Что требует закон?
Закон вступил в силу 7 июня 2006 г. и требует, чтобы каждый оператор разработал пакет организационно-распорядительной документации (ОРД) по обработке и защите персональных данных. О чем конкретно должна быть документация, сказано в статьях 18.1 и 19 закона.
Вроде все просто: открываем статьи 18.1 и 19 закона, читаем, что там написано, и пишем необходимую документацию применительно к нашей организации, конечно, не забывая перед этим прочитать весь закон целиком. При таком подходе, как показывает практика, операторы разрабатывают 3-5 документов, считая, что они выполнили требования закона и, проверка Роскомнадзора им не страшна.
Однако в жизни не все так просто. Чтобы понять, что описанный выше подход не является верным, достаточно сказать, что полноценный пакет ОРД насчитывает около 40 документов!
Почему же так много документов, и что в них должно содержаться? Давайте разбираться.
Какие документы необходимо разработать по 152-ФЗ?
В самом ФЗ-152 по большей части требования сформулированы общими фразами, и тем, кто не сталкивался с этим прежде, трудно понять, что же прячется под теми или иными формулировками.
Ниже приведен составленный на основе практического опыта перечень документов, требуемых статьями 18.1 и 19 закона:
№ |
Наименование документа |
Пункт закона |
1. |
Приказ об ответственном за организацию обработки персональных данных |
Статья 18.1 часть 1 пункт 1 |
2. |
Правила/положение об обработке персональных данных |
Статья 18.1 часть 1 пункт 2 |
3. |
Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением:
- инструкция по оценке вреда
- акт оценки вреда (при наличии)
|
Статья 18.1 часть 1 пункт 5 |
4. |
Журнал ознакомления с законодательством и внутренними документами оператора |
Статья 18.1 часть 1 пункт 6 < |
5. |
Раздел в трудовой договор и(или) должностную инструкцию и(или) согласие об обработке персональных данных |
Статья 18.1 часть 1 пункт 6 |
6. |
Политика в отношении обработки и защиты персональных данных |
Статья 18.1 часть 2 |
7. |
Акт (отчет) об обследовании |
Статья 19 часть 1, 2, 4 |
8. |
Акт установления уровня защищенности |
Статья 19 часть 1, 2, 4 |
9. |
Техническое задание на систему защиты персональных данных |
Статья 19 часть 1, 2, 4 |
10. |
Модель угроз по методике ФСБ и отдельно по ФСТЭК |
Статья 19 часть 2 пункт 1 |
11. |
Технический проект на систему защиты персональных данных |
Статья 19 часть 1, 2, 4 |
12. |
Акты установки средств защиты персональных данных |
Статья 19 часть 1, 2, 4 |
13. |
Формуляры и сертификаты ФСТЭК России на средства защиты персональных данных |
Статья 19 часть 2 пункт 3) |
14. |
Организационно-распорядительная документация по защите ИСПДн (около 15 документов) |
Статья 19 часть 1, 2, 4 |
15. |
Программа и методика оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
Статья 19 часть 2 пункт 4) |
16. |
Протокол оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
Статья 19 часть 2 пункт 4) |
17. |
Заключение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
Статья 19 часть 2 пункт 4) |
18. |
Аттестат от лицензиата ФСТЭК или декларация соответствия |
Статья 19 часть 2 пункт 4) |
19. |
Положение об учете машинных носителей персональных данных с приложением:
- журнал учета машинных носителей ,
- акты установки (ввода в эксплуатацию) носителя(ей) (при наличии),
- акты уничтожения носителей (при наличии),
- акты восстановления носителя(ей) персональных данных (при наличии),
- акты приема-передачи носителя(ей) персональных данных (при наличии)
|
Статья 19 часть 2 пункт 5) |
20. |
Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных с приложением:
- журнал учета инцидентов,
- акты выявления инцидентов (при наличии),
- акты устранения инцидентов (при наличии)
|
Статья 19 часть 2 пункт 6) |
21. |
Положение о резервном копировании и восстановлении персональных данных с приложением:
- журнал учета резервирования персональных данных,
- акты восстановления персональных данных (при наличии)
|
Статья 19 часть 2 пункт 7) |
22. |
Разрешительная система доступа |
Статья 19 часть 2 пункт 8) |
23. |
Раздел в инструкцию пользователя |
Статья 19 часть 2 пункт 8) |
24. |
Раздел в инструкцию системного администратора |
Статья 19 часть 2 пункт 8) |
25. |
Раздел в инструкцию администратора информационной безопасности |
Статья 19 часть 2 пункт 8) |
26. |
Положение о внутреннем контроле обработки и защиты персональных данных с приложением:
- план внутреннего контроля,
- акт внутреннего контроля
|
Статья 19 часть 2 пункт 9) |
Внимание: указанных выше документов не достаточно, чтобы соответствовать 152-ФЗ полностью и пройти проверку Роскомнадзора, так как нужно учитывать иные пункты закона и подзаконных нормативно-правовых актов.
Камни преткновения
На практике операторы персональных данных сталкиваются со следующими основными проблемами при разработке пакета ОРД для соответствия требованиям закона:
- Не знают, как трактовать то или иное требование закона, а в частности — статьи 18.1 и 19 закона, без чего невозможно разработать полный и правильный пакет документов.
- Не знают подзаконные нормативно-правовые акты в области персональных данных (помимо 152-ФЗ), которых насчитывается более 6 (шести) и в соответствии с которыми необходимо разработать дополнительные ОРД.
- Не знают, какой конкретно документ и приложение к нему нужно разработать по тому или иному требованию закона.
- Не проходили проверку Роскомнадзора и поэтому не знают, какие конкретно документы требует регулятор на проверке и какие дополнительные документы могут быть запрошены.
Лайфхак по правильной разработке пакета ОРД
Чтобы сделать пакет документов действительно соответствующим требованию закона и пройти проверку Роскомнадзора, необходимо сделать следующее:
- Прочитать и проанализировать сам закон вдоль и поперек и особенно статьи 18.1 и 19 закона.
- По каждому пункту статей 18.1 и 19 закона понять, какие внутренние документы у вас имеются, и сверить со списком выше.
- Проанализировать подзаконные нормативно-правовые акты правительства, ФСБ и ФСТЭК России (см ниже) и составить перечень дополнительных ОРД к разработке.
- Обратиться к базам знаний, а также судебной практике правоприменения 152-ФЗ: Гарант, Консультант, сайт Роскомнадзора.
- Посмотреть на сайте Роскомнадзора рекомендации по составлению политики персональных данных, а также другие методические документы.
Подзаконные нормативно-правовые акты по персональным данным
Чтобы соответствовать 152-ФЗ, необходимо выполнить требования не только статей 18.1 и 19 ФЗ-152, но и следующих нормативно-правовых актов:
Пакет ОРД по 152-ФЗ: цена вопроса
Трудоемкость разработки пакета документации достаточно большая, ввиду большого объема самих документов, а также необходимости анализа целого ряда подзаконных нормативно-правовых актов и практики правоприменения (анализ судебных решений).
Поэтому стоимость типового комплекта документации для одной организации, как правило, составляет от 45 до 150 тысяч рублей.
Скачать коммерческое предложение на разработку документов в соответствии с 152-ФЗ
СКАЧАТЬ PDF
Что предлагаем мы?
Мы предлагаем вам типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору.