Акт расследования инцидента с персональными данными — это документ, фиксирующий факт нарушения (утечки, несанкционированного доступа, потери носителей и т.п.), ход внутреннего расследования и меры, принятые организацией. Он является ключевым доказательством того, что оператор исполнил обязанность по реагированию на инциденты, предусмотренную ФЗ-152.
Что должно быть в акте расследования инцидента
- Реквизиты акта — дата, номер, наименование организации.
- Основание для составления — сообщение об инциденте, приказ руководителя о проведении расследования.
- Состав комиссии — ФИО, должности лиц, участвующих в расследовании.
- Описание инцидента — дата и время, что произошло (например, утечка базы клиентов, потеря ноутбука с ПДн, несанкционированный доступ).
- Обстоятельства выявления — кем и как было обнаружено нарушение.
- Перечень затронутых данных — какие категории ПДн могли быть скомпрометированы.
- Причины инцидента — технические сбои, человеческий фактор, недостатки защиты.
- Принятые меры — блокировка доступа, уведомление руководства, устранение уязвимостей.
- Рекомендации комиссии — меры по предотвращению повторных случаев.
- Заключение — квалификация инцидента и вывод о его влиянии на безопасность ПДн.
- Подписи членов комиссии и утверждение руководителем.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать меры для обеспечения безопасности ПДн, включая выявление фактов несанкционированного доступа.
- Ст. 18.1 ФЗ-152 — организация должна проводить внутренний контроль и реагировать на нарушения.
- Приказ ФСТЭК № 21 от 18.02.2013 (п. 15) прямо указывает на необходимость регистрации и анализа инцидентов.
Практика и подход Роскомнадзора
Роскомнадзор при проверках интересуется не только наличием документов, но и тем, как организация реагирует на реальные инциденты. В одной компании при утечке данных сотрудников был составлен акт с подробным описанием и мерами по устранению, что учли при проверке как смягчающее обстоятельство. В другой фирме факт утечки не был документирован, что стало отягчающим нарушением и повлекло штраф.
Что важно учесть
- Акт должен быть составлен в кратчайшие сроки после выявления инцидента.
- В документе необходимо не только описывать проблему, но и фиксировать конкретные шаги по её устранению.
- Если утечка затронула значительное количество субъектов, Роскомнадзор может потребовать копию акта.
Рекомендации и выводы
Да, акт расследования инцидента с ПДн обязателен для правильного ведения документооборота по ФЗ-152. Он показывает, что организация контролирует процессы и готова к проверке. Чтобы минимизировать риски:
- Утвердите форму акта и регламент реагирования на инциденты.
- Создайте комиссию, ответственного за регистрацию и анализ нарушений.
- Храните акты вместе с другими документами по ПДн.
Компания ICTech поможет вашей организации разработать регламент расследования инцидентов, подготовит шаблон акта и включит его в пакет документов по ФЗ-152. Это позволит не только правильно документировать нарушения, но и снизить ответственность при проверках.
