При утечке или подозрении на утечку персональных данных компания обязана документировать инцидент. Это не только требование ФЗ-152, но и практика проверок Роскомнадзора: отсутствие фиксации считается невыполнением организационных мер по защите данных.
Обычно оформляются такие документы:
- Акт (протокол) об инциденте с ПДн — фиксирует дату, время, обстоятельства, какие данные пострадали, кто выявил инцидент и какие меры предприняты.
- Журнал регистрации инцидентов — ведётся на постоянной основе, в него заносятся все случаи нарушений (утечки, сбои, несанкционированный доступ).
- Приказ о создании комиссии — для расследования серьёзных случаев утечек, особенно если затронуто много субъектов или данные специальной категории.
- Акт расследования и устранения последствий — описывает, какие меры предприняты для устранения инцидента и предотвращения повторения.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать организационные и технические меры защиты ПДн, в том числе реагировать на несанкционированный доступ.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует фиксировать инциденты в ИСПДн.
- ГОСТ Р 57580.1-2017 — указывает на необходимость регистрации и расследования инцидентов безопасности.
- КоАП РФ, ст. 13.11 — устанавливает ответственность за нарушение требований к защите ПДн, в том числе при утечках.
Практика проверок Роскомнадзора
Инспекторы проверяют, как компания фиксирует инциденты: наличие журналов, актов, приказов. В одной из организаций выявили, что при утечке e-mail клиентов меры были предприняты, но инцидент документально не зафиксирован. Это квалифицировали как отсутствие организационных мер защиты. В другой компании комиссия оформила акт расследования, где были подробно указаны причины и меры предотвращения — Роскомнадзор признал это корректной практикой.
Что важно учесть
- Все инциденты должны фиксироваться, даже если утечка потенциальная (например, потеря флешки с ПДн, но восстановлено резервное копирование).
- Журнал и акты должны храниться у ответственного за ПДн.
- Документы должны быть утверждены приказом и подписаны членами комиссии.
- Рекомендуется в пакете документов иметь План реагирования на инциденты, где заранее прописан порядок действий.
Рекомендации и выводы
Фиксация инцидентов — обязательное требование. Минимальный комплект: журнал регистрации, акты и приказы. Такой подход снижает риски штрафов и показывает Роскомнадзору, что компания реально управляет безопасностью данных.
Компания ICTech разработает для вашей организации журнал инцидентов, шаблоны актов и план реагирования на утечки ПДн, чтобы при проверке вы смогли доказать соблюдение требований ФЗ-152.
