Должны ли быть инструкции для администраторов ИСПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, инструкции для администраторов информационных систем персональных данных (ИСПДн) являются обязательными документами. Администраторы отвечают за настройку, эксплуатацию, защиту и контроль функционирования ИСПДн, и без чётко прописанных инструкций невозможно доказать, что компания обеспечивает безопасность ПДн в соответствии с требованиями закона.

Инструкции выполняют сразу несколько задач:

- регламентируют порядок администрирования и разграничения доступа;
- определяют, как вести учёт действий администраторов;
- фиксируют меры реагирования на инциденты и сбои;
- подтверждают исполнение обязанностей оператором в части обеспечения безопасности.

Что должно содержаться в инструкциях для администраторов ИСПДн

- Права и обязанности администратора.
- Порядок предоставления и отзыва прав доступа пользователям.
- Правила резервного копирования и восстановления данных.
- Порядок регистрации и расследования инцидентов.
- Меры по контролю антивирусной защиты и обновлению систем.
- Алгоритмы ведения журналов (доступа, нарушений, восстановления).
- Порядок использования средств криптографической защиты (если применяются).
- Ответственность за нарушения и порядок отчётности перед ответственным за ПДн.

Обоснование по законодательству

• Ст. 19 ФЗ-152 — оператор обязан принимать организационные и технические меры для обеспечения безопасности ПДн.
• Приказ ФСТЭК России № 21 от 18.02.2013 — прямо требует разработки эксплуатационной и организационно-распорядительной документации для администрирования ИСПДн.
• ГОСТ Р 57580.1-2017 — указывает на необходимость документирования процедур администрирования и разграничения доступа.

Практика проверок Роскомнадзора и ФСТЭК
На практике отсутствие инструкций для администраторов ИСПДн часто становится одним из выявленных нарушений. Проверяющие указывают, что без них невозможно подтвердить выполнение требований по разграничению доступа и контролю действий персонала. Там, где инструкции были утверждены и реально применялись, проверка проходила без претензий.

Что важно учитывать компаниям

• Инструкции должны быть разработаны под конкретную ИСПДн, а не использоваться в виде «типового шаблона».
• Их необходимо утвердить приказом руководителя.
• В инструкциях важно закрепить как технические, так и организационные меры.
• Инструкции должны пересматриваться при изменении конфигурации ИСПДн или обновлении нормативной базы.

Рекомендации и выводы
Да, инструкции для администраторов ИСПДн обязательны. Без них компания рискует получить предписание и штраф от Роскомнадзора или ФСТЭК. Чтобы действовать правильно:

1. Разработайте инструкции, учитывающие специфику ваших информационных систем.
2. Утвердите их приказом руководителя.
3. Ознакомьте администраторов под подпись.
4. Контролируйте выполнение инструкций через внутренние аудиты.

Компания ICTech подготовит для вашей организации полный комплект инструкций для администраторов ИСПДн, включит их в пакет документов по ФЗ-152 и поможет наладить процесс администрирования так, чтобы система была защищена и соответствовала требованиям проверяющих органов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге