← Вернуться на главную

ПРОЦЕДУРА РЕАГИРОВАНИЯ НА УТЕЧКУ И ПРАВА СУБЪЕКТОВ

Сайт: https://help152fz.ru

Оператор: ИП Сидоров Вячеслав Юрьевич

1. ПРОЦЕДУРА РЕАГИРОВАНИЯ НА УТЕЧКУ ДАННЫХ

1.1. Что считается утечкой?

Утечка — это несанкционированный доступ, раскрытие или потеря персональных данных:

  • ❌ Взлом сайта (SQL injection, XSS)
  • ❌ Доступ к базе данных администратором
  • ❌ Передача данных третьему лицу без согласия
  • ❌ Потеря зашифрованного устройства с данными
  • ❌ Файл с данными лежит в открытом доступе
  • ❌ Email с данными перехвачен
  • ❌ Cookie сессии скомпрометирована
  • ❌ DDoS-атака привела к потере данных

1.2. Мониторинг и обнаружение

Как мы обнаруживаем утечку?

  1. Автоматические системы: Logstash (логирование), Fail2Ban (bruteforce), fail notification, Backup verification.
  2. Внешние сигналы: Жалобы пользователей, посты в соцсетях, Баг-баунти, сообщения от РКН.
  3. Внутренний контроль: Ежедневная проверка логов, еженедельное сканирование, ежемесячная проверка доступов.

1.3. НЕМЕДЛЕННЫЕ ДЕЙСТВИЯ (в день обнаружения)

Время: 0-4 часа после обнаружения

ШАГ 1: ПОДТВЕРЖДЕНИЕ (15 минут)

  • ☑ Проверить:
  • □ Есть ли реально утечка (не ложная тревога)?
  • □ Какие данные скомпрометированы?
  • □ Сколько пользователей затронуто?
  • □ Когда это произошло (дата/время)?
  • □ Откуда идет утечка (какой сервис)?

ШАГ 2: ИЗОЛЯЦИЯ (30 минут)

  • ☑ Немедленно:
  • □ Отключить затронутый сервис
  • □ Отключить учетную запись администратора (если нужно)
  • □ Закрыть доступ к базе данных (для отладки)
  • □ Отключить API (если использовалась)
  • □ Остановить все обработки данных
  • □ Включить режим "только чтение"

ШАГ 3: УВЕДОМЛЕНИЕ РУКОВОДСТВА (1 час)

  • ☑ Уведомить:
  • □ ИП Сидорова Вячеслава Юрьевича (по телефону)
  • □ Юриста (если есть)
  • □ Хостинг-провайдера (если это их ошибка)
  • □ Внутренную команду

ШАГ 4: УВЕДОМЛЕНИЕ РОСКОМНАДЗОРА (В ЭТОТ ЖЕ ДЕНЬ!)

ТРЕБОВАНИЕ: ст. 19.5 ФЗ-152 — уведомить в ТОТ ЖЕ ДЕНЬ!

Куда: Email: complaints@rkn.gov.ru ИЛИ Сайт: https://rkn.gov.ru/feedback/form/

Тема: УВЕДОМЛЕНИЕ об утечке персональных данных

Уважаемый Роскомнадзор!

Докладываем об обнаружении утечки персональных данных:

ДАТА ОБНАРУЖЕНИЯ: 10.12.2025, 18:30 МСК

ДАТА УТЕЧКИ: [примерная дата]

ОПЕРАТОР: ИП Сидоров Вячеслав Юрьевич

ИНН: 780226989410

Адрес: 191124, Санкт-Петербург, ул. Красного Текстильщика, 10-12, лит. О

Email: privacy@help152fz.ru

Телефон: +7 (911) 960-50-05


ОПИСАНИЕ УТЕЧКИ:

[Описать что произошло, например: "Взлом сайта help152fz.ru через SQL injection. Скомпрометирована база данных с информацией о 15 клиентах (ФИ, Email, номера телефонов)."]


ЗАТРОНУТЫЕ ДАННЫЕ:

- Фамилия, имя, отчество

- Email

- Номер телефона

- [Другие данные]


КОЛИЧЕСТВО СУБЪЕКТОВ: [число пользователей]


ПРЕДПРИНЯТЫЕ МЕРЫ:

1. Сайт отключен для защиты

2. Проводится анализ уязвимости

3. Данные восстанавливаются с резервной копии

4. Пользователи уведомляются


ДАЛЬНЕЙШИЕ ДЕЙСТВИЯ:

1. Полная изоляция систем

2. Судебная экспертиза (если нужна)

3. Восстановление без потерь

4. Публикация отчета о причинах


Подготовлено: [ФИ ответственного]

Дата: [дата]

Подпись: [подпись]

МАКСИМАЛЬНЫЙ СРОК: ТОТ ЖЕ ДЕНЬ! (не позднее 23:59 МСК)

1.4. КРАТКОСРОЧНЫЕ ДЕЙСТВИЯ (1-3 дня)

Время: 1-3 дней после обнаружения

ШАГ 5: АНАЛИЗ

  • ☑ Провести:
  • □ Полный анализ логов (что произошло?)
  • □ Анализ уязвимости (как это произошло?)
  • □ Проверка всех систем (что еще затронуто?)
  • □ Проверка резервных копий (когда была последняя?)
  • □ Timeline утечки (точная дата/время взлома)

ШАГ 6: УВЕДОМЛЕНИЕ ПОСТРАДАВШИХ ПОЛЬЗОВАТЕЛЕЙ

ТРЕБОВАНИЕ: ст. 19.5 ФЗ-152 — уведомить в течение 3 дней!

ТЕМА: ⚠️ ВАЖНО: Информация об утечке вашего данных

Уважаемый [ФИ пользователя]!

Мы обнаружили утечку персональных данных на нашем сайте https://help152fz.ru

ДАТА ОБНАРУЖЕНИЯ: 10.12.2025

ДАТА УТЕЧКИ: [примерная дата]


ЧТО ПРОИЗОШЛО:

[Описание в доступном языке, что произошло]


КАКИЕ ДАННЫЕ УТЕКЛИ:

- Ваше ФИ: [ФИ]

- Email: [email]

- Телефон: [телефон]


ЧТО МЫ ДЕЛАЕМ:

1. Все системы отключены для защиты

2. Проводится полный анализ безопасности

3. Будут установлены дополнительные защиты

4. Все пользователи будут уведомлены


ЧТО МОЖЕТ БЫТЬ В ОПАСНОСТИ:

- Спам по email или телефону

- Мошенничество (выдача за сотрудника компании)

- Фишинг (поддельные письма)


ЧТО ВЫ ДОЛЖНЫ СДЕЛАТЬ:

1. Смените пароль на других сайтах (если использовали тот же)

2. Включите двухфакторную аутентификацию где возможно

3. Следите за своим счетом в банке

4. При подозрениях — напишите нам


КАК С НАМИ СВЯЗАТЬСЯ:

Email: privacy@help152fz.ru

Телефон: +7 (911) 960-50-05

Сайт: https://help152fz.ru


ВОПРОСЫ И ЖАЛОБЫ:

При необходимости вы можете обратиться в Роскомнадзор:

https://rkn.gov.ru/


С извинениями,

ИП Сидоров Вячеслав Юрьевич

https://help152fz.ru

ШАГ 7: ИСПРАВЛЕНИЕ УЯЗВИМОСТИ

  • ☑ Провести:
  • □ Разработка патча (исправления)
  • □ Тестирование патча
  • □ Развертывание в production
  • □ Проверка исправления
  • □ Убедиться, что это не повторится

1.5. ДОЛГОСРОЧНЫЕ ДЕЙСТВИЯ (недели/месяцы)

ШАГ 8: УЛУЧШЕНИЕ БЕЗОПАСНОСТИ

  • ☑ Внедрить:
  • □ Дополнительное шифрование (для критичных данных)
  • □ Двухфакторная аутентификация для админов
  • □ Система логирования всех действий
  • □ Ежедневные резервные копии (были ли?)
  • □ Регулярное сканирование на уязвимости
  • □ Обучение персонала безопасности

ШАГ 9: ОТЧЕТ И АНАЛИЗ

  • Подготовить отчет:
  • □ Что произошло (timeline)
  • □ Почему это произошло (причины)
  • □ Как это было обнаружено
  • □ Что было сделано
  • □ Как это предотвратить в будущем
  • □ Затраты на исправление

ШАГ 10: ИНФОРМИРОВАНИЕ ПОСТРАДАВШИХ О РЕШЕНИИ

Отправить письмо через 1-2 недели:

ТЕМА: Решение проблемы утечки данных на help152fz.ru

Уважаемый [ФИ пользователя]!

Мы завершили расследование утечки данных от [дата].


РЕЗУЛЬТАТЫ:

- Причина: [описание]

- Усердствовал: [описание]

- Затронуто: [число] пользователей


ПРИНЯТЫ МЕРЫ:

1. Уязвимость полностью устранена

2. Все системы безопасности усилены

3. Установлены дополнительные мониторы

4. Весь персонал переподготовлен


ВАШИ ПРАВА:

- Вы можете попросить удалить ваши данные

- Вы можете потребовать компенсацию (если применимо)

- Вы можете обратиться в суд


КАК С НАМИ СВЯЗАТЬСЯ:

Email: privacy@help152fz.ru

Телефон: +7 (911) 960-50-05


С уважением,

ИП Сидоров Вячеслав Юрьевич

2. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Право на доступ (ст. 27 ФЗ-152)

Вы имеете право узнать: какие ваши данные собраны, для каких целей, кому переданы, когда удалены.

Как получить доступ:

Отправьте письмо на: privacy@help152fz.ru

Тема: "Запрос доступа к моим персональным данным"

"Я прошу предоставить мне информацию о всех моих 
персональных данных, которые обрабатываются ИП Сидоровым 
Вячеславом Юрьевичем.
Мой email: [ваш email]
Мой телефон: [ваш телефон]
Прошу также предоставить информацию о целях обработки, 
сроках и лицах, которым передаются данные.
[Подпись]"
  • Срок ответа: 30 календарных дней
  • Формат: PDF, Excel или другой удобный
  • Стоимость: Бесплатно

2.2. Право на исправление (ст. 27 ФЗ-152)

Если ваши данные неправильные, вы можете их исправить.

Отправьте письмо: privacy@help152fz.ru

Тема: "Запрос на исправление моих персональных данных"

"В моем профиле неправильная информация:
- Было: [неправильная информация]
- Должно быть: [правильная информация]
Прошу исправить эту ошибку в течение 30 дней.
[Подпись]"
  • Срок исправления: 30 календарных дней
  • Подтверждение: Получите письмо об исправлении

2.3. Право на удаление ("Право быть забытым")

Вы можете потребовать удалить ваши данные.

Отправьте письмо: privacy@help152fz.ru

Тема: "Запрос на удаление моих персональных данных"

"Я прошу удалить все мои персональные данные из 
системы ИП Сидорова Вячеслава Юрьевича.
Мой email: [ваш email]
Прошу удалить:
- Профиль
- Заказы
- Переписку
- Остальные данные
Сроки: [указать срок - обычно 30 дней]
[Подпись]"
  • Срок удаления: 30 календарных дней
  • Исключения: Если закон требует хранить (налоговое хранение — 3 года)

2.4. Право на ограничение обработки

Вы можете потребовать, чтобы данные не обрабатывались (но хранились).

Отправьте письмо: privacy@help152fz.ru

Тема: "Запрос на ограничение обработки моих данных"

"Я прошу ограничить обработку моих персональных данных.
Данные должны:
- Храниться на сервере (в защищенном виде)
- НЕ обрабатываться для аналитики
- НЕ передаваться третьим лицам
- НЕ использоваться в маркетинге
При возобновлении согласия, прошу возобновить обработку.
[Подпись]"
  • Срок ограничения: Немедленно
  • Возобновление: Когда вы напишете согласие

2.5. Право на переносимость данных

Вы можете получить копию ваших данных для передачи другому оператору.

Отправьте письмо: privacy@help152fz.ru

Тема: "Запрос на передачу моих персональных данных"

"Я прошу предоставить мне копию всех моих 
персональных данных в машиночитаемом формате.
Требуемый формат:
- CSV ☐
- JSON ☐
- Excel ☐
- PDF ☐
- Другое: [указать]
[Подпись]"
  • Срок: 30 календарных дней
  • Формат: CSV, JSON, Excel и т.д.
  • Стоимость: Бесплатно

2.6. Право на отзыв согласия

Вы можете отозвать согласие на обработку в любой момент.

Отправьте письмо: privacy@help152fz.ru

Тема: "Отзыв согласия на обработку ПДн"

"Я отозываю свое согласие на обработку моих 
персональных данных, выданное [дата согласия].
Прошу удалить все мои данные в течение 30 дней.
Мой email: [ваш email]
[Подпись]"
  • Результат: Обработка останавливается, данные удаляются за 30 дней, услуги прекращаются.

2.7. Право на защиту от автоматизированного решения

Вы имеете право, чтобы решение не принималось только автоматически.

На сайте help152fz.ru НЕ используется автоматизированное принятие решений, поэтому это право не применяется.

3. КАК ПОДАТЬ ЖАЛОБУ

3.1. Жалоба на оператора (на нас)

Шаг 1: Напишите Оператору (privacy@help152fz.ru)

"Я подаю жалобу на следующее нарушение:
[Описать нарушение]
Требуемое действие:
[Что вы хотите]
Дата: [дата]
[Подпись]"

Срок ответа: 30 дней

Шаг 2: Если не помогло → Роскомнадзор

3.2. Жалоба в Роскомнадзор

Контакты:

Текст жалобы:

Тема: Жалоба на нарушение закона о персональных данных

ИНФОРМАЦИЯ О НАРУШИТЕЛЕ:
ИП Сидоров Вячеслав Юрьевич
ИНН: 780226989410
Адрес: 191124, Санкт-Петербург, ул. Красного Текстильщика, 10-12, лит. О
Сайт: https://help152fz.ru

ОПИСАНИЕ НАРУШЕНИЯ:
[Подробно описать, что произошло]

ДОКАЗАТЕЛЬСТВА:
- Скриншоты
- Переписка
- Квитанции

ТРЕБУЕМОЕ ДЕЙСТВИЕ:
[Что вы хотите, чтобы Роскомнадзор сделал]

[Ваше ФИ]
[Ваш телефон]
[Ваш email]
[Подпись]

Срок рассмотрения: 30 дней

3.3. Судебное разбирательство

Если Роскомнадзор не помогает, можно подать в суд.

Исковое заявление в суд (ст. 151 ГК РФ):

В [Петербургский городской суд]
Исцом: [Ваше ФИ]
Адрес: [Ваш адрес]
Ответчик: ИП Сидоров Вячеслав Юрьевич
Адрес: 191124, Санкт-Петербург, ул. Красного Текстильщика, 10-12, лит. О

ИСКОВЫЕ ТРЕБОВАНИЯ:
1. Признать нарушение прав на защиту персональных данных
2. Обязать оператора [действие]
3. Взыскать моральный вред в размере [сумма]
4. Взыскать судебные расходы

ОСНОВАНИЕ:
ФЗ-152 "О персональных данных", ст. 9, 18, 27
ГК РФ, ст. 151 (защита чести, достоинства, деловой репутации)

ФАКТЫ:
[Подробное описание нарушения]

ДОКУМЕНТЫ:
- Копия переписки
- Скриншоты
- Письма Роскомнадзора (если есть)
- Медицинские справки (если есть моральный вред)

[Подпись]
Дата: [дата]

4. ПРОЦЕДУРА ОБРАБОТКИ ЗАПРОСОВ

  1. Получение запроса: по email privacy@help152fz.ru
  2. Проверка подлинности (1 день): Проверяем подпись и наличие клиента.
  3. Сбор информации (2-7 дней): Извлекаем данные, анонимизируем.
  4. Подготовка ответа (2-3 дня): Форматируем, шифруем.
  5. Отправка (1 день): На email или через облако.

ИТОГО: 30 календарных дней максимум

5. КОНТАКТЫ

ИП Сидоров Вячеслав Юрьевич

Email: privacy@help152fz.ru

Телефон: +7 (911) 960-50-05

Адрес: 191124, Санкт-Петербург, ул. Красного Текстильщика, 10-12, лит. О

Сайт: https://help152fz.ru

Ответственный за обработку ПДн: ИП Сидоров Вячеслав Юрьевич

Контакт по ПДн: privacy@help152fz.ru

6. СРОКИ В ТАБЛИЦЕ

ДействиеСрокЗакон
Уведомить Роскомнадзор об утечкеВ ДЕНЬ обнаруженияст. 19.5 ФЗ-152
Уведомить пострадавших об утечке3 дняст. 19.5 ФЗ-152
Ответить на запрос доступа30 днейст. 27 ФЗ-152
Исправить данные30 днейст. 27 ФЗ-152
Удалить данные30 днейст. 27 ФЗ-152
Ограничить обработкуНемедленност. 27 ФЗ-152
Предоставить копию30 днейст. 27 ФЗ-152
Ответить на жалобу30 днейст. 27 ФЗ-152
Версия: 1.0Дата: 10 декабря 2025Соответствие: ФЗ-152, ст. 9, 19.5, 27