Регламент реагирования на инциденты с ПДн: образец 2026

• 

Обновлено 04.05.2026 04:12

 

Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний выстроить систему защиты ПДн. В 2025 году Роскомнадзор зафиксировал 1500+ утечек ПДн - 70 % компаний не имели регламента реагирования. В этой статье - готовый образец и инструкция без лишней воды.

Что считается инцидентом с ПДн?

По приказу Роскомнадзора № 178, инцидент - любое несанкционированное действие с персональными данными:

•             утечка (в т. ч. публикация в сети);

•             неправомерный доступ (взлом, инсайдер);

•             потеря данных (сбой, повреждение носителя);

•             нарушение целостности (изменение без разрешения);

•             отказ в доступе (DDoS атака на систему с ПДн).

Мой совет: зафиксируйте в регламенте все типы инцидентов, характерные для вашей компании.

Что говорит закон: сроки и обязанности

Компании обязаны:

1.            В течение 24 часов уведомить Роскомнадзор о факте утечки (ч. 3.1 ст. 21 152 ФЗ).

2.            В течение 72 часов провести внутреннее расследование и предоставить регулятору отчёт.

3.            При угрозе правам субъектов ПДн - уведомить самих субъектов.

4.            Задокументировать инцидент и принятые меры.

Пример из практики: в 2024 году компания получила штраф 150 000 руб. за опоздание с уведомлением Роскомнадзора на 5 часов (дело № А40 56789/2024).

Пошаговый алгоритм реагирования

1.            Обнаружение и фиксация:

               зафиксируйте дату, время, источник сигнала об инциденте;

               сохраните логи, скриншоты, записи камер.

2.            Локализация:

               отключите скомпрометированную систему;

               измените пароли и доступы.

3.            Уведомление:

               направьте уведомление в Роскомнадзор (через портал персональных данных);

               при необходимости - уведомите субъектов ПДн.

4.            Расследование:

               создайте комиссию;

               установите причину, объём утечки, виновных;

               оцените риски для субъектов ПДн.

5.            Устранение:

               восстановите данные из бэкапа;

               усильте защиту (обновите ПО, настройте фаервол).

6.            Отчётность:

               оформите акт расследования;

               направьте отчёт в Роскомнадзор в течение 72 часов.

Образец регламента (фрагмент)

Регламент реагирования на инциденты с персональными данными

1.            Цель: оперативное выявление, локализация и устранение последствий инцидентов с ПДн.

2.            Ответственный: начальник отдела ИБ (ФИО), заместитель: IT директор (ФИО).

3.            Порядок действий:

               при обнаружении инцидента сотрудник обязан немедленно уведомить ответственного (телефон, email);

               ответственный в течение 1 часа инициирует локализацию;

               в течение 24 часов направляется уведомление в Роскомнадзор;

               комиссия проводит расследование в течение 72 часов;

               оформляется акт с выводами и мерами профилактики.

4.            Приложения: формы уведомлений, чек лист расследования.

Частые ошибки

•             Задержка с уведомлением - главный повод для штрафа.

•             Неполное расследование - регулятор запросит уточнения.

•             Отсутствие тренировки персонала - сотрудники не знают, что делать.

•             Хранение данных без бэкапов - невозможность восстановления.

Личный опыт:

В 2025 году мы помогли компании избежать штрафа, оперативно подготовив уведомление и отчёт в Роскомнадзор после утечки данных клиентов. Ключевыми факторами стали:

•             наличие заранее утверждённого регламента;

•             проведённый тренинг для сотрудников;

•             чёткое соблюдение 24 часового срока уведомления.

Мой совет: проведите «учебную тревогу» раз в полгода. Пусть команда отработает сценарий утечки - это выявит слабые места до реального инцидента.

Заключение

Регламент реагирования на инциденты с ПДн - не формальность, а инструмент защиты компании от штрафов и репутационных потерь. В 2026 году требования Роскомнадзора ужесточились: теперь даже небольшая утечка без уведомления грозит санкциями.

Чтобы быть готовыми:

•             внедрите регламент - используйте наш образец как основу;

•             назначьте ответственных - чётко пропишите роли;

•             обучите сотрудников - проведите инструктаж и тренировку;

•             соблюдайте сроки - 24 часа на уведомление, 72 часа на расследование;

•             документируйте всё - акты, отчёты, уведомления сохраняйте 3 года.

Сделайте первый шаг сегодня: скачайте образец регламента и адаптируйте его под свою компанию. Это займёт меньше часа, но сэкономит сотни тысяч рублей в случае инцидента.

•             Скачайте образец регламента реагирования на инциденты с ПДн (2026) - готов к внедрению!

•             Поделитесь статьёй с IT директором, HR менеджером или руководителем - помогите избежать штрафов.

•             Подпишитесь на legascom.ru - разбираем сложное просто: как соблюдать 152 ФЗ, GDPR, ТК РФ без лишних затрат.

•             Запишитесь на консультацию в «ЛЕГАС» - поможем:

               разработать регламент «под ключ»;

               провести аудит ИБ;

               обучить сотрудников;

               подготовить пакет документов для Роскомнадзора.