🏦 Менеджмент инцидентов ИБ: нормативная карта для реагирования
Как не утонуть в 14+ документах — от рекомендаций Банка России до приказов ФСБ — и построить работающий процесс
Менеджмент инцидентов информационной безопасности в России строится не на одном документе, а на пересекающихся слоях требований. Банк России регулирует финансовый сектор через РС БР ИББС-2.5-2014, ФСТЭК устанавливает правила для государственных информационных систем и КИИ, ФСБ определяет порядок реагирования на атаки критической инфраструктуры. Международные стандарты (ГОСТ Р ИСО/МЭК ТО 18044, ГОСТ Р ИСО/МЭК 27002, ISO/IEC 27001) задают методологию, но юридическую силу имеют именно российские акты.
Проблема начинается там, где документы перестают дополнять друг друга. РС БР ИББС-2.5 описывает пять этапов реагирования, но не учитывает специфику КИИ из приказа ФСТЭК №239. Приказ ФСБ №282 требует уведомления в течение 24 часов, но не объясняет, как собрать доказательную базу за это время, если система мониторинга не была настроена заранее. Практический процесс рождается не в документах самих по себе, а в точках их пересечения — и в пробелах между требованиями.
📊
Нормативная карта
Визуализация взаимосвязей между документами и этапами реагирования
📋 Три слоя нормативной базы
🏦
Отраслевые
РС БР ИББС-2.5-2014, рекомендации Лаборатории Касперского. Требования к финансовым организациям и другим секторам без прямой юридической силы, но с высокой практической значимостью.
🛡️
Государственные
Приказы ФСТЭК №17, №21, №235, №239. Обязательные требования к ГИС, ИСПДн, КИИ. Юридическая сила — административная и уголовная ответственность за неисполнение.
🌍
Международные
ГОСТ Р ИСО/МЭК ТО 18044, ГОСТ Р ИСО/МЭК 27002, ISO/IEC 27001. Методология и лучшие практики без прямой юридической силы, но с признанной эффективностью.
Понимание структуры нормативной базы позволяет избежать распространённой ошибки — слепого следования одному документу без учёта контекста. Финансовая организация, входящая в состав КИИ, должна одновременно соблюдать требования Банка России и ФСБ. Государственная информационная система, обрабатывающая персональные данные, подчиняется как приказу ФСТЭК №17, так и требованиям ФЗ-152. Связный подход к нормативной базе превращает формальное соблюдение в эффективную защиту.
⚡ Критические требования приказов ФСБ для КИИ
Требования ФСБ к КИИ представляют собой наиболее жёсткий уровень регулирования в сфере информационной безопасности. Однако они не отменяют, а дополняют требования других регуляторов. Организация, входящая в состав критической инфраструктуры, должна одновременно соблюдать приказы ФСТЭК по защите персональных данных и рекомендации отраслевых регуляторов. Пятиэтапная модель реагирования, описанная в РС БР ИББС-2.5, становится основой для практической реализации этих требований.
🎯 Пять этапов реагирования по РС БР ИББС-2.5
Обнаружение и регистрация
Фиксация события в журнале инцидентов в течение 15 минут с момента обнаружения. Для КИИ — немедленная передача данных в ГосСОПКА. Критическая ошибка: ожидание завершения анализа перед регистрацией. Регистрация должна происходить сразу — даже если тип атаки ещё не определён.
Анализ и классификация
Определение типа инцидента (утечка ПДн, атака на КИИ, вредоносное ПО), уровня критичности, затронутых активов. Для ПДн применяется приказ ФСТЭК №21, для КИИ — приказ №239. Анализ не отменяет обязательств по уведомлению регуляторов в установленные сроки.
Сдерживание
Изоляция заражённых систем, блокировка атакующих IP, отключение уязвимых сервисов. Важно: сдерживание не должно уничтожать доказательную базу для расследования. Создайте образы дисков и дампы памяти ДО изоляции критичных систем.
Ликвидация и восстановление
Устранение причины инцидента, восстановление систем из резервных копий, проверка целостности данных. Для ПДн — уведомление субъектов персональных данных при утечке (ст. 18.1 ФЗ-152). Для КИИ — уведомление ФСБ о завершении ликвидации последствий.
Постинцидентный анализ
Формирование отчёта с указанием первопричины, уязвимостей, нарушений регламентов. Обновление модели угроз и корректировка мер защиты. Для организаций КИИ — обязательное уведомление регулятора о результатах расследования в течение 30 дней после завершения ликвидации.
Пятиэтапная модель реагирования представляет собой не просто последовательность действий, а циклический процесс непрерывного улучшения. Каждый инцидент — это возможность выявить слабые места в системе защиты и скорректировать меры безопасности. Однако эффективность процесса зависит не только от соблюдения этапов, но и от правильного выбора нормативных документов, применимых к конкретной организации.
⚖️ Таблица приоритизации: какой документ применять?
| Тип организации | Первичный документ | Дополнительные требования |
|---|---|---|
| Банк / кредитная организация | РС БР ИББС-2.5 | Приказ ФСТЭК №21 (ПДн), приказ ФСБ №282 (если входит в КИИ) |
| Государственная информационная система | Приказ ФСТЭК №17 | Приказ ФСТЭК №21 (ПДн), приказ ФСБ №282 (если КИИ) |
| Значимый объект КИИ | Приказ ФСБ №282 | Приказы ФСТЭК №235, №239, ГОСТ Р ИСО/МЭК ТО 18044 |
| Коммерческая организация (не КИИ) | ГОСТ Р ИСО/МЭК ТО 18044 | Приказ ФСТЭК №21 (если обрабатывает ПДн) |
💡 Практическое правило: Если организация одновременно является банком и объектом КИИ — применяются ОБА документа. При конфликте требований приоритет имеет приказ ФСБ №282 (24 часа на уведомление), а не рекомендации Банка России.
Правильный выбор применимых нормативных документов — это фундамент эффективного менеджмента инцидентов. Ошибка в определении приоритетов может привести к пропуску критических сроков уведомления регуляторов или несоответствию требованиям законодательства. Особенно важно это для организаций, находящихся на пересечении нескольких регуляторных зон — банков, входящих в состав КИИ, или государственных учреждений, обрабатывающих персональные данные граждан.
⚠️ Три типичные ошибки при построении процесса
❶
Смешение этапов обнаружения и анализа. Многие организации ждут завершения анализа перед регистрацией инцидента. Это нарушает требование РС БР ИББС-2.5: регистрация должна происходить сразу после обнаружения, даже если тип атаки ещё не определён. Анализ может занять часы или дни, но регистрация — это первое действие после обнаружения.
❷
Отсутствие предварительной настройки ГосСОПКА. Приказ ФСБ №367 требует передачи данных в режиме реального времени. Если система не настроена заранее — при первом же инциденте организация автоматически нарушает требования, даже если уведомит ФСБ в течение 24 часов. Настройка мониторинга и передачи логов — это не реакция на инцидент, а обязательное условие эксплуатации КИИ.
❸
Игнорирование уголовного кодекса. Статьи 272, 273, 274 УК РФ предусматривают ответственность за нарушение правил эксплуатации ЭВМ, повлёкшее тяжкие последствия. При расследовании инцидента важно фиксировать не только технические детали, но и действия персонала — для защиты от уголовного преследования. Журналы действий администраторов и пользователей становятся доказательством добросовестности.
Избежание типичных ошибок требует не только знания нормативных документов, но и понимания их практического применения. Регистрация инцидента — это не бюрократическая формальность, а фиксация точки отсчёта для всех последующих действий. Настройка мониторинга — это не опциональная мера, а обязательное условие соответствия требованиям. Фиксация действий персонала — это не контроль над сотрудниками, а защита организации от юридических рисков.
🎯 Практический вывод
Нормативная база менеджмента инцидентов — это не список документов для изучения, а карта ответственности. Каждый регулятор покрывает свою зону: Банк России — финансовую стабильность, ФСТЭК — безопасность данных, ФСБ — национальную безопасность. Эффективный процесс рождается там, где эти зоны пересекаются — и требует не формального соблюдения, а понимания цели каждого требования.
Главное правило: Регистрируйте инцидент сразу после обнаружения. Анализ, сдерживание и уведомление регуляторов — следующие шаги. Промедление с регистрацией делает невозможным доказать соблюдение требований к срокам реагирования.
Практические кейсы реагирования на инциденты, разбор требований регуляторов, инструменты для автоматизации процессов