Runbook инцидента КИИ: часы 0, 3, 24, 72
Пошаговый протокол действий при подозрении на инцидент информационной безопасности в значимом объекте КИИ. Синхронизирован с методикой НКЦКИ и ФЗ-187.
Когда применять. При любом из триггеров: компрометация учётной записи администратора, аномальный исходящий трафик, шифрование файлов (ransomware), обнаружение веб-шелла, несанкционированное изменение ключевых файлов.
Час 0. Фиксация инцидента
- Определить источник сигнала (SIEM / антивирус / пользователь / внешний уведомитель).
- Создать запись в журнале инцидентов с присвоением внутреннего ID и уровня критичности (низкий/средний/высокий/критический).
- Сохранить свежие снимки:
netstat -anptu, ps aux, логи firewall за последние 6 часов, системный журнал security.
- Уведомить: ответственного за безопасность КИИ, дежурного администратора, CISO (если есть).
Часы 1–3. Сдерживание
- Изоляция поражённого узла (карантин VLAN или отключение интерфейса), НЕ выключение — терять оперативную память нельзя.
- Сбор образа оперативной памяти:
winpmem / LiME / avml.
- Создание криминалистически корректного образа диска:
dd + sha256sum.
- Блокировка скомпрометированных учётных записей, принудительная смена паролей администраторов.
- Отключение внешних доступов, если есть признаки их использования атакующим.
Час 24. Уведомление НКЦКИ
Для значимых объектов КИИ 1 категории срок уведомления — не более 3 часов с момента выявления, для 2 категории — 24 часа, для 3 категории — 48 часов.
- Заполнить типовую форму инцидента (доступна в личном кабинете НКЦКИ).
- Указать: тип инцидента, поражённые системы, предполагаемый источник, текущий статус локализации.
- Отправить через защищённый канал ГосСОПКА (не e-mail).
- Получить подтверждение приёма и номер регистрации. Записать в журнал.
Час 72. Глубокий анализ и восстановление
- Определить вектор проникновения (фишинг, эксплойт, внутренний злоумышленник).
- Вычислить период активности: от первого несанкционированного действия до обнаружения.
- Проверить боковое движение: какие учётные записи использовал атакующий, какие хосты затронуты.
- Восстановить системы из «чистого» бэкапа (до даты проникновения).
- Применить патчи, закрыть уязвимости эксплуатации.
День 14. Отчётность и улучшения
- Финальный отчёт НКЦКИ — с полным описанием, вектором атаки, принятыми мерами.
- Анализ с руководством: что сработало, что нет.
- Обновление модели угроз: добавить выявленный вектор как актуальный.
- Пересмотр политик доступа, сегментации, мониторинга.
- Обучение персонала — если атака началась с фишинга.
Шаблоны уведомлений (вырезать, вставить, заполнить)
НКЦКИ — первичное уведомление (до 3 часов)
В НКЦКИ
От: ____________
Объект КИИ: ____________ (категория ___)
Дата/время выявления: ____________
Тип инцидента: ____________
Текущий статус: выявлен / локализован / в процессе сдерживания
Ответственное лицо: ____________ (должность, телефон)
Координаты связи: ____________
Руководителю организации
Уважаемый(ая) ____________,
в ____________ (дата/время) обнаружен инцидент безопасности уровня «____________»
на объекте КИИ ____________.
Текущие действия: ____________
Прогноз восстановления: ____________
Необходимые ресурсы: ____________
Уведомление НКЦКИ: направлено в ____________ (время)