Ниже — структурированный план действий разделённый на немедленные (0–72 часа) и среднесрочные (1–6 месяцев) шаги по трём направлениям: юридическое, техническое, коммуникационное. Обязателен локальный инструктаж у DPO/юриста с учётом применимого законодательства (например, GDPR — уведомление регулятора за 72 часа; в России — Федеральный закон №152‑ФЗ и нормативы Роскомнадзора).
НЕМЕДЛЕННО (0–72 часа)
Технические шаги
- Изолировать источники утечки: отключить поражённые серверы/учётные записи/внешний доступ, но не удалять данные.
- Сохранить доказательства: сделать форензик‑снимки (disk images, volatile memory), экспорт логов, сохранить метаданные и timestamps; обеспечить цепочку хранения (chain of custody).
- Блокировать вектор: сменить/отозвать скомпрометированные ключи, пароли, токены; временно отключить уязвимые сервисы; включить/строже настроить файерволы и WAF.
- Вовлечь специалистов: подключить внутреннюю команду безопасности и/или внешних форензик‑инженеров и IR‑консалтинговую компанию.
- Начать быстрый анализ: оценить объём и характер персональных данных, выяснить источник (взлом, ошибка конфигурации, инсайд), определить затронутых преподавателей.
Юридические шаги
- Сообщить DPO / юристу организации немедленно.
- Оценить правовые обязательства уведомления: сроки уведомления регулятора и субъектов данных (уточнить по юрисдикции).
- При необходимости уведомить правоохранительные органы и регулятора (подготовить первичную декларацию инцидента).
- Зафиксировать внутренние отчёты и все предпринимаемые меры (для доказательной базы и минимизации ответственности).
Коммуникация (пострадавшим и публично)
- Подготовить первичное уведомление пострадавшим: что произошло, какие данные могли быть скомпрометированы, какие меры приняты прямо сейчас, какие действия рекомендуются пострадавшим (смена паролей, мониторинг, меры предосторожности).
- Открыть канал поддержки (горячая линия/эл.почта) для пострадавших и обеспечить специалиста для ответов.
- Подготовить пресс‑релиз/FAQ для внешней коммуникации; сохранять прозрачность, но не раскрывать технических деталей, которые ухудшат расследование.
СРЕДНЕСРОЧНО (1–6 месяцев)
Технические меры
- Полный форензик‑аудит и отчёт: корневые причины, временные рамки утечки, скомпрометированные объекты.
- Закрыть уязвимости: обновления/патчи, ревизия конфигураций, исправление процессов резервного копирования и восстановления.
- Усилить защиту: шифрование данных в покое и в передаче, многофакторная аутентификация, управление привилегиями (PAM), сегментация сети, EDR/SIEM, регулярное сканирование на уязвимости и тесты на проникновение.
- Внедрить журналирование и мониторинг с сохранением логов на недоступных для изменения носителях.
- Пересмотреть и минимизировать хранение персональных данных, внедрить политики удаления и анонимизации.
Организационные и правовые меры
- Обновить договоры с процессорами/подрядчиками: требования безопасности и обязанности по уведомлению.
- Провести DPIA (оценку воздействия на защиту данных), если применимо.
- Внедрить/пересмотреть Incident Response Plan с чёткими ролями и сценариями, провести tabletop‑упражнения.
- Обучение персонала: регулярные тренинги по безопасности и политике работы с персональными данными.
- Оценить страховое покрытие (cyber insurance) и, при необходимости, предусмотреть компенсации пострадавшим.
Коммуникация и восстановление репутации
- Подготовить подробный итоговый отчёт для регулятора и/или пострадавших с результатами расследования и перечнем принятых мер.
- Продолжать поддерживать пострадавших: предложения по мониторингу кредитной истории, сервисы защиты от кражи личности, компенсационные меры (если применимо).
- Вести прозрачную коммуникацию внешним заинтересованным сторонам и СМИ, показывая предпринятые шаги и планы по предотвращению повторения.
Дополнительно (везде)
- Документировать все шаги, решения и коммуникации; это важно для аудита, регулятора и защиты в возможных спорах.
- При отсутствии в организации DPO/компетентного юриста — незамедлительно привлечь внешних специалистов по защите данных и праву.
Короткий образец содержания уведомления пострадавшим (структура)
- Что произошло (кратко и понятно).
- Какие данные могли быть скомпрометированы.
- Когда это произошло и как это было обнаружено.
- Что уже сделано для защиты данных.
- Что рекомендуется сделать пострадавшим.
- Контакты для вопросов и поддержка.
Если хотите, могу подготовить: 1) шаблон уведомления пострадавшим; 2) чек‑лист первичных технических действий для IT‑команды; 3) список вопросов для юриста/DPO по локальным требованиям уведомления.