Действия при нарушении/инциденте с ПДн: инструкция для оператора

Действия при нарушении/инциденте с ПДн: инструкция для оператора

Что считается инцидентом ПДн по 152‑ФЗ {#chto-schitaetsya-incidentom}

Инцидент по 152‑ФЗ — это событие, повлекшее нарушение конфиденциальности, целостности или доступности персональных данных (ПДн) в информационной системе (ИСПДн) или на бумажных носителях. К типовым случаям относятся: утечка (несанкционированная передача/распространение), несанкционированный доступ, потеря/уничтожение, блокирование, модификация ПДн, отправка ПДн не тому адресату, компрометация учетных данных, взлом сайта/формы.

Ключевые ориентиры закона:

• Ст. 19 152‑ФЗ — меры по обеспечению безопасности ПДн и управление инцидентами.
• Ст. 18.1 — назначение ответственного лица и внутренний контроль.
• Ст. 22 и ст. 22.1 — уведомления и взаимодействие с Роскомнадзором.
• Профильные подзаконные акты и формы уведомлений Роскомнадзора (смотрите нашу страницу: уведомление Роскомнадзор).

Если не уверены, является ли событие инцидентом, фиксируйте его как потенциальный: это позволит не пропустить сроки и корректно задокументировать реагирование.

Чек‑лист первых 24 часов {#checklist-24h}

Быстрые действия в первые часы снижают масштаб ущерба и юридические риски:

• Изолируйте источник: отключите скомпрометированный аккаунт/сервер, приостановите интеграции, заморозьте выдачу данных из ИСПДн.
• Сохраните доказательства: снимки состояний, логи, хэши файлов, конфигурации. Не «лечите» систему до фиксации артефактов.
• Оцените масштаб: категории ПДн, объем записей, субъекты, затронутые системы и контрагенты.
• Включите план реагирования: соберите кросс‑функциональную группу (ответственный за ПДн, ИБ, ИТ, юрист, PR).
• Подготовьте предварительное уведомление для Роскомнадзора (при подтверждении утечки/нарушения) — в сроки и форме, установленной РКН. Детали: инциденты и утечки ПДн, уведомление Роскомнадзор.
• Проинформируйте руководителя и, при необходимости, владельцев процессов/подрядчиков по порученной обработке.

Примечание: конкретные сроки и формат сообщений определяются 152‑ФЗ и актами РКН. Проверяйте актуальную редакцию: текст 152‑ФЗ и изменения 2025.

Пошаговая инструкция реагирования на инциденты ПДн {#instruktsiya-reagirovaniya}

1. Обнаружение и триаж

• Каналы: SIEM/логи, IDS/IPS, DLP, SOC‑алерты, обращения субъектов ПДн, партнеров, сотрудников.
• Классификация: подтвержденный инцидент ПДн / подозрение / неинцидент. Фиксируйте решение и основания.

1. Локализация и остановка развития

• Блокировка учетных записей, ключей API, токенов; отключение уязвимых сервисов; временное ограничение функций сайта.
• При инциденте на сайте: активируйте статический заглушку, проверьте SSL/HTTPS, отключите небезопасные плагины (см. WordPress, Bitrix, Tilda).

1. Сохранение артефактов

• Снимки (snapshots), копии логов, выгрузки конфигов и событий в неизменяемое хранилище.

1. Уведомления и взаимодействие с органами

• Подготовьте предварительную информацию для РКН, субъектов ПДн и при необходимости — компетентных органов. См. раздел ниже и страницу уведомление Роскомнадзор.

1. Расследование причин

• Технический разбор уязвимостей, пути проникновения, действия злоумышленника, оценка недостатков процессов (доступы, обучение, подрядчики).
• Обновление модели угроз ИСПДн и корректировка мер безопасности, в т.ч. криптографии (шифрование).

1. Восстановление и верификация

• Восстановление целостности, контрольные тесты, независимая проверка (внутренний аудит или внешний консультант).

1. Пост‑инцидентный отчет и улучшения

• Доклад руководству и РКН при необходимости; план CAPA (corrective and preventive actions); обучение персонала.

Кого и как уведомлять {#uvedomleniya}

Ниже — ориентировочная карта уведомлений. Всегда соотносите с вашими внутренними регламентами, договорами и актуальными формами РКН.

Кого уведомлять	Когда	Канал/форма	Что указать
Роскомнадзор	В установленные сроки после подтверждения инцидента	Формы РКН (личный кабинет/письмо)	Описание инцидента, дата/время, объем ПДн, категории субъектов, ИСПДн, принятые меры, контакт ответственного
Субъекты ПДн	Без неоправданной задержки, если их права/свободы затронуты	Email/смс/личный кабинет/письмо	Суть инцидента, какие ПДн затронуты, риски, рекомендации, контакт для связи
Порученные обработчики/контрагенты	Немедленно при затрагивании их систем/данных	По договорным каналам	Факты/масштаб, совместные меры, требования к ограничению обработки
Владельцы процессов/руководство	Сразу после первичной оценки	Внутренние каналы	Риск‑оценка, план реагирования, ресурсы

Полезно: инциденты и утечки ПДн, обязанности оператора, реестр операторов.

Какие данные собрать для уведомления и расследования {#dannye-dlya-uvedomleniya}

• Идентификатор инцидента, дата и время (обнаружения и фактического начала).
• Системы/сервисы и среды (производство/тест), где обрабатываются ПДн (определение ИСПДн).
• Категории ПДн (обычные, специальные, биометрические, медицинские, данные детей).
• Объем: количество записей/субъектов, перечень полей.
• Канал/механизм нарушения (фишинг, уязвимость веб‑формы, неверная рассылка, потеря носителя, инсайд и т.п.).
• Принятые и планируемые меры: локализация, уведомление, восстановление, профилактика.
• Контакты ответственного за обработку ПДн (назначение).

Для упрощения подготовки соберите шаблоны заранее: шаблоны и формы, пакет документов, политика обработки ПДн.

Роли и ответственность в команде реагирования {#roli-i-otvetstvennost}

Роль	Ключевые задачи
Ответственный за ПДн	Координация реагирования, связь с РКН, контроль соблюдения 152‑ФЗ
ИБ/СОК	Техническая фиксация, локализация, сбор артефактов, анализ причин
ИТ/DevOps	Восстановление сервисов, патчи, резервное копирование и проверка целостности
Юрист/Compliance	Оценка правовых рисков, тексты уведомлений субъектам и РКН, договорные обязательства
PR/Коммуникации	Внешние сообщения, FAQ для клиентов, минимизация репутационных рисков
Руководитель бизнес‑направления	Решения о приостановке процессов, ресурсах и приоритетах восстановления

Систематичность обеспечивает внутренний контроль и обучение, а распределение ответственности должно быть закреплено в локальных актах.

Ответственность и последствия нарушения 152‑ФЗ {#otvetstvennost-i-posledstviya}

Нарушение 152 ФЗ о персональных данных — ответственность многоплановая: административная, гражданско‑правовая и, в отдельных случаях, уголовная. Основные последствия нарушения 152 ФЗ:

• Штрафы по КоАП (в т.ч. ст. 13.11) за обработку без правового основания, отсутствие мер безопасности, неуведомление РКН, несоблюдение прав субъектов. Подробнее: КоАП 13.11, Ответственность и штрафы.
• Предписания РКН: устранить нарушения, ограничить или прекратить обработку (прекращение обработки).
• Иски субъектов ПДн о компенсации морального вреда и убытков.
• Репутационные потери, рост стоимости привлечения клиентов и проверки партнерами.

Правоприменение быстро развивается — изучайте судебную практику и следите за изменениями 2025.

Типовые сценарии и что делать {#tipovye-stsenarii}

1. Письмо с ПДн отправлено не тому адресату

• Меры: запросить удаление письма/файла, отозвать доступ/ссылку, зафиксировать факт, уведомить субъекта при риске вреда.
• Предотвращение: защита от автозаполнения, «двухкликовая отправка», DLP‑контроль вложений.

1. Взлом формы обратной связи/сайта и выгрузка базы

• Меры: отключить уязвимую форму, обновить CMS/плагины, сменить ключи, проверить требования к сайту, формы и согласие, cookie и баннеры.
• Предотвращение: WAF, CSP, rate‑limiting, регулярный аудит сайта, HTTPS HSTS.

1. Потеря ноутбука с базой клиентов

• Меры: удаленное шифрование/блокировка, отзыв токенов, проверка резервных копий, уведомления.
• Предотвращение: полнодисковое шифрование, MDM, раздельные окружения, минимизация выгрузок.

Профилактика: как снизить риск повторения {#profilaktika}

• Технические меры: сегментация сетей, MFA, минимальные привилегии, журналирование, DLP, SIEM, регулярный пентест.
• Организационные меры: актуализация реестра ИСПДн, DPIA/оценка рисков, проверка подрядчиков, контроль доступов, план реагирования с учениями.
• Документы: Политика обработки ПДн, регламент реагирования, план коммуникаций, порядок уничтожения и блокировки ПДн.
• Актуализация модели угроз и уровней защищенности: уровни защищенности ИСПДн, требования ФСТЭК и ФСБ.
• Обучение и культура безопасности: фишинг‑симуляции, чек‑листы, регулярные брифинги — см. обучение и курсы.

Для объективной оценки зрелости полезен аудит соответствия 152‑ФЗ и практический чек‑лист.

Частые ошибки оператора при инциденте {#oshibki}

• Задержка уведомления РКН и субъектов ПДн — повышает регуляторные и репутационные риски.
• Устранение уязвимостей до фиксации артефактов — теряются доказательства, усложняется расследование.
• Неполное описание масштабов и мер — приводит к дополнительным запросам и проверкам РКН.
• Игнорирование подрядчиков и «порученной обработки» — данные могли утечь у них.
• Отсутствие единой точки ответственности и плана коммуникаций — противоречивые сообщения вовне.
• Недооценка «малых» инцидентов — системные дефекты остаются и приводят к крупным утечкам.

Заключение и следующий шаг {#zaklyuchenie}

Грамотное реагирование на инцидент ПДн — это не только техническая локализация, но и правовая корректность, прозрачные уведомления и обязательные улучшения. При подтвержденном нарушении 152‑ФЗ о персональных данных ответственность может быть значительной, а последствия нарушения 152‑ФЗ — болезненными для бизнеса. Действуйте по плану, фиксируйте каждый шаг и опирайтесь на актуальные требования закона.

Нужны формы уведомления и чек‑листы? Воспользуйтесь нашими материалами: уведомление Роскомнадзор, инциденты и утечки ПДн, ответственность и штрафы. Если требуется помощь «под ключ» — свяжитесь с нами: консалтинг и документы или закажите аудит соответствия 152‑ФЗ.