Разграничение прав доступа — ключевой элемент организационной защиты персональных данных. Для этого в компании оформляется отдельный внутренний документ: «Порядок (Правила, Регламент) разграничения прав доступа к персональным данным». Он может быть частью общего положения об обработке ПДн или самостоятельным актом.
В документе фиксируются:
- категории обрабатываемых ПДн (обычные, специальные, биометрические, общедоступные);
- список должностей (или конкретных сотрудников), которым предоставляется доступ к каждой категории данных;
- уровни доступа (просмотр, ввод, редактирование, уничтожение, передача);
- технические средства разграничения (пароли, роли в ИСПДн, журналы доступа);
- порядок предоставления и отзыва доступа (по приказу, на основании заявки от руководителя подразделения);
- ответственность сотрудников за нарушение установленных правил.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан утвердить локальные акты, устанавливающие процедуры обработки ПДн.
- Ст. 19 ФЗ-152 — защита ПДн обеспечивается организационными мерами, включая разграничение доступа.
- Приказ ФСТЭК № 21 от 18.02.2013 (базовый документ по ИСПДн) прямо требует документировать разграничение прав доступа.
- ГОСТ Р 57580.1-2017 также закрепляет необходимость разграничения прав в информационных системах.
Практика проверок Роскомнадзора
При проверках РКН часто выявляют, что документы по разграничению доступа носят общий характер («доступ имеют только сотрудники отдела»), но не указывают конкретных должностей и категорий данных. Такие документы признаются формальными. В успешных кейсах у операторов имелись таблицы с указанием категорий данных и должностей сотрудников, что позволило подтвердить контроль доступа.
Что важно учесть
- Документ должен быть утверждён приказом руководителя.
- Необходимо приложить таблицу с конкретными категориями данных и доступом по должностям.
- Все сотрудники должны быть ознакомлены с документом под подпись.
- При изменении процессов (например, подключении нового подрядчика) документ нужно актуализировать.
Рекомендации и выводы
Да, документ обязателен. Наиболее удобный вариант — оформить «Регламент разграничения прав доступа», включающий матрицу доступа: в строках категории ПДн, в столбцах должности/подразделения, а в ячейках — уровень доступа. Это сразу показывает проверяющим, что у компании системный подход к защите ПДн.
Компания ICTech разработает для вашей организации полный комплект документов по разграничению доступа, включая регламент, матрицу доступа и приказы. Это позволит без проблем пройти проверку и избежать претензий Роскомнадзора.
