Первый · ИТ · Альянс
Перейти к основному содержимому
К списку материалов
Кибербезопасность
12 марта 2026 г. 9 мин чтения

Расследование утечки данных: первые 72 часа решают всё

Первые 72 часа после утечки определяют масштаб ущерба. Как действовать по шагам и не усугубить ситуацию.

утечка форензика IR CSIRT

По 152-ФЗ оператор обязан уведомить РКН об утечке в течение 24 часов и предоставить результаты расследования за 72 часа. Несоблюдение сроков — отдельный штраф. 1IT CSIRT работает 24/7 и подключается в течение 1 часа.

Час 0–4: локализация

  • Изолировать скомпрометированные узлы (не выключать — терять память).
  • Снять снапшоты дисков и оперативной памяти.
  • Заблокировать скомпрометированные учётки.
  • Сменить пароли админов и сервисных аккаунтов.
  • Включить расширенное логирование на смежных системах.

Час 4–24: оценка масштаба

  1. Поиск индикаторов компрометации (IoC) — хэши, IP, домены.
  2. Анализ логов прокси, firewall, DLP — что и куда ушло.
  3. Определение категорий данных и количества субъектов.
  4. Подготовка уведомления в РКН (форма по приказу).
  5. Брифинг руководства и юристов.

Час 24–72: форензика и устранение

Полная форензика: вектор атаки, persistence-механизмы, lateral movement, exfiltration-каналы. Устранение root cause, восстановление систем из чистых бэкапов, мониторинг повторных попыток.

Коммуникация

Сообщение клиентам — отдельный квест. Шаблон: что произошло, какие данные затронуты, что вы делаете, что должны сделать клиенты. Без преуменьшения масштаба — это всегда выходит наружу.

Частые вопросы

Сколько стоит реагирование?+

Подключение 1IT CSIRT — от 350 тыс. ₽ за инцидент. Глубокая форензика и восстановление — индивидуально, обычно 1–3 млн ₽.

Можно ли скрыть утечку?+

Нет. По закону вы обязаны уведомить РКН. Сокрытие выявляется через мониторинг даркнета и приводит к большим штрафам.

Как подготовиться заранее?+

IR-плейбук, контракт с CSIRT на ретейнер, регулярные tabletop-учения, проверка восстановления из бэкапов раз в квартал.

Нужна помощь по этой теме?

Обсудим задачу и предложим план за 24 часа. Работаем с компаниями из России и СНГ с 1999 года.

Получить консультацию +7 (495) 648-68-37

Похожие материалы

Кибербезопасность

Аудит 152-ФЗ за 4 недели: чек-лист и типовые нарушения

Штрафы по 152-ФЗ выросли в 10 раз в 2024 году. Как пройти аудит без претензий и привести ИСПДн в соответствие за месяц.

Читать
Кибербезопасность

Топ-10 киберугроз 2026 года для российского бизнеса

Какие атаки на российский бизнес стали мейнстримом в 2026 году и как от них защититься без миллионных бюджетов.

Читать
Кибербезопасность

Внедрение SIEM в средней компании: KUMA или MaxPatrol SIEM

SIEM без правильной настройки — дорогой логгер. Как 1IT внедряет KUMA и MaxPatrol SIEM с реальными корреляционными сценариями.

Читать