SafeLaw
IRP-01 · Соответствие PCI DSS: Req 12.10

План реагирования на инциденты

Порядок обнаружения, классификации и реагирования на инциденты информационной безопасности.

ООО «SELLAI» (SELLAI LLC)

Сервис SafeLaw (safelaw.ai)

ИНН 312530703, г. Нукус, Республика Каракалпакстан, Узбекистан

ПЛАН РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Документ IRP-01

Версия 1.0

Дата ввода в действие: 15 мая 2026 г.

Соответствие: PCI DSS v4.0.1, SAQ A

1. Назначение

Настоящий План реагирования на инциденты информационной безопасности (далее — План) устанавливает порядок действий ООО «SELLAI» (далее — Компания) при выявлении инцидентов информационной безопасности, в том числе инцидентов, затрагивающих платёжные данные, обрабатываемые в рамках сервиса SafeLaw (safelaw.ai). План разработан в соответствии с требованиями PCI DSS v4.0.1 (Требование 12.10).

Цели Плана:

  • обеспечение быстрого и эффективного реагирования на инциденты информационной безопасности;
  • минимизация ущерба и предотвращение распространения последствий инцидента;
  • своевременное информирование заинтересованных сторон (банка-эквайера, платёжных систем, регуляторов, пользователей);
  • восстановление нормальной работы информационных систем;
  • извлечение уроков и совершенствование мер защиты по результатам инцидента.

2. Область применения

План применяется ко всем инцидентам информационной безопасности, затрагивающим:

  • информационные системы Компании;
  • данные пользователей сервиса SafeLaw;
  • инфраструктуру, обеспечивающую работу платёжных операций;
  • деловую репутацию Компании.

План обязателен для исполнения всеми работниками и подрядчиками Компании.

3. Определения

Событие информационной безопасности — выявленное состояние системы, сервиса или сети, указывающее на возможное нарушение информационной безопасности.

Инцидент информационной безопасности — одно или несколько нежелательных или непредвиденных событий информационной безопасности, которые имеют значительную вероятность нарушения деловой деятельности и угрожают информационной безопасности.

Компрометация данных — фактический или подозреваемый несанкционированный доступ, раскрытие, изменение или уничтожение данных.

Команда реагирования (IRT — Incident Response Team) — группа лиц, ответственная за реагирование на инциденты информационной безопасности.

4. Классификация инцидентов

Инциденты классифицируются по уровню критичности:

Уровень

Название

Описание

P1

Критический

Компрометация данных платёжных карт; компрометация учётных записей с административными привилегиями; масштабное нарушение доступности сервиса (>4 часов); подозрение на наличие вредоносного ПО в производственной инфраструктуре.

P2

Высокий

Утечка персональных данных пользователей; компрометация учётных записей пользователей сервиса; целенаправленные атаки (фишинг руководства, попытки взлома); серьёзные уязвимости публичных сервисов.

P3

Средний

Подозрительная активность, не приведшая к компрометации; единичные случаи фишинга; неавторизованные попытки входа в учётные записи без последствий.

P4

Низкий

Нарушения политик информационной безопасности без существенных последствий; технические сбои без признаков атаки.

5. Примеры типов инцидентов

  • несанкционированный доступ к серверам, базам данных или административным панелям;
  • компрометация учётной записи (раскрытие пароля, кража токена);
  • вредоносное программное обеспечение на устройствах или серверах;
  • утечка персональных данных или иной конфиденциальной информации;
  • подозрение на компрометацию данных платёжных карт пользователей;
  • DDoS-атаки и нарушение доступности сервиса;
  • фишинговые атаки на работников или пользователей;
  • обнаружение в исходном коде или конфигурациях ключей, паролей, учётных данных;
  • обнаружение вмешательства в платёжные страницы (несанкционированный JavaScript, изменения форм);
  • инциденты у поставщиков услуг (TPSP), затрагивающие инфраструктуру Компании.

6. Команда реагирования

Команда реагирования (IRT) формируется на постоянной основе. Состав команды:

Роль

Обязанности

Назначен

Руководитель команды реагирования

Общая координация реагирования; принятие решений; коммуникация с руководством; уведомление внешних сторон.

Директор Компании (Жумамуратов Р.)

Ответственный за информационную безопасность

Технический анализ инцидента; локализация и устранение угрозы; ведение журнала инцидента.

Назначается приказом директора (до отдельного назначения — функции исполняет директор)

Технический специалист

Работа с инфраструктурой, серверами, базами данных, сетью; восстановление систем.

Назначается на основании специфики инцидента

Юридический представитель

Оценка правовых последствий, взаимодействие с регуляторами, подготовка уведомлений.

Назначается на основании специфики инцидента (привлекается внешний консультант при необходимости)

Контактная информация команды (внутренние данные):

  • Внутренняя «горячая линия» по инцидентам: safelawinfo@gmail.com;
  • Прямая связь с директором: [доступно по запросу];
  • Альтернативный канал связи: внутренний мессенджер Компании.

Команда реагирования работает в режиме 24/7. Ответственные лица обеспечивают доступность по указанным каналам круглосуточно либо назначают замещающих лиц на период отсутствия.

7. Этапы реагирования на инцидент

7.1. Подготовка

Этап подготовки осуществляется на постоянной основе и включает:

  • поддержание актуальности настоящего Плана;
  • проведение обучения работников и членов команды реагирования;
  • обеспечение технических средств для мониторинга, журналирования и реагирования;
  • ведение реестра контактов внешних сторон (банк-эквайер, поставщики услуг, юридические консультанты);
  • тестирование Плана не реже одного раза в 12 месяцев.

7.2. Обнаружение и анализ

Источники обнаружения инцидентов:

  • сообщения работников и пользователей;
  • системы мониторинга, журналирования, антивирусные системы, WAF Cloudflare;
  • уведомления от поставщиков услуг (банк-эквайер, хостинг-провайдер);
  • уведомления от платёжных систем и регуляторов;
  • публикации в средствах массовой информации и базах данных уязвимостей.

Действия на этапе обнаружения и анализа:

  1. Лицо, обнаружившее событие, незамедлительно (в течение 30 минут с момента обнаружения) сообщает в команду реагирования по адресу safelawinfo@gmail.com
  2. Ответственный за информационную безопасность открывает запись об инциденте в журнале инцидентов с указанием даты, времени, источника, описания, предварительной классификации.
  3. Производится первичный анализ: подтверждение факта инцидента, оценка масштаба, классификация по уровню критичности.
  4. Для инцидентов уровня P1 и P2 руководитель команды реагирования уведомляется в течение 1 часа с момента подтверждения инцидента.

7.3. Сдерживание

Цель этапа — ограничить распространение инцидента и минимизировать ущерб. Действия:

  • изоляция скомпрометированных систем от сети (при необходимости);
  • блокировка скомпрометированных учётных записей;
  • ротация паролей, ключей API, токенов доступа;
  • включение дополнительных правил защиты в WAF Cloudflare;
  • в случае подозрения на компрометацию платёжных данных — приостановка соответствующих платёжных операций по согласованию с банком-эквайером.

На этапе сдерживания обязательно сохранение доказательств для последующего анализа: образы оперативной памяти, копии журналов, артефакты файловой системы.

7.4. Устранение

Действия по устранению причин инцидента:

  • удаление вредоносного программного обеспечения;
  • устранение использованных злоумышленником уязвимостей (установка обновлений, изменение конфигурации);
  • укрепление средств защиты в затронутых системах;
  • при необходимости — переустановка скомпрометированных систем «с нуля».

7.5. Восстановление

Действия по восстановлению нормальной работы:

  • восстановление систем из доверенных резервных копий или эталонных образов;
  • поэтапный возврат восстановленных систем в эксплуатацию с усиленным мониторингом;
  • проверка корректности работы систем и отсутствия признаков повторной компрометации;
  • уведомление пользователей и партнёров о восстановлении работы (при необходимости).

7.6. Анализ результатов и извлечение уроков

В течение 10 рабочих дней после закрытия инцидента уровня P1 или P2 проводится постмортем-анализ с участием команды реагирования и руководства. Результаты оформляются документально и должны включать:

  • хронологию инцидента;
  • первопричину инцидента;
  • оценку эффективности реагирования;
  • выявленные пробелы в защите и Плане;
  • конкретные меры по предотвращению повторения, ответственные лица и сроки;
  • обновления Плана и связанных политик.

8. Уведомление внешних сторон

8.1. Уведомление банка-эквайера

При выявлении инцидентов уровня P1, связанных с потенциальной компрометацией данных платёжных карт, либо инцидентов, затрагивающих платёжные операции, Компания уведомляет банк-эквайер (АКБ «Ипак Йули») в течение 24 часов с момента подтверждения инцидента. Уведомление направляется по официальным каналам, согласованным договором об эквайринге, и должно содержать:

  • дату и время инцидента;
  • описание инцидента и его потенциального воздействия;
  • принятые меры сдерживания и устранения;
  • планируемые сроки устранения и восстановления;
  • контактное лицо со стороны Компании.

8.2. Уведомление платёжных систем

При подтверждённой компрометации данных платёжных карт банк-эквайер совместно с Компанией уведомляет соответствующие платёжные системы (Visa, Mastercard, Uzcard, Humo) в порядке и сроки, установленные правилами платёжных систем.

8.3. Уведомление регуляторов

При утечке персональных данных пользователей Компания уведомляет уполномоченный государственный орган в области персональных данных Республики Узбекистан в порядке и сроки, установленные Законом РУз № ЗРУ-547 «О персональных данных».

8.4. Уведомление затронутых пользователей

При утечке персональных данных, затрагивающей пользователей сервиса SafeLaw, Компания направляет уведомление затронутым пользователям не позднее 72 часов с момента подтверждения утечки. Уведомление должно содержать:

  • описание характера утечки;
  • категории и приблизительный объём затронутых данных;
  • вероятные последствия для пользователя;
  • меры, принятые Компанией для устранения утечки;
  • рекомендации пользователю по защите его учётной записи;
  • контактные данные для обращений (safelawinfo@gmail.com).

8.5. Уведомление поставщиков услуг

При инцидентах, затрагивающих или потенциально затрагивающих инфраструктуру поставщиков услуг (Cloudflare, Netcup, Google Workspace, провайдеры AI и др.), Компания уведомляет соответствующих поставщиков в установленные ими сроки.

9. Журнал инцидентов

Все события и инциденты информационной безопасности фиксируются в журнале инцидентов. По каждому инциденту фиксируются следующие сведения:

  • уникальный идентификатор инцидента;
  • дата и время выявления, дата и время начала инцидента (если известно);
  • источник обнаружения;
  • уровень критичности;
  • описание инцидента;
  • затронутые системы, данные, пользователи;
  • предпринятые действия с указанием дат, времени и ответственных лиц;
  • уведомлённые внешние стороны (с указанием даты и канала уведомления);
  • результаты постмортем-анализа и принятые меры по предотвращению повторения;
  • дата закрытия инцидента.

Журнал инцидентов хранится не менее 3 лет с момента закрытия инцидента.

10. Тестирование Плана

План реагирования проходит тестирование не реже одного раза в 12 месяцев. Формы тестирования:

  • настольные учения (tabletop exercises) — обсуждение действий команды по гипотетическим сценариям;
  • учебные тревоги — проверка доступности членов команды по каналам уведомления;
  • полное симулированное реагирование на инцидент.

По результатам тестирования составляется протокол, выявленные недостатки устраняются, План при необходимости обновляется.

11. Обучение

Члены команды реагирования проходят обучение действиям в соответствии с настоящим Планом не реже одного раза в 12 месяцев. Все работники Компании проходят инструктаж по порядку сообщения о подозрительной активности и инцидентах при приёме на работу и далее ежегодно.

12. Пересмотр Плана

Настоящий План пересматривается не реже одного раза в 12 месяцев, а также:

  • после каждого инцидента уровня P1 или P2;
  • при существенных изменениях информационной инфраструктуры Компании;
  • при изменении состава ключевых поставщиков услуг (TPSP);
  • при изменении нормативных требований или стандартов (PCI DSS, законодательство РУз).

13. Сведения о документе

Версия

Дата

Изменения

Утвердил

1.0

15.05.2026

Первичное утверждение документа

Жумамуратов Р.

Утверждение документа

Настоящий документ утверждён директором ООО «SELLAI» (SELLAI LLC) и вступает в силу с даты подписания. Документ подлежит обязательному ознакомлению всем персоналом, подрядчиками и иными лицами, имеющими доступ к информационным активам ООО «SELLAI».

Директор ООО «SELLAI»:

_________________________ / Жумамуратов Р.

(подпись) (расшифровка)

Дата: «_____» _____________ 2026 г.

М.П.

Связанные политики

ISP-01
Политика информационной безопасности
AUP-01
Политика допустимого использования
TPSP-01
Управление поставщиками услуг
Сообщить об уязвимости, инциденте или задать вопрос аудитору: safelawinfo@gmail.com