T+4–24 ЧАС
Фаза 4
Eradication
Кадр 1
Ночь, серверная. IT-команда переустанавливает системы. Сброс всех учётных данных (3 200 паролей), закрытие точки входа
Кадр 2
Руководитель экономбеза разговаривает с юристами. Подготовка уведомления в Роскомнадзор. Дедлайн T+24, штраф до 18 млн руб
Кадр 3
Ноутбук с открытой формой уведомления РКН
ПАУЗА: кто подписывает уведомление? Что писать в графе «предположительный объём данных»? Правило — лучше избыточно, чем недостаточно
T+24–96 ЧАС
Фаза 5
Recovery
Кадр 1
График восстановления: поэтапный запуск систем. Сначала платежи, потом учётные системы, потом второстепенные
Кадр 2
PR-менеджер на встрече с CEO. Если инцидент не разглашён в СМИ — лучше упреждающее заявление, чем оправдания
Кадр 3
Экономбез формирует пакет для правоохранительных органов: хроника, технические артефакты, оценка ущерба в рублях, заявление от компании
T+30 ДНЕЙ
Фаза 6
Lessons Learned
Кадр 1
Переговорная, разбор инцидента. Что сработало, что нет. Каждая роль высказывается
Кадр 2
Обновлённая версия IRP — «версия 2.4». Протоколы взаимодействия экономбеза с правоохранителями добавлены. Шаблон уведомления крупных клиентов введён в IRP
Кадр 3
Расчёт итогов: прямой ущерб 87 млн руб (восстановление + штраф РКН + компенсации клиентам). Без IRP аналогичный инцидент — 400+ млн руб. Готовность окупилась с двукратным запасом
87 млн руб — стоимость инцидента с IRP. 400+ млн руб — без IRP. Готовность окупилась с двукратным запасом.
Видеоурок занимает 35 минут. После просмотра — открытое обсуждение: какие решения не отрепетированы? Где разрывы координации между ИБ, экономбезом и физбезом? Какие 3 пункта в IRP должны быть к следующей лекции?