Работа с резервными копиями персональных данных должна быть формализована, так как такие копии также содержат ПДн и подлежат тем же требованиям защиты. Документирование необходимо для подтверждения законности операций и наличия организационных мер, предусмотренных ФЗ-152.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан обеспечивать безопасность ПДн, в том числе при хранении на любых носителях.
- Приказ ФСТЭК России № 21 от 18.02.2013 — прямо предусматривает организацию учёта и контроль операций резервного копирования и восстановления.
- Методические материалы Роскомнадзора — рекомендуют фиксировать порядок создания, хранения и уничтожения резервных копий.
Какие документы нужны
- Регламент по резервному копированию — локальный акт, который определяет:
- периодичность создания копий;
- место их хранения (сервер, сейф-носитель, облако с ограниченным доступом);
- ответственных за копирование и восстановление;
- сроки хранения и порядок уничтожения копий.
- Журнал учёта резервных копий — фиксирует дату создания, ответственного сотрудника, носитель хранения, срок действия и факт уничтожения.
- Акт уничтожения резервных копий — составляется комиссией после истечения срока хранения или при необходимости уничтожения.
- Протокол восстановления из резервной копии — подтверждает факт использования копии при сбое или инциденте.
Практика проверок Роскомнадзора
При проверках часто выявляются нарушения, связанные с бесконтрольным накоплением резервных копий. Например, в одной организации копии создавались системно, но не велось их документирование. В предписании Роскомнадзор обязал разработать отдельный регламент и журнал. В другой проверке нашли устаревшие копии, срок хранения которых давно прошёл, но они не были уничтожены.
Что важно учитывать компаниям
- Резервные копии должны храниться в условиях, обеспечивающих их защиту: шифрование, ограниченный доступ, учёт.
- Нужно исключить возможность восстановления ПДн из устаревших или неучтённых копий.
- Журнал и акты должны храниться у ответственного за ПДн и предъявляться по требованию надзорных органов.
Рекомендации и выводы
Документирование работы с резервными копиями должно включать регламент, журнал учёта, акты уничтожения и протоколы восстановления. Это показывает, что организация соблюдает требования ФЗ-152 и реально контролирует жизненный цикл резервных копий. Компания ICTech может подготовить для вас комплект документов по резервному копированию, встроив его в общий пакет по защите ПДн.
