«Комплект документов по защите персональных данных работает как система управления, а не как архив справок. Каждый приказ запускает инструкцию, каждая инструкция фиксируется в журнале, а каждый журнал становится основанием для акта. Разрыв любой связи превращает защиту в формальность, которая рассыпается при первой проверке или инциденте.»
Большинство организаций собирают документы по остаточному принципу. Сначала заказывают типовую политику, потом добавляют журналы перед проверкой, в конце года вспоминают про акты уничтожения носителей. Такая последовательность создаёт иллюзию соответствия требованиям. Реальная система строится в обратном порядке. Сначала определяется уровень защищённости информационной системы, затем фиксируется порядок работы, и только после этого появляются журналы и акты, которые подтверждают выполнение правил.
Регуляторные акты требуют фиксации конкретных действий. ФСТЭК предписывает вести учёт носителей. ФСБ требует регистрировать допуск сотрудников. Роскомнадзор устанавливает форму согласия и порядок уведомления. Когда требования накладываются друг на друга без единой логики, появляются дублирующие журналы и противоречивые инструкции. Сотрудник не понимает, какой документ применять. Аудитор видит рассогласование. Инцидент раскрывает пустоту.
Почему журналы и инструкции превращаются в мёртвый архив
Журналы перестают работать в момент, когда их заполнение отрывается от реальных процессов. Учётная форма требует фиксировать каждое действие с данными. Администратор записывает дату и номер носителя. Инженер безопасности ставит подпись. На бумаге всё сходится. В реальности носитель давно изъят из оборота, а журнал лежит в сейфе без обновлений. Механизм поломки простой. Документ создан для отчёта, а не для управления рисками.
Восстановить связь между формой и содержанием помогает привязка журналов к конкретным ролям. Журнал учёта лиц, допущенных к обработке, ведёт ответственный за организацию обработки. Журнал сдачи и приёма помещений под охрану закрывает дежурный инженер. Журнал нештатных ситуаций заполняет администратор информационной безопасности сразу после обнаружения аномалии. Каждый журнал имеет одного владельца и чёткий триггер для записи. Отсутствие владельца приводит к накоплению пропусков. Пропуски превращаются в основание для замечаний регулятора.
Инструкции работают иначе. Они задают алгоритмы действий. Инструкция по работе с машинными носителями описывает последовательность выдачи, хранения и возврата. Инструкция ответственного за организацию обработки распределяет полномочия между подразделениями. Инструкция администратора информационной безопасности фиксирует порядок настройки средств защиты. Когда инструкции написаны языком нормативных актов, сотрудники их игнорируют. Технический текст требует конкретных шагов, условий применения и чётких границ ответственности.
Как связать приказ об уничтожении с базовой моделью угроз
Уничтожение данных выглядит как финальная операция. На практике процесс начинается на этапе проектирования информационной системы. Базовая модель угроз определяет, какие категории информации обрабатываются в системе, какие каналы утечки возможны и какие средства защиты требуются. Модель угроз диктует требования к срокам хранения. Сроки хранения формируют перечень документов, подлежащих уничтожению. Перечень становится основанием для приказа о создании комиссии.
Приказ об утверждении комиссии по уничтожению задаёт состав участников. В состав входят ответственный за обработку, администратор безопасности, представитель юридического отдела и инженер по оборудованию. Комиссия работает по положению о порядке уничтожения. Положение описывает методы: механическое разрушение, многократная перезапись, криптографическое стирание. Выбор метода зависит от класса информационной системы и типа носителя. Для магнитных дисков применяется перезапись с проверкой. Для оптических носителей требуется физическое разрушение.
Акт об уничтожении машинных носителей фиксирует результат. Акт содержит серийные номера, метод обработки, дату, подписи членов комиссии. Акт об уничтожении персональных данных закрывает цикл. Роскомнадзор требует отдельной формы для фиксации прекращения обработки. Оба акта хранятся в реестре оператора. Отсутствие актов или ошибки в нумерации создают основание для штрафных санкций. Регулятор проверяет не только наличие документов, но и соответствие дат в журналах учёта носителей и актах уничтожения. Расхождение на три месяца превращается в нарушение сроков хранения.
Когда журнал учёта носителей начинает работать на аудит
Учёт машинных носителей требует фиксации каждого перемещения. Носитель выдан разработчику для отладки. Журнал регистрирует дату, ФИО получателя, серийный номер, цель выдачи. Носитель возвращён в хранилище. Журнал фиксирует дату возврата, состояние, подпись сдающего. Носитель передан в резерв. Журнал обновляет статус. Цепочка записей образует полный жизненный цикл.
Проблема возникает при масштабировании. Десятки носителей, десятки сотрудников, несколько локаций. Ручное ведение журналов создаёт задержки. Ошибки в серийных номерах приводят к расхождениям при инвентаризации. Автоматизация решает задачу частично. Система управления активами фиксирует перемещения по штрихкодам или RFID-меткам. Журнал формируется автоматически. Администратор проверяет выборочно. Автоматизация не отменяет требования регулятора. Бумажный журнал или электронная форма с квалифицированной подписью обязаны хранить полную историю.
Интеграция с журналом учёта средств защиты информации усиливает контроль. Средства защиты устанавливают на носители или на рабочие станции, которые обрабатывают данные. Журнал средств защиты фиксирует версии, сроки действия лицензий, результаты проверок. Связь между двумя журналами позволяет быстро восстановить картину при инциденте. Утерян носитель. Журнал показывает, кто последним получал доступ. Журнал средств защиты показывает, применялось ли шифрование. Шифрование подтверждено. Риск утечки снижен. Шифрование отсутствово. Запускается процедура уведомления и расследования.
Почему политика конфиденциальности сайта не заменяет внутренние регламенты
Внешние документы работают для субъектов данных. Политика конфиденциальности информирует пользователей о целях обработки, сроках хранения и способах отзыва согласия. Форма согласия собирает подтверждение. Уведомление о намерении осуществлять обработку передаётся регулятору. Документы формируют прозрачность. Внутренние процессы требуют другой детализации.
Политика оператора в отношении обработки персональных данных описывает внутренние правила. Документ определяет порядок классификации данных, принципы доступа, правила передачи третьим лицам, процедуры реагирования на запросы субъектов. Положение об обработке персональных данных детализирует технические меры. Матрица доступа сопоставляет роли и права. Матрица строится на принципе минимально необходимых полномочий. Разработчик получает доступ к тестовой среде. Администратор баз данных управляет продуктивным контуром. Юрист работает с архивными данными.
Рассогласование внешних и внутренних документов создаёт уязвимости. Сайт обещает удаление данных в течение тридцати дней после отзыва согласия. Внутренний регламент предусматривает резервное копирование с хранением копий шесть месяцев. Пользователь требует удаления. Оператор удаляет данные из продуктивной базы. Копии остаются в архиве. Субъект подаёт жалобу. Регулятор проверяет соответствие заявленных сроков реальным процессам. Исправление требует синхронизации политик, регламентов резервного копирования и процедур уничтожения.
Как проверить готовность комплекта до визита регулятора
Проверка начинается с карты зависимостей. Каждый документ должен иметь основание, дату утверждения, ответственного исполнителя и ссылку на связанные формы. Приказ о назначении ответственного запускает инструкцию ответственного. Инструкция задаёт порядок ведения журналов. Журналы формируют акты. Акты подтверждают выполнение плана контроля выполнения требований. Разрыв в цепочке указывает на пробел.
Аудит журналов выявляет системные ошибки. Журнал обращения субъектов персональных данных проверяют на сроки ответов. Регулятор требует предоставления информации в установленные сроки. Задержка фиксируется как нарушение. Журнал первичного инструктажа работников сверяют с матрицей доступа. Сотрудник допущен к системе, но инструктаж не проведён. Допуск приостанавливается до прохождения обучения. Журнал резервного копирования сопоставляют с регламентом восстановления. Копии создаются ежедневно, но тестирование восстановления проводится раз в год. Тестирование переводится в ежемесячный цикл для критичных систем.
Модель угроз требует регулярного обновления. Изменение архитектуры системы, появление новых каналов взаимодействия, смена регуляторных требований влияют на перечень актуальных угроз. Обновление модели влечёт пересмотр матрицы доступа, корректировку инструкций, адаптацию журналов учёта. Статичная модель угроз превращается в формальность. Динамическая модель становится основой для планирования мер защиты.
Финальный шаг проверки заключается в имитации запроса регулятора. Формируется пакет документов по конкретному сценарию. Утечка данных через съёмный носитель. Запрашиваются журнал учёта носителей, журнал средств защиты, акт инцидента, правила выявления инцидентов, журнал нештатных ситуаций, приказ о комиссии, акты уничтожения. Документы собираются в течение двух часов. Разрыв в логике или отсутствие записей указывает на участки, требующие доработки.
Проверка целостности документации на практике
Система документации работает как механизм управления рисками. Приказы задают структуру. Инструкции описывают процессы. Журналы фиксируют выполнение. Акты подтверждают завершение циклов. Политика и согласия обеспечивают прозрачность. Модель угроз и план контроля задают направление развития. Отсутствие любого элемента ослабляет защиту. Сбалансированный комплект позволяет проходить проверки без стресса и реагировать на инциденты по отработанным алгоритмам.
Практикующие специалисты применяют чек-лист для самостоятельной оценки готовности. Формат подходит для внутренних аудитов и подготовки к внешним проверкам.
Внутренние ОРД компании
для организации работы с персональными данными
| Наименование документа | Основание |
| Акт о выявлении нарушений в сфере защиты персональных данных | ч. 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г. |
| Акт об уничтожении машинных носителей персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г. |
| Акт об уничтожении персональных данных | п.2 приказа Роскомнадзора № 179 от 28.10.22 г. |
| Акт определения необходимого уровня защищенности информационной системы персональных данных | ч. 9 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
| Акт оценки вреда, который может быть причинен субъекту персональных данных | ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных | п. 2 приложения к постановлению Правительства № 1119 от 01.11.12 г.; п. 9 приказа ФСБ № 378 от 10.07.14 г. |
| Журнал сдачи и приема под охрану помещений | п. 2 приложения к постановлению Правительства № 1119, п. 8.12 приказа ФСТЭК № 21 от 18.02.13 г.; п. 6 приказа ФСБ № 378 от 10.07.14 г. |
| Журнал учета лиц, допущенных к работе с персональными данными в информационных системах | ч. «в» п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.; п. 13 постановления Правительства № 687 от 08.09.08 г. |
| Журнал учета машинных носителей персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г. |
| Журнал учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн | п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ | п. 6 приказа ФСБ № 378 от 10.07.14 г. |
| Журнал учета обращений субъектов ПДн | п. 1 ст. 14 и ч. 3 п. 4 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г. |
| Журнал учета процедур резервного копирования | 8.5 приказа ФСТЭК № 21 от 18.02.13 г. |
| Журнал учета средств защиты информации | п. 4 приказа ФСБ № 378 от 10.07.14 г. |
| Журнале учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными | ч. 6 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Заявление о предоставлении выписки из реестра операторов | Приказ Роскомнадзора № 94 от 30.05.17 г. |
| Инструкция администратора информационной безопасности | п. 14 приложения к постановлению Правительства № 1119 от 01.11.12 г. |
| Инструкция ответственного за организацию обработки персональных данных | ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Инструкция по применению антивирусных средств защиты | п. 8.6 приказа ФСТЭК № 21 от 18.02.13 г.; |
| Инструкция по работе с машинными носителями, содержащими персональные данные | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г. |
| Инструкция по учету лиц, допущенных к работе с персональными данными | ч. «в» п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г.; п. 13 постановления Правительства № 687 от 08.09.08 г. |
| Инструкция по физической охране и контролю доступа в помещения | п. 8.2 приказа ФСТЭК № 21 от 18.02.13 г.; п. 13 постановления Правительства № 687 от 08.09.08 г. |
| Инструкция работников обслуживающих информационные системы персональных данных | ч. 2 и 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
| Инструкция по проведению инструктажа работников, допущенных к работе с персональными данными | ч. 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
| Лист ознакомления | ст. 22 ТК |
| Матрица доступа к ИСПДн | п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 приказа ФСТЭК № 21 от 18.02.13 г. |
| Обязательство о неразглашении персональных данных работников | ст. 7 ФЗ № 152-ФЗ от 27.07.06 г. |
| Отзыв согласия на обработку персональных данных | п. 2 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
| Отказ от согласия на обработку персональных данных | п. 1 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.; |
| План контроля выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн | п. 3 ст. 18.1 и п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
| Политика конфиденциальности персональных данных пользователей сайта | ст. 7 и п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Политика оператора в отношении обработки персональных данных | п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Положение о комиссии по обеспечению безопасности персональных данных | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 постановления Правительства № 687 от 08.09.08 г. |
| Положение о парольной защите при обработке персональных данных | п. 8.1 и 8.11 приказа ФСТЭК № 21 от 18.02.13 г. |
| Положение о порядке уничтожения персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г., п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ№ 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г., п.2 приказа Роскомнадзора № 179 от 28.10.22 г. |
| Положение об обработке персональных данных | ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
| Положение об организации видеонаблюдения | п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г. |
| Положение об ответственности работников, допущенных к обработке персональных данных | ст. 90 ТК |
| Правила выявления инцидентов информационной безопасности информационных систем персональных данных | п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г. |
| Правила оборудования помещений используемых для обработки персональных данных | ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 приказа ФСТЭК № 21 от 18.02.13 г., п. 6 приказа ФСБ № 378 от 10.07.14 г. |
| Правила оценки вреда, который может быть причинен субъекту персональных данных | ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Правила рассмотрения обращений субъектов персональных данных | п. 1 ст. 14 и ч. 3 п. 4 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г. |
| Приказ о назначении администратора информационной безопасности | п. 14 приложения к постановлению Правительства № 1119 от 01.11.12 г. |
| Приказ о назначении ответственного за организацию обработки персональных данных | ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Приказ о создании комиссии по уничтожению персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г., п. 8.14 приказа ФСТЭК № 21 от 18.02.13 г.; п. 5 приказа ФСБ № 378 от 10.07.14 г.; п. 13 приложения к постановлению Правительства № 1119 от 01.11.12 г., п.2 приказа Роскомнадзора № 179 от 28.10.22 г. ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
| Приказ об утверждении комиссии по обеспечению безопасности персональных данных | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 постановления Правительства № 687 от 08.09.08 г. |
| Приказ об утверждении локальных нормативных актов | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Приказ об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей | п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 приказа ФСТЭК № 21 от 18.02.13 г. |
| Приказ об утверждении политики оператора в отношении обработки персональных данных | п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Приказ об утверждении списка помещений, предназначенных для обработки персональных данных | ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 приказа ФСТЭК № 21 от 18.02.13 г., п. 6 приказа ФСБ № 378 от 10.07.14 г. |
| Протокол заседания комиссии по обеспечению безопасности персональных данных | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 постановления Правительства № 687 от 08.09.08 г. |
| Регламент резервного копирования и восстановления информации в ИСПДн | 8.5 приказа ФСТЭК № 21 от 18.02.13 г. |
| Согласие на обработку персональных данных | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
| Согласие на обработку персональных данных несовершеннолетнего | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
| Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения | ст. 9 и 10.1 ФЗ № 152-ФЗ от 27.07.06 г. |
| Согласие на передачу персональных данных работника третьей стороне | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
| Согласие на получение персональных данных от третьих лиц | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
| Согласие сотрудника на осуществление видеонаблюдения на рабочем месте | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
| Уведомление о намерении осуществлять обработку персональных данных | Приказ Роскомнадзора № 180 от 28.10.22 |
| Уведомление о прекращении обработки персональных данных | Приказ Роскомнадзора № 180 от 28.10.22 |
| Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных | Приказ Роскомнадзора № 180 от 28.10.22 |
Система требует постоянной поддержки. Обновление инструкций происходит при изменении технологий. Журналы ведутся ежедневно. Акты формируются по факту завершения операций. Приказы пересматриваются при изменении организационной структуры. Регуляторные требования корректируются ежегодно. Готовый комплект документации снижает операционные риски и обеспечивает предсказуемое прохождение проверок.