Разработка документации по ФЗ-152
ПРАВОВАЯ ПОДГОТОВКА ПО 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
Федеральный закон от 07.06.2006 №152 «О персональных данных» обязывает индивидуальных предпринимателей, юридических и даже физических лиц, обрабатывающих персональные данные (далее — оператор), осуществлять обработку персональных данных в соответствии с требованиями закона, а также реализовать организационные, правовые и технические меры в соответствии со статьями 18.1 и 19 закона. Что нужно знать о подготовке организации, чтобы не попасть под штрафные санкции Роскомнадзора?
Что требует закон?
Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем разработки внутренних организационно-распорядительных документов (ОРД) и защиты компьютерных систем организации, в которых обрабатываются персональные данные.
Какие документы необходимо разработать по 152-ФЗ?
На основе экспертного анализа и практики прохождения проверок Роскомнадзора был составлен перечень документов, которые требуются в соответствии со статьями 18.1 и 19 закона:
| № | Наименование документа | |
| 1 | Приказ об ответственном за организацию обработки персональных данных | Статья 18.1 часть 1 пункт 1 |
| 2 | Правила/положение об обработке персональных данных | Статья 18.1 часть 1 пункт 2 |
| 3 | Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением: • инструкция по оценке вреда, • акт оценки вреда (при наличии) | Статья 18.1 часть 1 пункт 5 |
| 4 | Журнал ознакомления с законодательством и внутренними документами оператора | Статья 18.1 часть 1 пункт 6 |
| 5 | Раздел в трудовой договор и(или) должностную инструкцию и(или) согласие об обработке персональных данных | Статья 18.1 часть 1 пункт 6 |
| 6 | Политика в отношении обработки и защиты персональных данных | Статья 18.1 часть 2 |
| 7 | Акт (отчет) об обследовании | Статья 19 часть 1, 2, 4 |
| 8 | Акт установления уровня защищенности | Статья 19 часть 1, 2, 4 |
| 9 | Техническое задание на систему защиты персональных данных | Статья 19 часть 1, 2, 4 |
| 10 | Модель угроз и нарушителя безопасности информации | Статья 19 часть 2 пункт 1 |
| 11 | Технический проект на систему защиты персональных данных | Статья 19 часть 1, 2, 4 |
| 12 | Акты установки средств защиты персональных данных | Статья 19 часть 1, 2, 4 |
| 13 | Формуляры и сертификаты ФСТЭК России на средства защиты персональных данных | Статья 19 часть 2 пункт 3 |
| 14 | Организационно-распорядительная документация по защите ИСПДн (около 25 документов) | Статья 19 часть 1, 2, 4 |
| 15 | Программа и методика оценки эффективности принимаемых мер по обеспечению безопасности персональных данных | Статья 19 часть 2 пункт 4 |
| 16 | Протокол оценки эффективности принимаемых мер по обеспечению безопасности персональных данных | Статья 19 часть 2 пункт 4 |
| 17 | Заключение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных | Статья 19 часть 2 пункт 4 |
| 18 | Аттестат соответствия требованиям по защите информации от лицензиата ФСТЭК или декларация соответствия | Статья 19 часть 2 пункт 4 |
| 19 | Положение об учете машинных носителей персональных данных с приложением: • журнал учета машинных носителей, • акты установки (ввода в эксплуатацию) носителя(ей) (при наличии), • акты уничтожения носителей (при наличии), • акты восстановления носителя(ей) персональных данных (при наличии), • акты приема-передачи носителя(ей) персональных данных (при наличии) | Статья 19 часть 2 пункт 5 |
| 20 | Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных с приложением: • журнал учета инцидентов, • акты выявления инцидентов (при наличии), • акты устранения инцидентов (при наличии) | Статья 19 часть 2 пункт 6 |
| 21 | Положение о резервном копировании и восстановлении персональных данных с приложением: • журнал учета резервирования персональных данных, • акты восстановления персональных данных (при наличии) | Статья 19 часть 2 пункт 7 |
| 22 | Разрешительная система доступа | Статья 19 часть 2 пункт 8 |
| 23 | Раздел в инструкцию пользователя | Статья 19 часть 2 пункт 8 |
| 24 | Раздел в инструкцию системного администратора | Статья 19 часть 2 пункт 8 |
| 25 | Раздел в инструкцию администратора информационной безопасности | Статья 19 часть 2 пункт 8 |
| 26 | Положение о внутреннем контроле обработки и защиты персональных данных, с приложением: • план внутреннего контроля, • акт внутреннего контроля | Статья 19 часть 2 пункт 9 |
Внимание: указанный выше перечень документов не является достаточным для полноценного соответствия 152-ФЗ, так как также нужно выполнять другие пункты закона и подзаконных нормативно-правовых актов в области персональных данных.
Чтобы правильно подготовиться по 152-ФЗ, необходимо учесть следующее:
- При изучении закона в первую очередь необходимо обратить внимание на статьи 9, 18.1 и 19, так как Роскомнадзор проверяет выполнение оператором именно этих статей закона.
- Понять, что для полноценного соответствия 152-ФЗ необходимо не только разработать пакет ОРД (около 80 шт., в зависимости от уровня защищенности системы и технологий обработки информации), но и выполнить техническую подготовку информационных систем персональных данных, т.е. защитить компьютерные системы специальными средствами защиты (антивирус, межсетевой экран, криптографическое средство защиты, средство обнаружения вторжений, сканер безопасности, средство анализа защищенности, средство резервного копирования и восстановления информации и др.).
- Знать, что по результатам защиты компьютерных систем необходимо также провести оценку эффективности реализованных мер защиты путем тестирования компьютерной системы на защищенность (в форме аттестации по требованиям ФСТЭК России).
- Иметь в виду, что при разработке пакета ОРД необходимо также учитывать подзаконные нормативно-правовые акты, которых насчитывается более 6 (шести) и в итоге полный набор ОРД намного больше, чем при реализации только статей 18.1 и 19 закона.
- Иметь в виду, что при проверке Роскомнадзора могут быть запрошены дополнительные документы, о необходимости разработки которых операторы даже не подозревают.
Подзаконные нормативно-правовые акты по персональным данным
Чтобы соответствовать 152-ФЗ полноценно, нужно, помимо статей 18.1 и 19 закона, также учитывать требования следующих подзаконных нормативно-правовых документов:
- Постановление Правительства от 1 ноября 2012 г. № 1119;
- Постановление Правительства от 15 сентября 2008 г. № 687;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
- Приказ ФСБ России от 10 июля 2014 г. № 378;
- «Методика оценки угроз безопасности информации, утверждена ФСТЭК России от 05.02.2021 г.;
- «Банк данных угроз безопасности информации, расположенный по адресу https://bdu.fstec.ru/threat.
Подготовка по 152-ФЗ: цена
Стоимость правовой подготовки организации (разработка полного пакета ОРД), как правило, составляет от 300 тысяч и выше.
В указанную стоимость не входит техническая подготовка информационных систем персональных данных, т.е. защита (закупка, установка и настройка средств защиты) и аттестация компьютерных систем. Методология технической подготовки регламентирована ФСТЭК России и отличается от методологии правовой подготовки. Защита компьютерных систем обычно выделяется в отдельный проект с отдельным бюджетом и занимает достаточно продолжительное время. Поэтому правовую подготовку лучше проводить отдельно.
- Скачать коммерческое предложение на правовую подготовку оператора в соответствии с 152-ФЗ
Что мы предлагаем?
Мы предлагаем вам правовую подготовку по 152-ФЗ с разработкой полноценного пакета ОРД, необходимой для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, с гарантией по договору.
- Скачать коммерческое предложение на правовую подготовку оператора в соответствии с 152-ФЗ