План реагирования на инциденты информационной безопасности

Редакция от · Версия 1.0 · разработан в соответствии со ст. 19 ч. 1 п. 6, ст. 21 ч. 3.1–4 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» и Постановлением Правительства РФ № 1119 от 01.11.2012

Назначение документа. Настоящий план устанавливает порядок действий Оператора при выявлении инцидентов информационной безопасности (далее — Инцидент), связанных с обработкой персональных данных пользователей сайта skillupmixing.ru, включая сроки, ответственных лиц, порядок уведомления Роскомнадзора, ГосСОПКА и субъектов ПД.

1. Определение Инцидента

Инцидентом информационной безопасности считается любое из следующих событий:

  • несанкционированный доступ к персональным данным (далее — ПД) либо к инфраструктуре, обрабатывающей ПД (включая базы данных, файловое хранилище, сервисы аутентификации);
  • утечка ПД в результате внешней атаки, компрометации учётных записей, ошибки конфигурации или действий сотрудников;
  • уничтожение, изменение, блокирование, копирование или распространение ПД, совершённые без правомерного основания;
  • отказ в обслуживании, повлёкший невозможность реализации прав субъектов ПД (доступ, уточнение, удаление, отзыв согласия) на срок более 24 часов;
  • обнаружение вредоносного программного обеспечения или признаков компрометации в системах, обрабатывающих ПД;
  • иные события, повлёкшие нарушение конфиденциальности, целостности или доступности ПД.

2. Команда реагирования

РольЛицоОтветственность
Координатор реагированияИП Поплеев Александр АлександровичПринятие решений, уведомление РКН, коммуникация с субъектами ПД
Технический ответственныйИП Поплеев Александр АлександровичАнализ инцидента, сдерживание, устранение, восстановление инфраструктуры
Хостинг-провайдерАО «Селектел» (ИНН 7842393933)Поддержка по физической безопасности дата-центра, сетевая изоляция при необходимости

Контакт координатора для внутренних обращений и эскалации: skillupmixing@mail.ru.

3. Этапы реагирования

3.1. Обнаружение и регистрация (T+0)

Источники обнаружения: системные логи Caddy / PostgreSQL / Node-сервисов, мониторинг Я.Метрики (аномалии трафика), уведомления хостинг-провайдера, обращения пользователей, внешние bug-bounty / responsible disclosure. Все события фиксируются в журнале инцидентов с указанием даты, времени, источника обнаружения и предварительной квалификации.

3.2. Первичный анализ (T+0 — T+2 ч)

Подтверждение факта Инцидента, определение масштаба (количество затронутых субъектов ПД, категории данных), оценка причины и канала компрометации. На этом этапе принимается решение о необходимости уведомления Роскомнадзора.

3.3. Сдерживание (T+2 — T+6 ч)

Изоляция скомпрометированных систем, блокирование скомпрометированных учётных записей, отзыв активных сессий, ротация ключей доступа (Supabase service key, JWT secret, OAuth client secrets, Mailopost / YooKassa токены), временная блокировка затронутых функций сайта (при необходимости — выставление страницы maintenance.html).

3.4. Устранение и восстановление (T+6 — T+24 ч)

Устранение причины Инцидента: установка обновлений безопасности, исправление ошибок конфигурации, восстановление целостности данных из резервных копий (бэкапы AES-256, ежедневные на /var/backups/skillup/, еженедельные на /root/backups/). Проверка восстановленных систем перед возвратом в эксплуатацию.

3.5. Уведомление и коммуникация (см. раздел 4)

3.6. Разбор и закрытие (T+30 — T+90 дней)

Подготовка отчёта об Инциденте: что произошло, причина, последствия, принятые меры, рекомендации по предотвращению. Внесение изменений в политику безопасности, обновление настоящего Плана. Хранение записи об Инциденте — 5 лет.

4. Сроки и адресаты уведомлений

В соответствии со ст. 21 ч. 3.1 152-ФЗ Оператор обязан уведомить Роскомнадзор о факте Инцидента в течение 24 часов с момента обнаружения, а в течение 72 часов представить дополнительные сведения о результатах внутреннего расследования.
АдресатСрокКаналСостав уведомления
Роскомнадзор 24 часа (первичное)
72 часа (детальное)		 Портал персональных данных РКН · rsoc_in@rkn.gov.ru Состав ПД, количество субъектов, причины, принятые меры, ссылка на регистрационный номер в Реестре операторов (уведомление от 05.05.2026, вх. № 7601/24)
ГосСОПКА (НКЦКИ) 24 часа incident@cert.gov.ru · safe-surf.ru В соответствии с Приказом ФСБ России № 367 от 24.07.2018 — при инцидентах на объектах КИИ или существенных утечках
Субъекты ПД (затронутые) В разумный срок, не позднее 30 календарных дней Электронная почта, указанная при регистрации (через Mailopost HTTPS API) Уведомление о факте Инцидента, состав возможно скомпрометированных данных, рекомендуемые действия (смена пароля, отзыв OAuth-сессий, наблюдение за аккаунтом)
Платёжный обработчик Незамедлительно ООО НКО «ЮMoney», тех.поддержка При инцидентах, затрагивающих платёжные данные
Хостинг-провайдер Незамедлительно АО «Селектел», панель управления + 24/7 поддержка При признаках компрометации инфраструктуры или сетевой атаке

5. Содержание уведомления Роскомнадзору

Первичное уведомление (в течение 24 часов) включает:

  1. наименование, ИНН и контактные данные Оператора;
  2. дата и время обнаружения Инцидента;
  3. предварительная квалификация (утечка / несанкционированный доступ / уничтожение / иное);
  4. предположительный состав скомпрометированных ПД (категории, объём);
  5. предполагаемое количество затронутых субъектов ПД;
  6. принятые экстренные меры по сдерживанию;
  7. контактное лицо для дополнительных запросов.

Детальное уведомление (в течение 72 часов) дополнительно содержит:

  1. результаты внутреннего расследования причин Инцидента;
  2. полный список затронутых субъектов ПД (по запросу регулятора);
  3. фактический объём и состав скомпрометированных данных;
  4. план устранения последствий и предотвращения повторных инцидентов;
  5. сроки уведомления субъектов ПД (если требуется).

6. Журналирование

Все Инциденты фиксируются в журнале инцидентов с обязательными полями: уникальный идентификатор, дата и время обнаружения, источник, краткое описание, квалификация, статус (открыт / в работе / закрыт), ответственный, ссылки на уведомления регуляторов, итоговый отчёт. Журнал хранится в зашифрованном виде с ограниченным доступом. Срок хранения записей об Инцидентах — 5 (пять) лет с момента закрытия.

Технические журналы доступа к ПД ведутся автоматически:

  • журнал согласий пользователей — таблица public.consent_log в базе данных Оператора;
  • журнал заявок на удаление аккаунта — таблица public.account_deletion_requests со статусами и метками времени;
  • системные журналы доступа к веб-серверу (Caddy access log) — ротация 30 дней, объём ограничен;
  • журналы базы данных (PostgreSQL log) — внутри контейнера Supabase;
  • журналы запуска cron-задач — /var/log/skillup-cleanup.log, /var/log/skillup-backup.log.

7. Тестирование и поддержка плана

Настоящий План пересматривается не реже одного раза в год, а также после каждого зарегистрированного Инцидента. Проводится плановое штабное тестирование готовности — не реже одного раза в 6 месяцев. По результатам тестирования вносятся корректировки в План и в технические меры защиты.

Внесение изменений в План публикуется на сайте Оператора. Архив предыдущих редакций — архив редакций политик.

8. Связь с другими документами

9. Контактная информация

Оператор: ИП Поплеев Александр Александрович
ОГРНИП: 323246800085139
ИНН: 244315389893
Адрес: 662150, Красноярский край, Ачинский район, п. Горный, ул. Центральная, д. 23
Электронная почта: skillupmixing@mail.ru
Сайт: https://skillupmixing.ru