Число компьютерных инцидентов на объектах КИИ [критической информационной инфраструктуры] растёт. По данным ФСБ России (доклад на SOC Forum 2025), около 70% обращений в НКЦКИ [Национальный координационный центр по компьютерным инцидентам] связаны с вирусами-вымогателями. С 30 мая 2025 года действуют оборотные штрафы за утечки персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ), а с 1 марта 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117, изменивший требования к защите информации в государственных информационных системах. Для организаций, которые ещё не выстроили процесс реагирования на инциденты, риски продолжают расти.
Ниже разберём, что российское законодательство и ГОСТы понимают под инцидентом ИБ. Кто обязан реагировать и в какие сроки уведомлять НКЦКИ, Роскомнадзор, ФинЦЕРТ. Какие штрафы грозят за нарушение (до 500 миллионов рублей). Как выстроить процесс реагирования по ГОСТ Р 59710-2022 и что подготовить заранее.
Что считается инцидентом ИБ
Событие, инцидент, компьютерная атака
В российском законодательстве и стандартах по защите информации используются три термина, которые следует различать. От правильной классификации зависит, нужно ли уведомлять регуляторов, в какие сроки и какие санкции грозят за нарушение.
Событие ИБ, согласно ГОСТ Р 59547-2021 (п. 3.13) — это «зафиксированное состояние информационной (автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного прикладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное нарушение безопасности информации, сбой средств защиты информации, или ситуацию, которая может быть значимой для безопасности информации». На практике это любая зафиксированная активность. Неудачная попытка входа, сработавшее правило межсетевого экрана, подозрительный DNS-запрос. Событий в крупной организации фиксируется от нескольких тысяч до нескольких миллионов в сутки.
Инцидент ИБ, согласно ГОСТ Р 59709-2022 (термин 26) — это «непредвиденное или нежелательное событие (группа событий) ИБ, которое привело (могут привести) к нарушению функционирования информационного ресурса или возникновению угроз безопасности информации или нарушению требований по защите информации». Инцидент отличается от события тем, что он причинил реальный вред или создал реальную угрозу.
Компьютерный инцидент, согласно п. 5 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — это «факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки». ГОСТ Р 59709-2022 (примечание к термину 27) уточняет, что компьютерные инциденты являются подмножеством инцидентов ИБ.
Компьютерная атака, согласно п. 4 ст. 2 того же 187-ФЗ — это «целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации». Атака может не привести к инциденту, если средства защиты сработали. Инцидент может произойти без атаки, например из-за ошибки администратора или отказа оборудования.
Кто решает, что произошёл инцидент
На практике граница между событием и инцидентом проходит через процедуру классификации. Пять неудачных попыток входа за час с одного IP-адреса, вероятнее всего, событие. Пятьдесят тысяч попыток за час с разных IP-адресов — это атака методом перебора. Даже если ни одна попытка не была успешной, такая активность, как правило, классифицируется как инцидент, после чего запускается процедура реагирования.
Для субъектов КИИ Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» устанавливает требование о назначении заместителя руководителя, ответственного за ИБ. Именно он принимает решения по инцидентам на уровне организации. В компаниях с SOC [Security Operations Center, центр мониторинга информационной безопасности] первичную классификацию выполняет аналитик первой линии, а эскалацию на вторую линию или руководителю определяет внутренний регламент. В организациях без SOC решение принимает ответственный за ИБ или лицо, назначенное в соответствии с Указом № 250.
В каждой организации должна быть утверждённая матрица классификации инцидентов с пороговыми значениями. Без неё решение о том, событие это или инцидент, принимается субъективно, что приводит к двум крайностям. Либо всё подряд объявляется инцидентом, и команда перегружена ложными тревогами. Либо реальные инциденты остаются незамеченными, потому что никто не взял на себя ответственность за классификацию.
Для целей 187-ФЗ используется термин «компьютерный инцидент», а в контексте Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» используется формулировка «неправомерная или случайная передача (предоставление, распространение, доступ)» персональных данных (ч. 3.1 ст. 21 152-ФЗ). 152-ФЗ не оперирует понятием «инцидент ИБ». Если организация является субъектом КИИ и одновременно оператором персональных данных, при утечке уведомлять придётся и НКЦКИ по 187-ФЗ, и Роскомнадзор по 152-ФЗ. Подробнее о сроках и порядке в разделе «Уведомления».
Кто обязан реагировать
Обязанности по реагированию на инциденты закреплены в нескольких федеральных законах и подзаконных актах. Конкретный набор требований зависит от того, к какой категории относится организация. Субъекты КИИ, операторы персональных данных, кредитные организации и операторы ГИС подчиняются разным нормам, а в ряде случаев нескольким одновременно.
Субъекты КИИ и 187-ФЗ
Субъекты КИИ определены в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ. Это государственные органы, государственные учреждения и российские юридические лица, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в 14 сферах деятельности. Среди них здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность, а также государственная регистрация прав на недвижимое имущество и сделок с ним.
Статья 9 187-ФЗ устанавливает обязанность субъектов КИИ незамедлительно информировать ФСБ России о компьютерных инцидентах через НКЦКИ. Сроки конкретизированы в приказе ФСБ России от 25.12.2025 № 547, который вступил в силу 30.01.2026 и заменил ранее действовавший приказ ФСБ от 19.06.2019 № 282. Для значимых объектов КИИ (ЗОКИИ) информация передаётся не позднее 3 часов с момента обнаружения инцидента. Для объектов КИИ без присвоенной категории значимости срок составляет 24 часа.
Перечень сведений, передаваемых в ГосСОПКА [Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ], установлен приказом ФСБ России от 24.07.2018 № 367. Порядок обмена информацией между субъектами КИИ и НКЦКИ регулируется приказом ФСБ России от 25.12.2025 № 546, который заменил ранее действовавший приказ от 24.07.2018 № 368.
Нарушение порядка информирования о компьютерных инцидентах влечёт административную ответственность по ч. 2 ст. 13.12.1 КоАП РФ (введена Федеральным законом от 26.05.2021 № 141-ФЗ). Штраф для должностных лиц составляет от 10 000 до 50 000 рублей, для юридических лиц от 100 000 до 500 000 рублей. За неправомерное воздействие на КИИ предусмотрена уголовная ответственность по ст. 274.1 УК РФ, вплоть до 10 лет лишения свободы (ч. 5).
Операторы ПДн и 152-ФЗ
Любая организация, которая обрабатывает персональные данные, подпадает под Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». С 1 сентября 2022 года (Федеральный закон от 14.07.2022 № 266-ФЗ) закон обязывает оператора уведомлять Роскомнадзор о фактах неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным (ч. 3.1 ст. 21 152-ФЗ).
Сроки уведомления. 24 часа на первичное уведомление о факте утечки через портал pd.rkn.gov.ru. 72 часа на результаты внутреннего расследования с указанием причин, оценкой вреда субъектам ПДн и описанием принятых мер.
С 30 мая 2025 года (Федеральный закон от 30.11.2024 № 420-ФЗ) штрафы за нарушения в области персональных данных существенно ужесточены. Размер зависит от масштаба утечки и повторности нарушения.
Состав нарушенияСтатья КоАПШтраф для юрлицНеуведомление об утечкеч. 11 ст. 13.111 000 000 — 3 000 000 руб.Утечка 1 000 — 10 000 субъектовч. 12 ст. 13.113 000 000 — 5 000 000 руб.Утечка 10 000 — 100 000 субъектовч. 13 ст. 13.115 000 000 — 10 000 000 руб.Утечка более 100 000 субъектовч. 14 ст. 13.1110 000 000 — 15 000 000 руб.Повторная утечка (оборотный штраф)ч. 15 ст. 13.111—3% выручки, не менее 20 000 000, не более 500 000 000 руб.Утечка спецкатегорий ПДнч. 16 ст. 13.1110 000 000 — 15 000 000 руб.
Банки и НФО
Для кредитных организаций с 29 марта 2025 года действует Положение Банка России от 30.01.2025 № 851-П, которое заменило ранее действовавшее Положение № 683-П. Для некредитных финансовых организаций (НФО) действует Положение Банка России от 20.04.2021 № 757-П.
Банки передают информацию об инцидентах в ГосСОПКА через инфраструктуру ФинЦЕРТ [Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России]. Срок передачи информации об инциденте защиты информации составляет 3 часа с момента обнаружения (851-П). На расследование и предоставление результатов отводится 30 дней.
Крупные банки, как правило, также являются субъектами КИИ. В этом случае при инциденте нужно параллельно уведомить НКЦКИ в соответствии с 187-ФЗ и ФинЦЕРТ в соответствии с 851-П. Формы отчётности разные, каналы передачи разные, сроки при этом совпадают. У банка должна быть отработанная процедура двойного уведомления.
ГИС и приказ ФСТЭК России № 117
С 1 марта 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117, заменивший действовавший с 2013 года приказ № 17. Требования распространяются на государственные информационные системы (ГИС), а также на информационные системы государственных органов, государственных унитарных предприятий и учреждений.
Приказ вводит модель непрерывного мониторинга защищённости с регулярной оценкой состояния ИБ и передачей результатов регулятору. Операторы ГИС обязаны обеспечить обнаружение, регистрацию и реагирование на инциденты ИБ, а также взаимодействие с ГосСОПКА.
Приказ также впервые на нормативном уровне устанавливает требования к защите информации при использовании систем искусственного интеллекта в ГИС.
Если в ГИС обрабатываются персональные данные, дополнительно применяется приказ ФСТЭК России от 18.02.2013 № 21. При использовании СКЗИ [средства криптографической защиты информации] дополнительно применяются требования приказа ФСБ России от 18.03.2025 № 117 (вступил в силу 06.04.2025, заменил приказ ФСБ от 24.10.2022 № 524). Два одноимённых документа с номером 117 от ФСТЭК и ФСБ регулируют разные вопросы, их не следует путать.
Порядок реагирования по ГОСТ Р 59710-2022
ГОСТ Р 59709-2022 определяет терминологию управления компьютерными инцидентами, а ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения» описывает сам процесс. Стандарт выделяет последовательность этапов, каждый из которых имеет формализованное определение (термины 40-51 ГОСТ Р 59709-2022). На практике порядок действий выглядит следующим образом.

Этапы реагирования на компьютерный инцидент. Источник: ГОСТ Р 59709-2022, термины 40-51

Обнаружение и регистрация
Обнаружение компьютерных атак (ГОСТ Р 59709-2022, термин 40) представляет собой «комплекс мероприятий по выявлению и анализу признаков компьютерных атак и определению их типа». Источником информации может быть один из элементов комплексной системы обеспечения ИБ. Средства мониторинга и корреляции событий безопасности (SIEM), средства обнаружения вторжений (IDS/IPS), антивирусное ПО, средства защиты конечных точек (EDR), межсетевые экраны нового поколения (NGFW), системы предотвращения утечек (DLP), средства анализа сетевого трафика (NTA), сканеры уязвимостей и другие средства защиты информации, а также обращения пользователей и внешние уведомления от НКЦКИ, ФинЦЕРТ или партнёров.
После обнаружения аналитик проводит верификацию. Действительно ли зафиксированная активность указывает на инцидент или это ложное срабатывание. Какие системы и данные затронуты. Есть ли признаки целенаправленной атаки. По результатам верификации принимается решение о регистрации.
Регистрация компьютерного инцидента (ГОСТ Р 59709-2022, термин 41) — это «процесс (процедура, функция) фиксации сведений о компьютерном инциденте по установленной форме». На этом этапе инциденту присваивается идентификатор, уровень критичности и тип. Начинает идти время для уведомления регуляторов. Для субъектов КИИ с ЗОКИИ это 3 часа с момента обнаружения (приказ ФСБ № 547). Подробнее о платформах автоматизации регистрации и реагирования читайте в статье «SOAR: автоматизация реагирования на инциденты».
Локализация и сбор доказательств
Локализация компьютерного инцидента (ГОСТ Р 59709-2022, термин 46) — это «совокупность действий, направленных на определение и ограничение функционирования информационных ресурсов, на которых обнаружены признаки зарегистрированного компьютерного инцидента, с целью предотвращения его дальнейшего распространения». На практике это означает изоляцию скомпрометированного хоста от сети, блокировку учётной записи, отключение скомпрометированного сервиса. При этом сам сервер не следует выключать и не следует переустанавливать ОС до завершения сбора доказательств.
Параллельно с локализацией начинается выявление последствий (ГОСТ Р 59709-2022, термин 47), то есть «определение фактов несанкционированного раскрытия, модификации, уничтожения информации или блокирования доступа к ней». Снимки оперативной памяти, копии журналов событий, образы дисков фиксируются с указанием времени и хэш-сумм. Если инцидент приведёт к проверке регулятора или судебному разбирательству, доказательства, собранные без документирования, могут быть признаны недопустимыми. Ранее действовавший приказ ФСБ России от 19.06.2019 № 282 устанавливал срок хранения информации о компьютерных инцидентах не менее трёх лет (п. 6). Аналогичное требование предусмотрено в приказе ФСБ № 547.
Устранение и восстановление
Ликвидация последствий компьютерного инцидента (ГОСТ Р 59709-2022, термин 48) — это «совокупность действий, направленных на восстановление штатного режима функционирования информационных ресурсов после компьютерного инцидента и удаление изменений, внесённых нарушителем ИБ в информационный ресурс». Если причиной стало вредоносное ПО, его удаляют со всех затронутых систем и проверяют отсутствие бэкдоров. Если эксплуатировалась уязвимость, устанавливают обновление. Если скомпрометированы учётные данные, сбрасывают пароли и отзывают активные сессии.
Перед возвратом системы в эксплуатацию нужно убедиться, что причина устранена. Восстановление из резервной копии не всегда безопасно, если копия была создана уже после компрометации. Установление причин компьютерного инцидента (ГОСТ Р 59709-2022, термин 49) включает «определение факторов, обусловивших возможность возникновения компьютерного инцидента и (или) способствовавших его возникновению».
Разбор и предотвращение повторения
Закрытие компьютерного инцидента (ГОСТ Р 59709-2022, термин 50) — это «совокупность действий, направленных на проверку результатов выполнения мероприятий (этапов) реагирования на компьютерный инцидент для принятия решения о его закрытии или о необходимости проведения дополнительных действий по реагированию». После закрытия проводится анализ. Как инцидент был обнаружен. Сколько времени прошло с момента компрометации до обнаружения (dwell time, время присутствия злоумышленника). Какие меры сработали, какие нет. Были ли нарушены сроки уведомления регуляторов.
Принятие мер по предотвращению повторного возникновения компьютерных инцидентов (ГОСТ Р 59709-2022, термин 51) — это «реализация мер защиты информации, обеспечивающих противодействие (снижение вероятности вплоть до недопущения) повторному возникновению компьютерных инцидентов». Приказ ФСБ России № 547 прямо предусматривает этот этап как обязательный. Результаты анализа фиксируются в отчёте и используются для обновления плана реагирования, правил корреляции в SIEM и сценариев реагирования в IRP/SOAR. Подробнее о построении процесса мониторинга читайте в статье «Практика внедрения и эксплуатации SIEM».
Сроки и порядок уведомления регуляторов
При инциденте организация может быть обязана уведомить одного или нескольких регуляторов. Ниже сводная таблица с актуальными сроками, основаниями и санкциями.
Тип организацииКуда уведомлятьОснованиеСрок уведомленияСанкцииСубъект КИИ (ЗОКИИ)НКЦКИ187-ФЗ ст. 9, ФСБ № 5473 часаЧ. 2 ст. 13.12.1 КоАП (до 500 000 руб.), ст. 274.1 УКСубъект КИИ (без категории)НКЦКИ187-ФЗ ст. 9, ФСБ № 54724 часаЧ. 2 ст. 13.12.1 КоАП (до 500 000 руб.)Оператор ПДн (утечка)Роскомнадзор152-ФЗ ч. 3.1 ст. 2124 ч. + 72 ч. (расследование)Ч. 11-18 ст. 13.11 КоАП (до 500 млн руб.)БанкФинЦЕРТ851-П3 часаМеры Банка РоссииНФОФинЦЕРТ757-ППо 757-ПМеры Банка РоссииОператор ГИСФСТЭК + НКЦКИФСТЭК № 117По приказу ФСТЭК № 117Ст. 13.12 КоАП
НКЦКИ и ГосСОПКА
Субъекты КИИ уведомляют НКЦКИ через техническую инфраструктуру ГосСОПКА. Если организация подключена к ГосСОПКА напрямую, информация передаётся через защищённый канал. Если не подключена, допускается отправка через личный кабинет на сайте cert.gov.ru или по электронной почте НКЦКИ.
Уведомление должно содержать дату и время обнаружения, описание инцидента, категорию и тип, затронутые ресурсы, предпринятые меры. Полный перечень сведений определён приказом ФСБ России от 24.07.2018 № 367. Порядок обмена информацией между субъектами КИИ и НКЦКИ регулируется приказом ФСБ России от 25.12.2025 № 546.
Роскомнадзор при утечке ПДн
Оператор персональных данных обязан уведомить Роскомнадзор через портал pd.rkn.gov.ru. Первое уведомление подаётся в течение 24 часов после обнаружения утечки и содержит информацию о факте утечки, предположительных причинах и предполагаемом количестве затронутых записей. Второе уведомление подаётся в течение 72 часов и содержит результаты внутреннего расследования с указанием установленных причин, оценкой вреда субъектам ПДн и описанием принятых мер (ч. 3.1 ст. 21 152-ФЗ).
Штрафы дифференцированы по масштабу утечки (ч. 11-18 ст. 13.11 КоАП РФ). За неуведомление об утечке юридическому лицу грозит от 1 до 3 миллионов рублей (ч. 11). За утечку данных более 100 000 субъектов ПДн штраф составляет от 10 до 15 миллионов рублей (ч. 14). За повторную утечку применяется оборотный штраф от 1% до 3% совокупной выручки за предшествующий год, но не менее 20 миллионов и не более 500 миллионов рублей (ч. 15). Для сравнения, до 30 мая 2025 года максимальный штраф составлял 300 000 рублей.
ФинЦЕРТ
Кредитные организации уведомляют Банк России через ФинЦЕРТ. Технически информация передаётся в автоматизированную систему обработки инцидентов (АСОИ). Срок передачи информации об инциденте защиты информации составляет 3 часа с момента обнаружения (Положение 851-П). На расследование и предоставление результатов отводится 30 дней. НФО взаимодействуют с ФинЦЕРТ по Положению 757-П.
Если банк или НФО одновременно подпадает под 187-ФЗ как субъект КИИ, уведомления направляются параллельно в НКЦКИ и ФинЦЕРТ (подробнее в разделе «Банки и НФО»). Подробнее о построении SOC смотрите в видео «Точки отказа. Что нам стоит SOC построить?».
Что подготовить заранее
План реагирования
План реагирования на компьютерные инциденты (ГОСТ Р 59709-2022, термин 44) — это «набор документированных процедур и инструкций, определяющих порядок реализации мероприятий по реагированию на компьютерные инциденты». Документ должен содержать матрицу классификации инцидентов с пороговыми значениями для каждого уровня критичности. Контактную информацию для уведомлений (НКЦКИ, Роскомнадзор, ФинЦЕРТ) и внутренних заинтересованных лиц (руководство, юристы, PR). Шаблоны уведомлений для каждого регулятора. Порядок эскалации с указанием полномочий на каждом уровне. Процедуру сохранения доказательств. Порядок восстановления систем.
План нужно тестировать. Киберучения проводятся не реже раза в год. Команда собирается, зачитывается сценарий инцидента, каждый участник проходит свою часть плана. Такие учения выявляют пробелы до того, как случится реальный инцидент.
Команда и роли
ГОСТ Р 59709-2022 определяет 10 ролей специалистов центра ГосСОПКА (ГОСТ Р 59709-2022, термины 7-16). В коммерческих организациях состав команды реагирования адаптируется под размер и зрелость компании, но минимальный набор ролей включает координатора реагирования (incident manager), который управляет процессом. Технических специалистов для расследования (аналитики L1/L2, специалист по форензике). Ответственного за подготовку уведомлений регуляторам. Представителя руководства для принятия решений по эскалации. Юриста для оценки правовых последствий. Специалиста по коммуникациям, если инцидент стал публичным.
Для субъектов КИИ Указ Президента РФ от 01.05.2022 № 250 устанавливает требование о назначении заместителя руководителя, ответственного за ИБ, и создании структурного подразделения по ИБ (или возложении функций на существующее подразделение). Полномочия каждого участника должны быть зафиксированы в плане реагирования до инцидента, а не определяться в процессе.
Инструменты
Для обнаружения инцидентов организации, подпадающей под 187-ФЗ, необходим набор средств защиты информации. SIEM для сбора и корреляции событий. IDS/IPS для обнаружения вторжений. Антивирусная защита на конечных точках. Средства анализа сетевого трафика (NTA). EDR для мониторинга конечных точек. IRP/SOAR для автоматизации реагирования. DLP для предотвращения утечек. Сканеры уязвимостей для превентивного контроля. Перечень не исчерпывающий, состав определяется моделью угроз, категорией значимости объекта КИИ (для субъектов КИИ), классом защищённости (для ГИС) или уровнем защищённости (для ИСПДн).
Для расследования нужны средства форензики (снятие образов дисков, анализ оперативной памяти), средства анализа вредоносного ПО, доступ к платформам киберразведки (Threat Intelligence) и система тикетов для отслеживания хода расследования. Подробнее об инструментарии SOC смотрите в видео «Точки отказа. SOC: когда работает, а когда нет?».
Ошибки при реагировании
На профильных конференциях (SOC Forum, PHDays, форум ГосСОПКА) и в отчётах команд реагирования (F6, Solar JSOC, Kaspersky ICS CERT) регулярно описываются типовые ошибки, которые усугубляют последствия инцидентов.
Нет матрицы классификации. Организация фиксирует события в SIEM, но не имеет формализованных критериев эскалации. Без чёткой границы между событием и инцидентом (см. раздел «Что считается инцидентом») команда либо тонет в ложных тревогах, либо пропускает реальные угрозы. Решением служит документированная матрица с пороговыми значениями для каждого типа и уровня критичности.
Уничтожение доказательств. Администратор обнаруживает скомпрометированный сервер и переустанавливает ОС. Или перезагружает сервер, уничтожая содержимое оперативной памяти. Или очищает журналы. В результате расследовать нечего, причина инцидента неизвестна, регулятору нечего показать. При подозрении на инцидент ничего не удалять, не переустанавливать, не перезагружать до консультации со специалистом по расследованию.
Нарушение сроков уведомления. 3 часа для ЗОКИИ, 24 часа для прочих субъектов КИИ, 24+72 для операторов ПДн. Причины нарушения сроков типичны. Долгая верификация, внутренние согласования (юристы, руководство), отсутствие контактной информации НКЦКИ у дежурной смены, отсутствие шаблона уведомления. Каждая из этих причин устраняется на этапе подготовки, до инцидента.
Нет плана реагирования. По данным ФСТЭК России (доклад на TAdviser IT Security Forum 2025), только 35% органов власти соответствуют базовому уровню по информационной безопасности. При отсутствии плана каждое решение приходится принимать на ходу. Кто изолирует систему. Кто уведомляет НКЦКИ. Кто готовит уведомление в Роскомнадзор. Кто общается со СМИ. Все эти вопросы должны быть решены заранее.
Восстановление без проверки. Система восстановлена из резервной копии, но копия уже содержала вредоносный код, внедрённый за недели до обнаружения. Без установления причин инцидента (ГОСТ Р 59709-2022, термин 49) и проверки целостности резервных копий восстановление может привести к повторной компрометации.
Итоги
Событие, инцидент ИБ и компьютерный инцидент — юридически разные понятия с разными правовыми последствиями. Субъекты КИИ со значимыми объектами уведомляют НКЦКИ в течение 3 часов (приказ ФСБ от 25.12.2025 № 547), без присвоенной категории значимости в течение 24 часов. Операторы ПДн уведомляют Роскомнадзор в течение 24 часов с последующим отчётом за 72 часа (ч. 3.1 ст. 21 152-ФЗ). Кредитные организации передают данные в ФинЦЕРТ в течение 3 часов (Положение 851-П). Организация может подпадать под несколько режимов регулирования, и тогда уведомлять нужно каждого регулятора отдельно.
Оборотные штрафы за повторные утечки ПДн составляют от 1% до 3% совокупной выручки, но не менее 20 миллионов рублей (ч. 15 ст. 13.11 КоАП РФ). За неправомерное воздействие на КИИ предусмотрена уголовная ответственность вплоть до 10 лет лишения свободы (ст. 274.1 УК РФ).
Организация, которая подготовилась заранее — с утверждённым планом реагирования, распределёнными ролями, протестированными сценариями и настроенными средствами мониторинга — проходит инцидент быстрее и с меньшими потерями. Для тех, кто начинает выстраивать процесс, серия ГОСТ Р 59709-59711-2022 даёт терминологическую базу и структуру, а приказы ФСБ и ФСТЭК определяют конкретные требования и сроки.