Для подтверждения работы охраны при обеспечении доступа к архивам, где хранятся персональные данные, организация должна иметь пакет документов, который фиксирует соблюдение режима охраны и предотвращение несанкционированного доступа. Эти документы важны как для внутреннего контроля, так и при проверках Роскомнадзора или ФСТЭК.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры по защите ПДн, включая физическую охрану помещений, где обрабатываются данные.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует организации контроля физического доступа к средствам обработки информации и ведения учёта событий доступа.
- ГОСТ Р 50922-2006 (защита информации) — устанавливает необходимость фиксировать действия служб охраны и контролировать доступ к охраняемым зонам.
Документы, которые могут подтвердить работу охраны
- Инструкции для охраны
— определяют порядок допуска сотрудников и посетителей в архивные помещения с ПДн.
— регламентируют действия охраны при выявлении нарушений. - Журнал регистрации посетителей
— фиксируются данные о всех лицах, вошедших в помещение (ФИО, организация, основание входа, время входа и выхода). - Журнал допуска в архив ПДн
— отдельно ведётся учёт сотрудников и сторонних лиц, получающих доступ именно к архивам с ПДн. - Доклады или акты охраны
— фиксируют инциденты или попытки несанкционированного доступа. - Приказ о взаимодействии с охраной
— документ, закрепляющий порядок работы охранников с архивами ПДн и их ответственность. - Договор с ЧОП (если охрана аутсорсинговая)
— должен содержать пункт о соблюдении требований к охране ПДн и порядке допуска в помещения.
Практика проверок Роскомнадзора
Роскомнадзор в ряде проверок указывал, что наличие только общей охраны здания недостаточно — должен быть отдельный порядок доступа в архив с ПДн. В банке, где охрана фиксировала вход посетителей, но не проверяла доступ в архив, РКН признал защиту неполной. В другой организации наличие инструкций для охраны и журнала допуска в архив помогло подтвердить выполнение требований ст. 19 ФЗ-152.
Рекомендации и выводы
Чтобы соответствовать закону и быть готовыми к проверкам:
- оформите инструкцию для охраны с описанием правил допуска;
- ведите журнал допуска в архив отдельно от общего журнала посетителей;
- закрепите порядок контроля доступа в приказе по организации;
- храните акты и доклады охраны об инцидентах или проверках.
Компания ICTech помогает организациям разработать полный комплект документов для взаимодействия с охраной и подтверждения контроля доступа к архивам ПДн. Это позволит вашей компании избежать претензий Роскомнадзора и продемонстрировать надёжную систему защиты данных.
