Утечка персональных данных — это не только инцидент с потенциальными финансовыми последствиями, но и репутационный риск, который может повлиять на доверие клиентов, партнеров и регуляторов. Важно не терять времени и действовать по четкому плану.
Ниже мы привели ключевые шаги, которые помогут минимизировать ущерб и правильно выстроить работу с контролирующими органами.
1. Установите масштаб и характер утечки
На первом этапе необходимо оперативно определить, какие именно данные были скомпрометированы. Это может быть информация о клиентах, сотрудниках, подрядчиках или партнерах. Нужно зафиксировать, какие категории данных затронуты — это могут быть фамилии, имена, адреса проживания, контактные телефоны, адреса электронной почты, паспортные данные, ИНН, СНИЛС, номера банковских карт, учетные записи и другие персональные сведения.
Важно оценить не только объем, но и чувствительность этих данных. Чем больше и критичнее информация, тем выше уровень риска.
2. Уведомите Роскомнадзор
В соответствии с законодательством, оператор персональных данных обязан уведомить Роскомнадзор о факте утечки в течение 72 часов с момента обнаружения инцидента. Заявление можно подать через официальный сайт ведомства или через портал Госуслуг, если компания зарегистрирована на нем как юридическое лицо.
В уведомлении необходимо указать дату и время инцидента, предполагаемые причины, сведения о характере утечки, объем данных и меры, которые были приняты для ее устранения.
3. Примите меры по изоляции и сдерживанию
Параллельно с уведомлением необходимо обеспечить техническое реагирование. В первую очередь требуется заблокировать или ограничить доступ к скомпрометированным системам. Следует сменить пароли, проверить учетные записи, остановить внешние интеграции и временно отключить нестабильные сервисы.
Если установлены признаки вредоносной активности, рекомендуется провести антивирусное сканирование, а также привлечь специалистов по информационной безопасности для оценки текущего состояния.
4. Разберите причины и оцените уровень уязвимостей
После первичного реагирования необходимо провести технический и организационный анализ. Нужно выяснить, через какой канал произошел инцидент — внешняя атака, фишинг, внутренняя ошибка, неправомерный доступ сотрудников или сбой в системе.
Оцените, какие элементы защиты не сработали: недостаточный уровень шифрования, ошибки в настройках политик безопасности, отсутствие контроля за действиями пользователей или низкий уровень журналирования.
Результаты расследования должны лечь в основу дальнейших корректирующих мер и внутренней отчетности.
5. Проведите аудит ИСПДн и пересмотрите систему защиты
Если произошла утечка, это прямой сигнал о том, что система защиты персональных данных требует пересмотра. Аудит ИСПДн позволит выявить слабые места, проверить соответствие законодательству и подготовиться к возможным внеплановым проверкам со стороны регуляторов.
В рамках аудита проводится:
- анализ информационных систем, в которых обрабатываются ПДн;
- оценка полноты и корректности внутренних документов (согласий, уведомлений, регламентов);
- проверка на соответствие требованиям законов и приказов;
- технический аудит защищенности: сканирование на уязвимости, анализ используемого ПО и архитектуры систем;
- формирование отчетной и проектной документации с моделью угроз, актом определения уровня защищенности, рекомендациями по усилению защиты.
Если вы столкнулись с утечкой или хотите проверить свои системы до появления рисков — начните с аудита ИСПДн.
Мы поможем выявить уязвимости, привести систему защиты в соответствие с законодательством и подготовим полный пакет документов под требования ФСТЭК, ФСБ и Роскомнадзора.
