Реагирование на киберинциденты: playbook для российского бизнеса

По данным НКЦКИ, в 2026 году количество компьютерных атак на российские объекты КИИ выросло в 2.5 раза. При этом 60% компаний реагируют на инцидент в режиме хаоса — без playbook, без распределённых ролей, без отлаженных процессов. Результат: средний ущерб от инцидента в 3-5 раз выше, чем у компаний с зрелым процессом IR.

Шесть фаз реагирования по NIST SP 800-61

Стандарт NIST SP 800-61 (Computer Security Incident Handling Guide) — золотой стандарт IR. Шесть фаз, через которые проходит работа с любым инцидентом:

1. Подготовка (Preparation) — playbook, инструменты, тренировки команды до инцидента
2. Идентификация (Identification) — обнаружение и классификация инцидента (Critical/High/Medium/Low)
3. Сдерживание (Containment) — изоляция затронутых систем, остановка распространения
4. Устранение (Eradication) — удаление malware, закрытие уязвимости, ротация ключей
5. Восстановление (Recovery) — возврат систем в продакшн, мониторинг повторных атак
6. Уроки (Lessons Learned) — post-mortem, обновление playbook, обучение команды

Роли в команде реагирования (CSIRT)

Эффективное реагирование требует распределённых ролей. Один человек не может быть и аналитиком, и коммуникатором, и техническим экспертом одновременно:

• Incident Commander — главный, принимает решения, координирует команду
• Tech Lead — технический руководитель расследования
• Forensics Analyst — собирает и анализирует доказательства, образы дисков, логи
• Communications Lead — общение с топ-менеджментом, PR, регуляторами
• Legal — юридическая оценка, взаимодействие с правоохранительными органами
• Scribe — ведёт хронологию инцидента, фиксирует все действия и решения

Российская специфика: НКЦКИ и ФЗ-187

Если ваша компания — субъект КИИ (критическая информационная инфраструктура) по ФЗ-187, у вас есть обязанности по уведомлению НКЦКИ через ГосСОПКА:

• Уведомление об инциденте — в течение 24 часов с момента выявления
• Передача данных — в течение 48 часов: тип атаки, ущерб, IoC (индикаторы компрометации)
• Подключение к ГосСОПКА — обязательное для значимых объектов КИИ
• Категорирование объектов КИИ — выполняется один раз и пересматривается раз в 5 лет
• Отдельные требования по 152-ФЗ при утечке персональных данных — уведомление Роскомнадзора в течение 24 часов

Playbook: что должно быть в документе

Playbook — это не теоретический документ, а оперативное руководство. Должен быть напечатан и доступен в физическом виде (при атаке шифровальщика электронные документы могут быть недоступны):

1. Контакты команды CSIRT с дублирующими каналами связи (мобильный, мессенджер, email)
2. Контакты внешних подрядчиков: форензика, юристы, PR-агентство, НКЦКИ
3. Декларация полномочий: кто может остановить продакшн, отключить от сети, говорить с прессой
4. Чек-листы по типам инцидентов: ransomware, утечка данных, DDoS, инсайдер, supply chain
5. Шаблоны коммуникации: внутренние, внешние, для регуляторов
6. Процедура сбора доказательств с сохранением chain of custody
7. Критерии эскалации: когда инцидент становится Critical и поднимается до CEO

Тренировки: tabletop и red team

Playbook без тренировок не работает. Минимум раз в квартал — tabletop exercise (настольные учения): команда CSIRT собирается и проигрывает сценарий инцидента по сценарию. Раз в год — полноценные киберучения с участием red team (внешние пентестеры, имитирующие атаку). Российский стандарт — учения Standoff от Positive Technologies, где команды защиты отрабатывают реальные атаки в реалистичной инфраструктуре.

Внешние подрядчики: когда привлекать

Не все инциденты можно расследовать своими силами. Привлекайте внешних экспертов в случаях:

• Сложная APT-атака — нужны эксперты Group-IB, BI.ZONE, Kaspersky ICS CERT
• Утечка данных с потенциальными уголовными последствиями — независимая форензика
• Атака на КИИ — эксперты, аккредитованные ФСТЭК и ФСБ
• Нет своей команды CSIRT — managed IR-сервис от профильных компаний

Готовность к инциденту — это конкурентное преимущество. Компании с зрелым IR восстанавливаются после атак за часы, а не за недели, сохраняют доверие клиентов и избегают многомиллионных штрафов. Время инвестировать в playbook — до инцидента, а не во время него.