Что требует закон?

Закон вступил в силу 7 июня 2006 г. и требует, чтобы каждый оператор разработал пакет организационно-распорядительной документации (ОРД) по обработке и защите персональных данных. О чем конкретно должна быть документация, сказано в статьях 18.1 и 19 закона.

Вроде все просто: открываем статьи 18.1 и 19 закона, читаем, что там написано, и пишем необходимую документацию применительно к нашей организации, конечно, не забывая перед этим прочитать весь закон целиком. При таком подходе, как показывает практика, операторы разрабатывают 3-5 документов, считая, что они выполнили требования закона и, проверка Роскомнадзора им не страшна.

Однако в жизни не все так просто. Чтобы понять, что описанный выше подход не является верным, достаточно сказать, что полноценный пакет ОРД насчитывает около 40 документов!

Почему же так много документов, и что в них должно содержаться? Давайте разбираться.

 

Какие документы необходимо разработать по 152-ФЗ?

В самом ФЗ-152 по большей части требования сформулированы общими фразами, и тем, кто не сталкивался с этим прежде, трудно понять, что же прячется под теми или иными формулировками.

Ниже приведен составленный на основе практического опыта перечень документов, требуемых статьями 18.1 и 19 закона:

№  Наименование документа  Пункт закона 
1. Приказ об ответственном за организацию обработки персональных данных Статья 18.1 часть 1 пункт 1
2. Правила/положение об обработке персональных данных Статья 18.1 часть 1 пункт 2
3. Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением:

  • инструкция по оценке вреда
  • акт оценки вреда (при наличии)
 Статья 18.1 часть 1 пункт 5
4. Журнал ознакомления с законодательством и внутренними документами оператора Статья 18.1 часть 1 пункт 6 <
5. Раздел в трудовой договор и(или) должностную инструкцию и(или) согласие об обработке персональных данных Статья 18.1 часть 1 пункт 6
6. Политика в отношении обработки и защиты персональных данных Статья 18.1 часть 2
7. Акт (отчет) об обследовании Статья 19 часть 1, 2, 4
8. Акт установления уровня защищенности Статья 19 часть 1, 2, 4
9. Техническое задание на систему защиты персональных данных Статья 19 часть 1, 2, 4
10. Модель угроз по методике ФСБ и отдельно по ФСТЭК Статья 19 часть 2 пункт 1
11. Технический проект на систему защиты персональных данных Статья 19 часть 1, 2, 4
12. Акты установки средств защиты персональных данных Статья 19 часть 1, 2, 4
13. Формуляры и сертификаты ФСТЭК России на средства защиты персональных данных Статья 19 часть 2 пункт 3)
14. Организационно-распорядительная документация по защите ИСПДн (около 15 документов) Статья 19 часть 1, 2, 4
15. Программа и методика оценки эффективности принимаемых мер по обеспечению безопасности персональных данных Статья 19 часть 2 пункт 4)
16. Протокол оценки эффективности принимаемых мер по обеспечению безопасности персональных данных Статья 19 часть 2 пункт 4)
17. Заключение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных Статья 19 часть 2 пункт 4)
18. Аттестат от лицензиата ФСТЭК или декларация соответствия Статья 19 часть 2 пункт 4)
19. Положение об учете машинных носителей персональных данных с приложением:

  • журнал учета машинных носителей ,
  • акты установки (ввода в эксплуатацию) носителя(ей) (при наличии),
  • акты уничтожения носителей (при наличии),
  • акты восстановления носителя(ей) персональных данных (при наличии),
  • акты приема-передачи носителя(ей) персональных данных (при наличии)
 Статья 19 часть 2 пункт 5)
20. Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных с приложением:

  • журнал учета инцидентов,
  • акты выявления инцидентов (при наличии),
  • акты устранения инцидентов (при наличии)
 Статья 19 часть 2 пункт 6)
21. Положение о резервном копировании и восстановлении персональных данных с приложением:

  • журнал учета резервирования персональных данных,
  • акты восстановления персональных данных (при наличии)
 Статья 19 часть 2 пункт 7)
22. Разрешительная система доступа Статья 19 часть 2 пункт 8)
23. Раздел в инструкцию пользователя Статья 19 часть 2 пункт 8)
24. Раздел в инструкцию системного администратора Статья 19 часть 2 пункт 8)
25. Раздел в инструкцию администратора информационной безопасности Статья 19 часть 2 пункт 8)
26. Положение о внутреннем контроле обработки и защиты персональных данных с приложением:

  • план внутреннего контроля,
  • акт внутреннего контроля
 Статья 19 часть 2 пункт 9)
Смотреть весь список
Свернуть

Внимание: указанных выше документов не достаточно, чтобы соответствовать 152-ФЗ полностью и пройти проверку Роскомнадзора, так как нужно учитывать иные пункты закона и подзаконных нормативно-правовых актов.

 

Камни преткновения

На практике операторы персональных данных сталкиваются со следующими основными проблемами при разработке пакета ОРД для соответствия требованиям закона:

  1. Не знают, как трактовать то или иное требование закона, а в частности — статьи 18.1 и 19 закона, без чего невозможно разработать полный и правильный пакет документов.
  2. Не знают подзаконные нормативно-правовые акты в области персональных данных (помимо 152-ФЗ), которых насчитывается более 6 (шести) и в соответствии с которыми необходимо разработать дополнительные ОРД.
  3. Не знают, какой конкретно документ и приложение к нему нужно разработать по тому или иному требованию закона.
  4. Не проходили проверку Роскомнадзора и поэтому не знают, какие конкретно документы требует регулятор на проверке и какие дополнительные документы могут быть запрошены. 
Смотреть весь список
Свернуть

 

Лайфхак по правильной разработке пакета ОРД

Чтобы сделать пакет документов действительно соответствующим требованию закона и пройти проверку Роскомнадзора, необходимо сделать следующее:

  1. Прочитать и проанализировать сам закон вдоль и поперек и особенно статьи 18.1 и 19 закона.
  2. По каждому пункту статей 18.1 и 19 закона понять, какие внутренние документы у вас имеются, и сверить со списком выше.
  3. Проанализировать подзаконные нормативно-правовые акты правительства, ФСБ и ФСТЭК России (см ниже) и составить перечень дополнительных ОРД к разработке.
  4. Обратиться к базам знаний, а также судебной практике правоприменения 152-ФЗ: Гарант, Консультант, сайт Роскомнадзора.
  5. Посмотреть на сайте Роскомнадзора рекомендации по составлению политики персональных данных, а также другие методические документы.  
Смотреть весь список
Свернуть

 

Подзаконные нормативно-правовые акты по персональным данным

Чтобы соответствовать 152-ФЗ, необходимо выполнить требования не только статей 18.1 и 19 ФЗ-152, но и следующих нормативно-правовых актов:

Смотреть весь список
Свернуть

 

Пакет ОРД по 152-ФЗ: цена вопроса

Трудоемкость разработки пакета документации достаточно большая, ввиду большого объема самих документов, а также необходимости анализа целого ряда подзаконных нормативно-правовых актов и практики правоприменения (анализ судебных решений).

 

Также существует два варианта пакета документов:

Шаблонный — это специально подготовленный типовой пакет документов для широкого круга операторов персональных данных. Однако он не заточен под бизнес-процессы конкретной организации. Поэтому каждому заказчику необходимо заполнить и адаптировать пакет под себя.

Малый бизнес — от 35 тыс.

Средний бизнес — от 70 тыс.

Крупный бизнес — рекомендуем только индивидуальный пакет ОРД после индивидуального обследования. 

 

Индивидуальный — это пакет документов, который рождается после индивидуального обследования и поэтому стоимость такого пакета сильно выше, чем шаблонов. Но в итоге пакет документов будет максимально предметен бизнес-процессам заказчика.

Малый бизнес — от 600 тыс.

Средний бизнес — от 1200 тыс.

Крупный бизнес — от 2400 тыс. 

 

Скачать коммерческое предложение на разработку документов в соответствии с 152-ФЗ
СКАЧАТЬ PDF

 

Что предлагаем мы?

Мы можем предложить и шаблонную и индивидуальную правовую подготовку по 152-ФЗ с разработкой полноценного пакета организационно-распорядительной документации, необходимой для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, с гарантией по договору.

 

Для индивидуального расчета стоимости и сроков — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71

 

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК