Инциденты с персональными данными: уведомление регулятора, внутреннее расследование и минимизация последствий

19 июня 2026 г.

Реагирование на инциденты информационной безопасности (ИБ) давно стало стандартным доменом безопасности, однако инциденты с персональными данными (ПДн) создают дополнительные вызовы. Они представляют особую категорию киберинцидентов, требующую не только технического реагирования, но и строгого соблюдения норм законодательства, защиты прав субъектов ПДн и управления репутационными рисками.

Стандартные меры реагирования на инциденты ИБ (обнаружение, сдерживание, локализация и устранение угрозы) в случае с ПДн необходимо дополнить комплексом действий, учитывающих специфику таких данных. Несоблюдение специфических требований к обработке ПДн даже после успешного технического устранения атаки может привести к:

• административной ответственности за нарушение законодательства о ПДн;
• судебным искам от субъектов ПДн;
• репутационным потерям и утрате доверия клиентов.

Ниже описаны действия, которые необходимо предпринять дополнительно к стандартному ИБ-реагированию, — с акцентом на правовые, организационные и коммуникационные аспекты, обязательные при работе с ПДн.

Этап 0. Подготовительный этап как способ минимизации последствий

Что учесть

При обнаружении инцидента с ПДн оператор обязан незамедлительно отреагировать: оперативно принять меры по устранению последствий такого инцидента и, в случае утечки ПДн, — своевременно уведомить уполномоченные органы.

Сложность задачи обусловлена двумя ключевыми факторами:

• жёсткие временные рамки: закон требует направить первичное уведомление уполномоченным органам в течение 24 часов с момента обнаружения утечки;
• существенные санкции: за нарушения в области обработки ПДн предусмотрены значительные штрафы, включая оборотные, — они могут составить ощутимую долю годового дохода организации.

Проактивный подход позволит успешно справиться с этими вызовами и минимизировать возможные риски. Оптимальная стратегия для оператора — заранее подготовить инфраструктуру и процедуры для реагирования на инциденты.

Как действовать

Ниже перечислены ключевые подготовительные мероприятия, которые стоит реализовать:

1. Назначение ответственных лиц. Определить и официально назначить сотрудников, ответственных за реагирование на инциденты ИБ, с чётким закреплением их функционала и обязанностей.
2. Регламентация порядка действий при инциденте. Разработать и внедрить внутренние документы по реагированию на инциденты с ПДн, включающие:
   • внутренние документы оператора — положения и регламенты, детально описывающие порядок реагирования на инциденты с ПДн;
   • инструкции и памятки — краткие руководства для ответственных лиц с пошаговыми действиями при обнаружении инцидента с ПДн;
   • механизмы коммуникации — порядок взаимодействия между ответственными сотрудниками, каналы связи, регламент обмена информацией и отчётности;
   • процедуры реагирования на типовые инциденты с ПДн — стандартизированные алгоритмы для наиболее вероятных сценариев инцидентов с ПДн;
   • блок-схемы процессов реагирования — визуальное отображение этапов реагирования, включая действия на каждом этапе и зоны ответственности;
   • шаблоны уведомлений регуляторов — готовые формы для оперативного направления информации в уполномоченные органы (в т. ч. в Роскомнадзор).
   • Документы должны быть размещены в доступном для ответственных лиц месте, а сотрудники обязаны быть ознакомлены с ними под подпись.
3. Организация уведомления уполномоченных органов. Настроить процесс оперативного информирования регуляторов в зависимости от статуса оператора:
   • если оператор не является субъектом критической информационной инфраструктуры (далее — КИИ) или оператор — субъект КИИ не заключал соглашение о взаимодействии с Национальным координационным центром по компьютерным инцидентам (далее — НКЦКИ):
     • o привязать учётную запись лица, ответственного за организацию обработки ПДн, к организации на портале Госуслуг;
     • o обеспечить возможность оперативного уведомления Уполномоченного органа по защите прав субъектов ПДн (Роскомнадзора) через Портал персональных данных;
   • если оператор является субъектом КИИ и заключал соглашение о взаимодействии с НКЦКИ:
     • o организовать прямое взаимодействие с НКЦКИ;
     • o в иных случаях Роскомнадзор уведомит НКЦКИ напрямую.
4. Работа с третьими лицами. Заключить с организациями, которым передаются ПДн, в зависимости от формата взаимодействия с ними, следующие соглашения:
   • соглашения о конфиденциальности ПДн — для защиты ПДн, передаваемых третьим лицам, с установлением обязательств по неразглашению и мерам ответственности;
   • соглашения о поручении обработки ПДн — с включением положений, обязывающих обработчиков:
     • соблюдать требования по обеспечению безопасности ПДн при их обработке;
     • незамедлительно уведомлять оператора о любых инцидентах с ПДн;
     • соблюдать установленные сроки информировании;
     • предпринимать меры по локализации и устранению последствий инцидента.

• Подготовительный этап играет ключевую роль в минимизации возможных последствий инцидента с ПДн. Именно на стадии подготовки закладывается основа для эффективного реагирования и корректного с точки зрения законодательства.
• Реализация этих мероприятий позволит оператору:
  • минимизировать время реагирования на возможные инциденты;
  • обеспечить соответствие требованиям законодательства (в т. ч. ФЗ-152 и КоАП РФ);
  • выстроить чёткую систему взаимодействия внутри организации и с внешними сторонами;
  • снизить риски привлечения к административной ответственности, а также репутационные риски организации.

Этап 1. Обнаружение и анализ инцидента: анализ на предмет утечки ПДн, оценка характера и масштаба затронутых данных

Выполнить следующие действия:

• Факт утечки ПДн. При подозрении на инцидент необходимо в первую очередь определить, связан ли рассматриваемый инцидент с возможностью утечки ПДн, то есть с ситуацией, когда:
  • произошла неправомерная или случайная передача (предоставление, распространение, доступ) ПДн, повлёкшая нарушение прав субъектов ПДн (ч. 3.1. ст. 21 Федерального закона от 27.07.2006 № 152 «О персональных данных», далее — ФЗ-152);
  • неправомерная передача (предоставление, распространение, доступ) ПДн произошла в результате компьютерной атаки (п. 6 ч. 2 ст. 19 ФЗ-152).

Оператор может выявить утечку ПДн несколькими способами, в частности:

• через автоматизированные системы защиты информации — на основе анализа сообщений и сигналов от специализированных средств защиты, развёрнутых в организации;
• по оповещениям от работников оператора, заметивших подозрительную активность или признаки утечки ПДн;
• от лиц, осуществляющих обработку ПДн по поручению оператора;
• в ходе мониторинга внешних источников, в том числе публичных баз утечек и иных открытых ресурсов.

Также следует убедиться, что речь идёт именно об утечке, а не о законных случаях передачи данных, например, если они распространяются самим оператором или включены общедоступные источники на законных основаниях.

Если инцидент не связан с утечкой ПДн, реагирование на него осуществляется в соответствии с классическими процедурами реагирования на ИБ-инциденты.

Если подтверждается факт утечки ПДн, в дополнение к стандартному реагированию необходимо выполнить действия, описанные ниже.

• Характер и масштаб затронутых данных. Выполнить как минимум следующие действия:
  • классифицировать тип ПДн:
    • обычные («иные») ПДн (например, ФИО, номер телефона, адрес электронной почты);
    • специальные категории ПДн (например, национальная принадлежность, отношение к религии, сведения о здоровье) — их утечка влечёт повышенную ответственность;
    • биометрические ПДн — при утечке требуют немедленного уведомления Роскомнадзора и субъектов.
  • оценить количество субъектов ПДн — это критично для определения степени риска и формата уведомления.
• Оценка риска нарушения прав субъектов ПДн. Провести формальную оценку рисков, включая:
  • вероятность идентификации субъекта по утёкшим данным;
  • возможность мошенничества, дискриминации, репутационного вреда;
  • доступность данных третьим лицам (например, в даркнете).

Пример: Утечка адресов электронной почты менее критична, чем утечка паспортных данных или медицинских записей. В первом случае уведомление субъектов может быть рекомендательным, во втором — обязательно.

• Принадлежность данных. Подтвердить, что скомпрометированный массив данных относится к зоне ответственности именно этого оператора ПДн. Возможно, утечка произошла у другого оператора.
• Статус организации. Определить, какую роль организация играет по отношению к рассматриваемому массиву данных:
  • оператор ПДн — несёт полную ответственность за реагирование на инцидент;
  • лицо, осуществляющее обработку ПДн по поручению другого оператора (далее — обработчик), — действия по реагированию на инцидент выполняются под контролем соответствующего оператора.
• Привлечение обработчика. Если оператор поручал обработку данных другому обработчику, проверить, не находится ли скомпрометированный массив в его зоне ответственности. В этом случае реагирование осуществляется под контролем оператора и во взаимодействии с обработчиком.
• Статус субъекта КИИ. Выяснить, является ли оператор субъектом критической информационной инфраструктуры (далее — КИИ) и заключал ли он соглашение о взаимодействии с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). От этого зависят дальнейшие действия по реагированию на инцидент, включая порядок уведомления заинтересованных сторон.
• Время утечки. Установить, когда произошла компрометация данных:
  • если данные устарели, и их утечка не принесёт вреда субъектам, последствия могут быть менее значимыми;
  • даже если данные не устарели, но утечка произошла до 30 мая 2025 года (до момента ужесточения ответственности за нарушения в области ПДн), оператор может быть привлечён к ответственности по более мягким нормам, которые действовали до указанной даты.

Чем полезно

Такой подход позволяет оператору:

• оперативно и точно оценить ситуацию;
• избежать ошибочных действий;
• соблюсти требования законодательства;
• минимизировать риски привлечения к ответственности.

Этап 2. Уведомление регуляторов

В зависимости от статуса организации, определённого на Этапе 1, выполнить следующие действия:

• если организация выполняет роль оператора ПДн в отношении рассматриваемого массива данных:
  • в течение 24 часов с момента обнаружения инцидента уведомить регулятора о произошедшем инциденте ИБ, о предполагаемых причинах, повлёкших нарушение прав субъектов ПДн, о предполагаемом вреде, нанесённом правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента ИБ;
• если организация выполняет роль Обработчика в отношении рассматриваемого массива данных:
  • в течение срока, закреплённого в соглашении о поручении обработки ПДн, уведомить оператора о произошедшем инциденте ИБ, о предполагаемых причинах, повлёкших нарушение прав субъектов ПДн, о предполагаемом вреде, нанесённом правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента ИБ. Указанный срок устанавливается оператором ПДн с учётом, что оператор обязан успеть уведомить регулятора в течение 24 часов с момента обнаружения инцидента.

Важно учитывать следующее:

• при наличии обоснованных признаков утечки, даже если инцидент ещё расследуется, осуществить уведомление регулятора необходимо;
• если Роскомнадзор обнаружит факт утечки раньше самого оператора, это может привести к привлечению к ответственности за неуведомление регулятора об утечке (ч. 11 ст. 13.11 КоАП РФ). Кроме того, подобная ситуация может в том числе стать поводом для внеплановой проверки оператора Роскомнадзором, что может привести к дополнительным санкциям в случае выявления новых несоответствий.

Этап 3. Уведомление субъектов ПДн (опционально)

Обязанность оператора уведомлять субъектов ПДн об утечках не закреплена напрямую в российском законодательстве о ПДн. При этом законодательство других стран, например, «Общий регламент по защите данных Европейского союза» (General Data Protection Regulation, GDPR) в явном виде (ст. 34 GDPR) обязывает операторов уведомлять субъектов в случаях, когда утечка персональных данных может привести к высокому риску для их прав и свобод.

С учётом, что молчание оператора может привести к более существенному репутационному ущербу (в том числе к потере доверия клиентов), чем публичное признание факта утечки, хорошей практикой будет также уведомить субъектов ПДн, если инцидент может повлечь высокий риск в отношении нарушения их прав и свобод.

Сделать это можно в доступной оператору форме (например, письмо по электронной почте, SMS-сообщение, почтовое отправление), указав в уведомлении следующие сведения:

• факт и приблизительное время утечки;
• категории скомпрометированных ПДн;
• возможные последствия;
• меры, которые приняты оператором для локализации инцидента и устранения его последствий;
• рекомендации для субъектов ПДн (например, сменить пароли, активировать двухфакторную аутентификацию);
• контакты для обращений (например, адрес электронной почты ответственного лица со стороны оператора).

Если уведомление потребует несоразмерных усилий (например, необходимость уведомить большое количество клиентов), можно ограничиться публичным объявлением на сайте.

Этап 4. Проведение внутреннего расследования

Вести отдельный журнал инцидентов с ПДн, включающий:

• хронологию событий;
• результаты оценки рисков;
• копии уведомлений в Роскомнадзор и субъектов;
• акт расследования;
• меры по недопущению повтора.

Хранить документы не менее 3 лет — это может потребоваться при проверках регулятора.

В части взаимодействия с внешними сторонами:

• привлекать Обработчика к расследованию инцидента с ПДн, если он произошёл в зоне его ответственности. Для этого следует:
  • организовать совместное расследование;
  • получить от Обработчика полный пакет данных (отчёт по инциденту, логи, иные свидетельства);
  • принять меры по недопущению повтора (вплоть до расторжения договора);
• активно участвовать в расследовании инцидента с ПДн в сотрудничестве с соответствующим оператором ПДн, если организация сама является привлечённым Обработчиком:
  • Обработчик обязан обеспечить оперативное взаимодействие с оператором ПДн, предоставить всю необходимую информацию о произошедшем, результатах анализа и принятых мерах;
  • оператор вправе требовать от Обработчика подтверждение выполнения требований ФЗ-152 и мер по защите данных;
• связаться с Роскомнадзором при неясностях по уведомлению или оценке рисков;
• обратиться с НКЦКИ (при указанных в рамках Этапа 0 условиях) в случае, если требуется помощь в расследовании компьютерного инцидента с ПДн;
• при необходимости — привлечь независимого аудитора для подтверждения корректности действий;
• при высоком риске — подготовить PR-стратегию для публичных коммуникаций (пресс-релиз, пост на сайте).

Этап 5. Уведомление регуляторов о результатах расследования

В зависимости от статуса организации, определённого на Этапе 1, выполнить следующие действия:

• если организация выполняет роль оператора ПДн в отношении рассматриваемого массива данных:
  • в течение 72 часов с момента обнаружения инцидента уведомить регулятора о результатах проведённого расследования, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);
• если организация выполняет роль Обработчика в отношении рассматриваемого массива данных:
  • в течение срока, закреплённого в соглашении о поручении обработки ПДн, уведомить оператора о результатах проведённого расследования, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). Указанный срок устанавливается оператором ПДн с учётом, что оператор обязан успеть уведомить регулятора в течение 72 часов с момента обнаружения инцидента.

Этап 6. Активность после инцидента

Если необходимо, в зависимости от обстоятельств инцидента:

• актуализировать организационные и технические меры защиты ПДн, в том числе:
  • провести дополнительное обучение персонала по работе с ПДн;
  • пересмотреть политику обработки персональных данных с учётом выявленных уязвимостей;
  • обновить положение о защите ПДн и план реагирования на инциденты с ПДн;
  • внедрить технические механизмы защиты массивов с ПДн при их обработке в организации и передаче третьим лицам (защита каналов связи, двухфакторная аутентификация для доступа к системам с ПДн, DLP-система для контроля копирования и экспорта данных, регулярное резервное копирование и т.п.);
• провести внутреннюю проверку на соответствие ФЗ-152;
• подготовиться к возможной внеплановой проверке Роскомнадзора.

Заключение

Реагирование на инциденты с ПДн — это не просто техническая задача, а комплексная процедура, включающая юридические, организационные и коммуникационные действия.

Ключевое отличие от классического ИБ-реагирования — обязательность:

• уведомления регулятора;
• оценки рисков для субъектов ПДн;
• прозрачной коммуникации с субъектами ПДн;
• строгого документирования.

Организация, которая ограничивается только локализацией атаки, рискует получить штраф, судебный иск и потерю репутации.

Разработка отдельного плана реагирования на инциденты с ПДн, интегрированного с общим ИБ-процессом, но с чёткими шагами по выполнению требований ФЗ-152, обеспечит не только безопасность данных, но и правовую устойчивость бизнеса.

Источник: Дарья Грунтович, руководитель группы по защите ПДн Angara Security