Реагирование на запросы правоохранительных органов: как выстроить процесс, чтобы не нарушить закон и не сломать ИБ

Начните с формирования политики реагирования на запросы

Документ должен четко определять:

• Кто получает запросы: Все входящие документы (повестки, запросы следователя, постановления суда) направляются в единую точку — юридический отдел или специального координатора по ИБ-запросам. Пример: в крупной IT-компании запросы сначала регистрируются в системе тикетов (типа Jira или ServiceNow), где присваивается уникальный ID для отслеживания.
• Классификация запросов: Разделите на срочные (например, в рамках ст. 144 УПК РФ — до 3 суток на ответ) и плановые. Укажите критерии: запрос от следователя МВД требует немедленного уведомления руководства, а от ФСБ — дополнительной криптозащиты передачи данных.
• Внутренние роли: Создайте команду реагирования (CSIRT-подобную структуру). В нее входят:
• Юрист (для проверки законности запроса).
• Специалист ИБ (для оценки рисков утечки).
• IT-администратор (для извлечения данных без нарушения цепочки хранения).
• Руководитель (для утверждения передачи). Практический совет: проводите ежеквартальные тренировки (tabletop exercises). Например, симулируйте запрос на логи сервера от Следственного комитета. В одном случае российская финтех-компания во время такой тренировки выявила, что их SIEM-система (Security Information and Event Management) не логирует действия по запросам, что могло бы стереть доказательства. После доработки они интегрировали аудит всех извлечений данных. Обучение сотрудников критично: рядовые работники не должны самостоятельно отвечать на запросы, чтобы избежать случайного разглашения. Инструктируйте: "Любой запрос — переадресуйте в юридический отдел, не комментируйте". Бюджет на подготовку — не менее 1-2% от ИБ-бюджета, включая софт для шифрования (GPG или российские аналоги вроде "КриптоПро").

Получение и первичная обработка запроса

Когда запрос поступает, секунды на счету. Средний срок реакции на инцидент ИБ — 7 часов, а на запросы по УПК — до 3 суток, но промедление может привести к обвинению в воспрепятствовании следствию (ст. 294 УК РФ). Шаг 1: Фиксация. Немедленно зарегистрируйте запрос в защищенной системе (не в обычной почте). Сфотографируйте или отсканируйте документ, сохраните метаданные (IP отправителя, время). Пример: запрос на данные пользователя по номеру телефона — сохраните оригинал в зашифрованном хранилище с двухфакторной аутентификацией. Шаг 2: Проверка законности. Юрист анализирует: - Подписан ли запрос уполномоченным лицом (следователь, прокурор)? - Соответствует ли форме (УПК РФ, ст. 144-145)? - Есть ли номер дела и основание (факт преступления)? Если запрос неформальный (звонок от "полиции"), игнорируйте — требуйте официальный документ. Реальный кейс: в 2023 году российский банк получил фейковый запрос от "МВД"; благодаря проверке по реестру дел на сайте ГАС "Правосудие" они избежали передачи данных мошенникам. Шаг 3: Оценка рисков ИБ. Специалист ИБ проводит анализ: - Какие данные запрашивают? (Логи, скриншоты, доступ к серверам). - Риск компрометации: извлечение данных может открыть уязвимости. Используйте чек-лист: - Изолировать затронутые системы (отключить от сети, если возможно). - Создать форенсик-копию (bit-for-bit образ диска с помощью инструментов вроде FTK Imager или Autopsy). - Проверить на наличие вредоносного ПО перед передачей. Практический совет: внедрите автоматизацию. IRP-платформы (Incident Response Platform), такие как российские аналоги Splunk или отечественные SIEM, позволяют сценаризировать "Запрос от ЛЕО" — автоматическая генерация копии логов с хэшированием (SHA-256) для доказательства целостности. Не отвечайте частично: если запрос шире, запросите уточнения официально.

Передача данных и взаимодействие с органами

Это наиболее рискованный этап, где баланс между законом и ИБ особенно хрупок. Федеральный закон № 272-ФЗ "О переносе персональных данных" и № 187-ФЗ о КИИ требуют минимизировать передачу. Методы передачи: - Защищенные каналы: Используйте ФСБ-сертифицированные средства (ViPNet, "КриптоПро CSP"). Для логов — зашифрованные контейнеры с паролем, передаваемым отдельно. - Минимизация объема: Передавайте только запрошенное. Пример: запрос на IP-адреса трафика — фильтруйте логи по времени и IP, не отдавайте всю базу. - Форензика: Собирайте доказательства по стандартам: цепочка хранения (chain of custody) с подписями и временными метками. В случае компрометации сервера (как в атаке на Colonial Pipeline в 2021, аналогичной российским случаям) это позволит преследовать хакеров. Взаимодействие: - Информируйте органы о рисках: "Передача полного доступа нарушит ИБ". - Фиксируйте все: протокол передачи с росписью, скан акта. Реальный пример: в 2024 году российская телеком-компания получила запрос по DDoS-атаке. Они передали только метаданные сессий, сохранив полные логи для внутреннего расследования. Это помогло органам (ФСБ) отследить ботнет, а компании — избежать утечки клиентских данных. Ошибки избегать: - Не удаляйте данные после передачи — храните 3 года (по 152-ФЗ). - Не давайте удаленный доступ без ордера на обыск (ст. 182 УПК). Если запрос касается КИИ (критической информационной инфраструктуры), уведомите ФСТЭК в течение 6 часов.

Пост-реагирование: анализ, уроки и улучшения

После передачи запрос закройте инцидент, но не забудьте анализ — это 30% успеха процесса. Расследование: - Проанализируйте: Что сработало? Были ли утечки? - Выявите уязвимости: например, если запрос касался утечки ПДн, проверьте compliance с 152-ФЗ. Используйте пост-мортем: отчет с timeline событий, ролями и метриками (время от получения до передачи — цель <24 часа). Улучшения: - Обновите план: добавьте сценарии (DDoS-запросы, ransomware). - Мониторинг: внедрите SIEM для реального времени (логи всех действий по запросам). - Аудит: ежегодно проверяйте на соответствие ГОСТам. Пример из практики: После запроса по инсайдерской утечке в ритейлере они ввели DLP-системы (Data Loss Prevention) с блокировкой копирования по ключевым словам ("суд", "полиция"). Это сократило риски на 40%. Дополнительные советы: - Для малого бизнеса: аутсорсинг CSIRT (сервисы RTM Group или Kaspersky). - Международные аспекты: при запросах от Interpol учитывайте MLAT (договор о взаимной правовой помощи). - Бюджет: 5-10 млн руб. в год на инструменты и тренинги для средних компаний. В итоге, выстроенный процесс превращает запросы правоохранителей из угрозы в возможность укрепить ИБ. Регулярная практика и документация обеспечивают compliance, минимизируют риски и даже способствуют раскрытию преступлений, укрепляя репутацию компании. Такой подход не только спасает от штрафов в миллионы рублей, но и строит доверие с властями, делая бизнес устойчивее в киберпространстве.