Проверка целостности резервных копий — это обязательная часть системы защиты персональных данных. Она подтверждает, что копии не только создаются, но и остаются пригодными для восстановления без ошибок. Чтобы соответствовать требованиям ФЗ-152, результаты проверки должны фиксироваться документально.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры по защите ПДн, включая сохранность и доступность данных.
- Приказ ФСТЭК России № 21 от 18.02.2013 — предусматривает контроль работоспособности средств защиты информации.
- ГОСТ Р 57580.1-2017 (рекомендательный) — прямо указывает на необходимость регулярных проверок целостности и доступности резервных копий.
Документы для фиксации
- Журнал проверки целостности — ведётся постоянно, в нём фиксируются даты, вид проверенной копии, способ проверки, результат.
- Акт проверки целостности — оформляется по итогам комплексной или плановой проверки (например, ежеквартально).
- Отчёт администратора ИСПДн — может включать технические данные: хэши файлов, логи системы резервного копирования, описание ошибок и способы их устранения.
Что указывать в акте или журнале
- Дата и время проверки.
- Перечень проверенных резервных копий.
- Метод проверки (контроль хэшей, тестовое восстановление, автоматическая проверка системой).
- Результаты: копии целостны / ошибки обнаружены.
- Принятые меры при выявленных сбоях.
- Подписи ответственных лиц или комиссии.
Практика проверок Роскомнадзора
В ряде случаев РКН обращал внимание, что у операторов имелись журналы создания резервных копий, но не было подтверждения их проверки. Это расценивалось как нарушение требований по обеспечению безопасности ПДн. В то же время организации, которые предъявляли акты проверки целостности и протоколы тестового восстановления, получали положительную оценку, даже если обнаруживались сбои — поскольку документально подтверждали контроль и устранение проблем.
Что важно компаниям
- Проверки целостности должны быть регулярными (минимум раз в квартал).
- Если система резервного копирования ведёт логи, их нужно сохранять и прикладывать к журналу.
- При выявлении ошибок составляется дополнительный акт устранения.
Рекомендации и выводы
Для подтверждения добросовестности оператору нужно вести как минимум журнал проверки целостности резервных копий и оформлять акты при плановых тестах. Это позволит показать Роскомнадзору, что данные не просто копируются, а реально сохраняются в рабочем виде.
