обновление модели угроз. Журнал инцидентов ведётся ответственным за безопасность ПДн.