Алексей Ветров
Эксперт по защите данных IC-TECH
Если на вашем объекте КИИ случился инцидент (взлом, вирус, подозрительная активность, отказ сервиса из-за атаки и т.п.), у субъекта КИИ “обязательная логика действий” такая:
1. Зафиксировать факт и масштабы: что произошло, какой объект/сегмент затронут, какие функции нарушены.
2. Ограничить ущерб: изолировать заражённые узлы/учётки/каналы, остановить распространение (без “стирания следов”).
3. Оформить инцидент: внутреннее сообщение/карточка инцидента, время обнаружения, первые меры, ответственные.
4. Сообщить в ГосСОПКА (НКЦКИ/ФСБ) по установленному порядку: это обязанность субъекта КИИ, а для значимых объектов порядок детализирован (в т.ч. срок – до 24 часов).
5. Содействовать реагированию и расследованию: отвечать на запросы, передавать требуемые сведения, участвовать в установлении причин.
6. Восстановить работоспособность и закрыть причины: восстановление (в т.ч. из резервных копий), устранение уязвимости, усиление контроля, отчёт/разбор инцидента.
1. Зафиксировать факт и масштабы: что произошло, какой объект/сегмент затронут, какие функции нарушены.
2. Ограничить ущерб: изолировать заражённые узлы/учётки/каналы, остановить распространение (без “стирания следов”).
3. Оформить инцидент: внутреннее сообщение/карточка инцидента, время обнаружения, первые меры, ответственные.
4. Сообщить в ГосСОПКА (НКЦКИ/ФСБ) по установленному порядку: это обязанность субъекта КИИ, а для значимых объектов порядок детализирован (в т.ч. срок – до 24 часов).
5. Содействовать реагированию и расследованию: отвечать на запросы, передавать требуемые сведения, участвовать в установлении причин.
6. Восстановить работоспособность и закрыть причины: восстановление (в т.ч. из резервных копий), устранение уязвимости, усиление контроля, отчёт/разбор инцидента.
Что говорит законодательство
Ключевые требования “что делать при инциденте” закреплены в ст. 9 187-ФЗ:
- субъект КИИ обязан незамедлительно информировать уполномоченный орган по функционированию ГосСОПКА (ФСБ/НКЦКИ), а для организаций финансового рынка – также Банк России (по согласованному порядку);
- обязан оказывать содействие должностным лицам уполномоченного органа в обнаружении/предупреждении/ликвидации последствий атак и установлении причин инцидентов;
- если у субъекта есть значимые объекты КИИ, он дополнительно обязан реагировать на компьютерные инциденты и принимать меры по ликвидации последствий атак в порядке, утверждённом уполномоченным органом по ГосСОПКА.
Нормативные акты ФСБ, которые “приземляют” эту обязанность в конкретику:
- Приказ ФСБ №282 – порядок информирования и реагирования для значимых объектов; на практике информирование идёт через НКЦКИ по форматам НКЦКИ в течение 24 часов с момента обнаружения (и в рамках порядка также закрепляется необходимость планов реагирования).
- Приказ ФСБ №367 – какие именно сведения об инцидентах нужно передавать в ГосСОПКА и как; также ориентир – не позднее 24 часов с момента обнаружения.
Как это работает на практике
Обычно выстраивают процесс так, чтобы выполнить закон “без паники”:
- Триаж и классификация (первые минуты/часы)
- подтвердить: это реально инцидент, какой объект КИИ затронут, есть ли признаки атаки;
- определить критичность: какие сервисы/процессы страдают, есть ли риски распространения.
- Сдерживание и сохранение доказательств
- точечно отключить/изолировать заражённые узлы, сбросить/заблокировать скомпрометированные учётки;
- сохранить логи/дампы/артефакты (чтобы потом можно было установить причину).
- Уведомление по внешнему контуру (ГосСОПКА)
- подготовить сообщение в НКЦКИ по форматам (минимум: что произошло, где, когда обнаружено, какие последствия, какие меры приняли);
- уложиться в сроки, которые установлены порядками ФСБ (на практике – ориентир “до 24 часов” по №282/№367).
- Реагирование и восстановление
- удаление вредоносного кода/закрытие уязвимости, проверка соседних сегментов;
- восстановление из бэкапов/резерва, контроль целостности, возврат в штатный режим.
- Разбор инцидента и предотвращение повторения
- оформить отчёт/разбор причин, обновить меры и регламенты, усилить мониторинг и контроль изменений.
Выводы и рекомендации
Юридически базовое требование для субъекта КИИ при инциденте: незамедлительно информировать уполномоченный орган по ГосСОПКА и содействовать расследованию/ликвидации последствий; для финсектора – также Банк России.
Практически “золотой стандарт” комплаенса: зафиксировали → локализовали → уведомили через НКЦКИ → восстановили → разобрали причины.
Чтобы проходить проверки спокойнее, держите готовыми:
-
- регламент реагирования + роли/контакты,
- журнал инцидентов и шаблон уведомления,
- подтверждения, что вы реально можете уложиться в порядок/сроки обмена (ориентир “до 24 часов” по №282/№367).
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
